Исследователи BI.ZONE представили подробную статистику по атакам на корпоративную почту за 2024 год, констатируя, что она остается одним из наиболее популярных векторов атак на компании.

Самые опасные категории сообщений - письма с вредоносным ПО во вложении, сообщения со ссылками, ведущими на фишинговые ресурсы, а также спуфинговые письма (с подделкой адреса отправителя).

Сегодня в компании из 1000 сотрудников ежедневно минимум один будет получать сообщение с ransomware, стилером или другим ВПО во вложении (0,12% трафика).

Особенно значительна доля таких писем в промышленности (0,25%).

В целом в сравнении с 2023 годом доля писем с вредоносными вложениями в корпоративном трафике выросла на 250%, а с фишинговыми ссылками - на 25%.

При этом негативный тренд фиксируется на протяжении уже нескольких лет: тот же 2023 год показывал более чем двукратный прирост сообщений с ВПО по сравнению с 2022‑м.

По оценке экспертов, в 2024 году столкнуться с одной из этих угроз можно было в среднем в каждом 77‑м письме, а в некоторых отраслях еще чаще.

Например, в почте промышленных компаний сообщение со спуфингом, ВПО или фишинговой ссылкой встречалось в 1 случае из 16, в медорганизациях - в 1 из 36, телекоме - в 1 из 48.

Реже всего письма из этих категорий специалисты фиксировали в трафике IT- и финорганизаций: всего 6–7 сообщений из 1000.

Увеличивается и доля сообщений с фишинговыми ссылками.

В результате роста на 25% они встречаются в среднем в 1 письме из 100 (1%).

Первенство здесь также удерживает промышленность, где доля таких писем — 4 из 100 (4%).

Если сообщение предназначается сотруднику компании из сфер строительства и недвижимости, транспорта и логистики, а также профуслуг - в 3 случаях из 100 (3%).

Специалисты отмечают тенденцию к увеличению числа таких писем и в отраслях, где их доля традиционно ниже из‑за объема почтового трафика в целом.

К примеру, в ритейле и электронной коммерции огромную часть трафика составляют автоматические сообщения и массовая рассылка, а фишинговые ссылки фиксируются в 0,07% писем. Однако в 2023 году их было только 0,02%.

При этом объем спуфинга сократился на 42%: в 2023 году подделать адрес отправителя пытались в каждом 200‑м сообщении, а теперь — в каждом 350‑м.

Специализированные средства защиты почты эффективно выявляют такие отправления, поэтому злоумышленники меняют тактику, стараясь завладеть доступом к легитимным email‑аккаунтам и совершать атаки от их имени.

При этом рост доли писем с фишинговыми ссылками - часть этого тренда: большинство таких ссылок ведет на поддельную страницу для входа в веб‑версию почты.

Пики для сообщений с фишинговыми ссылками и подделкой адреса отправителя наблюдались в четвертом квартале прошедшего года, а особенно в ноябре, что обусловлено активизацией деловой активности и традиционной черной пятницей.

В случае спуфинга заметный подъем наблюдался также летом, в июле‑августе, что увязывается с расчетом на снижение бдительности в период отпусков.

В случае писем с ВПО пик пришелся на апрель — в это время исследователи фиксировали волну массовых атак на российские компании.

BI.ZONE рекомендует компаниям уделять внимание многоуровневой защите почтового канала, чтобы отсекать и таргетированные рассылки, и массовые атаки.

В штатах разразился новый скандал с китайским шпионажем после того, как CISA предупредила об обнаружении бэкдора в устройствах Contec CMS8000, который крал данные пациентов и мог загружать/запускать файлы.

Поставщик Contec - китайская компания, специализирующаяся на технологиях в сфере здравоохранения с широкой линейкой медицинских изделий, включая системы мониторинга состояния пациентов, диагностическое оборудование и лабораторные приборы.

Вредоносное поведение выявили в ходе аудита прошивки Contec CMS8000, который позволил исследователям выявить аномальный сетевой трафик на жестко закодированный внешний IP-адрес, который не был связан не с компанией, а вместо этого вел к университету.

Дальнейшее изукчение привело к бэкдору в прошивке, который мог скрытно загружать и выполнять файлы на устройстве, что позволяло удаленно полностью контролировать мониторы пациентов и эксфильтровывать данные пациентов на жестко закодированный адрес при запуске.

Наименование университета не разглашается, но известно, что IP также жестко закодирован в ПО и другого медицинского оборудования, включая монитор для наблюдения за беременностью от другого производителя медтехники в Китае.

При анализе прошивки специалисты обнаружили, что один из исполняемых файлов устройства «monitor» содержит бэкдор, который выдает ряд команд Linux, включающих сетевой адаптер устройства (eth0), а затем пытается смонтировать удаленный общий ресурс NFS по жестко запрограммированному IP.

Общий ресурс NFS монтируется в /mnt/, и бэкдор рекурсивно копирует файлы из /mnt/ в /opt/bin. Затем продолжает копировать файлы из /opt/bin в папку /opt и, по завершении, демонтирует удаленный общий ресурс NFS.

