Неисправленные до настоящего времени уязвимости в PHP-пакете с открытым исходным кодом Voyager для управления приложениями Laravel подвергают в случае объединения затронутые серверы потенциальным RCE-атакам в один клик.

Типичными пользователями Voyager являются компании по веб-разработке, стартапы, внештатные разработчики и, в целом, малые и средние предприятия, использующие Laravel для внутренних инструментов или приложений на базе CMS.

Проект Voyager пользуется огромной популярностью: форкнут 2700 раз на GitHub, получил более 11 800 звезд и насчитывает миллионы загрузок.

Как поясняют исследователи SonarSource, в случае перехода аутентифицированным пользователем Voyager по вредоносной ссылкы, злоумышленники получают возможность выполнить произвольный код на сервере.

Несмотря на ответственное раскрытие информации еще 11 сентября 2024 года найденные ошибки до сих пор не получили исправлений и по истечении 90-дневного периода были представлены широкой аудитории.

Проблемы отслеживаются как:
- CVE-2024-55417: уязвимость произвольной записи файлов в конечной точке «/admin/media/upload»
- CVE-2024-55416: отраженная уязвимость межсайтового скриптинга (XSS) в конечной точке «/admin/compass»
- CVE-2024-55415: уязвимость произвольной утечки и удаления файлов

Злоумышленник может воспользоваться функцией загрузки мультимедиа Voyager, чтобы загрузить вредоносный файл способом, обходящим проверку типа MIME, и использовать файл-полиглот, который выглядит как изображение или видео, но содержит исполняемый PHP-код.

Сервер будет обрабатывать его как PHP-скрипт, что приведет к удаленному выполнению кода.

Уязвимость также может быть связана с CVE-2024-55416. Конечная точка /admin/compass в Voyager неправильно очищает пользовательский ввод, позволяя злоумышленникам внедрять JavaScript во всплывающие сообщения.

Если аутентифицированный администратор нажимает на вредоносную ссылку, скрипт выполняется в его браузере, что потенциально позволяет злоумышленникам выполнять действия от его имени, включая эскалацию до удаленного выполнения кода.

CVE-2024-55415 в системе управления файлами позволяет злоумышленникам манипулировать путями к файлам, удалять или получать доступ к произвольным файлам на сервере.

Используя это, злоумышленники могут нарушить работу служб, удалить критически важные файлы или в сочетании с XSS-уязвимостью извлечь конфиденциальную информацию.

Пользователям Voyager следует рассмотреть возможность предоставления доступа только доверенным пользователям, ограничения прав доступа «browse_media» для предотвращения несанкционированной загрузки файлов и использования управления доступом на основе ролей (RBAC).

Меры безопасности на уровне сервера включают отключение выполнения PHP-файлов, использование строгой проверки типа MIME для отклонения многоязычных файлов и регулярный мониторинг журналов на предмет необычной загрузки файлов или активности доступа к ним.

Если безопасность имеет решающее значение, то следует избегать использования Voyager в производственных средах до выхода официальных исправлений или рассмотреть возможность перехода на другую панель администратора Laravel.

В системе мониторинга сети и управления неисправностями с открытым исходным кодом Cacti обнаружена критическая уязвимость, которая позволяет аутентифицированному злоумышленнику удаленно выполнить код на уязвимых экземплярах.

Уязвимость отслеживается как CVE-2025-22604 и имеет оценку CVSS 9,1 из максимальных 10,0, раскрыта частным исследователем под сетевым псевдонимом u32i.

Она связана с многострочным анализатором результатов SNMP и приводит к тому, что аутентифицированные пользователи могут вставлять в ответ некорректные OID.

При обработке с помощью ss_net_snmp_disk_io() или ss_net_snmp_disk_bytes() часть каждого OID будет использоваться в качестве ключа в массиве, который используется как часть системной команды, что приводит к уязвимости выполнения команды.

Успешная эксплуатация может позволить аутентифицированному пользователю с правами управления устройством выполнить произвольный код на сервере, а также украсть, отредактировать или удалить конфиденциальные данные.

