Preloader
Виробник
Рішення
новини
Дистрибуція рішень з кібер-безпеки, розвитку та оптимізації ІТ-технологій для організацій будь-якого масштабу
Oberig IT тримає руку на пульсі ІТ-світу та пропонує найактуальніші новини з кібер-безпеки
04 вересня, 2025

Symantec Threat Landscape Bulletin: Актуальні новини зі світу кібербезпеки за 28-29.08, 01-02.09.2025

Подробиці

Пропонуємо ознайомитися з Symantec Threat Landscape Bulletin, щоб дізнатися докладніше про новини зі світу кібербезпеки за 28-29 серпня  та 1-2 вересня 2025.

Сервери FreePBX стали мішенню атак з використанням уразливості «нульового дня»

Критична уразливість «нульового дня» в серверах FreePBX активно експлуатується зловмисниками, у зв’язку з чим команда безпеки проекту випустила екстрений патч і термінове попередження для адміністраторів з метою забезпечення безпеки їх систем.

Уразливість, якій на даний момент не присвоєно номер CVE, спрямована на екземпляри панелі адміністративного управління FreePBX, які підключені до Інтернету. Її використання може дозволити неавторизованим зловмисникам отримати несанкціонований доступ і потенційно віддалено захопити контроль над уразливими системами.

Згідно з інформацією, опублікованою офіційною спільнотою FreePBX, зловмисники використовували цю вразливість нульового дня для злому серверів по всьому світу, що потенційно дозволяло їм змінювати конфігурації, перехоплювати повідомлення і запускати подальші атаки всередині мереж. Механізми злому включають зловживання незахищеним адміністративним доступом і слабкі засоби аутентифікації, які відкривають доступ до конфіденційних функцій управління.

Адміністраторам рекомендується провести перевірку своїх установок на вразливість і наявність ознак потенційного злому, а потім, у разі виявлення зараження, виконати кроки з відновлення, зазначені в рекомендаціях.

В якості екстреної міри розробники FreePBX випустили позапланове оновлення безпеки для модуля EDGE, щоб усунути вразливість, а найближчим часом буде випущена повністю протестована версія. Для зниження ризику адміністраторам настійно рекомендується обмежити адміністративний доступ тільки довіреними IP-адресами і застосовувати суворі правила щодо паролів.

Програма-вимагач Storm-0501 використовує Microsoft Entra ID для проведення хмарних атак 

Зловмисники, які використовують програму-вимагач Storm-0501, використовують зламані облікові дані Microsoft Entra ID (раніше Azure Active Directory) для проведення руйнівних атак з використанням програм-вимагачів, націлених на гібридні хмарні середовища.

Зловмисники спочатку атакували локальні системи, а потім перейшли до отримання постійного доступу, зловживаючи обліковими даними та дозволами в хмарі.

В останній кампанії використовуються скомпрометовані облікові дані для підвищення привілеїв і проведення атак безпосередньо в хмарних інфраструктурах підприємств. Зловмисники використовують такі інструменти, як Evil-WinRM, інструмент для подальшої експлуатації, який використовує PowerShell через Windows Remote Management (WinRM) для полегшення віддаленого виконання коду, що дозволяє здійснювати такі дії, як латеральне переміщення і шифрування даних.

Атака DCSync, яка дозволяє зловмиснику видати себе за контролер домену, зловживаючи віддаленим протоколом служби реплікації каталогів, також використовується для вилучення конфіденційних даних Active Directory, включаючи хеші паролів користувачів, які згодом використовувалися для отримання доступу до інших облікових записів, в тому числі до облікового запису з роллю глобального адміністратора, який не був захищений MFA.

Адміністраторам рекомендується впровадити багатофакторну автентифікацію (MFA), використовувати модуль довіреної платформи (TPM) на сервері Entra Connect Sync для запобігання крадіжки конфіденційних матеріалів, здійснювати постійний моніторинг журналів управління ідентифікацією та доступом, а також вводити суворий контроль доступу для зниження цих загроз.

