Новости информационной безопасности

Специалисты Microsoft Threat Intelligence Center (MSTIC) и Microsoft Security Response Center (MSRC) выявили случаи эксплуатации нулевой уязвимости повышения привилегий в Windows Common Log File System (CLFS) после компрометации систем. Атаки были нацелены на ограниченное число объектов, включая организации в сфере информационных технологий и недвижимости в США, финансовый сектор Венесуэлы, испанскую софтверную компанию и розничную торговлю в Саудовской Аравии. Обновления безопасности для устранения уязвимости, отслеживаемой как CVE-2025-29824, были выпущены Microsoft 8 апреля 2025 года. Кроме того, было установлено, что эксплойт используется вредоносной программой PipeMagic. Microsoft приписывает эту активность группе Storm-2460...

Fortinet выпустила обновление безопасности для устранения опасной уязвимости CVE-2024-48887 в устройствах FortiSwitch. Проблема позволяет злоумышленнику без входа в систему поменять пароль администратора, просто отправив специальный запрос через веб-интерфейс. Что важно знать: Оценка опасности: 9.8 из 10 (максимально критичная) Что может сделать злоумышленник: сменить пароль администратора без логина Что нужно для атаки: ничего — не требует авторизации и действий от пользователя Как работает: уязвимость в веб-интерфейсе FortiSwitch (GUI), используется уязвимый запрос set_password Какие версии под угрозой и что делать: Версия FortiSwitch Уязвимые сборки Обновиться до 7.6 7.6.0 7.6.1 или новее 7.4 7.4.0 – 7.4.4 7.4.5 или новее...

Эксперты «Лаборатории Касперского» обнаружили новую версию троянца Triada. Вредонос оказался установлен в прошивках новых Android‑смартфонов, которые внешне похожи на популярные модели. Такие устройства продаются в неавторизованных онлайн‑магазинах по сниженным ценам. 2,6 тысячи пользователей уже столкнулись с новой версией Triada, большинство из них — в России. Троянец встроен в системный фреймворк Android. Это значит, что ВПО запускается вместе с каждым процессом на устройстве. Зловред имеет широкие возможности и позволяет злоумышленникам полностью контролировать заражённый смартфон. Вредонос может: красть аккаунты в мессенджерах и соцсетях, включая Telegram и TikTok; отправлять сообщения от имени пользователя в WhatsApp и...

Как невидимая угроза разоряет владельцев портативных точек доступа. Обычная установка SIM-карты в роутер может привести к непредсказуемым финансовым потерям — об этом стало известно после инцидента в Эстонии, где пользователь получил счёт почти на тысячу евро за отправку более 10 тысяч SMS за несколько дней. Как сообщает издание Digigeenius, причиной неожиданной активности стал заражённый мобильный роутер с поддержкой 4G/5G. Как именно устройство было скомпрометировано — не установлено, особенно учитывая, что оно приобреталось за рубежом и из неизвестного источника. Мобильные роутеры, которые часто используются для создания портативных точек доступа, могут отправлять SMS — это стандартная функция, предназначенная для уведомлений...

Исследователи наткнулись на очередной пример коммерческого сталкерского софта для Android, который не только мастерски скрывается на устройствах, но и делает процесс удаления почти невозможным, требуя от пользователя специальный пароль. Приложение маскируется под стандартные системные настройки, скрывая свою иконку на главном экране и используя функции Android, предназначенные для администрирования устройств и наложения окон. Оно запрашивает разрешение на «наложение окон поверх других приложений», а затем блокирует попытки удаления, выводя всплывающее окно с запросом пароля, который использовался при установке приложения. При попытке деактивировать или удалить программу через системные настройки, жертва сталкивается с запросом...

В России зафиксировали новую схему атак на клиентов банков. Всё происходит почти незаметно: человек устанавливает безобидное на вид приложение, а в результате — теряет контроль над телефоном, а иногда и деньгами. Всё дело в связке двух вредоносных программ — CraxsRAT и NFCGate. По данным специалистов по кибербезопасности из компании F6, в марте 2025 года в России уже больше 180 тысяч смартфонов оказались заражены этими двумя программами. И это не просто случайности — за схемой стоит продуманный подход: одна программа помогает установить другую, и вместе они превращают смартфон в удобный инструмент для кражи денег. CraxsRAT — это троян, который проникает на телефон под видом обычного приложения: фотоархива, документа, обновления...

Когда простой офисный принтер превращается в потайную дверь для хакеров. Исследователи из команды Microsoft MORSE, занимающейся наступательной безопасностью, сообщили Canon о критической уязвимости , обнаруженной в драйверах для принтеров. Под угрозой оказались устройства, используемые как в офисной, так и в производственной среде. Canon признала проблему и выпустила предупреждение для пользователей. Уязвимость отслеживается под идентификатором CVE-2025-1268 и получила высокий балл по шкале CVSS — 9.4. Она связана с обработкой EMF-файлов в ряде драйверов, включая Generic Plus PCL6, UFR II, LIPS4, LIPSXL и PS. Проблема затрагивает версии драйверов 3.12 и более ранние. Ошибка представляет собой выход за границы допустимой памяти, что...

