Hewlett Packard Enterprise (HPE) приступила к расследованию заявлений IntelBroker, который анонсировал новую утеку и кражу корпоративных данных компании.

В HPE сообщили, что не нашли никаких доказательств нарушения безопасности, но тем не менее приступили к расследованию заявлении хакера от 16 января.

HPE немедленно активировала соответствующие протоколы киберреагирования, отключив учетные данные для оценки обоснованности заявлений, но пока усилия не принесли никаких результатов.

IntelBroker, в свою очередь, опубликовал сообщения о продаже информации, предположительно украденной из сетей HPE, утверждая, что получил доступ к API компании, WePay и (частным и публичным) репозиториям GitHub в течение как минимум двух дней, похитил сертификаты (частные и публичные ключи), исходный код Zerto и iLO, сборки Docker и личную информацию пользователей, используемую для поставок.

IntelBroker представил также еще один архив данных (включая учетные данные и токены доступа), предположительно украденных из систем HPE почти год назад, 1 февраля 2024 года.

Тогда тоже не нашли доказательств нарушений безопасности.

Как известно, ранее HPE уже сталкивалась с инцидентами. Один из них произошел в 2018 году, когда китайская APT10 взломала некоторые из ее систем и использовала этот доступ для взлома устройств клиентов.

В 2021 году, технологический гигант уведомлял, что хранилища данных его платформы мониторинга сети Aruba Central также были скомпрометированы, включая данные об отслеживаемых устройствах и их местоположении, а в мае мае 2023 года также скомпрометировали почтовую среду Microsoft Office 365.

Учитывая внушительный список достижений IntelBroker, включающий DC Health Link, Nokia, Cisco, Europol, Home Depot, Acuity и предполагаемые инциденты с AMD, Госдепом, Zscaler, Ford и General Electric Aviation, то доказательства в ближайшей перспективе могут все же появиться.

Но будем посмотреть.

Исследователи Cyfirma связали DoNot с новым вредоносным ПО, нацеленным на сбор разведывательной информации в рамках целенаправленных кибератак.

Выявленные артефакты, получившие название Tanzeem и Tanzeem Update, были обнаружены в октябре и декабре 2024 года и включают идентичные функции, за исключением незначительных изменений в пользовательском интерфейсе.

Приложение замаскировано под мессенджер, однако сразу после установки перестает работать, сворачивая свою активность после предоставления необходимых разрешений.

Наименование приложения предполагает ее нацеленность на определенных лиц или группы как внутри страны, так и за ее пределами.

DoNot Team, также известная как APT-C-35, Origami Elephant, SECTOR02 и Viceroy Tiger, - это хакерская группа индийского происхождения, реализующая атаки с использованием фишинга и вредоносных ПО для Android в целях сбора интересующей информации.

В октябре 2023 года APT была замечена в кампании, связанной с ранее незадокументированным бэкдором на базе .NET под названием Firebird, нацеленным на ограниченный круг целей в Пакистане и Афганистане.

В настоящее время неясно, кто именно был целью последней вредоносной кампании, но есть предположения, что она проводилась в отношении конкретных лиц с целью сбора разведывательной информации по внутренним угрозам.

Примечательным аспектом вредоносного приложения Android является использование OneSignal, популярной платформы взаимодействия с клиентами, используемой организациями для отправки push-уведомлений, сообщений в приложении, электронных писем и SMS-сообщений.

Cyfirma предположила, что библиотека используется для отправки уведомлений, содержащих фишинговые ссылки, которые приводят к развертыванию вредоносного ПО.

Независимо от используемого механизма распространения, приложение при установке отображает фейковый экран чата, побуждая жертву начать чат.

При этом появляется сообщение, в котором пользователю предлагается получить разрешения для API служб специальных возможностей, что позволяет выполнять различные вредоносные действия.

Приложение также запрашивает доступ к нескольким конфиденциальным разрешениям, которые облегчают сбор журналов вызовов, контактов, SMS, геолокаций, информации об аккаунтах и файлов на внешнем хранилище.

Некоторые из других включают контроль экрана и установление соединений с C2.

Как отмечают в Cyfirma, полученные образцы раскрывают новую тактику, включающую push-уведомления, которые побуждают пользователей устанавливать дополнительное вредоносное ПО для Android, обеспечивая его сохранение и активность на целевом устройстве.

Trend Micro выкатила предупреждение об уязвимости высокой степени серьезности в 7-Zip, которая позволяет злоумышленникам обойти функцию безопасности Windows MoTW и выполнить код на компьютерах пользователей при извлечении вредоносных файлов из вложенных архивов.

7-Zip получил поддержку MotW в июне 2022 года, начиная с версии 22.00. С тех пор флаги MotW (специальные альтернативные потоки данных Zone.Id) автоматически добавляются ко всем файлам, извлеченным из загруженных архивов.

Они информирует ОС, браузеры и другие приложения о том, что файлы получены из ненадежных источников, а их запуск таких файлов может привести к потенциально опасному поведению.

При наличии такого флага Microsoft Office реализует их открытие в режиме защищенного просмотра, который автоматически применит режим «только для чтения» и отключит все макросы.

