Эксперты Лаборатории Касперского провели сложную атрибуцию и обнаружили коммерческое ВПО уровня спецслужб Dante В марте 2025 года специалисты Лаборатории Касперского выявили волну заражений происходивших сразу после того как жертва открывала персонализированную фишинговую ссылку полученную по электронной почте Эта атака проводилась APT группой ForumTroll и использовала уязвимость нулевого дня в браузере на базе Chromium CVE 2025 2783 Цепочка атаки Заражение происходило после того как жертва переходила по ссылке из фишингового письма и попадала на вредоносный веб сайт который проводил ряд проверок и запускал эксплойт а позже шпионское ПО LeetAgent 1 Перед запуском эксплойта скрипт проводил ряд проверок для того чтобы убедиться что сайт открыт в реальном браузере реальным пользователем а не почтовым сервером который может перейти по ссылке произвести эмуляцию скрипта и загрузить настоящий эксплойт Результаты проверки валидатор отправлял на C2 сервер вместе с идентификатором инфекции и сгенерированным публичным ключом 2 Закрепление в системе происходило при помощи техники Component Object Model COM hijacking В ее основе лежат особенности порядка поиска объектов COM в системе Злоумышленник использовали ее для подмены записей CLSID библиотеки twinapi dll и для того чтобы заставить системные процессы и браузеры загружать вредоносную DLL которая является загрузчиком LeetAgent 3 Шпионское ПО LeetAgent получило свое название так как всего его команды написаны на Leet что является редким явлением среди ВПО Вредоносное ПО подключается к одному из серверов C2 указанных в конфигурации и использует протокол HTTPS для получения и выполнения команд идентифицируемых уникальными числовыми значениями Кроме того в фоновом режиме выполняет задачи по отслеживанию нажатий клавиш и краже файлов Атрибуция Dante Эксперты проследили активность LeetAgent до первого использования в 2022 году и обнаружили другие атаки APT группы ForumTroll на организации и частных лиц в России и Беларуси Изучив это ранее шпионское ПО специалисты пришли к выводу что это коммерческое шпионское ПО Dante разработанное итальянской компанией Memento Labs бывшая Hacking Team Hacking Team или HackingTeam один из старейших и самых известных поставщиков шпионского ПО Компания была основана в 2003 году и стала известна благодаря шпионскому ПО Remote Control Systems RCS которым пользовались государственные органы по всему миру и его противоречивой репутации Ниже представлены некоторые характеристики Dante Упакована с помощью VMProtect который обфусцирует поток управления скрывает импортированные функции и добавляет проверки на запуск в отладочной среде Также использует распространенные методы обнаружения дебаггеров Для защиты от обнаружения Dante ищет в логах событий Windows события которые могут указывать на использование инструментов анализа или виртуальных машин на уровне хоста или гостя
Конвенция ООН против киберпреступности В Ханое прошла историческая церемония подписания Конвенции ООН против киберпреступности первого глобального юридически значимого договора в области кибербезопасности Документ разработанный под эгидой ООН призван укрепить международное сотрудничество в борьбе с растущими угрозами в цифровом пространстве Целями Конвенции являются содействие принятию и укрепление мер направленных на повышение эффективности и результативности предупреждения киберпреступности и борьбы с ней поощрение облегчение и укрепление международного сотрудничества в предупреждении киберпреступности и борьбе с ней поощрение облегчение и поддержка технической помощи и создания потенциала в целях предупреждения киберпреступности и борьбы с ней особенно в интересах развивающихся стран Конвенцию подписали 64 государства в том числе Российская Федерация а также Европейский союз Конвенция открыта для подписания вплоть до 31 декабря 2026 года Она вступит в силу после того как к ней присоединятся 40 государств на 90 й день после того как будет сдана на хранение 40 я ратификационная грамота Как думаете будет ли практическая ценность от данного документа