CVE-2025-22604 затрагивает все версии программного обеспечения до 1.2.28 включительно. Проблема устранена в версии 1.2.29.

В новой версии также устранена CVE-2025-24367 (CVSS: 7,2), которая позволяет аутентифицированному злоумышленнику создавать произвольные PHP-скрипты в корневом веб-каталоге приложения, злоупотребляя функциональностью создания графов и шаблонов графов, что приводит к RCE.

Учитывая печальный опыт эксплуатации уязвимостей в Cacti, использующим это ПО для мониторинга сети, следует оперативно накатить необходимые исправления, чтобы снизить риск компрометации.

Новый вариант вредоносного ботнета Aquabot на базе Mirai активно эксплуатирует уязвимость CVE-2024-41710, позволяющую внедрять команды в SIP-телефоны Mitel.

Активность была детектирована исследователями Akamai (SIRT) через глобальную сеть ханипотов в начале января 2025 года, отмечая, что это уже третий вариант Aquabot, попавший в поле их зрения.

В третием варианте, Aquabotv3, реализована система обнаружения попыток уничтожения с сигнализированием на C2, что обеспечивает операторам всесторонний мониторинг.

CVE-2024-41710 представляет собой уязвимость внедрения команд и затрагивает SIP-телефоны Mitel серий 6800, 6900 и 6900w, которые обычно используются в корпоративных средах и госучреждениях.

Уязвимость позволяет аутентифицированному злоумышленнику с правами администратора провести атаку путем внедрения аргументов из-за недостаточной очистки параметров во время процесса загрузки, что приводит к выполнению произвольной команды.

Mitel выпустила исправления и рекомендации для этой уязвимости 17 июля 2024 года. Две недели спустя исследователь Кайл Бернс опубликовал PoC на GitHub.

Учитывая, что для совершения атак требуется аутентификация, вредоносный ботнет, по всей видимости, использует брут для получения первоначального доступа.

Злоумышленники создают HTTP-запрос POST, нацеленный на уязвимую конечную точку 8021xsupport.html, отвечающую за настройки аутентификации 802.1x в SIP-телефонах Mitel.

Приложение неправильно обрабатывает вводимые пользователем данные, что позволяет вставлять некорректные данные в локальную конфигурацию телефона (/nvdata/etc/local.cfg).

С помощью внедрения символов конца строки (%dt → %0d) злоумышленники манипулируют тем, как анализируется файл конфигурации во время загрузки устройства, чтобы выполнить удаленный скрипт оболочки (bin.sh) со своего сервера.

В свою очередь, скрипт загружает и устанавливает полезную нагрузку Aquabot для определенной архитектуры (x86, ARM, MIPS и т.д.), устанавливает ее разрешения на выполнение с помощью «chmod 777», а затем зичищает все следы.

После достижения устойчивости Aquabotv3 подключается к C2 через TCP для получения инструкций, команд атаки, обновлений или дополнительных полезных нагрузок.

Затем пытается распространиться на другие устройства IoT, используя эксплойт Mitel, CVE-2018-17532 (TP-Link), CVE-2023-26801 (RCE прошивки IoT), CVE-2022-31137 (RCE веб-приложения), RCE Linksys E-series, Hadoop YARN и CVE-2018-10562 - 10561 (в маршрутизаторах Dasan).

Вредоносная ПО также пытается взломать стандартные или слабые учетные данные SSH/Telnet, чтобы распространиться на плохо защищенные устройства в той же сети.

Основной целью Aquabotv3 является вовлечение устройств в DDoS, использование их для проведения атак TCP SYN, TCP ACK, UDP, GRE IP и атак на уровне приложений.

Оператор ботнета продвигает свои услуги в Telegram под брендами Cursinq Firewall, The Eye Services и The Eye Botnet, представляя его в качестве инструмента для тестирования мер по смягчению последствий DDoS-атак.

Связанные с Aquabotv3 IoC, а также правила Snort и YARA для обнаружения вредоносного ПО - в отчете.

Когда в пятницу вечером РКН решил обновить настройки ТСПУ

Исследователи из Лаборатории Касперского сообщают о новой вредоносной кампании, нацеленной на пользователей Android-устройств с использованием стилера Tria.