Обычно Linux хранит установки стороннего ПО в каталоге /opt, а сторонние двоичные файлы - в /opt/bin.

Возможность перезаписывать файлы в /opt/bin обеспечивает мощный примитив для удаленного захвата устройства и удаленного изменения его конфигурации.

Кроме того, использование символических ссылок может предоставить примитив для перезаписи файлов в любом месте файловой системы устройства.

При выполнении функция предоставляет примитив, позволяющий третьей стороне по жестко закодированному IP потенциально получить полный контроль над устройством удаленно.

Хотя CISA не раскрыла, какие функции выполняют эти файлы на устройстве, представители организации заявили, что не обнаружили никакой связи между устройствами и жестко запрограммированным IP-адресом, а только попытки подключиться к нему.

В CISA заявили, что после аудита они пришли к выводу, что это не функция автоматического обновления, а скорее бэкдор, внедренный в прошивку устройства.

В подтверждение того, что это изначально был бэкдор, CISA обнаружила, что устройства также начали отправлять данные пациентов на удаленный IP при запуске устройств.

При этом данные пациентов обычно передаются по сети с использованием протокола Health Level 7 (HL7). Однако эти устройства отправляли данные на удаленный IP через порт 515, который обычно связан с протоколом Line Printer Daemon (LPD).

Передаваемые данные включают в себя имя врача, идентификатор пациента, имя пациента, дату рождения пациента и другую информацию.

После обращения в Contec по поводу бэкдора получить исправления для нейтрализации бэкдора так и не удалось, в связи с чем CISA попросту рекомендовала всем организациям в сфере здравоохранения отключить устройства от сети.

В 10-20 млн. долл. оценивается ущерб от предполагаемой атаки на цепочку поставок, жертвами которой стали представители сообщества разработчиков криптовалют.

Однако исследователи не исключат версию с экзит-скамом.

Целью атаки стал инструмент объединения токенов DogWifTool.

Приложение активно используется разработчиками крипты для запуска и продвижения мемкойнов на блокчейне Solana.

Как отмечают админы в Discord и X, инцидент произошел после того, как злоумышленники взломали учетную запись GitHub приложения через токен путем реверса ПО и затем выкатили вредоносные версии.

Предполагается, что злоумышленники задействовали RAT для кражи закрытых ключей и разграбления кошельков разработчиков.

Некоторые жертвы даже сообщали, что их кошельки Coinbase были скомпрометированы после этой атаки.

Тем не менее, многочисленные отчеты спецов по блокчейну, в том числе InvincibleXBT, единогласно утверждают, что DogWifTools был слит без помощи со стороны.

Команда DogWifTools опровергает обвинения в своей причастности к инциденту, указывая на некоего стороннего субъекта, который действовал через VPN.

Более того, проект - несмотря на то, что его использовали для мошенничества - заявил, что они также привлекли экспертов по кибербезопасности и даже власти для поимки злоумышленника, а также защиты своей репутации.

При этом, как отмечается, приложение запрашивало много подозрительных разрешений после инсталляции на компьютере, а для обналичивания используются оказавшиеся непонятным образом в распоряжении мошенников фотографии удостоверений личности.

Для расследования привлекли Техасский совет по ценным бумагам, а местный прокурор уже потребовал провести суд присяжных по поводу возможной схемы с экзит-скамом.

Чем закончится неоднозначный инцидент, будем посмотреть.

Исследователи Solar выкатили отчет о новой APT NGC4020, которую им удалось задетектить в ходе расследования инцидента в компании из промышленного сектора.

В процессе исследования атакованных систем удалось обнаружить, что для загрузки вредоносного ПО злоумышленники использовали уязвимость в продукте DameWare Mini Remote Control.

Кроме этого, уязвимость позволила им выполнить загрузку в пространство ядра из-под учетной записи LocalSystem собственного вредоносного драйвера, предназначенного для обхода средств защиты, и отключающего компоненты самозащиты антивирусного ПО.

В процессе мониторинга угроз в одной из систем клиента в конце марта был обнаружен вредонос по пути: C:\ProgramData\programs\scvrc.exe.

Файл был создан более месяца назад – в середине февраля, а «scvrc.exe» оказался ReverseShell на Java, при этом атакующие не использовали никакой обфускации: адрес С2 хранился в виде строкового значения и мог быть обнаружен в выводе утилиты Strings, а также имелась ссылка на GitHub с его исходниками.

После попадания файла в систему фиксируется выполнение только лишь системных утилит для разведки net.exe и hostname.exe. Свидетельства закрепления данного Reverse Shell отсутствовали, а после перезагрузки системы файл не запускался.

При этом помимо него в системе создавался еще одним файл: C:\Windows\Temp\dwDrvInst.exe, самораспаковывающийся архив с ранее обнаруженным scvrc.exe, а также директорией jre-1.8 с легитимными файлами Java (распаковываются рядом с scvrc.exe для запуска Java-программ).

Его создание в системе является характерным признаком эксплуатации RCE-уязвимости CVE-2019-3980 в ПО DameWare Mini Remote Control, которая позволяет загрузить и запустить произвольный исполняемый файл в целевой системе.