Користувачам Passwordstate рекомендується виправити критичну помилку, що дозволяє обійти аутентифікацію

Дослідники попереджають, що критична вразливість в менеджері паролів Passwordstate, що дозволяє обійти аутентифікацію, може призвести до повного злому системи.

Вразливість, якій на даний момент не присвоєно номер CVE, виникає через некоректну перевірку на сторінці екстреного доступу в ядрі продуктів Passwordstate, що дозволяє зловмисникам використовувати її без дійсних облікових даних. Успішне використання вразливості може призвести до повного злому системи, розкриття сховищ облікових даних і конфіденційної інформації підприємства.

Фінські дослідники в галузі кібербезпеки повідомили про виявлення вразливості та наголосили на її серйозних наслідках, особливо для організацій, які покладаються на Passwordstate для безпечного управління привілейованими обліковими записами, обліковими даними служб і паролями ІТ-інфраструктури. З огляду на централізований характер менеджерів паролів, несанкціонований доступ може також дозволити зловмисникам перемикатися і розширювати атаки на підключені системи.

Для вирішення цієї проблеми компанія Passwordstate випустила позапланове оновлення безпеки (версія 9.9 Build 9972), яке усуває цю вразливість, і настійно рекомендує користувачам негайно його встановити. Додаткові заходи щодо зниження ризику включають перевірку журналів адміністративного доступу, впровадження багатофакторної аутентифікації, зміну критично важливих паролів і моніторинг мережевої активності на предмет підозрілих спроб входу в систему.

Російські спецслужби як і раніше націлені на користувачів Microsoft

Amazon заявила, що припинила кампанію російської шпигунської групи Fritillary (також відомої як APT29, Cozy Bear), метою якої було виманити у користувачів облікові дані Microsoft.

Зловмисники зламали низку легітимних веб-сайтів і використовували їх для перенаправлення приблизно 10% відвідувачів на шкідливу інфраструктуру, налаштовану так, щоб обманом змусити відвідувачів авторизувати пристрої, контрольовані зловмисниками, за допомогою потоку аутентифікації коду пристрою Microsoft.

Amazon зазначила, що зловмисники використовували файли cookie, щоб запобігти повторним відвідуванням користувачами, і швидко перейшли на нову інфраструктуру, коли атаки були заблоковані. Fritillary почала спеціалізуватися на атаках на хмарні сервіси, зокрема на хмарні сервіси Microsoft. На початку 2024 року групі вдалося зламати саму Microsoft.

Fritillary — це група кібершпигунів, відома тим, що вона націлена на високопоставлених осіб і організації в сфері державного управління, міжнародних відносин, політики і досліджень, і особливо активна щодо дипломатичних організацій в США і Європі. Група була відповідальна за злом Національного комітету Демократичної партії (DNC) у 2016 році та атаку на ланцюжок поставок з використанням програмного забезпечення для управління ІТ SolarWinds у 2020 році. Уряд США офіційно назвав Службу зовнішньої розвідки Росії (СЗР) організатором атаки на SolarWinds.

Вразливість WhatsApp, яка не вимагає кліків, використовувалася в цільових атаках

У п’ятницю (29 серпня 2025 р.) компанія Meta повідомила у своєму повідомленні, що вразливість у WhatsApp, яка не вимагає жодних дій з боку користувача, була використана в цілеспрямованих і складних атаках «нульового дня».

Уразливість (CVE-2025-55177 — оцінка CVSS: 5,4) стосується WhatsApp для iOS до версії 2.25.21.73, WhatsApp Business для iOS v2.25.21.78 і WhatsApp для Mac v2.25.21.78. Ця вразливість може дозволити «сторонньому користувачеві ініціювати обробку контенту з довільної URL-адреси на пристрої жертви», йдеться в повідомленні WhatsApp. «Ми вважаємо, що ця вразливість у поєднанні з вразливістю на рівні ОС на платформах Apple (CVE-2025-43300 — оцінка CVSS: 8,8) могла бути використана в складній атаці на конкретних цільових користувачів».

