Новости информационной безопасности

В конце прошлого года эксперты «Лаборатории Касперского» обнаружили нового Windows-стилера и нарекли его Arcane — по логотипу, найденному в коде. Трояна раздавали на YouTube под видом читов для Minecraft и других популярных игр. Описание рекламных роликов было выполнено на русском языке и содержало ссылку на вредоносный архив. Подобная схема распространения вредоносов на YouTube не нова, однако злоумышленники быстро дополнили ее загрузчиком собственной разработки — ArcanaLoader. Анализ показал, что стилер Arcane создан на основе кодов, позаимствованных у других зловредов. Он умеет собирать системную информацию, получать списки запущенных процессов, делать скриншоты, воровать пароли к Wi-Fi и сохраненные данные из браузеров на основе...

Десятки компаний и частных лиц стали жертвами масштабной фишинговой кампании. Злоумышленники распространяют троян DarkWatchman, маскируя её под уведомления от московского Межрайонного отдела судебных приставов. Как рассказали эксперты центра исследования киберугроз Solar 4RAYS, всплеск активности злоумышленников начался ещё в конце февраля. Согласно данным сети сенсоров и ханипотов, количество обращений к центру управления DarkWatchman выросло в пять раз. В результате эта фишинговая кампания стала самой масштабной с начала года. Все вредоносные письма маскировались под официальные уведомления от Федеральной службы судебных приставов, однако отправлялись с поддельных адресов электронной почты. Внутри сообщений находился архив с именем...

Veeam устранила критическую RCE-уязвимость, идентифицируемую как CVE-2025-23120, в своем ПО для резервного копирования и репликации, которая влияет на установки, присоединенные к домену, и позволяет пользователям домена взламывать серверы. Уязвимость была обнаружена вчера и затрагивает Veeam Backup & Replication версии 12.3.0.310 (и все более ранние сборки версии 12). Компания исправила ее в версии 12.3.1 (сборка 12.3.1.1139), которая уже доступна. Согласно техническому описанию обнаружившей ошибку watchTowr Labs, CVE-2025-23120 представляет собой уязвимость десериализации в классах Veeam.Backup.EsxManager.xmlFrameworkDs и Veeam.Backup.Core.BackupSummary .NET. Она возникает, когда приложение неправильно обрабатывает сериализованные...

По данным Trend Micro Zero Day Initiative (ZDI), не менее 11 «правительственных» хак-групп использовали ранее неизвестную уязвимость нулевого дня в Windows для кражи данных и кибершпионажа. Исследователи обнаружили баг еще в прошлом году, однако в конце сентября 2024 года Microsoft отметила эту проблему как «не отвечающую требованиям» и заявила, что не будет выпускать патчи для ее устранения. Пока проблеме не присвоен идентификатор CVE, но Trend Micro отслеживает ее как ZDI-CAN-25373. По словам экспертов, уязвимость позволяет злоумышленникам выполнять произвольный код в системах под управлением Windows. При этом анализ показал, что ZDI-CAN-25373 уже давно применяется в атаках таких группировок, как Evil Corp, APT43 (Kimsuky), Bitter...

Уязвимость CVE-2025-24071, затрагивающая широкий спектр операционных систем Windows, включая серверные и клиентские версии Windows 10 и Windows 11, была выявлена 11 марта. CVE-2025-24071 связана с механизмом обработки файлов в Windows Explorer и системой индексирования — они автоматически анализируют файл .library-ms, извлекаемый при распаковке вредоносного архива и содержащий ссылку на SMB-ресурс. Операционная система без взаимодействия с пользователем инициирует NTLM-аутентификацию на атакующем SMB-сервере — это приводит к утечке хеш-суммы NTLMv2 учетной записи жертвы, что может быть использовано для атаки. Впервые описание и РoС уязвимости привел исследователь 0x6rss в своем блоге. Эксперты также заметили, что уязвимость может...

Исследователи из Symantec обнаружили Betruger — кастомный бэкдор, используемый в недавних атаках операторов RansomHub (RaaS). Этот редкий многофункциональный инструмент, вероятно, разработан специально для атак с применением программ-вымогателей. Функциональность Betruger Betruger объединяет в себе ключевые инструменты подготовки атаки, что позволяет сократить количество загружаемых файлов перед развёртыванием ransomware. Он обладает следующими возможностями: ✅ Кейлоггер — перехват нажатий клавиш ✅ Сканирование сети — выявление уязвимых хостов ✅ Эскалация привилегий — получение контроля на уровне администратора ✅ Дамп учетных данных — извлечение паролей ✅ Создание скриншотов — слежка за действиями пользователей ✅ Передача файлов на...