Проанализировав весь DWRCSAccess.log, Солары обнаружили, что в декабре 2022 года при аналогичной эксплуатации в системе был размещен еще один вредонос: C:\ProgramData\Oracle\Java\ RuntimeBroker.exe (тот же scvrc.exe, но с другим C2).

Далее удалось найти еще одну систему, к которой также можно было получить доступ извне через DameWare, и в ней нашлись идентичные незакрепленные Reverse Shell от 2022 и 2024 годов вместо со следами разведки, но антивирусное ПО тогда не обнаружило их.

В этой системе в артефакте ShimCache, где для файла C:\Windows\Temp\dwDrvInst.exe было создано три записи при атаке в феврале 2024 года, что означает наличие сразу трех нагрузок, которые были запущены через RCE-уязвимость.

Вторая нагрузка нашлась быстро: это был файл вредоносного ПО QuasarRAT, который атакующие закрепили с помощью создания задачи в планировщике, а третья - в директории агента администрирования C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klcsdb.exe.

И, казалось бы, атакующие провели успешную атаку: запустили Reverse Shell через RCE-уязвимость в ПО DameWare, отключили антивирусное ПО, добавили эксплойт для его отключения в автозагрузку, а также закрепились в системе с помощью QuasarRAT.

Но изучение логов показало, что после перезагрузки системы на следующий день активность атакующих прекратилась.

Как оказалось они совершили ошибку при создании задачи для закрепления импланта.

При исследовании параметров обнаружилаось, что ее запуск должен выполняться с использованием доменной системной учетной записи, при этом в задаче был указан параметр Run only when user is logged on, а для выполнения задач с правами системы требуется иной параметр.

Таким образом, клиент не пострадал, а Солары получили интересные образцы вредоносного ПО, которые подробно описаны в отчете.

Надежные методы верификации на канале ...

Исследователи BI.ZONE сообщают об обнаружении широкомасштабной кампании, нацеленной на российские организации разных отраслей, в которой задействуется стиллер NOVA - новый форк SnakeLogger с прайсом от 50$.

В ходе наблюдаемой кампании злоумышленники распространяли NOVA в прикрепленных к фишинговым письмам архивах, маскируя под договоры (например, Договор.exe).

Примечательно, что атакующие не использовали ни двойное расширение, ни иконку, позволяющие замаскировать вредоносный файл под легитимный документ.

После запуска вредоносный файл осуществляет декодирование данных, скрытых с помощью стеганографии, из ресурсов с именем zabawa2, а затем копирует себя под другим именем в AppData\Roaming и запускает PowerShell для добавления файла в исключения Microsoft Defender.

Для закрепления в скомпрометированной системе вредоносный файл использует планировщик заданий Windows.

Далее вредоносный файл запускает себя в состоянии suspended и осуществляет внедрение расшифрованной нагрузки в собственный дочерний процесс.

Цепочка API‑вызовов выглядит следующим образом: CreateProcessInternalA (suspended) - VirtualAllocEx - WriteProcessMemory - SetThreadContext - ResumeThread.

Примечательно, что вредоносный файл содержит строки на польском языке. При этом внедряемая вредоносная нагрузка представляет собой стилер NOVA, форк другого популярного стилера - SnakeLogger.

Для получения информации об IP и стране скомпрометированной системы NOVA осуществляет запросы к веб-ресурсам checkip[.]dyndns[.]org и reallyfreegeoip[.]org.

Стилер собирает сохраненные аутентификационные данные из различных источников, фиксирует нажатия клавиш, а также делает скрины экрана и извлекает данные из буфера обмена.

Эксфильтрация реализуется по SMTP.

Также образец потенциально способен отключать Microsoft Defender, диспетчер задач, редактор реестра и командной строки.

Функции с соответствующими названиями в стиллере присутствуют, однако в них отсутствует код, необходимый для выполнения вредоносных действий.

Кроме того, обнаружена функция, которая ограничивает выполнение ВПО после определенной даты.

NOVA распространяется по модели MaaS (имеется даже свой канал в Telegram) и широко используется в киберподполье как минимум с августа 2024 года.

При этом разработчик предлагает не только стилер, но и криптор.

Стоимость стилера начинается от 50$ за месячную лицензию и доходит до 630$ за бессрочную, у криптора - от 60$ (за месяц) до 150$ (за 3 месяца).

Технические подробности и IoC - в отчете.

Apple выпустила достаточно редкое, но весьма серьезное обновление безопасности для приложения GarageBand.

GarageBand 10.4.12 включает исправления для CVE-2024-44142, которая приводит к RCE на устройстве пользователя с помощью вредоносного изображения.

Проблема устранена путем улучшенной проверки границ. Об ошибке сообщил Марк Шенефельд, доктор наук, научный сотрудник.

Компания не раскрывает была ли уязвимость использована в реальных атаках, но, по всей видимости, потенциал для был. Но будем посмотреть.

Исследователи F.A.C.C.T. предупреждают о новых атаках со стороны кибершпионской группировки Rezet, также известной как Rare Wolf, нацеленной на промышленные предприятия в России я января 2025 года.

