НеКасперский

Без предупреждения Уязвимость 7-Zip позволяет запускать вредоносные файлы из интернета без привычного предупреждения Windows. Фокус в «матрёшке» из архивов. Злоумышленник присылает ZIP, внутри которого ещё один ZIP с файлом. 7-Zip распаковывает внутренний архив, и файл остаётся без метки Mark-of-the-Web. Windows не распознаёт, что он из интернета, и молча разрешает запуск. Как утверждают иностранные СМИ, эту лазейку уже использовали в атаках на Украину. Жертвам рассылали двойные архивы с малварью SmokeLoader. Благодаря этой цепочке вредонос незаметно проникает в систему, куда дальше загружает остальные вредоносы. Разработчики 7-Zip закрыли дыру в версии 24.09. Но автообновления у архиватора нет — многие пользователи до сих пор уязвимы. НеКасперский

Что по цифрам? Эксперты CURATOR (до ноября 2024 — Qrator Labs) выпустили годовой отчет “DDoS-атаки, боты и BGP-инциденты в 2024 году: статистика и тренды”, в котором собрали самые важные факты об угрозах прошедшего года. Внутри много интересного, вот основные цифры📝 📈 Рост DDoS-атак • Общее число DDoS-атак выросло на 53% по сравнению с 2023 годом • Рекордная атака достигла 1,14 Тбит/с, на 65% больше прошлогоднего рекорда • Самая длительная атака продолжалась 19 дней (в 2023 году — 3 дня) • Крупнейший ботнет года — 227 тыс. устройств (в 2023 году — 136 тыс.) 🏦 Кого атаковали чаще всего • Наибольшее число L3-L4 атак: Финтех (25,8%), Электронная коммерция (20,5%) и Медиа (13,5%) • 52% всех L7 атак пришлось на Финтех, на втором и третьем местах — Электронная коммерция (18%) и ИТ и Телеком (9,6%) 🤖 Боты • Среднемесячная активность ботов выросла на 30% • Чаще всего атаковали Онлайн-ритейл — 36,2% от всей бот-активности 🌍 Страны-источники DDoS-атак 1. Россия — 32,4% 2. США — 20,6% 3. Бразилия — 5,8% (Китай выпал из топ-3) 🌐 BGP-инциденты • Рост BGP route leaks — на 10%, BGP hijacks — на 24% • Глобальные инциденты: +59% route leaks • Один из успехов: предотвращение глобальной утечки маршрутов с использованием стандарта RFC 9234, разработанного экспертами CURATOR вместе с IETF Вы можете скачать полный отчет, чтобы узнать все подробности. А еще недавно ребята создали Telegram-канал CURATOR, чтобы делиться своей экспертизой. Можете подписаться на них и следить за обновлениями💡

Бывает Google нашли в процессорах AMD уязвимостью, которая позволяет изменять код самих чипов! Проблема кроется в SEV-SNP и позволяет при наличии прав администратора и определённых условиях подменять микрокод в процессорах. Как итог, гость под SEV-SNP может утратить и конфиденциальность, и целостность. В основе дыры лежит несовершенная проверка подписи. Злоумышленник способен загрузить вредоносный патч в CPU, обойти защитные рубежи и проникнуть глубже, чем того хотела бы архитектура. AMD уже выпустила обновления микрокода для всех затронутых платформ, например, Naples, Rome, Milan и Genoa. Специалисты подчеркивают, что дальнейшие детали появятся лишь через месяц, чтобы дать производителям время устранить уязвимость по всей цепочке. НеКасперский

Чёрная кошка Вопреки легендам о защищённости IOS-устройств, специалисты из Лаборатории Касперского обнаружили вредонос, способный сливать ваши фотографии. SparkCat таится в как минимум двадцати поддельных приложениях. Он сканирует фотографии с помощью оптического распознавания символов. Если находит seed-фразу для криптокошелька, пароли, токены или другие секреты, то отправляет снимок на сервер. Выяснилось, что на iPhone это первый подобный случай. В Google Play, например, это распространённая практика. Там фальшивые программы скачали свыше 242 тысяч раз, а статистика по iOS неизвестна. Главный признак атаки — внезапный запрос доступа к вашим фотографиям. Никогда не доверяйте подозрительным сервисам. НеКасперский

Неудачно Новая хакерская группировка использует уязвимость в DameWare Mini Remote Control и умудряется вырубать антивирус с помощью собственного драйвера. Их Reverse Shell на Java почти не замаскирован, адрес C2 хранится в открытом виде вместе со ссылкой на GitHub. Аналитики заметили, что злоумышленники эксплуатировали RCE, позволяющую запускать код от имени LocalSystem. В результате, помимо RS, в атаках применяли и QuasarRAT для закрепления доступа, но ошибка при создании задачи «Run only when user is logged on» приводила к остановке активности после перезагрузки системы. Народное «что-то сломалось — перезагрузи» заиграло другими красками 😉 НеКасперский