Злоумышленники используют фишинг (приглашения на свадьбу в качестве приманки) для распространения вредоносного APK-файла и в случае успешной атаки получают доступ к личным сообщениям и электронной почте жертвы. 

География атак ограничена двумя странами - Малайзией и Брунеем.

Наибольшее количество детектов пришлось на середину 2024 года, однако фиксируется распространение Tria и в январе 2025 года.

Задетектить новую угрозу удалось благодаря телеметрии Kaspersky Security Network (KSN) и данных сторонних антивирусных платформ.

Затем в соцсетях обнаружились многочисленные посты пользователей Android из Малайзии с обсуждением вредоносных APK и взломов WhatsApp.

Нашлось сразу две версии вредоносных APK: первая появилась в марте, а вторая - в августе 2024 года.

Последняя включала дополнительный функцион, а также новые формулировки в сообщениях, отправляемых в Telegram-боты.

Название Tria обусловлено именем пользователя в сообщениях, которые стилер передает на командный сервер при первом запуске. Возможно, Mr. Tria отвечает за поддержку или вовсе за организацию всей кампании.

Замеченные артефакты на индонезийском языке в совокупности с шаблонами наименований Telegram-ботов для связи с С2 указывают на то, что за атаками стоят злоумышленники, владеющие индонезийским языком.

Похожие сценарии использовались в кампаниях с UdangaSteal в отношении жителей Индонезии, Малайзии и Индии, однако между кампаниями есть существенные различия.

Стилер Tria собирает данные из SMS и электронной почты (например, из сервисов Gmail и Outlook), ведет мониторинг журналов вызовов и сообщения (например, из приложений WhatsApp и WhatsApp Business).

Tria задействует API Telegram для отправки собранных данных через несколько ботов. Стилер обрабатывает все собранные данные и отправляет их в бот одним сообщением.

Согласно наблюдениям, злоумышленники используют отдельные Telegram-боты для работы с разными типами украденных данных: один используется для сбора текстовых данных из мессенджеров и электронной почты, а другой - для работы с SMS.

Злоумышленники используют украденные данные для взлома учетных записей жертвы в WhatsApp и Telegram, которые затем задействуется для рассылки сообщений контактам жертвы для доставки вредоносного APK-файла или просьб перевести деньги.

Кроме того, перехватывая содержимое SMS-сообщений, злоумышленники также могли взламывать учетные записи жертв в различных сервисах для осуществления другой вредоносной деятельности.

Подробный технический разбор и IoC Tria - в отчете.

Исследователи BI.ZONE представили подробную статистику по атакам на корпоративную почту за 2024 год, констатируя, что она остается одним из наиболее популярных векторов атак на компании.

Самые опасные категории сообщений - письма с вредоносным ПО во вложении, сообщения со ссылками, ведущими на фишинговые ресурсы, а также спуфинговые письма (с подделкой адреса отправителя).

Сегодня в компании из 1000 сотрудников ежедневно минимум один будет получать сообщение с ransomware, стилером или другим ВПО во вложении (0,12% трафика).

Особенно значительна доля таких писем в промышленности (0,25%).

В целом в сравнении с 2023 годом доля писем с вредоносными вложениями в корпоративном трафике выросла на 250%, а с фишинговыми ссылками - на 25%.

При этом негативный тренд фиксируется на протяжении уже нескольких лет: тот же 2023 год показывал более чем двукратный прирост сообщений с ВПО по сравнению с 2022‑м.

По оценке экспертов, в 2024 году столкнуться с одной из этих угроз можно было в среднем в каждом 77‑м письме, а в некоторых отраслях еще чаще.

Например, в почте промышленных компаний сообщение со спуфингом, ВПО или фишинговой ссылкой встречалось в 1 случае из 16, в медорганизациях - в 1 из 36, телекоме - в 1 из 48.

Реже всего письма из этих категорий специалисты фиксировали в трафике IT- и финорганизаций: всего 6–7 сообщений из 1000.

Увеличивается и доля сообщений с фишинговыми ссылками.

В результате роста на 25% они встречаются в среднем в 1 письме из 100 (1%).