Только за последнюю неделю января в F.A.C.C.T. смогли перехватить ряд вредоносных рассылок.

Под видом приглашения на семинары по стандартизации оборонной продукции скрывались вредоносные файлы, открытие которых могло привести к заражению рабочих станций.

Rezet aka Rare Wolf - группа кибершпионажа, активная с октября 2018 года и причастная к совершению более пятисот кибератак на российские, белорусские и украинские промышленные предприятия.

Атакуют преимущественно с помощью фишинговых рассылок. В кампаниях 2021 и 2023 годов злоумышленники использовали для заражения устройств файл rezet.cmd, согласно которому исследователи и назвали группу.

В январе 2025 года вредоносные рассылки производились, например, от имени компании, которая специализируется на сопровождении контрактов предприятиями – исполнителями гособоронзаказа.

Объектами атаки стали предприятия химической, пищевой и фармацевтической промышленности.

Письма выглядели как приглашения руководителей и специалистов на семинары по стандартизации оборонной продукции.

Как отмечают в F.A.C.C.T., Rezet в новых атаках задействовала технику заражения, схожую с прошлыми атаками.

В первой рассылке внутри архива находился вредоносный файл, который содержал в себе файл-приманку в виде PDF-документа, а также полезную нагрузку. Пароль к архиву был указан в тексте письма.

Такая техника традиционно применяется злоумышленниками для обхода стандартных средств защиты.

При запуске открывается PDF-документ для отвлечения внимания, а в фоне происходит заражение системы.

Во второй и третьей рассылках, которые злоумышленники направили несколько дней спустя, в архиве находились уже два вредоносных файла, содержащие PDF-документ и полезную нагрузку.

Открытие любого из них также приводило к заражению системы.

Автоматизированные отчёты по рассылкам доступны здесь и здесь.

Представители WhatsApp (принадлежащей признанной в России экстремистской Meta) рапортуют о нейтрализации кампании с использованием spyware Graphite от Paragon Solutions, нацеленной на более чем 90 пользователей из числа журналистов и политических деятелей.

Как переедет The Guardian, разоблачить и пресечь активность злоумышленников удалось в декабре 2024 года.

В атаках, предположительно, использовался Zero-Click эксплойт без какого-либо взаимодействия с пользователем. 

Предполагается, что атакующие распространяли специально созданные PDF-файлы, отправляя их лицам через групповые чаты в WhatsApp.

WhatsApp отметила, что цели были рассредоточены по более чем двум десяткам стран, включая несколько стран Европы, добавив об уведомилении пострадавших и предоставлении рекомендаций по противодействию вновь выявленной угрозе.

Meta отправила Paragon официальное письмо с требованием прекратить и воздержаться от дальнейших вредоносных действий, угрожая судебным преследованием, как в случае с NSO.

Примечательно, что в этот же период компанию-разработчика шпионского ПО aragon Solutions приобрела американская частная инвестиционная компания AE Industrial Partners почти за ярд баксов.

В настоящее время не разглашается, кто стоит за кампанией и как долго она продолжалась.

Но известно, что основной клиентурой шпионского ПО Graphite, по большей части, являлись американские и европейские спецслужбы.

Так что судебное преследование вряд ли состоится, как, впрочем, опубличивание ответственных заказчиков.

А если делу и дадут ход (ведь принимавшая участие расследовании Citizen Lab обещает в скором времени выкатить отчет), то можно будет считать это началом сегментации клиентуры.

Такой сценарий вполне вписывается в продвигаемую штатами парадигму передела рынка шпионского ПО, где помимо разработчиков проредят и клиентуру, как в случае с канадской Sandvine.

Тем более, что для США это еще один козырь в политических играх на европейском направлении. Сейчас очень кстати.

Будем следить.

Исследователи из Лаборатории Касперского в новом отчете проанализировали ландшафт киберугроз для промышленных предприятий и OT-инфраструктур в 2025 году в призме происходящих глобальных процессов:

- Охота за инновациями:

В условиях фактически очередной технической революции и стратегических инвестициях в инновации APT будут активизировать свои усилия и нацеливаться на жертв, связанных с передовыми исследованиями и разработками.

Аналогичным образом действуют вымогатели и хактивисты.

При этом злоумышленникам может оказаться проще получить доступ к такой информации из технологической сети производственного объекта, чем из периметра лаборатории или офисной сети.

Цепочка поставок и сеть доверенных партнеров также являются очевидными потенциальными целями злоумышленников.

- Искусственные ограничения и санкционные войны:

Способствуют нарушениям прав интеллектуальной собственности мировых технологических лидеров, что приводят к определенным рискам и в сфере ИБ.

Разработчики и поставщики OT-технологий не смогут гарантировать клиентам эффективную защиту их интеллектуальной собственности.

Взломанные версии и нештатные модификации проприетарных продуктов принесут киберугрозы прямо внутрь технологического периметра.

Злоумышленники продолжат охоту за техническими ноу-хау (как в случае с Librarian Ghouls), а целями могут стать программы ПЛК и SCADA-проекты, алгоритмы управления оборудованием внутри периметра технологической сети.