В архиваторе WinRAR обнаружена уязвимость , позволяющая обойти механизм безопасности Windows «Mark of the Web» (MotW), что могло привести к выполнению вредоносного кода. Об этом сообщил координационный центр JPCERT/CC после анализа компании Mitsui Bussan Secure Directions. Проблема затронула версии WinRAR до 7.11. Суть уязвимости заключалась в том, что при открытии символической ссылки на исполняемый файл в системе Windows не срабатывало стандартное предупреждение о запуске загруженного из интернета файла. В обычных условиях Windows помечает файлы, полученные из ненадёжных источников, специальным флагом, который активирует предупреждение о потенциальной опасности. Однако при использовании символической ссылки эта проверка обходилась...

Специалисты Group-IB опубликовали отчет о деятельности вымогательской хак-группы Hunters International. Хакеры считают, что использование шифровальщиков стало слишком рискованным, и меняют тактику. По данным аналитиков Group-IB, в настоящее время руководство группировки готовит новый проект, который будет направлен исключительно на вымогательство и кражу данных. Однако старая группировка тоже по-прежнему активна. Исследователи обратили внимание, что еще в ноябре прошлого года руководство Hunters International объявило своей команде о закрытии проекта, сообщив, что «ребрендинг» в World Leaks уже идет полным ходом. Группа World Leaks запустила сайт в даркнете 1 января текущего года и сосредоточена исключительно на краже информации, то...

800 сотрудников получили вредоносные ZIP-архивы от хакеров. В марте 2025 года группа Head Mare провела серию целевых атак на российские промышленные предприятия, о чём сообщила «Лаборатория Касперского». По её данным, рассылку с вредоносным вложением получили более 800 сотрудников из примерно 100 организаций. Среди пострадавших оказались компании, занятые в приборостроении и машиностроении. Атака осуществлялась через электронные письма, которые приходили от имени некоего секретариата. В письмах содержалась просьба подтвердить получение информации и ознакомиться с вложенной «заявкой», представленной в виде ZIP-архива. Открытие архива приводило к запуску вредоносного файла, маскирующегося под официальный документ с запросом на ремонт...

ИБ-специалисты сорвали планы крупнейших киберпреступников. Специалисты Resecurity нашли уязвимость на даркнет-сайте группировки BlackLock и взломали инфраструктуру злоумышленников. Действия аналитиков привели к фактическому краху группировки. Группа BlackLock (также известная как El Dorado) стремительно набирала силу на киберпреступной арене с весны 2024 года и к концу года уже входила в десятку самых активных вымогателей. Уязвимость на сайте BlackLock оказалась критической — ошибка Local File Include позволила посторонним получить доступ к скрытым внутренним файлам сервера. С помощью ошибки исследователи получили данные о конфигурации, логах, SSH-доступе, истории команд и другим чувствительным элементам управления. Одним из...

Splunk выпустила исправления для нескольких десятков уязвимостей в своих продуктах, включая две критически важные, связанные с удаленным выполнением кода и раскрытием информации в Splunk Enterprise и Secure Gateway App. RCE-ошибка могла бать использована пользователями с низкими привилегиями, загрузив файл в каталог $SPLUNK_HOME/var/run/splunk/apptemp. Уязвимость отслеживается как CVE-2025-20229 (CVSS 8,0) и вызвана отсутствием проверки авторизации. Она устранена с выпуском версий Splunk Enterprise 9.4.0, 9.3.3, 9.2.5 и 9.1.8, а также Splunk Cloud Platform 9.3.2408.104, 9.2.2406.108, 9.2.2403.114 и 9.1.2312.208. Также была закрыта серьезная проблема раскрытия информации, затрагивающая как Splunk Enterprise, так и приложение Splunk...

Разработчики CrushFTP предупреждают клиентов о критической уязвимости неавторизованного доступа к порту HTTP(S) и призывают немедленно установить исправления на серверы. Свежая уязвимость получила идентификатор CVE-2025-2825 и позволяет злоумышленникам получить неавторизованный доступ к уязвимым серверам, если те доступны через интернет по протоколу HTTP(S). При этом специалисты Rapid7 обратили внимание, что хотя в письме говорится о том, что уязвимость затрагивает только версии CrushFTP v11, в выпущенном в тот же день бюллетене безопасности уязвимыми названы CrushFTP v10 и v11. Всем, кто по какой-то причине не может немедленно обновить CrushFTP до версий 10.8.4+ и 11.3.1+, рекомендуется включить DMZ, чтобы защитить свой CrushFTP до...