Первенство здесь также удерживает промышленность, где доля таких писем — 4 из 100 (4%).

Если сообщение предназначается сотруднику компании из сфер строительства и недвижимости, транспорта и логистики, а также профуслуг - в 3 случаях из 100 (3%).

Специалисты отмечают тенденцию к увеличению числа таких писем и в отраслях, где их доля традиционно ниже из‑за объема почтового трафика в целом.

К примеру, в ритейле и электронной коммерции огромную часть трафика составляют автоматические сообщения и массовая рассылка, а фишинговые ссылки фиксируются в 0,07% писем. Однако в 2023 году их было только 0,02%.

При этом объем спуфинга сократился на 42%: в 2023 году подделать адрес отправителя пытались в каждом 200‑м сообщении, а теперь — в каждом 350‑м.

Специализированные средства защиты почты эффективно выявляют такие отправления, поэтому злоумышленники меняют тактику, стараясь завладеть доступом к легитимным email‑аккаунтам и совершать атаки от их имени.

При этом рост доли писем с фишинговыми ссылками - часть этого тренда: большинство таких ссылок ведет на поддельную страницу для входа в веб‑версию почты.

Пики для сообщений с фишинговыми ссылками и подделкой адреса отправителя наблюдались в четвертом квартале прошедшего года, а особенно в ноябре, что обусловлено активизацией деловой активности и традиционной черной пятницей.

В случае спуфинга заметный подъем наблюдался также летом, в июле‑августе, что увязывается с расчетом на снижение бдительности в период отпусков.

В случае писем с ВПО пик пришелся на апрель — в это время исследователи фиксировали волну массовых атак на российские компании.

BI.ZONE рекомендует компаниям уделять внимание многоуровневой защите почтового канала, чтобы отсекать и таргетированные рассылки, и массовые атаки.

В штатах разразился новый скандал с китайским шпионажем после того, как CISA предупредила об обнаружении бэкдора в устройствах Contec CMS8000, который крал данные пациентов и мог загружать/запускать файлы.

Поставщик Contec - китайская компания, специализирующаяся на технологиях в сфере здравоохранения с широкой линейкой медицинских изделий, включая системы мониторинга состояния пациентов, диагностическое оборудование и лабораторные приборы.

Вредоносное поведение выявили в ходе аудита прошивки Contec CMS8000, который позволил исследователям выявить аномальный сетевой трафик на жестко закодированный внешний IP-адрес, который не был связан не с компанией, а вместо этого вел к университету.

Дальнейшее изукчение привело к бэкдору в прошивке, который мог скрытно загружать и выполнять файлы на устройстве, что позволяло удаленно полностью контролировать мониторы пациентов и эксфильтровывать данные пациентов на жестко закодированный адрес при запуске.

Наименование университета не разглашается, но известно, что IP также жестко закодирован в ПО и другого медицинского оборудования, включая монитор для наблюдения за беременностью от другого производителя медтехники в Китае.

При анализе прошивки специалисты обнаружили, что один из исполняемых файлов устройства «monitor» содержит бэкдор, который выдает ряд команд Linux, включающих сетевой адаптер устройства (eth0), а затем пытается смонтировать удаленный общий ресурс NFS по жестко запрограммированному IP.

Общий ресурс NFS монтируется в /mnt/, и бэкдор рекурсивно копирует файлы из /mnt/ в /opt/bin. Затем продолжает копировать файлы из /opt/bin в папку /opt и, по завершении, демонтирует удаленный общий ресурс NFS.

Обычно Linux хранит установки стороннего ПО в каталоге /opt, а сторонние двоичные файлы - в /opt/bin.

Возможность перезаписывать файлы в /opt/bin обеспечивает мощный примитив для удаленного захвата устройства и удаленного изменения его конфигурации.

Кроме того, использование символических ссылок может предоставить примитив для перезаписи файлов в любом месте файловой системы устройства.

При выполнении функция предоставляет примитив, позволяющий третьей стороне по жестко закодированному IP потенциально получить полный контроль над устройством удаленно.