- Новые технологии = новые риски информационной безопасности:

Наибольший рост эффективности обещает, как и во многих других сферах, широкое использование систем машинного обучения и ИИ, в том числе непосредственно на производстве - при управлении технологическим процессом. 

При этом неаккуратное использование технологий ИИ в IT- и операционных процессах промышленных предприятий может привести к непреднамеренному раскрытию конфиденциальной информации или появлению новых угроз безопасности.

Как сами системы ИИ, развернутые на предприятии, так и уникальные данные, которые они используют могут стать новыми целями для опасных кибератак.

Злоумышленники также не игнорируют технический прогресс, задействуя ИИ на разных этапах подготовки и проведения атак

- Проверенные временем технологии = новые риски информационной безопасности:

Выражение «работает - не трожь» в технологических инфраструктурах промышленных предприятий имеет особенный оттенок смысла и получается так, что система работает десятилетиями без каких-либо модификаций по части безопасности.

Проблема осложняется порой низким качеством информации об уязвимостях в продуктах для OT, предоставляемой разработчиками и доступной из публичных источников.

Помимо незащищенных систем промышленной автоматизации, существует также много типов устройств или целых инфраструктур, так или иначе связанных с технологической сетью, про безопасность которых просто забывают.

- Выбрал неправильно вендора - жди беды:

Недостаточные инвестиции разработчиков или поставщиков технологий в собственную ИБ - верный залог инцидентов у их клиентов.

Один из показательных случаев — атака на CDK Global. Но для промышленных предприятий есть ряд осложняющих ситуацию факторов.

- Больше нельзя полагаться на сокрытие информации о работе промышленных систем.

Как можно быть таким крутым? 🤔

Google выкатила обновления для Android за февраль 2025 года с исправлениями 48 уязвимостей, включая 0-day, которая широко использовалась злоумышленниками.

Она отслеживается как CVE-2024-53104 и представляет собой уязвимость в драйвере USB Video Class ядра Android и позволяющую аутентифицированным локальным злоумышленникам повышать привилегии в атаках низкой сложности.

Проблема затрагивает драйвер uvcvideo ядра Linux, который не может правильно анализировать кадры типа UVC_VS_UNDEFINED в функции uvc_parse_format.

Поскольку функция анализа кадров не учитывает их при расчете размера буфера кадров, может произойти запись за пределами допустимого диапазона.

Хотя никаких других технических подробностей предоставлено не было, разработчик ядра Linux Грег Кроа-Хартман в начале декабря 2024 года сообщил, что уязвимость кроется в ядре Linux и появилась в версии 2.6.26, выпущенной в середине 2008 года.

Разработчики GrapheneOS  считают, что CVE-2024-53104 - это вероятно, одна из ошибок USB, используемых криминалистическими инструментами извлечения данных.

Частно это подтверждают и в Google, отмечая в своем сообщении, что уязвимость может привести к физическому повышению привилегий без необходимости дополнительных привилегий выполнения.

Помимо активно эксплуатируемой ошибки, февральские обновления также устраняют критическую уязвимость безопасности в компоненте WLAN компании Qualcomm.

Qualcomm описывает критическую CVE-2024-45569 как проблему повреждения памяти прошивки, вызванную неправильной проверкой индекса массива при взаимодействии с хостом WLAN при анализе ML IE из-за недопустимого содержимого кадра.

CVE-2024-45569 может быть использована удаленными злоумышленниками для потенциального выполнения произвольного кода или команд, чтения или изменения памяти, а также для сбоев в атаках низкой сложности, не требующих привилегий или взаимодействия с пользователем.

Из всех проблем 23 были исправлены в первой части обновления за февраль 2025 года, которое поставляется на устройства как уровень 2025-02-01 и устраняет ошибки в компонентах Framework, Platform и System.

Вторая часть обновления представлена как уровень 2025-02-05 и устраняет 23 дефекта безопасности в ядре, компонентах Arm, Imagination Technologies, MediaTek, Unisoc и Qualcomm.

Android Automotive OS и Wear OS, обновленные до уровня исправления безопасности от 2025-02-05, также содержат исправления уязвимостей, включенных в бюллетень по безопасности Android за февраль 2025 года.

Исследователи VulnCheck представили отчет со статистикой по уязвимостям и их эксплуатации за 2024 год.

Всего было зарегистрировано 768 уязвимостей с присвоенными идентификаторами CVE, которые были использованы в реальных условиях, по сравнению с 639 CVE в 2023 году, демонстрируя рост на 20% в годовом исчислении.

Распространенной проблемой является то, как быстро уязвимости эксплуатируются после раскрытия. 

Описывая 2024 год как еще один знаменательный год для злоумышленников, нацеленных на эксплуатацию уязвимостей, VulnCheck отмечает, что 23,6% известных эксплуатируемых уязвимостей (KEV) были использованы почти накануне или до дня публичного раскрытия их CVE.

Показатель немного меньше, чем в 2023 году (26,8%), что говорит о том, что несмотря на шумиху вокруг 0-day, попытки эксплуатации уязвимости могут иметь место в любой момент жизненного цикла уязвимости.