Однако, как пояснили в Trend Micro, CVE-2025-0411 может позволить злоумышленникам обойти все предупреждения безопасности и выполнить вредоносный код на компьютерах своих целей.

Для эксплуатации этой уязвимости потребуется взаимодействие с пользователем, поскольку цель должна посетить вредоносную страницу или открыть вредоносный файл.

Проблема обусловлена особенностями обработки архивных файлов и приводит к тому, что при разархивировании 7-Zip не распространяет флаги MotW на извлекаемое содержимое.

Злоумышленник может использовать эту уязвимость для RCE в контексте текущего пользователя.

Разработчики 7-Zip выпустили исправления для уязвимости 30 ноября 2024 года вместе с 7-Zip 24.09.

Как отметили разработчики, 7-Zip File Manager не распространял поток Zone.Identifier для извлеченных файлов из вложенных архивов (если внутри другого открытого архива есть открытый архив).

Тем не менее, в виду отсутствия у 7-Zip функции автоматического обновления, многие пользователи, вероятно, по-прежнему работают с уязвимой версией, подвергая свои хосты потенциальному заражению вредоносным ПО.

Так что пользователям 7-Zip следует как можно скорее обновить свои установки, учитывая, что подобные уязвимости уже не раз использовались в реальных атаках, как в случае с CVE-2024-38213 и CVE-2024-21412.

Как пишет Politico исполняющий обязанности руководителя Министерства внутренней безопасности (DHS) США подписал приказ об выводе из состава Совета по надзору за кибербезопасностью всех членов, не являющихся госслужащими.

Таким образом, в числе других был выпнут гнида Альперович. Который, напомним, был одним из основных "свидетелей" по поводу якобы имевшего место взлома русскими APT в 2016 году серверов Демпартии. И вообще, является последовательным врагом (sic!) всего, что связано с Россией.

Мелочь, а приятно.

Исследователи ESET сообщают о новой APT PlushDaemon, которая связана с атакой на цепочку поставок, нацеленной на южнокорейского поставщика VPN.

PlushDaemon, предположительно, связана с КНР и действует как минимум с 2019. Нацелена на отдельных лиц и организации в Китае, Тайване, Гонконге, Южной Корее, США и Новой Зеландии.

В основном арсенале - многофункциональный бэкдор SlowStepper, поддерживающий широкий набор инструментов из 30 модулей на C++, Python и Go.

Другим важным аспектом является задействование легитимных каналов обновления ПО и уязвимостей серверов для получения первоначального доступа.

В мае 2024 исследователи обнаружили вредоносный код, встроенный в установщик NSIS для Windows на сайте поставщика VPN IPany.

Мошенническая версия была разработана для доставки легитимного ПО, а вместе с ним SlowStepper. В настоящее время неясно, кто именно являлся целью атаки, но любой загрузивший ZIP-архив мог стать жертвой.

Данные телеметрии ESET показывают, что ряд пользователей пытались установить троянизированное ПО в сетях полупроводниковой компании и другой организации по разработке ПО в Южной Корее, а самые первые жертвы были в Японии и Китае в ноябре и декабре 2023 года.

Цепочка атаки начинается с запуска установщика (IPanyVPNsetup.exe), который устанавливает постоянство на хосте между перезагрузками и запускает загрузчик (AutoMsg.dll), отвечающий за выполнение шелл-кода, загружающего другую DLL (EncMgr.pkg).

Затем DLL извлекает еще два файла (NetNative.pkg и FeatureFlag.pkg), которые используются для загрузки вредоносной DLL (lregdll.dll) с помощью PerfWatson.exe, который представляет собой переименованную версию легитимной утилиты regcap.exe, входящей в Microsoft Visual Studio.

Конечной целью DLL является загрузка импланта SlowStepper из файла winlogin.gif, присутствующего в FeatureFlag.pkg.

SlowStepper находится в разработке с января 2019 (версия 0.1.7), а последняя итерация (0.2.12) была скомпилирована в июне 2024.

Хотя код содержит сотни функций, но конкретный вариант в атаке на цепочку поставок IPany VPN является версией 0.2.10 Lite с меньшим набором функций, чем другие версии.

Обе версии используют обширный набор инструментов, что позволяет собирать данные и осуществлять скрытое наблюдение посредством записи аудио и видео. Инструменты размещены на китайской платформе репозитория кода GitCode.

Что касается C2, SlowStepper создает DNS-запрос для получения записи TXT для домена 7051.gsm.360safe[.]company на одном из трех общедоступных DNS-серверов (114DNS, Google и Alibaba Public DNS) с целью извлечения массива из 10 IP-адресов, один из которых используется в качестве C2.

Если после нескольких попыток не удается установить соединение, используется API gethostbyname на st.360safe[.]company для получения IP-адреса в качестве резервного C2.

Команды поддерживают сбор исчерпывающей системной информации, выполнение модулей Python, различные файловые операции, запуск команды через cmd.exe и самоудаление. Довольно необычной функцией является активация пользовательской оболочки.