Хотя CISA не раскрыла, какие функции выполняют эти файлы на устройстве, представители организации заявили, что не обнаружили никакой связи между устройствами и жестко запрограммированным IP-адресом, а только попытки подключиться к нему.

В CISA заявили, что после аудита они пришли к выводу, что это не функция автоматического обновления, а скорее бэкдор, внедренный в прошивку устройства.

В подтверждение того, что это изначально был бэкдор, CISA обнаружила, что устройства также начали отправлять данные пациентов на удаленный IP при запуске устройств.

При этом данные пациентов обычно передаются по сети с использованием протокола Health Level 7 (HL7). Однако эти устройства отправляли данные на удаленный IP через порт 515, который обычно связан с протоколом Line Printer Daemon (LPD).

Передаваемые данные включают в себя имя врача, идентификатор пациента, имя пациента, дату рождения пациента и другую информацию.

После обращения в Contec по поводу бэкдора получить исправления для нейтрализации бэкдора так и не удалось, в связи с чем CISA попросту рекомендовала всем организациям в сфере здравоохранения отключить устройства от сети.

В 10-20 млн. долл. оценивается ущерб от предполагаемой атаки на цепочку поставок, жертвами которой стали представители сообщества разработчиков криптовалют.

Однако исследователи не исключат версию с экзит-скамом.

Целью атаки стал инструмент объединения токенов DogWifTool.

Приложение активно используется разработчиками крипты для запуска и продвижения мемкойнов на блокчейне Solana.

Как отмечают админы в Discord и X, инцидент произошел после того, как злоумышленники взломали учетную запись GitHub приложения через токен путем реверса ПО и затем выкатили вредоносные версии.

Предполагается, что злоумышленники задействовали RAT для кражи закрытых ключей и разграбления кошельков разработчиков.

Некоторые жертвы даже сообщали, что их кошельки Coinbase были скомпрометированы после этой атаки.

Тем не менее, многочисленные отчеты спецов по блокчейну, в том числе InvincibleXBT, единогласно утверждают, что DogWifTools был слит без помощи со стороны.

Команда DogWifTools опровергает обвинения в своей причастности к инциденту, указывая на некоего стороннего субъекта, который действовал через VPN.

Более того, проект - несмотря на то, что его использовали для мошенничества - заявил, что они также привлекли экспертов по кибербезопасности и даже власти для поимки злоумышленника, а также защиты своей репутации.

При этом, как отмечается, приложение запрашивало много подозрительных разрешений после инсталляции на компьютере, а для обналичивания используются оказавшиеся непонятным образом в распоряжении мошенников фотографии удостоверений личности.

Для расследования привлекли Техасский совет по ценным бумагам, а местный прокурор уже потребовал провести суд присяжных по поводу возможной схемы с экзит-скамом.

Чем закончится неоднозначный инцидент, будем посмотреть.

Исследователи Solar выкатили отчет о новой APT NGC4020, которую им удалось задетектить в ходе расследования инцидента в компании из промышленного сектора.

В процессе исследования атакованных систем удалось обнаружить, что для загрузки вредоносного ПО злоумышленники использовали уязвимость в продукте DameWare Mini Remote Control.

Кроме этого, уязвимость позволила им выполнить загрузку в пространство ядра из-под учетной записи LocalSystem собственного вредоносного драйвера, предназначенного для обхода средств защиты, и отключающего компоненты самозащиты антивирусного ПО.

В процессе мониторинга угроз в одной из систем клиента в конце марта был обнаружен вредонос по пути: C:\ProgramData\programs\scvrc.exe.

Файл был создан более месяца назад – в середине февраля, а «scvrc.exe» оказался ReverseShell на Java, при этом атакующие не использовали никакой обфускации: адрес С2 хранился в виде строкового значения и мог быть обнаружен в выводе утилиты Strings, а также имелась ссылка на GitHub с его исходниками.

После попадания файла в систему фиксируется выполнение только лишь системных утилит для разведки net.exe и hostname.exe. Свидетельства закрепления данного Reverse Shell отсутствовали, а после перезагрузки системы файл не запускался.