Хакеры превратили YouTube в фабрику вредоносного ПО Более 3000 поддельных уроков скрывают мошенников таких как Lumma и Rhadamanthys Была замечена вредоносная сеть аккаунтов YouTube публикующая и продвигающая видеоролики ведущие к загрузке вредоносного ПО что по сути злоупотребляет популярностью и доверием связанными с платформой видеохостинга для распространения вредоносных полезных данных Действуя с 2021 года эта сеть опубликовала более 3000 вредоносных видеороликов а с начала года их количество утроилось Компания Check Point дала ей кодовое название YouTube Ghost Network С тех пор Google вмешалась и удалила большую часть этих видеороликов Кампания использует взломанные аккаунты и заменяет их контент вредоносными видеороликами посвященными пиратскому программному обеспечению и читам для игр Roblox чтобы заразить ничего не подозревающих пользователей которые ищут их вредоносным ПО для кражи данных Некоторые из этих видеороликов набрали сотни тысяч просмотров от 147 000 до 293 000
Контроль за работой белых хакеров предложили передать ФСБ ФСТЭК и НКЦКИ По данным РБК разработана новая версия законопроекта о легализации белых хакеров готовящаяся для внесения в Госдуму Инициатива предполагает создание единой системы госрегулирования для всех видов исследовательской работы по поиску уязвимостей Согласно проекту под это определение могут попасть коммерческие bug bounty внутренние bug bounty self hosted любые независимые исследования действия одиночных исследователей которые без приглашения проверяют программное обеспечение на уязвимости пентесты тестирование на проникновение которые в данный момент проводятся по соглашению правовых договоров с описанием всех необходимых моментов взаимодействия компании клиента и компании предоставляющей услуги исследователей Регуляторы могут получить право устанавливать обязательные требования по ключевым направлениям поиска уязвимостей К ним относятся обязательная идентификация и верификация белых хакеров правила аккредитации и деятельности организаций проводящих мероприятия по поиску уязвимостей правила регулирующие обработку и защиту данных о найденных уязвимостях регламент как именно информация об уязвимости должна быть передана владельцу ресурса и госорганам и др Списки операторов которые соответствуют этим требованиям будут публиковаться на сайтах силовых ведомств а работа вне аккредитованных площадок а также работа не соответствующих правилам компаний будет запрещена Также предлагается ввести обязанность для всех кто обнаружил уязвимость сообщать о ней не только владельцу программного обеспечения но и силовым ведомствам Кроме того обсуждалось создание реестра белых хакеров для легализации их деятельности
Обнаружен новый метод Pixnapping для Android позволяющий злоумышленникам получать доступ к конфиденциальной информации OTP личные сообщения без запроса разрешений фактически подглядывая за экраном Что такое Pixnapping Злоумышленник используя специальную технику анализа времени рендеринга может полностью восстановить содержимое экрана жертвы пиксель за пикселем На практике это означает что при помощи Pixnapping можно сделать скриншот даже того что системой считается недоступным без разрешения и всё это за счёт анализа сторонних характеристик отображения Суть атаки Основная идея атаки запуск вредоносного приложения которое не требует никаких разрешений и при этом может инициировать запуск активностей целевых приложений Google Authenticator Gmail Signal или Venmo Всё это происходит в фоновом режиме и злоумышленник скрытно за кулисами выводит полупрозрачные наложения overlay поверх чувствительных элементов Эти overlay используют возможности Android для взаимодействия с Graphical Processing Unit GPU и позволяют измерять время отображения каждого пикселя Злоумышленник вставляя полупрозрачные слои измеряет задержку отображения пикселей возникающую из за особенностей рендеринга и сжатия GPU Анализ задержек позволяет определить цвет пикселя в момент его отображения Затем используя специальное ПО атакующий собирает информацию о каждом пикселе и восстанавливает исходные данные Исследовательская команда провела тесты на реальных устройствах Google Pixel версии 6 9 Samsung Galaxy S S21 S23 и более новые и других моделях под управлением Android 13 16 Они подтвердили что атака работает на всех перечисленных