Это дает злоумышленнику возможность выполнять произвольные полезные нагрузки, размещенные удаленно (gcall), обновлять компоненты бэкдора (update) и запускать модуль Python на машине (pycall), последний из которых загружает ZIP-архив из учетной записи GitCode, содержащий интерпретатор Python и библиотеку для сбора информации.

Широкий инструментарий PlushDaemon и богатая история его версий свидетельствуют о том, что несмотря на всю скрытность и неизвестность APT усиленно вела работу над разработкой своего арсенала и представляет серьезную угрозу.

Cloudflare выкатила 20-й отчет по DDoS-угрозам, в котором сообщает об обнаружении и блокировке атаки мощностью в 5,6 Тбит/с, ставшей крупнейшей из когда-либо зарегистрированных на сегодняшний день.

Атака по протоколу UDP произошла 29 октября 2024 года и была направлена на одного из клиентов, неназванного интернет-провайдера (ISP) из Восточной Азии.

Активность исходила от ботнета на базе Mirai. Вся атака длилась всего 80 секунд и включала более чем 13 000 IoT-устройств.

При этом среднее количество уникальных исходных IP-адресов, наблюдаемых в секунду, составило 5500, а средний объем с каждого IP-адреса в секунду составил около 1 Гбит/с.

Предыдущий рекорд по объему DDoS-атаки был зафиксирован Cloudflare в октябре 2024 года и тогда составил 3,8 Тбит/с, о чем мы также писали.

В целом, Cloudflare заблокировала около 21,3 млн DDoS-атак в 2024 году, что на 53% больше, чем в 2023 году.

При этом количество атак, превышающих 1 Тбит/с, выросло на 1885% по сравнению с предыдущим кварталом. Только в 4 квартале 2024 отражено около 6,9 млн DDoS-атак.

Среди других основных выводов, согласно представленному отчету за 4 квартал 2024:

- Известные DDoS-ботнеты стояли почти за 72,6% всех HTTP DDoS-атак;

- Тремя наиболее распространенными векторами атак уровня 3/уровня 4 (сетевой уровень) были SYN-флуд (38%), DNS-флуд (16%) и UDP-флуд (14%);

- DDoS-атаки Memcached, BitTorrent и с требованием выкупа увеличились на 314%, 304% и 78% по сравнению с предыдущим кварталом соответственно;

- Около 72% атак HTTP DDoS и 91% атак DDoS на сетевом уровне заканчивались менее чем за десять минут;

- Индонезия, Гонконг, Сингапур, Украина и Аргентина были крупнейшими источниками DDoS-атак;

- Наиболее атакованными странами были Китай, Филиппины, Тайвань, Гонконг и Германия;

- Наиболее атакованными секторами стали: телекоммуникации, интернет, маркетинг, информационные технологии, азартные игры.

Исследователи из Knownsec 404 разоблачили группу-подражателей, отслеживаемую ими как GamaCopy (по аналогии с sidewinder и sidecopy), активность которой в реальности связана с Core Werewolf.

GamaCopy была впервые обнаружена в июне 2023 года и реализовала несколько кибератак на оборонные и критически важные инфраструктурные объекты в России.

Считается, что группа действует по крайней мере с августа 2021 года.

GamaCopy копировала TTPs Gamaredon и смогла успешно проводить атаки под ложным флагом, вводя в заблуждение некоторых авторитетных инфосек-вендоров, по всей видимости, глубоко не погрузившихся в процесс атрибуции (а может и погрузившихся).

Злоумышленники инициировали атаки, используя в качестве приманки контент, связанный с военными объектами, задействовав 7z (SFX) для загрузки последующих полезных нагрузок, а также инструмент с открытым исходным кодом UltraVNC для последующих этапах атак.

В кампаниях использовался целевой фишинг и приманки, связанные с военной тематикой.

Однако после анализа было установлено, что Gamaredon в основном использовала украиноязычные приманки, в то время как GamaCopy, наоборот, - русскоязычные.

После анализа также выяснилось, что вся цепочка атак Gamaredon с использованием UltraVNC имеет существенные отличия от образца, обнаруженного Knownsec 404.

Gamaredon часто загружает окончательный UltraVNC через макросы и использует скрипты VBS несколько раз в цепочке атак, используя порт 5612, а не порт 443 для подключения к серверу, замеченный в образце, принадлежащем GamaCopy.

Исследователи Knownsec 404 в отчете не указали конкретной принадлежности GamaCopy, как и коллеги из BI.ZONE, FACCT и Лаборатории Касперского, но известные румынские спесиалисты предположили, что очевидным источником атак могут быть Украина, КНР и КНДР.

Правда, последние до этого в подобных махинациях замечены не были и действовали в соответствии со своими TTPs, а в изобретательности первых и их наставников сомневаться точно не стоит.

Очередной этап хакерского поединка Pwn2Own Automotive 2025, посвященный автомобильным технологиям, проходит в рамках конференции Automotive World 2025 в Токио и должен завершится 24 января.

В первый день Pwn2Own Automotive 2025 исследователи обнаружили 16 уникальных 0-day и смогли выиграть 382 750 долларов США в качестве вознаграждений.