Для исследования было задействовано 112 уникальных источников, которые первыми сообщали о CVE, при этом сторонние поставщики (включая CheckPoint, Aqua Security, Fortinet, F5), госучреждения (DOD, CISA, NHS) и некоммерческие организации (Shadow Server) возглавили рейтинг.

В 2024 году 1% опубликованных CVE были публично зарегистрированы как эксплуатируемые в дикой природе. Причем ежемесячный базовый уровень эксплуатируемых CVE варьировался от 30 до 50.

Ожидается, что это число будет расти, поскольку эксплуатация часто обнаруживается спустя долгое время после публикации CVE.

Исследователи Fortinet FortiGuard Labs сообщают о новых кампаниях, нацеленных на пользователей Windows в Бразилии с использованием банковского вредоносного ПО, известного как Coyote.

После развертывания банковский троян Coyote способен выполнять различные вредоносные действия, включая регистрацию нажатий клавиш, создание снимков экрана и отображение фишинговых оверлеев для кражи конфиденциальных учетных данных.

За последний месяц Fortinet обнаружила несколько артефактов, связанных с файлами Windows Shortcut (LNK), содержащих команды PowerShell, отвечающие за доставку вредоносного ПО.

Coyote был впервые задокументирован Лабораторией Касперского в отчете в начале 2024 года, где подробно описывались атаки, нацеленные на пользователей в южноамериканской стране с возможностью сбора конфиденциальной информации по 70 финансовым приложениям.

В наблюдавшейся тогда цепочке атак исполняемый файл установщика Squirrel использовался для запуска приложения Node.js, скомпилированного с помощью Electron, которое, в свою очередь, запускало загрузчик на основе Nim для запуска вредоносной нагрузки Coyote.

Последние заражения начинаются с LNK-файла, который выполняет команду PowerShell для получения следующего этапа с удаленного сервера (tbet.geontrigame[.]com), еще одного скрипта PowerShell, который запускает загрузчик, отвечающий за выполнение промежуточной полезной нагрузки.

Внедренный код использует Donut, инструмент, разработанный для расшифровки и выполнения финальных полезных нагрузок MSIL (Microsoft Intermediate Language).

Расшифрованный исполняемый файл MSIL сначала устанавливает постоянство, изменяя реестр в HCKU\Software\Microsoft\Windows\CurrentVersion\Run.

Новая запись реестра содержит настроенную команду PowerShell, указывающую на загрузку и выполнение URL-адреса в кодировке Base64, что обеспечивает реализацию основного функционала банковского трояна.

После запуска вредоносная ПО собирает базовую системную информацию и список установленных антивирусных решений на хосте, после чего данные кодируются Base64 и передаются на удаленный сервер.

Выполняются также различные проверки для уклонения от обнаружения песочницами и виртуальными средами.

Заметным изменением в последней версии Coyote стало расширение целевого списка, который теперь включает 1030 сайтов и 73 финансовых агента, таких как mercadobitcoin.com.br, bitcointrade.com.br, foxbit.com.br, augustoshotel.com.br, blumenhotelboutique.com.br и fallshotel.com.br.

Если жертва попытается получить доступ к любому из сайтов в списке, вредоносная ПО связывается с контролируемым злоумышленником сервером для получения команд, начиная от захвата скриншота до обслуживания оверлеев.

Некоторые из других функций включают отображение активации кейлоггера и манипулирование настройками дисплея.

Как отмечают исследователи, обновленный троян с многоступенчатым процессом заражения представляет значительную угрозу, особенно потому, что он имеет потенциал для выхода за пределы своих изначальных целей.

В киберподполье оперативно отреагировали на стремительный всплеск популярности DeepSeek, выкатив два вредоносных пакета deepseek и deepseekai для кражи информации в Python Package Index (PyPI), выдавая их за инструменты разработчика для платформы ИИ.

Причем пакеты были загружены со старой учетной записи, созданной в июне 2023 года, без какой-либо предыдущей активности. 

Правда, задетектить угрозу не менее оперативно (почти в считанные минуты) смогли исследователи Positive Technologies, которые сообщили о своей находке в PyPI.

По данным Positive Technologies, атака, скорее всего, была направлена на разработчиков, инженеров машинного обучения или энтузиастов искусственного интеллекта. 

Оба пакета, выдававшие себя за клиенты Python для DeepSeek AI, были ПО для кражи информации со свойственным им функционалом кражи данных у разработчиков, которые решили их использовать.

После запуска на компьютере разработчика вредоносная нагрузка похищала пользовательские и системные данные, а также переменные среды, которые часто содержат конфиденциальные данные, необходимые для работы приложений, например, ключи API для службы хранения S3, учетные данные базы данных и разрешения на доступ к другим ресурсам инфраструктуры.

Затем украденная информация переправлялась на C2 по адресу eoyyiyqubj7mquj.m.pipedream[.]net с использованием Pipedream, легитимной платформы автоматизации.

Полезная нагрузка выполнялась, когда пользователь запускал команды deepseek или deepseekai (в зависимости от пакета) в интерфейсе командной строки.

Вредоносные пакеты deepseek 0.0.8 и deepseekai 0.0.8 были загружены в PyPI 29 января 2025 года с разницей всего в двадцать минут.