При этом помимо него в системе создавался еще одним файл: C:\Windows\Temp\dwDrvInst.exe, самораспаковывающийся архив с ранее обнаруженным scvrc.exe, а также директорией jre-1.8 с легитимными файлами Java (распаковываются рядом с scvrc.exe для запуска Java-программ).

Его создание в системе является характерным признаком эксплуатации RCE-уязвимости CVE-2019-3980 в ПО DameWare Mini Remote Control, которая позволяет загрузить и запустить произвольный исполняемый файл в целевой системе.

Проанализировав весь DWRCSAccess.log, Солары обнаружили, что в декабре 2022 года при аналогичной эксплуатации в системе был размещен еще один вредонос: C:\ProgramData\Oracle\Java\ RuntimeBroker.exe (тот же scvrc.exe, но с другим C2).

Далее удалось найти еще одну систему, к которой также можно было получить доступ извне через DameWare, и в ней нашлись идентичные незакрепленные Reverse Shell от 2022 и 2024 годов вместо со следами разведки, но антивирусное ПО тогда не обнаружило их.

В этой системе в артефакте ShimCache, где для файла C:\Windows\Temp\dwDrvInst.exe было создано три записи при атаке в феврале 2024 года, что означает наличие сразу трех нагрузок, которые были запущены через RCE-уязвимость.

Вторая нагрузка нашлась быстро: это был файл вредоносного ПО QuasarRAT, который атакующие закрепили с помощью создания задачи в планировщике, а третья - в директории агента администрирования C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klcsdb.exe.

И, казалось бы, атакующие провели успешную атаку: запустили Reverse Shell через RCE-уязвимость в ПО DameWare, отключили антивирусное ПО, добавили эксплойт для его отключения в автозагрузку, а также закрепились в системе с помощью QuasarRAT.

Но изучение логов показало, что после перезагрузки системы на следующий день активность атакующих прекратилась.

Как оказалось они совершили ошибку при создании задачи для закрепления импланта.

При исследовании параметров обнаружилаось, что ее запуск должен выполняться с использованием доменной системной учетной записи, при этом в задаче был указан параметр Run only when user is logged on, а для выполнения задач с правами системы требуется иной параметр.

Таким образом, клиент не пострадал, а Солары получили интересные образцы вредоносного ПО, которые подробно описаны в отчете.

Надежные методы верификации на канале ...

Исследователи BI.ZONE сообщают об обнаружении широкомасштабной кампании, нацеленной на российские организации разных отраслей, в которой задействуется стиллер NOVA - новый форк SnakeLogger с прайсом от 50$.

В ходе наблюдаемой кампании злоумышленники распространяли NOVA в прикрепленных к фишинговым письмам архивах, маскируя под договоры (например, Договор.exe).

Примечательно, что атакующие не использовали ни двойное расширение, ни иконку, позволяющие замаскировать вредоносный файл под легитимный документ.

После запуска вредоносный файл осуществляет декодирование данных, скрытых с помощью стеганографии, из ресурсов с именем zabawa2, а затем копирует себя под другим именем в AppData\Roaming и запускает PowerShell для добавления файла в исключения Microsoft Defender.

Для закрепления в скомпрометированной системе вредоносный файл использует планировщик заданий Windows.

Далее вредоносный файл запускает себя в состоянии suspended и осуществляет внедрение расшифрованной нагрузки в собственный дочерний процесс.

Цепочка API‑вызовов выглядит следующим образом: CreateProcessInternalA (suspended) - VirtualAllocEx - WriteProcessMemory - SetThreadContext - ResumeThread.

Примечательно, что вредоносный файл содержит строки на польском языке. При этом внедряемая вредоносная нагрузка представляет собой стилер NOVA, форк другого популярного стилера - SnakeLogger.

Для получения информации об IP и стране скомпрометированной системы NOVA осуществляет запросы к веб-ресурсам checkip[.]dyndns[.]org и reallyfreegeoip[.]org.

Стилер собирает сохраненные аутентификационные данные из различных источников, фиксирует нажатия клавиш, а также делает скрины экрана и извлекает данные из буфера обмена.

Эксфильтрация реализуется по SMTP.

Также образец потенциально способен отключать Microsoft Defender, диспетчер задач, редактор реестра и командной строки.