Fuzzware.io лидирует в соревновании после взлома зарядных устройств для электромобилей Autel MaxiCharger и Phoenix Contact CHARX SEC-3150 с использованием стекового переполнения буфера и ошибки проверки происхождения. Это принесло им 50 000 долларов.

Сина Кхейркха из Summoning Team также заработал $91 750 после взлома зарядных устройств Ubiquiti и Phoenix Contact CHARX SEC-3150 EV с помощью жестко запрограммированной ошибки криптографического ключа и комбинации из трех нулей (одна из них была известна ранее).

Команда Synacktiv Team заняла третье место в таблице лидеров, заработав 57 500 долларов после успешной демонстрации уязвимости в протоколе OCPP для взлома ChargePoint Home Flex (модель CPH50) с помощью манипуляции сигналом через разъем.

Исследователи PHP Hooligans также успешно взломали полностью пропатченное зарядное устройство Autel с помощью переполнения буфера на основе кучи и заработали 50 000 долларов.

Viettel Cyber Security смогли вынести лишь 20 000 долларов после выполнения кода в информационно-развлекательной системе Kenwood In-Vehicle Infotainment (IVI) с помощью 0-day, связанной с внедрением команд ОС.

В рамках этого этапа в распоряжении исследователей зарядные устройства для электромобилей (EV), информационно-развлекательные системы (IVI) и автомобильные операционные системы (например, Automotive Grade Linux, Android Automotive OS и BlackBerry QNX).

Примечательно, что по Tesla поступило крайне мало заявок: участники соревнований зарегистрировали лишь попытки взлома настенного разъема Model 3/Y при наличии эквивалентного настольного устройства (на базе Ryzen).

Расписание первого дня и результаты каждого испытания - здесь. Будем следить, удастся ли участникам превзойти предыдущий Pwn2Own Automotive 2024 по части выигрыша, тогда хакеры сорвали куш в размере 1 323 750 долларов.

Традиционно, после того демонстрации нулей в ходе Pwn2Own у поставщиков будет 90 дней на разработку исправлений, прежде чем TrendMicro Zero Day Initiative публично их раскроет.

Еще в декабре китайский CERT выкатил обвинения в адрес правительства США во взломе китайских технологических компаний.

Теперь медленно, но верно CERTCN начал раскрывать детали атак с доказательствами, опубликовав ряд технических подробностей и IOC, включая некоторые из атакующих IP-адресов.

CERTCN утверждает, что атаки происходили в течение временного периода времени с 10:00 до 20:00 с понедельника по пятницу по восточному часовому поясу США.

При этом никакой активности в рамках наблюдавшихся атак не фиксировалось во время национальных праздников.

Несмотря на то, что отчет содержит скупые формулировки, тем не менее, судя по содержанию, очевидно, что китайская сторона располагает всеми необходимыми артефактами и результатами их глубокого анализа.

По всей видимости, технический разбор последует в обозримом будущем и скорее всего будет включать более широкий охват активности атакующих.

Но будем, кончено, посмотреть.

Cisco выпустила исправления для трех уязвимостей, включая критическую EoP-ошибку в Meeting Management и DoS-уязвимость в ClamAV, для которой доступен PoC.

Проблема критической важности отслеживается как CVE-2025-20156 (CVSS 9,9), влияет на REST API Meeting Management и может быть использована удаленными злоумышленниками для повышения привилегий до администратора.

Дефект обусловлен неправильным принудительным применением авторизации к пользователям REST API.

Воспользоваться этой уязвимостью можно, отправив запросы API на определенную конечную точку.

Успешный эксплойт позволит злоумышленнику получить контроль на уровне администратора над периферийными узлами, которые управляются Cisco Meeting Management.

По данным Cisco, затронуты все устройства, на которых запущена служба Meeting Management, независимо от настроек их конфигурации, и обходных путей не существует.

Исправления для уязвимости включены в Meeting Management версии 3.9.1.

Пользователям версии 3.8 и более ранних версий программного обеспечения рекомендуется перейти на исправленную версию. Версия 3.10 не затронута.

Кроме того, Cisco объявила об исправлении CVE-2025-20165 - серьезной ошибки в подсистеме обработки SIP Cisco BroadWorks, которая позволяет удаленному неаутентифицированному злоумышленнику вызвать состояние DoS.

Поскольку некоторые запросы SIP не обрабатываются должным образом, злоумышленник может отправить их в большом количестве в уязвимую систему, исчерпать память, выделенную сетевым серверам BroadWorks, обрабатывающим SIP-трафик, и вызвать состояние DoS, для восстановления которого потребуется ручное вмешательство.

Уязвимость устранена с выпуском версии BroadWorks RI.2024.11. Клиентам рекомендуется обновиться до исправленной версии, поскольку обходных путей для этой ошибки нет.

Cisco заявляет, что ей неизвестно о каких-либо случаях эксплуатации этих двух уязвимостей.

Однако поставщик предупреждает о доступности PoC для третьей уязвимости, которая затрагивает Object Linking and Embedding 2 (OLE2) ClamAV и отслеживается как CVE-2025-20128.

Проблема средней серьезности связана с переполнением буфера кучи при чтении, вызванным целочисленным недорасходом при проверке границ.