Исследователи выявили платформу Morphing Meerkat, предоставляющую услуги фишинга как сервиса. Она маскируется с помощью DNS-over-HTTPS и подделывает страницы входа для 114 сервисов, включая Gmail и Outlook, избегая обнаружения стандартными средствами Исследователи выявили новую операцию типа «фишинг как услуга» (phishing-as-a-service, PhaaS), которая получила название Morphing Meerkat. Злоумышленники используют протокол DNS over HTTPS (DoH), чтобы обойти системы обнаружения. Платформа использует DNS-записи обмена электронной почтой (MX) для определения почтового провайдера жертвы и динамической подгрузки поддельных страниц входа более чем для 114 почтовых провайдеров. Платформа Morphing Meerkat активна как минимум с 2020 года. Ее...

Национальный киберщит США ослабевает под натиском растущего числа атак. Национальная база данных уязвимостей США (NVD) продолжает сталкиваться с нарастающими трудностями — несмотря на усилия по восстановлению прежнего темпа обработки информации, отставание от графика публикации записей об уязвимостях (CVE) продолжает увеличиваться. Об этом говорится в последней сводке новостей Национального института стандартов и технологий США (NIST), опубликованной 19 марта 2025 года. По информации института, на текущий момент CVE обрабатываются в объёмах, сопоставимых с теми, что фиксировались до весенне-летнего спада 2024 года. Однако сам объём новых уязвимостей за 2024 год вырос на 32%, и прежние темпы обработки уже не справляются с нагрузкой...

Вредонос написан на С++ и работает в ОС Windows, Linux, BSD, ARM. В Сети появилась новая программа-шифровальщик, действующая по RaaS-системе. Причем авторы вредоносного кода запрещают её использовать на жертвах из СНГ. Профильные специалисты фирм Cyfimra и Check Point Research провели расследование и опубликовали результаты, в которых указано, что создатели VanHelsing являются членами русскоязычной хакерской группы. Сама программа, чей код написан на языке C++, кроссплатформенная, выполняющая свое отрицательное действие в ОС Windows, Linux, BSD, ARM. Первые атаки с использованием шифровальщика были проведены 16 марта. Для использования софта-вредоноса от хакеров необходимо согласие на 20% комиссию в случае успешности атаки. Эта сумма...

Обнаружена опасная программа CoffeeLoader — загрузчик вредоносного ПО, который скрывается от антивирусного программного обеспечения, используя набор хитроумных методов, вплоть до выполнения на видеокарте. Её обнаружили эксперты в области кибербезопасности компании Zscaler ThreatLabz. Источник изображения: threatlabz.zscaler.com Чтобы оставаться незамеченным, CoffeeLoader прибегает сразу к нескольким ухищрениям: подменяет стек вызовов, использует обфускацию сна и применяет пользовательские потоки Windows. Стек вызовов можно описать как «хлебные крошки», в которых записывается, какие функции вызывала программа. Средства безопасности проверяют их, чтобы отследить поведение программы и выявить вредоносную активность, но CoffeeLoader...

Особо опасный картель, который прятался в зашифрованных сетях, разоблачен. В Ирландии и Испании полиция накрыла крупную преступную группировку благодаря взлому зашифрованного мессенджера Ghost. Шестерых подозреваемых взяли в Ирландии, еще шестерых – на испанской территории. Банда, которую органы классифицировали как особо опасную, наладила поставки кокаина и марихуаны из Испании на острова. Они маскировали груз в специальных отсеках автомобилей, на которые устанавливали клонированные номерные знаки. По данным Европола, который поддерживал расследование, свои следы в цифровом пространстве преступники заметали очень тщательно: применяли сложные схемы шифрования и распределяли общение между разными платформами. "Изощренность их...

От фишинга до кредитов: как мошенники превращали смартфоны в ловушку. Сотрудники управления по борьбе с киберпреступностью МВД России совместно с полицейскими из Саратовской, Тульской и Ульяновской областей пресекли деятельность по созданию и распространению вредоносного программного обеспечения. Об этом сообщила официальный представитель МВД России Ирина Волк в своем Telegram-канале. По предварительным данным, трое жителей Саратова подозреваются в разработке и распространении вредоносной программы под названием «Мамонт». Это ПО распространялось через Telegram-каналы под видом безопасных мобильных приложений и видеофайлов. После установки на устройство оно позволяло получить доступ к смс-банкингу и переводить денежные средства с...

Группировка RedCurl, обычно специализирующаяся на скрытом корпоративном шпионаже, начала использовать шифровальщик QWCrypt, предназначенный для атак на виртуальные машины Hyper-V. Впервые русскоязычная хак-группа RedCurl была обнаружена специалистами Group-IB в 2020 году. Исследователи писали, что группировка активна как минимум с 2018 года, и уже тогда злоумышленники совершили ряд целевых атак на коммерческие организации, среди которых были строительные, финансовые, консалтинговые компании, а также ритейлеры, банки, страховые, юридические и туристические организации. Жертвы группировки находились в России, Украине, Великобритании, Германии, Канаде и Норвегии, но в прошлом году стало известно, что RedCurl расширила географию своих...