Эксплойт для критической уязвимости CVE-2025-24813 в Apache Tomcat уже используется хакерами. Для захвата сервера злоумышленникам достаточно одной PUT API-запроса. Как работает атака Эксплуатация уязвимости включает два шага: Загрузка вредоносного сеансового файла. Атакующий отправляет PUT-запрос с сериализованным Java-объектом в формате base64, который сохраняется в хранилище сессий Tomcat. Исполнение кода через Cookie. GET-запрос с JSESSIONID, указывающим на загруженный файл, инициирует десериализацию, что приводит к удаленному выполнению кода. Почему это опасно Атака не требует аутентификации и легко проходит мимо традиционных WAF-защит, поскольку: PUT-запрос выглядит безобидно, нагрузка зашифрована в base64, атака выполняется в...

Причина приостановки OKX Web3 временно отключила свой DEX-агрегатор для обновления системы безопасности. Это решение было принято после попыток северокорейской хакерской группы Lazarus использовать платформу для отмывания $100 млн украденных криптоактивов. Lazarus недавно совершили крупнейшее криптоограбление в истории, похитив $1,5 млрд с биржи Bybit. По данным Bloomberg, этот инцидент привлек внимание европейских регуляторов, однако OKX опровергла обвинения в причастности к отмыванию денег, заявив, что заблокировала подозрительные средства и обвинила Bybit в распространении дезинформации. Кто такие OKX и что такое DEX-агрегатор? OKX — одна из ведущих криптобирж, предлагающая спотовую и деривативную торговлю, а также сервисы...

Компания GitLab выпустила обновления безопасности для Community Edition (CE) и Enterprise Edition (EE), устранив 9 уязвимостей, включая две критические в библиотеке ruby-saml, используемой для SAML Single Sign-On (SSO). Все недостатки были устранены в версиях GitLab CE/EE 17.7.7, 17.8.5 и 17.9.2. Все предыдущие версии остаются уязвимыми. GitLab уже обновлён, а клиенты GitLab Dedicated получат уведомление после обновления их инстанса. Пользователи, использующие самостоятельно управляемые инсталляции на собственной инфраструктуре, должны обновиться вручную. ⬇️ CVE-2025-25291 (ruby-saml) – критическая ⬇️ CVE-2025-25292 (ruby-saml) – критическая ⬇️ CVE-2025-27407 (graphql) – уязвимость высокой степени опасности Основные уязвимости...

Специалисты Tenable изучили возможности нейросети DeepSeek R1 в создании вредоносного программного обеспечения. Оказалось, что модель способна генерировать вредоносный код, но требует дополнительного программирования и отладки. В ходе эксперимента исследователи пытались создать кейлоггер и программу-вымогатель, оценивая эффективность искусственного интеллекта в кибератаках. С ростом популярности генеративного искусственного интеллекта киберпреступники активно используют подобные технологии в своих целях. Однако большинство известных моделей, таких как ChatGPT и Google Gemini, оснащены защитными механизмами, предотвращающими злоупотребления. Тем не менее, злоумышленники разработали собственные языковые модели, включая WormGPT, FraudGPT...

Специалисты Facebook сообщили об уязвимости, обнаруженной во всех версиях библиотеки FreeType, которая может привести к удаленному выполнению произвольного кода. FreeType — популярная опенсорсная библиотека рендеринга шрифтов, которая используется для растеризации шрифтов и операций над ними. Она предоставляет функциональность для загрузки, растеризации и рендеринга шрифтов в различных форматах, включая TrueType (TTF), OpenType (OTF) и так далее. Эта библиотека используется в миллионах систем и сервисов, включая Linux, Android, игровые движки, GUI-фреймворки и онлайн-платформы. Обнаруженная уязвимость получила идентификатор CVE-2025-27363 и 8,1 балла по шкале CVSS. Проблема была устранена в версии FreeType 2.13.0, выпущенной 9...

Мошенники под видом привлекательной девушки знакомились с жертвой в соцсетях, на сайтах знакомств или чат-ботах в Telegram. В переписке предлагали сходить в в кино, театр или на стендап, а для покупки билетов отправляли ссылку на фишинговый сайт или на скачивание вредоносного приложения. ❤️ За 14 февраля, 23 февраля и 8 марта злоумышленники заработали 9,8 млн руб. — это вдвое больше, чем год назад. Самым прибыльным праздником стал День всех влюбленных — он принес мошенникам 4 млн руб. Мария Синицына, старший аналитик Digital Risk Protection F6: https://t.me/f6_cybersecurity

Антивирус Microsoft Defender начал классифицировать популярный драйвер WinRing0x64.sys, используемый в программах для мониторинга ПК, как вредоносный. Пострадали приложения от Razer, SteelSeries и других компаний. Причина – известная уязвимость в драйвере, позволяющая повысить привилегии в системе В течение последних нескольких дней различные пользователи в сети сообщали, что их приложения для управления вентиляторами и мониторинга оборудования ПК помечаются антивирусной программой Microsoft Defender как вредоносные. Среди затронутых программ есть приложения от Razer, SteelSeries и многих других компаний. Эти приложения помечаются из-за базового системного драйвера «WinRing0x64.sys», который Microsoft помечает как...