Она позволяет злоумышленнику отправить созданный файл, содержащий содержимое OLE2. При сканировании ClamAV завершает процесс, вызывая состояние DoS.

Cisco устранила уязвимость, выпустив версии Secure Endpoint Connector для Linux (1.25.1), macOS (1.24.4), Windows (7.5.20 и 8.4.3) и cloud (4.2.0).

Эксплуатация уязвимости может привести к сбою процесса сканирования, однако общая стабильность системы не страдает.

Отмечается, что несмотря на наличие PoC для этой уязвимости, данных об эксплуатации в реальных условиях не получено.

Исследователь Hackermondev обнаружил уязвимость в CDN Cloudflare, которая позволяла раскрыть местонахождение пользователя посредством отправки изображения через Signal и Discord.

Несмотря на недостаточно точные возможности определения геолокации ZeroClick-атака позволяет отследить цель до улицы или района, определить базовое местоположение пользователя для дальнейшего более точного отслеживания его перемещений.

Подобная информация может особенно полезна для военных, спецслужб или правоохранителей, которые таким образом могут установить где срывается разыскиваемое (подозреваемое или обвиняемое) лицо (страна, город) или же проводится какое-либо конфиденциальное мероприятие.

Три месяца назад исследователь заметил, что Cloudflare кэширует медиаресурсы в ближайшем к пользователю ЦОДе, чтобы сократить время загрузки.

Установив уязвимое приложение на телефоне жертвы (или в качестве фонового приложения на ее ноутбуке), злоумышленник может отправить вредоносную нагрузку и деанонимизировать за считанные секунды.

Для проведения атаки исследователь отправлял своим целям сообщения с уникальным изображением, будь то снимок экрана или даже аватар профиля, размещенный в CDN Cloudflare.

Затем воспользовался ошибкой в Cloudflare Workers, которая позволяла принудительно направлять запросы через определенные ЦОДы с помощью специального инструмента под названием Cloudflare Teleport.

Такая произвольная маршрутизация обычно запрещена стандартными политиками безопасности Cloudflare, которые предписывают, чтобы каждый запрос направлялся из ближайшего ЦОД.

Сопоставив кэшированные ответы из разных ЦОД Cloudflare для отправленного файла, исследователь смог разработать карту общего местоположения пользователей на основе CDN, возвращающей код ближайшего аэропорта рядом с их ЦОД.

Кроме того, поскольку многие приложения автоматически загружают изображения для push-уведомлений, включая Signal и Discord, злоумышленник может отслеживать цель без взаимодействия с пользователем, что делает ее ZeroClick.

Точность отслеживания составляет от 50 до 300 миль в зависимости от региона и количества дата-центров Cloudflare поблизости.

Точность в крупных городах должна быть выше, чем в сельской местности или менее населенных районах.

Исследователь сообщил о своих результатах в Cloudflare, Signal и Discord.

Первая в списке отметила проблему как решенную и назначила ему вознаграждение в размере 200 долларов.

Hackermondev подтвердил, что ошибка Workers была исправлена, но если перепрограммировать Teleport на использование VPN для тестирования различных местоположений CDN, то атаки с использованием геолокации все еще возможны, но теперь стали немного сложнее.

Он выбрал VPN-провайдера с более чем 3000 серверов, расположенных в разных местах в 31 стране мира.

Используя новый метод, смог охватить около 54% всех ЦОД Cloudflare, что позволило охватить большинство густонаселенных локаций в мире.

В ответ на последующий запрос компания Cloudflare сообщила исследователю, что в конечном итоге ответственность за отключение кэширования лежит на пользователях.

В Discord и Signal исследователя отправили к Cloudflare, отметив, что реализация функций анонимности на сетевом уровне выходит за рамки их возможностей.

QiAnXin XLab предупреждает об активной эксплуатации 0-day в маршрутизаторах cnPilot компании Cambium Networks для развертывания штамма ботнета AISURU под названием AIRASHI и задействования в DDoS-атаках.

Наблюдаемая кампания реализуется с июня 2024 года, однако какие-либо подробные сведения в отношении конкретных нулей пока остаются нераскрытыми для предотвращения дальнейших злоупотреблений.

В числе других уязвимостей, используемых операторами AIRASHI: CVE-2013-3307, CVE-2016-20016, CVE-2017-5259, CVE-2018-14558, CVE-2020-25499, CVE-2020-8515, CVE-2022-3573, CVE-2022-40005, CVE-2022-44149, CVE-2023-28771, а также ошибки в IP-камерах AVTECH, видеорегистраторах LILIN и устройствах Shenzhen TVT.

Согласно представленных операторами ботнета результатов своих тестов, DDoS-мощность AIRASHI стабильна удерживается на уровне 1–3 Тбит/с.

При этом большинство взломанных устройств расположены в России, Бразилии, Вьетнаме и Индонезии, а основными целями вредоносных атак стали Китай, США, Польша и Россия.

AIRASHI - это вариант ботнета AISURU (он же NAKOTNE), который ранее был детектировал компанией в августе 2024 года в рамках расследования DDoS-атаки, нацеленной на Steam, примерно в период запуска игры Black Myth: Wukong.