Функции с соответствующими названиями в стиллере присутствуют, однако в них отсутствует код, необходимый для выполнения вредоносных действий.

Кроме того, обнаружена функция, которая ограничивает выполнение ВПО после определенной даты.

NOVA распространяется по модели MaaS (имеется даже свой канал в Telegram) и широко используется в киберподполье как минимум с августа 2024 года.

При этом разработчик предлагает не только стилер, но и криптор.

Стоимость стилера начинается от 50$ за месячную лицензию и доходит до 630$ за бессрочную, у криптора - от 60$ (за месяц) до 150$ (за 3 месяца).

Технические подробности и IoC - в отчете.

Apple выпустила достаточно редкое, но весьма серьезное обновление безопасности для приложения GarageBand.

GarageBand 10.4.12 включает исправления для CVE-2024-44142, которая приводит к RCE на устройстве пользователя с помощью вредоносного изображения.

Проблема устранена путем улучшенной проверки границ. Об ошибке сообщил Марк Шенефельд, доктор наук, научный сотрудник.

Компания не раскрывает была ли уязвимость использована в реальных атаках, но, по всей видимости, потенциал для был. Но будем посмотреть.

Исследователи F.A.C.C.T. предупреждают о новых атаках со стороны кибершпионской группировки Rezet, также известной как Rare Wolf, нацеленной на промышленные предприятия в России я января 2025 года.

Только за последнюю неделю января в F.A.C.C.T. смогли перехватить ряд вредоносных рассылок.

Под видом приглашения на семинары по стандартизации оборонной продукции скрывались вредоносные файлы, открытие которых могло привести к заражению рабочих станций.

Rezet aka Rare Wolf - группа кибершпионажа, активная с октября 2018 года и причастная к совершению более пятисот кибератак на российские, белорусские и украинские промышленные предприятия.

Атакуют преимущественно с помощью фишинговых рассылок. В кампаниях 2021 и 2023 годов злоумышленники использовали для заражения устройств файл rezet.cmd, согласно которому исследователи и назвали группу.

В январе 2025 года вредоносные рассылки производились, например, от имени компании, которая специализируется на сопровождении контрактов предприятиями – исполнителями гособоронзаказа.

Объектами атаки стали предприятия химической, пищевой и фармацевтической промышленности.

Письма выглядели как приглашения руководителей и специалистов на семинары по стандартизации оборонной продукции.

Как отмечают в F.A.C.C.T., Rezet в новых атаках задействовала технику заражения, схожую с прошлыми атаками.

В первой рассылке внутри архива находился вредоносный файл, который содержал в себе файл-приманку в виде PDF-документа, а также полезную нагрузку. Пароль к архиву был указан в тексте письма.

Такая техника традиционно применяется злоумышленниками для обхода стандартных средств защиты.

При запуске открывается PDF-документ для отвлечения внимания, а в фоне происходит заражение системы.

Во второй и третьей рассылках, которые злоумышленники направили несколько дней спустя, в архиве находились уже два вредоносных файла, содержащие PDF-документ и полезную нагрузку.

Открытие любого из них также приводило к заражению системы.

Автоматизированные отчёты по рассылкам доступны здесь и здесь.

Представители WhatsApp (принадлежащей признанной в России экстремистской Meta) рапортуют о нейтрализации кампании с использованием spyware Graphite от Paragon Solutions, нацеленной на более чем 90 пользователей из числа журналистов и политических деятелей.

Как переедет The Guardian, разоблачить и пресечь активность злоумышленников удалось в декабре 2024 года.

В атаках, предположительно, использовался Zero-Click эксплойт без какого-либо взаимодействия с пользователем. 

Предполагается, что атакующие распространяли специально созданные PDF-файлы, отправляя их лицам через групповые чаты в WhatsApp.

WhatsApp отметила, что цели были рассредоточены по более чем двум десяткам стран, включая несколько стран Европы, добавив об уведомилении пострадавших и предоставлении рекомендаций по противодействию вновь выявленной угрозе.