Пользователи мессенджера Telegram подверглись волне фишинговых атак. Мошеннические сообщения, содержащие поддельные ссылки на подписку Premium, отправляются через личные сообщения и заманивают на фишинговые ресурсы, похожие на страницу авторизации в мессенджере. Как избежать ловушки и что делать, если попался? Беда пришла откуда не ждали. Мессенджер Telegram традиционно считается надежным ресурсом, и, вероятно, именно его популярность привлекла злоумышленников. Суть мошеннической схемы проста: пользователь получает сообщение в Telegram, в котором утверждается, что ему предоставили «бесплатную подписку Telegram Premium» или «подарок» от компании или другого пользователя. Ссылка якобы ведет на страницу с активированным бонусом. После...

Специалисты компании ESET сообщили, что исправленная в этом месяце уязвимость нулевого дня в подсистеме ядра Windows Win32 использовалась злоумышленниками в атаках с марта 2023 года. Уязвимость получила идентификатор CVE-2025-24983 (7 баллов по шкале CVSS) и связана с повышением привилегий в подсистеме ядра Windows Win32. По информации Microsoft, эта use-after-free проблема позволяет локальным злоумышленникам получить привилегии SYSTEM, спровоцировав состояние гонки и успешно его эксплуатировав. Баг был устранен в рамках мартовского «вторника обновлений» ранее на этой неделе. Как сообщают представители ESET, обнаружившие эту уязвимость, 0-day эксплоит для CVE-2025-24983 был впервые замечен еще в марте 2023 года в системах...

Эксперты Lookout обнаружили новое шпионское ПО для Android под названием KoSpy. Этот вредонос связан с северокорейскими хакерами и был найден в официальном магазине Google Play и стороннем магазине APKPure в составе как минимум пяти приложений. По данным исследователей, спайварь связана с северокорейской группировкой APT37 (она же ScarCruft). Кампания с использованием этого вредоноса активна с марта 2022 года, причем судя по образцам малвари, хакеры активно совершенствуют свою разработку. Шпионская кампания нацелена в основном на корейских и англоязычных пользователей. KoSpy маскируется под файловые менеджеры, защитные инструменты и обновления для различного ПО. Суммарно эксперты Lookout обнаружили пять приложений: 휴대폰 관리자 (Phone...

Не менее 400 организаций пострадали за последние три года от действий шифровальной группировки Medusa. Злоумышленники используют «партнерскую» модель, но сохраняют контроль над операцией в целом Ведают, что творят Агентство по защите киберпространства и критической инфраструктуры США (CISA) опубликовало очередной бюллетень - на этот раз в партнерстве с ФБР и Центром анализа и обмена информацией между штатами (MS-ISAC), в котором утверждается, что шифровальщик Medusa атаковал за последние месяцы не менее 300 организаций, относящихся к критической инфраструктуре. В числе пострадавших - медицинские, образовательные, юридические учреждения, страховые компании, технологический и производственный сектор. Интересно, что под названием Medusa...

В популярном беспроводном контроллере ESP32 от китайской компании Espressif, который установлен более чем на миллиарде устройств, обнаружена скрытая уязвимость в виде бэкдора. Эта маленькая лазейка, о которой почти никто не знал, позволяет атакующим выдавать себя за доверенные устройства, красть данные и закрепляться в системе надолго, по сути навсегда. Источник изображения: bleepingcomputer.com Два испанских исследователя, Мигель Тараско Акунья (Miguel Tarascó Acuña) и Антонио Васкес Бланко (Antonio Vázquez Blanco) из компании Tarlogic Security, решили копнуть глубже и обнаружили, что в этом чипе есть команды, позволяющие выполнять различные вредоносные действия. Например, выдавать себя за доверенные устройства, красть данные и даже...

Microsoft пресекла масштабную вредоносную рекламную кампанию, затронувшую миллион Windows ПК через пиратские стриминговые сайты. Вредоносное ПО доставлялось через GitHub и использовалось для кражи данных и удалённого доступа. Microsoft прекратила работу с большим количеством репозиториев на GitHub, использовавшихся в масштабной кампании вредоносной рекламы, другими словами малвертайзинга, которая затронула почти один миллион устройств по всему миру. Малвертайзингом (Malvertising) называют использование онлайн-рекламы для распространения вредоносного ПО. Злоумышленники заражают рекламные объявления или внедряют вредоносные скрипты в баннеры, которые затем размещаются на популярных сайтах. При клике на такие объявления пользователи...

Специалисты Google Security Team сообщили детали уязвимости (CVE-2024-56161), позволяющей обойти механизм проверки цифровой подписи при обновлении микрокода в процессорах AMD на базе микроархитектуры от Zen1 до Zen4. Уязвимости присвоен рейтинг опасности CVSS 7,2 балла из 10, что говорит о серьёзности проблемы. «Неправильная проверка подписи в загрузчике исправлений микрокода CPU AMD может позволить злоумышленнику с привилегиями локального администратора загрузить вредоносный микрокод», — говорится в сообщении Google. Исследователи известили AMD об обнаруженной уязвимости 25 сентября 2024 года. Уязвимость, сделавшая возможной загрузку собственных патчей для микрокода процессоров AMD Zen 1-4, вызвана использованием для верификации...