Также были обнаружены часто обновляемые ботнеты и отдельные вариации AIRASHI, включающие в себя функциональность прокси, что указывает на то, что злоумышленники намерены расширить свои возможности за пределы DDoS.

AISURU временно приостановил свою активность примерно в сентябре 2024 года, но через месяц ботнет вернулся с обновленным функционалом (под названием Kitty) и затем эволюционировал второй раз в конце ноября (она же AIRASHI).

Образец kitty начал распространяться в начале октября 2024 года.

По сравнению с предыдущими образцами AISURU он упростил сетевой протокол и к концу октября стал поддерживать прокси-серверы SOCKS5 для связи с сервером C2.

С другой стороны, AIRASHI представлен как минимум в двух разных вариантах:

- AIRASHI-DDoS (впервые обнаружен в конце октября), который в первую очередь, ориентирован на DDoS-атаки, но также поддерживает произвольное выполнение команд и обратный доступ к оболочке.

- AIRASHI-Proxy (впервые обнаружен в начале декабря), представляющий собой модифицированную версию AIRASHI-DDoS с функциональностью прокси.

Ботнет, в дополнение к постоянной настройке своих методов для получения данных сервера C2 через DNS-запросы, полагается на совершенно новый сетевой протокол, который включает HMAC-SHA256 и CHACHA20 для связи.

Кроме того, AIRASHI-DDoS поддерживает 13 типов сообщений, в то время как AIRASHI-Proxy поддерживает только пять типов сообщений.

Результаты показывают, что злоумышленники продолжают эффективно использовать уязвимости IoT-устройств как в качестве первоначального вектора доступа, так и для создания ботнетов, которые задействуют для проведения мощных DDoS-атак.

Завершился хакерский поединок Pwn2Own Automotive 2025, организованный Zero Day Initiative (ZDI) Trend Micro в Токио (Япония) в рамках конференции Automotive World.

В первый день Pwn2Own Automotive исследователи продемонстрировали 16 уникальных 0-day и сорвали куш в размере $382 750. Подробно результаты мы освещали вчера.

На второй день исследователи дважды взломали зарядное устройство для электромобилей Tesla Wall Connector.

Кроме того, проэксплуатировали еще 23 0-day в зарядных устройствах WOLFBOX, ChargePoint Home Flex, Autel MaxiCharger, Phoenix Contact CHARX и EMPORIA EV, а также в информационно-развлекательных системах Alpine iLX-507, Kenwood DMX958XR, Sony XAV-AX8500 In-Vehicle Infotainment (IVI).

PHP Hooligans первыми взломали Tesla Wall Connector, использовав уязвимосить Numeric Range Comparison Without Minimum Check, чтобы захватить управление устройством.

Вслед за ними команда Synacktiv также взломала зарядное устройство Tesla EV через Charging Connector, продемонстрировав метод, ранее никогда не применявшийся публично.

Эксплойты с использованием зарядного устройства Tesla Wall Connector принесли участвующим исследователям более 140 000 долларов США.

На третий день, нацеливаясь на Tesla Wall Connector, произошло два столкновения ошибок: одна - командой PCAutomotive, а другая - Синой Кхейрха из Summoning Team, который использовал цепочку эксплойтов из двух уже известных уязвимостей.

В общей сложности за третий день хакеры заработали 168 000 долларов, включая 35 000 долларов за эксплойт Autel MaxiCharger и 26 750 долларов за эксплойт зарядного устройства Ubiquiti.

Несмотря на то, что Tesla предоставила эквивалентный настольный блок Model 3/Y (на базе Ryzen), ни один исследователь не заявился в эту категорию. Также никто не попытался взломать Tesla, хотя организаторы были отдать автомобиль и сотни тысяч долларов в качестве приза. 

В категории ОС была зафиксирована единственная попытка реализации эксплойта, нацеленного на Automotive Grade Linux и принесла хакерам 33 500 долларов.

Командой-победителей стала Summoning Team, которая смогла заработать в общей сложности 222 250 долларов.

По итогам соревнований участники смогли заработать в общей сложности 886 250 долларов за демонстрацию почти 50 ранее неизвестных уязвимостей в информационно-развлекательных системах и зарядных устройствах.

В прошлом году - 1 323 750 долларов за 49 уязвимостей.

Результаты первого, второго и третьего дня соревнований здесь, здесь и здесь соответственно.

Исследователи F.A.C.C.T. предупреждают о новой угрозе для клиентов российских банков, связанной с использованием легального приложения NFCGate, которая привела к ущербу в размере более более 40 миллионов рублей.

Заряженный софт для перехвата и передачи данных банковских карт через NFC-модули софт злоумышленники замаскировали под приложения популярных госсервисов, ЦБ и ФНС России.

Ретрансляционные атаки NFC впервые были замечены в Чехии в конце 2023 года и распространились на российские банки в августе прошлого года.

Только за последние два месяца F.A.C.C.T. обнаружила более 400 атак через ретрансляторы NFC в России (средняя сумма списания составила около 100 тыс. рублей.), что говорит о том, что эта схема набирает популярность среди киберподполья.