устройствах и не требует разрешений от пользователя Технически на вывод скорость дефектных данных в среднем 0 6 2 1 пикселей за секунду Для полного извлечения содержимого например входящих сообщений или паролей требуется примерно10 25 часов непрерывной работы Несмотря на длительность это вполне реализуемо для целенаправленных атак Google уже выпустил обновление которое ограничивает возможность таких атак путём ограничения количества активных действий вызываемых вредоносным приложением и уменьшения возможностей вставки overlay Тем не менее исследователи нашли обходные пути которые позволяют продолжать реализовывать Pixelnap эти обходы сейчас находятся в стадии разработки и тестирования Ожидается что полноценный патч будет включён в декабрьский бюллетень безопасности Android
В даркнете выставили ключи от России утечка 3 ТБ данных из SMS сервисов Хакеры заявили что взломали два крупнейших SMS провайдера России и выложили 3 терабайта данных в базе якобы находятся имена номера телефонов IP адреса банковские уведомления коды активации и даже сообщения от госструктур Если утечка реальна это может стать одной из крупнейших компрометаций данных в истории РФ Последствия потенциально катастрофичны злоумышленники смогут перехватывать SMS коды восстанавливать доступ к аккаунтам взламывать криптокошельки и рассылать фишинг от имени банков и сервисов прямо с официальных номеров Пока ни один из сервисов официально не подтвердил утечку но риски слишком высоки чтобы ждать Что делать прямо сейчас Откажитесь от SMS аутентификации используйте приложения вроде Google Authenticator Authy Bitwarden или менеджеры паролей с 2FA Проверьте где привязан ваш номер почта банк соцсети биржи и добавьте альтернативы e mail или резервные коды Смените пароли на уникальные и сложные храните их в менеджере паролей Отключите восстановление по номеру если есть возможность Не переходите по ссылкам из SMS даже если сообщение выглядит официально Даже если слухи окажутся преувеличенными повысить цифровую гигиену никогда не поздно Информационная безопасность начинается с осознанных привычек
Компания Discord опубликовала заявление с подробным разъяснением инцидента безопасности который произошел с одним из ее сторонних поставщиков услуг по обслуживанию клиентов В отличие от взлома систем самого Discord инцидент стал результатом целенаправленной атаки на сотрудника третьей стороны Хронология инцидента Инцидент берет начало не с технического взлома а с многоэтапной атаки методом социальной инженерии Злоумышленники используя методы манипуляции смогли обманом получить доступ к учетной записи одного из сотрудников сторонней службы поддержки Это произошло до 5 мая 2023 года когда команде безопасности Discord официально стало известно о произошедшем После компрометации учетной записи злоумышленник получил доступ к тем данным которые обрабатываются в тикетах службы поддержки Это означает что был раскрыт ограниченный объем информации включающий адреса электронной почты пользователей обращавшихся в поддержку содержание их сообщений к операторам а также любые документы прикрепленные к этим обращениям Важно подчеркнуть что внутренние системы Discord и основные данные аккаунтов не были затронуты Расследование не выявило никаких признаков того что злоумышленник получил доступ к паролям платежной информации или к личным сообщениям которыми пользователи обмениваются в дружеских беседах и на серверах Реакция и предпринятые меры Узнав об инциденте Discord немедленно приступил к серии действий по устранению угрозы и минимизации последствий Первым действием стала полная блокировка скомпрометированной учетной записи сотрудника сторонней службы поддержки для предотвращения дальнейшего несанкционированного доступа В срочном порядке обслуживание клиентов было переведено на нового поставщика услуг для обеспечения непрерывности работы Была запущена целевая рассылка всем пользователям чьи данные могли быть затронуты инцидентом Каждому такому пользователю было направлено персональное сообщение с описанием ситуации и рекомендацией проявлять повышенную бдительность к фишинговым письмам которые могут прийти на адрес электронной почты указанный в обращении в поддержку Компания инициировала работу по усилению систем безопасности и пересмотру процессов взаимодействия с третьими сторонами для предотвращения подобных инцидентов в будущем В своем заявлении компания принесла извинения за произошедшее и заверила что продолжает укреплять как собственные системы безопасности так и требования к сторонним партнерам чтобы не допустить подобных инцидентов в будущем А что думаете вы о данном инциденте