WhatsApp надіслав повідомлення користувачам, які, на їхню думку, могли стати ціллю зловмисних повідомлень протягом останніх 90 днів. У попередженнях йшлося про те, що, хоча вони не можуть з упевненістю сказати, які пристрої були скомпрометовані, вони надсилають попередження з міркувань крайньої обережності. Незважаючи на те, що вразливість тепер усунена, вони також порадили тим, хто отримав повідомлення, виконати повне скидання налаштувань пристрою до заводських налаштувань, оскільки «операційна система пристрою може залишатися скомпрометованою шкідливим ПЗ або піддаватися іншим видам атак».

Подібні вразливості, які не вимагають жодних дій з боку користувача, є особливо небезпечними. Такі вразливості зазвичай використовуються для встановлення шпигунського ПЗ на телефони жертв і, як правило, пов’язані з добре фінансованими зловмисниками, зокрема з групами, що спонсоруються державою.

Уразливість віддаленого виконання коду в Google Web Designer виправлена

Уразливість в Google Web Designer, яка на даний момент виправлена, могла дозволити віддаленому зловмиснику віддалено виконувати код в системах Windows.

Уразливість CSS-ін’єкції (якій ще не присвоєно номер CVE) була виявлена дослідником у галузі безпеки Балінтом Магяром і стосується версій Web Designer до версії 6.4.0.0711, випущеної 29 липня 2025 року. Версії програмного забезпечення для Linux і macOS не вразливі через відмінності в обробці підпроцесів і аргументів командного рядка.

Магяр має досвід виявлення вразливостей у Web Designer, раніше цього року він виявив дві окремі вразливості віддаленого виконання коду (CVE-2025-1079 і CVE-2025-4613).

Новий троян TinkyWinkey використовує передові технології кейлоггінгу

Дослідники в галузі кібербезпеки написали у своєму блозі про нове складне шкідливе ПЗ-кейлоггер під назвою «TinkyWinkey», вперше виявлене в червні 2025 року, яке націлене на системи Windows і має розширені можливості прихованої дії.

Це шкідливе ПЗ використовує двокомпонентну архітектуру, що складається з двох основних частин: служби Tinky, що відповідає за підтримку постійної присутності в системі шляхом реєстрації в якості легітимної служби Windows з автоматичним запуском при завантаженні, і компонента Winkey Keylogger, який збирає дані про натискання клавіш.

Механізм кейлоггінгу TinkyWinkey використовує низькорівневі системні хуки для збору всіх натискань клавіш, включаючи спеціальні клавіші, функціональні клавіші та багатомовні входи Unicode. Він динамічно відстежує зміни розкладки клавіатури, забезпечуючи точне ведення журналу при перемиканні користувачами мов або методів введення. Шкідливе ПЗ також співвідносить натискання клавіш з активним вікном на передньому плані, що дозволяє зловмисникам визначати, коли жертви отримують доступ до конфіденційних додатків, таких як банківські портали або поштові клієнти.

Крім перехоплення натискань клавіш, TinkyWinkey виконує комплексне профілювання системи, збираючи детальну інформацію про апаратне та програмне забезпечення, яка допомагає зловмисникам зрозуміти середовище жертви для подальшого використання. Вся перехоплена інформація зберігається у файлах журналу з кодуванням UTF-8 у тимчасових системних каталогах для подальшої екстракції.

TinkyWinkey використовує методи впровадження процесів, вбудовуючи свої скрипти кейлоггера в довірені системні процеси, такі як explorer.exe, що підвищує ефективність ухилення від виявлення традиційними антивірусними інструментами.

Читайте Symantec Protection Bulletin, щоб дізнатися більше про те, як продукти Symantec захищають вас від загроз.

Зв'яжіться з нами
Зворотний зв'язок зі спікером