При этом аналитики F.A.C.C.T. прогнозируют рост подобных кибератак на пользователей Android-устройств на 25-30% ежемесячно.

Атака на пользователей банковских карт проходит в два этапа, первый из которых выглядит как рядовое телефонное мошенничество.

Жертву под предлогом необходимости защиты банковской карты, Госуслуг, продления договора сотовой связи, замены медицинского полиса, оплаты услуг ЖКХ, подтверждения личности убеждают в необходимости установки специального Android-приложения на устройство.

Внешне оно мимикрирует под легитимное приложение банка или госструктуры, фактически - это вредоносная ПО на основе NFCGate.

Исследователи F.A.C.C.T. в общей сложности обнаружили свыше 100 уникальных образцов такого вредоносного ПО для Android.

Кроме того, злоумышленники могут установить NFCGate на устройство жертвы без её ведома, используя трояны удалённого доступа, например, CraxRAT, активность которого в России и Беларуси также детектировалась летом прошлого года. 

После того, как приложение на основе NFCGate установлено на смартфоне жертвы, на устройство злоумышленника поступает сигнал о готовности к обмену данными.

Затем злоумышленники используют вредоносное приложение для того, чтобы заставить пользователей просканировать карты и ввести PIN-коды, а тем временем данные отправляются на удаленный смартфон, сопряженный с NFCGate.

Полученные от жертвы данные используются для снятия средств в банкоматах в режиме реального времени, токенизиации потока NFC для осуществления последующих онлайн-транзакций.

По результатам исследования новой угрозы и ее  серверной инфраструктуры исследователям F.A.C.C.T. удалось вскрыть стратегические планы разработчиков и задетектить серверное ПО для сборки уникальных вредоносных приложений на основе NFCGate под конкретные атаки.

Аналитики выяснили, что преступники намереваются в ближайшее время добавить вредоносному приложению новый функционал для перехвата sms и push-уведомлений с устройств жертв, а также распространять вредоносное ПО на основе NFCGate по модели Malware-as-a-Service.

В целом, исследование подтверждает выводы ESET, которая еще в 2024 году предупреждала, что новая технология будет быстро распространяться по мере освоения киберподпольем новой технологии.

Рекомендации, технические подробности и IOC - в отчете.

Девочки, неожиданно обнаружили, что вельми уважаемый нами канал Беспощадный пиарщик (aka БП) выпустил пост, который непосредственно касается области инфосека. То есть нашей с вами. А конкретно – интервью, которое Wired взяли у уходящей главы CISA Джен Истерли. И с интересом этот пост прочитали.

Отвечаем.

Все, что затрагивает тонкости непосредственно PR, как всегда, написано талантливо и с юмором. Собственно, не будем кривить душой, наша редакция с самого начала существования SecAtor’а смотрела на БП как на один из образцов ведения русскоязычных ТГ-каналов в принципе.

А вот то, что имеет отношение к информационной безопасности, девочки, написано, мягко скажем, без знания дела.

Во-первых, можно сколь угодно иронизировать над описываемым журналистами образом Истерли (да-да, мы тоже помним "черную обтягивающую водолазку и сельдереевый фреш"), но факт остается фактом – в настоящее время CISA является передовым примером грамотного подхода к государственному регулированию отрасли кибербезопасности. Это не значит, что у них все замечательно. Это значит, что лучше пока в мире ничего не сделали. И при Истерли агентство не только не сдало свои позиции, а наоборот - укрепило их.

А во-вторых, скомпилированная редакцией БП фраза "первыми предупредили американцев о кибератаке под названием "Солнечный ветер" со стороны России в декабре 2020 года и со стороны китайцев под названием "Солёный тайфун" в начале 2024 года" звучит крайне потешно с точки зрения инфосека.

Это как если бы мы написали материал по PR в информационной безопасности, в котором заявили бы про известные российские Интернет-СМИ под названиями Болтик и Фабричников.

Короче говоря, за оформление – 5, за содержание – 3 с минусом.

Так видим.

Исследователи Black Lotus Labs из Lumen Technologies сообщают о вредоносной кампании, нацеленной на маршрутизаторы и VPN-шлюзы Juniper с использованием вредоносного ПО под названием J-magic, разработанного специально для Junos OS.

Название обусловлено тем, что бэкдор постоянно отслеживает «магический пакет» в TCP-трафике прежде чем запускать обратную оболочку.

Атаки J-magic, по всей видимости, таргетируются на организации в области полупроводников, энергетики, производства (судостроение, солнечные батареи, тяжелое машиностроение) и IT.

По словам Black Lotus Labs, кампания J-magic была активна в период с середины 2023 до середины 2024 года и была организована в формате низкого уровня обнаружения и долгосрочного доступа.

На основании данных телеметрии исследователи полагают, что около половины целевых устройств, по-видимому, были настроены как шлюз VPN для их организации.

J-magic представляет собой модифицированный вариант общедоступного бэкдора cd00r - экспериментального образца, который остается скрытым и пассивно отслеживает сетевой трафик на предмет наличия определенного («магического») пакета, прежде чем открыть канал связи со злоумышленником.