Пиво в Японии В С Ё Хакеры остановили производство на крупнейшем пивоваренном заводе в Японии Крупнейший производитель пива в Японии Asahi Group заявил что приостановил заказы и доставку продукции в стране после того как кибератака привела к остановке его производственных операций По данным информационного агентства компания выпускающая пиво Asahi Super Dry Beer и виски Nikka а также ряд безалкогольных напитков заявила что не может предсказать когда возобновится производство Об атаке впервые стало известно 29 09 когда компания Asahi опубликовала заявление в котором говорилось что операции по заказу и доставке в ее японских компаниях а также услуги колл центра были приостановлены из за сбоя системы Группа не раскрыла возможную личность злоумышленника но заявила что кибератака не привела к утечке данных клиентов
Белые хакеры в РФ В С Ё Минцифры предоставили второй пакет мер по борьбе с кибермошенниками в котором присутствует наложение запрет на распространение информации предназначенной для несанкционированного уничтожения блокирования модификации копирования информации и или программ для электронных вычислительных машин либо позволяющая получить доступ к программам для электронных вычислительных машин предназначенным для несанкционированного уничтожения блокирования модификации копирования информации и или программ для электронных вычислительных машин Данная поправка может серьезно повлиять на деятельность белых хакеров багхантеров и других специалистов которые пользуются публичными отчетами в своей деятельности и сами распространяют подобную информацию для развития российского ИБ сообщества Также на данный момент не понятно что будет с TI и IR отчетами которые также предоставляют различные способы кибератаках которые были ранее замечены Минцифры заявляют что запрет не коснется деятельность белых хакеров а затронет лишь распространение информации о способах кибератак Еще этим летом госдума отклонила законопроект о легализации белых хакеров в котором не учитывались нормы безопасности КИИ и гостайны а сегодня запрещает делиться отчетами о кибератаках Что будет дальше
Исследователи из компании ESET обнаружили первую программу вымогатель PromptLock написанную на базе искусственного интеллекта Программа использует скрипты на языке Lua для кражи и шифрования данных в системах Windows macOS и Linux Кроме того вымогатель использует свободно доступную языковую модель доступ к которой осуществляется через API Это означает что сгенерированные вредоносные скрипты передаются непосредственно на заражённое устройство Принцип работы PromptLock написан на Golang и использует API Ollama для доступа к большой языковой модели gpt oss 20b Сама модель размещена на удалённом сервере доступ к которому злоумышленник получет через прокси туннель Вредоносная программа использует жестко запрограммированные промпты заставляющие модель динамически генерировать вредоносные скрипты на языке Lua для следующих целей перечисление файлов в локальной файловой системе проверка целевых файлов кража данных шифрование файлов с использованием нетипичного для программ вымогателей алгоритма SPECK уничтожение данных в текущих версиях не реализована Специалисты ESET сообщили что данное ВПО не было обнаружено в реальных атаках и скорее является прототипом и экспериментальной программой Некоторые признаки указывающие на это использование слабого алгоритма шифрования жестко запрограммированный биткоин адрес нереализованная функция уничтожения данных Таким образом появление PromptLock свидетельствует о том что искусственный интеллект может быть использован в качестве оружия в вредоносных программах предлагая кроссплатформенные возможности гибкость новые способы уклонения от антивирусных программ и снижая порог вхождения для злоумышленников