После уведомления PyPI немедленно поместила пакеты в карантин и в течение часа заблокировала их загрузку, после чего они были полностью удалены с платформы.

Несмотря на быстрое обнаружение и реагирование, 222 разработчика загрузили оба пакета, большинство из США (117), за ними следуют Китай, Россия, Германия, Гонконг и Канада.

Разработчикам, использовавшим эти пакеты, следует немедленно сменить свои ключи API, токены аутентификации и пароли, поскольку теперь их можно считать скомпрометированными.

Как отмечают Позитивы, хакеры всегда отслеживают тенденции и стараются воспользоваться ими в нужный момент.

В данном случае это была относительно безобидная атака, хотя из-за шумихи вокруг DeepSeek в случае промедления жертв могло бы быть гораздо больше.

Ранее попытки оседлать тренд для распространения вредоносного ПО фиксировали также в ESET, детектируя фейковые сайты, домены-двойники и фиктивные криптотокенами DeepSeek.

Специализирующийся на на продуктах Apple исследователь Патрик Уордл сообщает об обнаружении по итогам 2024 года в общей сложности двух десятков штаммов вредоносных ПО для macOS.

Общее число детектированных семейств вредоносных ПО для macOS составило 22, что примерно столько же, как и в 2023 году, но значительно больше, чем в 2021 и 2022 годах.

В последнем обзоре вредоносного ПО для macOS подробно рассматриваются стиллеры, ransomware, бэкдоры и загрузчики, но в их число не были включены рекламное ПО и вредоносное ПО прошлых лет.

В список инфокрадов macOS, появившийся в 2024 году, вошли CloudChat, Poseidon (он же Родриго), Cthulhu, BeaverTail, PyStealer и Banshee.

CloudChat фокусируется на крипте и ключах. PyStealer, Banshee и Poseidon крадут криптокошельки, а также данные браузера и другие конфиденциальные данные.

BeaverTail задействуется северокорейскими хакерами для кражи данных и развертывания дополнительных полезных нагрузок. 

В категории программ-вымогателей для macOS был детектирован NotLockBit, который шифрует файлы жертв, а также реализует некоторые базовые функции кражи данных.

В категории бэкдоров/имплантов - вредоносное ПО для macOS под названием SpectralBlur, которое имеет базовые возможности загрузки, выгрузки и выполнения, по всей видимости также связано с северокорейцами.

Другое отмеченное семейство бэкдоров - Zuru. Он был впервые обнаружен в 2021 году, но Уордл включил его в список, поскольку образцы, обнаруженные в 2024 году, могут быть совершенно новым вредоносным ПО, а не просто новой версией уже известного. 

LightSpy, связанный исследователями с китайскими хакерами, был обнаружен нацеленным не только на macOS, но также на iOS, Android и Windows.

Вредоносное ПО преимущественно использовалось для шпионажа, но последние версии содержат возможности для населения прямого ущерба системам. 

Еще один бэкдор, появившийся в 2024 году, - HZ Rat, который был замечен в нацеливании на пользователей в Китае и предоставляет злоумышленникам полный контроль над зараженным устройством macOS.

Среди других бэкдоров, обнаруженных в прошлом году, выделены Activator (загрузчик бэкдора и криптокрад), HiddenRisk (северокорейское вредоносное ПО, используемое для атак на криптовалюту) и RustDoor.

Список загрузчиков macOS включает RustyAttr, InletDrift, ToDoSwift и DPRK Downloader (все связаны с Северной Кореей), EvasivePanda и SnowLight (связаны с Китаем), VShell Downloader и Unnamed Downloader.

В своем отчете исследователь предоставил технические подробности для каждого из этих штаммов вредоносных ПО, включая информацию о векторах заражения, механизмах сохранения, функциях и возможностях.

Исследователи из Лаборатории Касперского сообщают об обнаружении нового криптокрада для iOS и Android, который использует нейросети для кражи данных из фотогалереи и активно распространяется через официальные App Store и Google Play.

SparkCat анализирует фотографии из галереи телефона и сканирует их с помощью модуля OCR, извлекая присутствующий на любом из изображений текст.

Вредоносная ПО фокусируется на фразах, своих с мнемоническими фразами на разных языках, которые потенциально могут быть снимком экрана с фразой для восстановления доступа к криптокошельку, отправляя собранные фото на серверы злоумышленников.

Кроме того, криптокрад может красть и другие данные, включая содержание сообщений или пароли, если они запечатлены на скриншотах.

Вредоносный код был замаскирован внутри безобидных на первый взгляд SDK, используемых как для приложений Android, так и для iOS.

Распространялся в составе заражённых мессенджеров, ИИ-ассистента, приложений для доставки еды и для доступа к криптобирже.

Название вредоносной программы происходит от Spark, вредоносного SDK, используемого для приложений Android, и bigCat, SDK, используемого для iOS.

Исследователи отмечают, что задетектили Spark SDK в нескольких приложениях Android, загруженных в Play Store, которые насчитывают более 242 000 установок, причем некоторые из приложений все еще активны.