Клин клином Мы ещё не отошли от предыдущего сюрприза как инфополе снова загудело от новостей, связанных с DeepSeek. В Positive Technologies сообщили, что злоумышленники используют зловред под видом нашумевшего китайского чат-бота. Юзер, создавший учётную запись bvk в июне 2023 года, впервые проявил активность в сети 29 января 2025 года. В этот день он зарегистрировал вредоносные пакеты deepseeek и deepseekai в репозитории Python Package Index. После установки и запуска регистрируемой консольной команды, они собирают, информацию о пользователе, его компьютере и крадут переменные окружения. В них могут содержаться конфиденциальные сведения по типу API-ключей для S3-хранилища и учётных данных от БД. Создатель этих пакетов использовал платформу для разработчиков Pipedream в качестве контрольного сервера, в который выгружаются данные. Код создан с помощью ИИ, об этом свидетельствуют комментарии, объясняющие строки кода. Несмотря на то, что пакеты были оперативно удалены, их уже успели скачать сотни раз. НеКасперский

Total Security Телефонные мошенники кинули топ-менеджера Лаборатории Касперского на 10 миллионов рублей. Советнику гендира по образовательным проектам позвонили парни из Днепра. Они представились руководителями службы безопасности, сотрудниками Росфинмониторинга и силовых структур. Скамеры сообщили мужчине, что кто-то его взломал и пытается отправить все деньги на помощь Украине. Мошенники сыграли свои роли так убедительно, что высокопоставленный эксперт перепугался и тут же принялся спасать свои средства. Он снял с банковского счёта 10 миллионов рублей, а затем передал их курьерам в Санкт-Петербурге и Москве. Лаборатория Касперского входит в четвёрку мировых производителей программных решений для обеспечения информационной безопасности. Компания систематически раздаёт пользователям советы о том, как защитить себя в Интернете. Видно, сотрудники сами эти лекции не слушают 🤭 НеКасперский

Роутерс Злоумышленники всё чаще используют уязвимости в роутерах для проведения атак на IoT-устройства. Одна из таких кампаний связана с ботнетом Raptor Train, созданным на основе SOHO. Специалисты обнаружили его в ещё мае 2020 года, он быстро разросся и успел затронуть сотни тысяч гаджетов по всему миру, в том числе IP-камеры, сетевые хранилища и маршрутизаторы. Армия позволяла злоумышленникам передавать файлы, выполнять команды, совершать DDoS-атаки и маскировать свой трафик. По мнению исследователей, она была создана китайской APT-группировкой Flax Typhoon. В результате атак на уязвимые роутеры преступники могут получить доступ к множеству IoT-устройств. Мы неоднократно рассказывали о последствиях взломов маршрутизаторов таких производителей, как ASUS, Synology, DrayTek, TP-Link и др. В США даже приняли решение создать проект ROUTERS, в рамках которого будет проведена проверка сетевого оборудования, созданного компаниями из Северной Кореи, России, Ирана, Китая, Венесуэлы и Кубы на предмет наличия бекдора и неисправленных уязвимостей. НеКасперский

Рука на пульсе Специалисты из CISA сообщили о серьёзной уязвимости в медицинских мониторах для пациентов Contec CMS8000 и Epsimed MN-120. Бэкдор использовался для загрузки и выполнения вредоносных файлов, он позволял злоумышленникам управлять устройствами, отключать их, а также собирать сведения, по которым можно идентифицировать пациента. Имя врача и личная информация лечащегося отправлялись на удалённый IP-адрес предположительно в Китае. Эксперты считают, что брешь возникла не из-за автоматического обновления. По их мнению, брешь была встроена в прошивку мониторов с самого начала. После предупреждения об опасности, компания выпустила обновления. Однако избавиться от проблемы не удалось, потому что каждая версия содержала уязвимость. В итоге медицинские организации вынуждены отключить эти устройства от сети или вовсе отказаться от их использования. НеКасперский

Блефуют? От атаки злоумышленников пострадала ведущая аэрокосмическая и оборонная фирма со штаб-квартирой в Миссисипи Stark Aerospace. Участники группировки INC Ransom заявили, что в их арсенале файлы объёмом 4 ТБ, украденные у подрядчика Минобороны США. По их словам, в списке скомпрометированных данных содержатся ПДн сотрудников, проектная документация, научные разработки, информация о контрактах с другими военными ведомствами, исходные коды ПО, в том числе прошивки для всех типов БПЛА. В качестве доказательств преступники предоставили около 40 образцов файлов. Также им удалось получить доступ к спутникам, производственным программам и документации материнской компании IAI North America, связанной с израильской фирмой по разработке технологий в области аэрокосмической и оборонной промышленности Israel Aerospace Industries Ltd. Теперь вымогатели требуют у пострадавшей компании выкуп, сумма и сроки уплаты которого не разглашаются. В противном случае, они сольют все эти данные «заинтересованным» лицам. НеКасперский

Бог любит троицу Наш старый «друг» на коде Mirai появился уже в третьей итерации. Теперь он атакует SIP-телефоны Mitel и умудряется шепнуть операторам, если кто-то пытается его прикончить. Такой фокус редко встретишь у обычных ботнетов, но тут, видимо, полный контроль во главе угла. Протекает всё через уязвимые эндпоинты вроде 8021xsupport.html. Вредонос скачивает исполняемые файлы, меняет права на 777 и успевает замести следы. Дальше ботнет пробует зацепиться за другие баги. Кроме того, стандартный брутфорс SSH и Telnet. В общем, новая армия IoT-устройств под командой для DDoS. НеКасперский

Хакеры активно пользуются брешью интернет-серверов Cacti Об этом сообщили исследователи из компании Censys. Оказывается, что большая часть серверов веб-приложения для построения графиков пропускает любого неавторизованного пользователя к файлу "remote_agent.php".…