Делает он это, создавая фильтр eBPF на интерфейсе и порту, указанном в качестве аргумента командной строки при выполнении. Вредоносная ПО проверяет различные поля и смещения на предмет подсказок, указывающих на правильный пакет с удаленного IP-адреса.

J-magic ориентируется на пять условий, и если пакет соответствует одному из них, он реализует обратный шелл. Однако отправитель должен решить задачу, прежде чем получить доступ к скомпрометированному устройству.

Удаленный IP получает случайную пятисимвольную буквенно-цифровую строку, зашифрованную жестко закодированным открытым ключом RSA. Если полученный ответ не равен исходной строке, соединение закрывается.

Вероятно, разработчик добавил этот вызов RSA, чтобы помешать другим распространять по Интернету «магические» пакеты для идентификации жертв, а затем просто повторно использовать агенты J-Magic в своих собственных целях.

Исследователи отмечают, что изучаемая кампания имеет техническое сходство с вредоносным ПО SeaSpy, также основанным на бэкдоре cd00r, но некоторые различия затрудняют установление связи между двумя кампаниями.

В целом, исследователи с низкой степенью уверенности оценивают корреляцию J-magic с SeaSpy, который задействовался китайскими APT в атаках на Barracuda Email Security Gateways с использованием CVE-2023-2868 в качестве 0-day в 2022-2023 гг.

В Black Lotus Labs полагают, что кампания J-magic, ориентированная на устройства Juniper, свидетельствует о том, что использование этого типа вредоносного ПО становится новым трендом.

Злоумышленники могут оставаться незамеченными в течение более длительного периода времени, поскольку такие целевые корпоративные устройства не имеют инструментов мониторинга на уровне хоста, а вредоносное ПО находится в памяти в ожидании «магического» пакета.

Исследователи из Positive Technologies расчехлили новую финансово мотивированную группу злоумышленников, которая на протяжении почти двух лет атаковала финансовые подразделения российских компаний.

Исследователи назвали ее в честь африканской габонской гадюки, которую можно встретить в окрестностях стратовулкана Килиманджаро – DarkGaboon.

Основным инструментом является готовый инструмент под названием Revenge RAT.

Группировка умело шаблоны документов, загруженные с легитимных российских ресурсов, посвященных финансовой тематике, а также знакома с русской лексикой.

На след DarkGaboon удалось напасть в середине октября прошлого года, когда исследователи задетектили таргетированную рассылку Revenge RAT сотрудникам одного российского банка.

Электронное письмо с заголовком «Сверка взаиморасчетов» содержало сопроводительный текст на русском языке и архив-приманку «Акт сверка.z». Для рассылки был использован скомпрометированный адрес электронной почты.

Внимание привлекла группа из 11 семплов Revenge RAT и связанных с ними восемь Dynamic DNS доменов кластера с "африканским" названием kilimanjaro.

Анализ показал, что аналогичная активность в отношении российских компаний прослеживается как минимум с мая 2023 года.

Однако ранее, до октября 2024, в качестве управляющей инфраструктуры использовался один Dynamic DNS домен и группа сменяющихся в среднем один раз в месяц управляющих серверов кластера rampage.

Домены из обоих кластеров были делегированы одному расположенному на территории Болгарии серверу с разницей во времени в одну неделю.

Все найденные артефакт указывали, что оба кластера rampage и kilimanjaro использовались одной группировкой.

Как установили Позитивы, DarkGaboon стабильно обновляла используемые комплекты файлов, ежемесячно выпуская в среднем по 10 новых вредоносных сборок с Revenge RAT и пропорциональное им количество файлов-приманок, что обеспечивало скрытность.

Все 43 вариации документов-приманок Microsoft Office были сгенерированы путем незначительных модификаций четырех шаблонов, скачанных с российских интернет-ресурсов финансовой направленности, вероятно, для изменения хеш-сумм.

Подавляющее большинство обнаруженных семплов имеет русскоязычные названия, связанные с бухгалтерской отчетностью.

С августа 2024 года DarkGaboon использовали омоглифы в названиях вредоносных семплов, делая их незаметными для строгих поисковых правил, нацеленных на файлы исключительно с кириллическими названиями.

Все семплы Revenge RAT были подписаны поддельными сертификатами X.509, владельцы которых в большинстве своем имели русские названия, но были и названия американских штатов и города, а также крупных западных компаний.

Вишенкой на торте оказался сертификат X.509 с именем OOO ZAL[…]PA, подчеркивающим глубокие знания DarkGaboon основ русскоязычной лексики.

Позитивы полагают, что злоумышленники, скорее всего, – носители русского языка.

Также DarkGaboon использует и весьма распространенные в киберподполье сертификаты, это связано с применением ей популярных криптеров для обфускации и подписания вредоносного кода.

Перечисленные особенности, включая и тот факт, что почти половина всех загрузок семплов на публичные сервисы проверки файлов приходится на Россию, указывают на явную направленность атак DarkGaboon в отношении российского сегмента.

При этом стабильное обновление наступательного арсенала указывает на то, что группа даже не планирует останавливаться и намерена усиливать атаки.

Технический разбор и IoC - в отчете.

Наш CISO в естественной среде обитания