При этом им удалось отыскать лишь одно вредоносное приложение iOS в Apple App Store.

Но найденные при анализы артефакты указывают на то, что в общей сложности было разработано несколько приложений iOS, часть из которых пока в оффлайне, а часть не содержат кода (во всяком случае пока).

Среди отличительных особенностей зловреда: кроссплатформенность, задействование Rust, мимикрирование С2-доменов под легитимные сервисы и вредоносных фреймворков - под служебные пакеты, а также обфускация.

Причем вредоносная ПО также задействовала Google ML Kit, модель машинного обучения для разработчиков мобильных приложений, для сканирования изображений на наличие текста.

Это делает SparkCat вторым известным штаммом вредоносных ПО, использующим ML Kit для извлечения фраз восстановления криптокошелька из изображений после аналогичного семейства, обнаруженного в 2023 году компанией ESET.

Как полагают исследователи, на основании шаблонов распознавания ключевых слов и загруженных модулей OCR можно сделать вывод, что вредоносная программа нацелена на аудиторию в Европе и Азии.

Часть исходного кода вредоносного ПО также содержала комментарии на китайском языке, что навело исследователей на мысль, что злоумышленник мог свободно владеть этим языком.

Исследователи ЛК оперативно уведомили Google и Apple о своей находке, однако SparkCat может продолжать распространяться на неофициальных площадках.

В целом, наблюдаемая кампания, как отмечают исследователи, разрушает стереотипы о том, что вредоносных приложений под iOS не существует, а Android-угрозы неактуальны для владельцев устройств Apple

Технические подробности - отчете.

Исследователи Socket Security обнаружили атаку на цепочку поставок ПО, нацеленную на экосистему Go, которая включает вредоносный пакет, предоставляющий злоумышленнику удаленный доступ к зараженным системам.

Пакет github.com/boltdb-go/bolt является типосквотом легитимного модуля базы данных BoltDB (github.com/boltdb/bolt).

Вредоносная версия 1.3.1 была опубликована на GitHub в ноябре 2021 года, после чего она была кэширована на неопределенный срок службой Go Module Mirror, откуда установщики командной строки Go загружают необходимые пакеты.

Реализованный злоумышленником подход гарантировал, что ручной аудит репозитория GitHub не выявит вредоносного контента, а механизм кэширования позволял не подозревающим разработчикам, устанавливающим пакет с помощью go CLI, загружать вариант с бэкдором.

После того, как версия модуля кэшируется, она остается доступной через Go Module Proxy, даже если исходный источник в дальнейшем изменяется.

Впоследствии злоумышленник, как говорят, изменил теги Git в исходном репозитории, чтобы перенаправить их на безвредную версию.

После установки скрытый бэкдор предоставляет злоумышленнику удаленный доступ к зараженной системе, что позволяет ему выполнять произвольные команды.

Socket отмечает, что эта эта атака является одним из первых задокументированных случаев попадания вредоносного пакета в Go Module Mirror и злоупотребления бессрочным кэшированием, обходя при этом на ручные проверки кода.

Продолжаем отслеживать наиболее трендовые уязвимости, вкратце ситуация выглядит следующим образом.

1. Исследователи Google сообщили об уязвимости в некоторых процессорах AMD Zen.

CVE-2024-56161 позволяет злоумышленникам с правами администратора в системе загружать вредоносные исправления прошивки процессора.

Атака способна обходить защиту AMD Secure Encrypted Virtualization и позволяет злоумышленникам скомпрометировать облачную инфраструктуру.

Среди затронутых процессоров - Zen 1 — Zen 4.

AMD выпустила обновления в понедельник.

2. Исследователи watchTowr Labs обнаружили около 150 AWS S3 buckets, которые ранее принадлежали ныне недействующим коммерческим и open-source проектам.

При этом с них продолжал идти трафик, в том числе с правительственных (и даже военных) доменов и компаний из списка Fortune 500.

Содержимое, включая обновления ПО, конфигурацию сервера и различные файлы, можно заменить и использовать для захвата удаленных сетей.

3. Инженер Райк Шнайдер выявил уязимости, связанные с перехватом DLL в нескольких инструментах Sysinternal от Microsoft.

Проблемы остаются неисправленными даже после 90-дневного срока раскрытия.

4. Netgear выпустила обновления для обхода аутентификации и RCE в WiFi-маршрутизаторах.

5. Исследователи Aqua сообщают об обнаруженных вариантах обхода политик в OPA Gatekeeper, утилите для управления кластерами Kubernetes.

6. Исследователь Владимир Палант представил новый набор из 10 вредоносных расширений Chrome после того, как в прошлом месяце был обнаружен первый набор из 35.

7. Veeam выпустила исправления для устранения критической RCE-уязвимости в ПО для резервного копирования Veeam Backup для Salesforce, Nutanix AHV, AWS, Microsoft Azure, Google Cloud, Oracle Linux Virtualization Manager и Red Hat Virtualization.

CVE-2025-23114 имеет оценку CVSS 9,0 из 10,0 и позволяет злоумышленнику использовать MiTM-атаку для выполнения произвольного кода на уязвимом сервере-устройстве с правами root.