НеКасперский

Врезали Исследователь взломал шифрование вымогателя Akira и опубликовал исходники своей утилиты для брутфорса. Как бы это странно не звучало, но уязвимость вируса оказалась в механизме генерации ключей. Вредонос использует текущее время как сид для шифрования. Изучив бинарник, автор обнаружил, что для каждого файла создаётся уникальный ключ на основе четырёх временных меток, а затем применяется 1500 раундов SHA-256. Для перебора возможных значений времени он задействовал батарею GPU, достигнув скорости около 1,5 миллиарда вариантов в секунду. Это позволило расшифровать VMDK-файлы с виртуалками ESXi без единого рубля выкупа. Весь инструментарий выложен на GitHub. Ожидаемо, авторы вымогателя уже готовят обновлённую версию. НеКасперский

На сухом пайке Хакерская группа LabDookhtegan отключила системы связи 116 иранских судов, оставив их практически в информационной изоляции. Атака парализовала коммуникационные сети 50 танкеров Национальной иранской нефтяной компании и 66 судов Исламской Республики Иран Шиппинг. По словам хактивистов, большинство из этих кораблей находится под международными санкциями, а их восстановление займёт несколько недель. В этот период суда смогут использовать только ограниченные методы связи, что серьёзно осложняет их навигацию и координацию. LabDookhtegan заявляет, что целью операции было «ослепить режим» в разгар атак США на позиции хуситов в Йемене, которых Иран якобы снабжает боеприпасами через эти же суда. Технические детали взлома морских коммуникационных систем остаются неизвестными. Предполагаем, что это могли быть это могли быть как и компрометация спутниковой VSAT-связи, так и атака на береговую инфраструктуру управления флотом. НеКасперский

ПиПиАй Обычно не пишем о фейковых репозиториях, но эти умудрились собрать более 14000 загрузок, прежде чем их удалили из PyPI. Злоумышленники залили 20 поддельных библиотек, маскируя их под утилиты для работы со временем и клиентские SDK для облачных сервисов. Самыми популярными оказались acloud-client с 5496 загрузками, snapshot-photo с 2448 и enumer-iam с 1254. Особенно неприятно, что эти пакеты были включены в зависимости GitHub-проекта accesskey_tools с 519 звёздами, что увеличило радиус поражения. Вредоносный код позволял красть чувствительные данные, включая облачные токены доступа. Все найденные библиотеки уже удалены из PyPI, но осадочек остался. НеКасперский

Укрпатруль Проукраинские хакеры из Head Mare и Twelve объединили усилия для атак на российские организации. Лаборатория Касперского обнаружила признаки сотрудничества двух хактивистских группировок. Так, в недавних инцидентах относительно молодая Head Mare использовала инструменты, ранее замеченные только у Twelve, включая бэкдор CobInt. Обе группы эксплуатируют общие C2-серверы с доменами вроде 360nvidia.com. Преступники расширили арсенал проникновения, и теперь они не только используют фишинг с эксплойтами, но и компрометируют подрядчиков с доступом к бизнес-автоматизации. Для скрытия активности они маскируют вредоносные файлы под стандартные компоненты системы, например rclone под системный wusa.exe. После проникновения хакеры шифруют данные с помощью LockBit 3.0 и Babuk без требования выкупа, ведь их цели политические и они стремятся полностью уничтожить данные и инфраструктуру своих жертв. НеКасперский

Чебурнулись По всей Сибири РКН умудрился заблокировать Cloudflare и Amazon, что привело к параличу множества сайтов и приложений. В редакцию массово поступают сообщения от пользователей, которые не могут получить доступ к привычным сервисам. Технический анализ показывает типичный паттерн DPI-блокировок — пакеты, отправленные на узлы Cloudflare и AWS, уходят в чёрную дыру. Большинство современных веб-ресурсов использует эти платформы для CDN, проксирования и хостинга, а значит миллионы россиян лишились доступа к значительной части интернета. Официальные лица, как обычно, заявляют о «неработоспособности иностранной серверной инфраструктуры» и рекомендуют переходить на отечественные хостинги. Знакомая песня — так же «сами сломалися» и YouTube, и многие другие сервисы из недружественных стран. Удивительно, как они работают во всём мире, но почему-то «выходят из строя» именно в российском сегменте сети. А у вас работает львиная доля интернета, или тоже пришлось срочно поднимать VPN? 👍 / 👎 НеКасперский

Headache В lua-nginx-moduleобнаружена уязвимость, позволяющая обойти защиту прокси и красть ответы других пользователей. Суть проблемы в том, что модуль неправильно обрабатывает HEAD-запросы с телом, интерпретируя их как два отдельных запроса вместо одного. Когда такой запрос проходит через цепочку прокси, возникает расхождение в их интерпретации. Уязвимость затрагивает не только сам OpenResty, но и популярные решения на его основе — Kong Gateway и Apache APISIX. Исследователь продемонстрировал, как с помощью этой бреши можно провести XSS-атаки, обойти защиту Cloudflare и перехватывать чужие ответы. Разработчики уже выпустили патч, но учитывая распространенность OpenResty в высоконагруженных системах, многие сервисы все еще могут быть уязвимы. НеКасперский