Meta отправила Paragon официальное письмо с требованием прекратить и воздержаться от дальнейших вредоносных действий, угрожая судебным преследованием, как в случае с NSO.

Примечательно, что в этот же период компанию-разработчика шпионского ПО aragon Solutions приобрела американская частная инвестиционная компания AE Industrial Partners почти за ярд баксов.

В настоящее время не разглашается, кто стоит за кампанией и как долго она продолжалась.

Но известно, что основной клиентурой шпионского ПО Graphite, по большей части, являлись американские и европейские спецслужбы.

Так что судебное преследование вряд ли состоится, как, впрочем, опубличивание ответственных заказчиков.

А если делу и дадут ход (ведь принимавшая участие расследовании Citizen Lab обещает в скором времени выкатить отчет), то можно будет считать это началом сегментации клиентуры.

Такой сценарий вполне вписывается в продвигаемую штатами парадигму передела рынка шпионского ПО, где помимо разработчиков проредят и клиентуру, как в случае с канадской Sandvine.

Тем более, что для США это еще один козырь в политических играх на европейском направлении. Сейчас очень кстати.

Будем следить.

Исследователи из Лаборатории Касперского в новом отчете проанализировали ландшафт киберугроз для промышленных предприятий и OT-инфраструктур в 2025 году в призме происходящих глобальных процессов:

- Охота за инновациями:

В условиях фактически очередной технической революции и стратегических инвестициях в инновации APT будут активизировать свои усилия и нацеливаться на жертв, связанных с передовыми исследованиями и разработками.

Аналогичным образом действуют вымогатели и хактивисты.

При этом злоумышленникам может оказаться проще получить доступ к такой информации из технологической сети производственного объекта, чем из периметра лаборатории или офисной сети.

Цепочка поставок и сеть доверенных партнеров также являются очевидными потенциальными целями злоумышленников.

- Искусственные ограничения и санкционные войны:

Способствуют нарушениям прав интеллектуальной собственности мировых технологических лидеров, что приводят к определенным рискам и в сфере ИБ.

Разработчики и поставщики OT-технологий не смогут гарантировать клиентам эффективную защиту их интеллектуальной собственности.

Взломанные версии и нештатные модификации проприетарных продуктов принесут киберугрозы прямо внутрь технологического периметра.

Злоумышленники продолжат охоту за техническими ноу-хау (как в случае с Librarian Ghouls), а целями могут стать программы ПЛК и SCADA-проекты, алгоритмы управления оборудованием внутри периметра технологической сети.

- Новые технологии = новые риски информационной безопасности:

Наибольший рост эффективности обещает, как и во многих других сферах, широкое использование систем машинного обучения и ИИ, в том числе непосредственно на производстве - при управлении технологическим процессом. 

При этом неаккуратное использование технологий ИИ в IT- и операционных процессах промышленных предприятий может привести к непреднамеренному раскрытию конфиденциальной информации или появлению новых угроз безопасности.

Как сами системы ИИ, развернутые на предприятии, так и уникальные данные, которые они используют могут стать новыми целями для опасных кибератак.

Злоумышленники также не игнорируют технический прогресс, задействуя ИИ на разных этапах подготовки и проведения атак

- Проверенные временем технологии = новые риски информационной безопасности:

Выражение «работает - не трожь» в технологических инфраструктурах промышленных предприятий имеет особенный оттенок смысла и получается так, что система работает десятилетиями без каких-либо модификаций по части безопасности.

Проблема осложняется порой низким качеством информации об уязвимостях в продуктах для OT, предоставляемой разработчиками и доступной из публичных источников.

Помимо незащищенных систем промышленной автоматизации, существует также много типов устройств или целых инфраструктур, так или иначе связанных с технологической сетью, про безопасность которых просто забывают.

- Выбрал неправильно вендора - жди беды:

Недостаточные инвестиции разработчиков или поставщиков технологий в собственную ИБ - верный залог инцидентов у их клиентов.

Один из показательных случаев — атака на CDK Global. Но для промышленных предприятий есть ряд осложняющих ситуацию факторов.

- Больше нельзя полагаться на сокрытие информации о работе промышленных систем.

Как можно быть таким крутым? 🤔