Сор из избы Развалившаяся Black Basta, по всей видимости, заканчивала со скандалом, который закончился сливом внутренних переписок бывшего главы банды и нескольких приближённых. Некий ExploitWhispers выложил в сеть архив логов из внутреннего чата Matrix.…

Время пошло Нарушить права человека хотят в Минцифры, чтобы попытаться как-то остановить деятельность мошенников. Ассоциация разработчиков программных продуктов «Отечественный бизнес» бьёт тревогу из-за проекта по созданию государственных информационных систем для противодействия правонарушителям, принятого Госдумой вчера в первом чтении. Изменения коснулись десятков действующих законов и нормативно-правовых актов. Нововведения предусматривают возможность прослушивать и записывать разговоры граждан РФ. А собранные данные же планируют хранить на единой антифрод‑платформе неких векторов голосов мошенников. Базу будут использовать операторы связи для блокировки сомнительных звонков. В АРПП заявили, что такие поправки являются прямым нарушением Конституции и закона «О персональных данных». По их словам, маркировать мошенников должны не технические системы, а суды или правоохранительные органы. Отдельно упомянули и риск попадания в базу сгенерированных записей, голоса из которых могут принадлежать невинным людям. В новом проекте не предусмотрен механизм оспаривания ложной маркировки. Если голос невинного пользователя попадёт в эту базу по ошибке, он не сможет звонить и будет считаться мошенником. Минус социальный рейтинг 🇨🇳📉 В общем, недочётов много. Учитывая, что второе чтение назначено на 25 марта, на внесение поправок у ведомства остаётся всего неделя. НеКасперский

Шорткат разведка 11 APT-группировок с 2017 года атакуют через обычные ярлыки Windows, скрывая ссылки на вредоносные скрипты за невидимыми символами. Уязвимость кроется в отображении содержимого поля target у .LNK файлов. злоумышленники маскируют опасный код с помощью символов перевода строки «\x0A» и возврата каретки «\x0D». Когда пользователь проверяет свойства такого ярлыка, Windows не показывает спрятанные команды в поле «Объект». Среди активных эксплуататоров этой техники группировки из Северной Кореи, Ирана, России и Китая. Северокорейские хакеры особенно изобретательны, создавая непривычно огромные .LNK файлы для обхода детекта, они используют файлы со средним размером 3 МБ, а максимум доходит до 70 МБ. Microsoft классифицировала проблему как «низкоприоритетную» и не собирается выпускать патч, несмотря на почти 1000 выявленных вредоносных образцов, которые эксплуатируются уже более 8 лет. НеКасперский

PUT мне привилегий В Apache Tomcat обнаружена критическая уязвимость, позволяющая удалённо выполнять код через обычный PUT-запрос. Суть проблемы в том, что Tomcat создаёт временные файлы на основе пользовательского пути, заменяя разделители директорий на точку. Это нарушает изоляцию данных и злоумышленник может обращаться к папкам выше по иерархии, просто подставив точки в свой запрос. В результате он может внедрить вредоносный код или похитить чувствительные данные, если у вас включен режим записи для DefaultServlet и активна поддержка partial PUT. В самом опасном сценарии, когда Томкат использует файловое хранение сессий, атакующий может загрузить сериализованный объект прямо в хранилище и выполнить произвольный код при десериализации. Эксплойты уже гуляют по сети, а количество уязвимых серверов исчисляется миллионами. Если ваша инфраструктура на Томкате — срочно обновляйтесь. НеКасперский

Подождали и хватит Игровая блокчейн платформа WEMIX потеряла $6,1 млн в результате хакерской атаки, о которой руководство сообщило лишь спустя неделю после инцидента. Взлом произошёл 28 февраля, когда злоумышленники похитили 8,6 млн токенов WEMIX через скомпрометированные ключи аутентификации NFT-платформы NILE. По версии компании, хакеры завладели ключами из общего репозитория, куда их загрузил разработчик для удобства работы. После двухмесячной подготовки они выполнили 13 успешных транзакций, мгновенно обналичив украденное через криптобиржи. CEO объяснил задержку с оповещением опасениями вызвать панику на рынке и риском дополнительных атак. Сейчас WEMIX находится офлайн — команда мигрирует всю инфраструктуру в новую, более защищённую среду. Развлекаются с фантиками? 😇 НеКасперский

Учебная гигиена Хакер выложил на BreachForums базу Министерства образования ОАЭ. В утечке фигурируют две таблицы. Файл побольше содержит 300 тысяч строчек с данными данными учащихся, а в той, что поменьше — паспортные данные. Скомпрометированные данные включают имена, электронные адреса, информацию об учебных заведениях, уровнях обучения, а также местные ID. В дампе поменьше содержатся паспортные данные, номера телефонов, и даже данные охранников учеников. По словам автора утечки, оба набора данных актуальны на март 2025 года. Официальных комментариев от властей ОАЭ пока не поступало. НеКасперский