Предлагаем ознакомиться с Symantec Threat Landscape Bulletin, чтобы узнать подробнее о новостях из мира кибербезопасности за 27 марта, 1-2 апреля 2025 года.
Шпионская группа RedCurl переходит на вымогательское ПО, нацеленное на виртуальные машины Hyper-V
Русскоязычная группа корпоративного шпионажа RedCurl была замечена в использовании шифровальщика, предназначенного для Hyper-V (VM).
RedCurl известна тем, что с 2018 года атакует корпоративные организации по всему миру с целью кражи конфиденциальных документов. Однако, согласно новому отчету Bitdefender Labs, угрожающие субъекты теперь начали развертывать вымогательское ПО во взломанных сетях.
Поскольку организации все чаще переходят на использование VM для размещения серверов, группировки разработчиков вымогательского ПО приступили к созданию шифровальщиков, нацеленных именно на платформы виртуализации. В то время как многие группировки вымогателей нацелены на серверы VMware ESXi, новое вымогательское ПО QWCrypt от RedCurl нацелено именно на VM, размещенные на Hyper-V.
Последние атаки связаны с использованием фишинговых писем, содержащих приманки на тему отдела кадров (HR). В письмах вложены монтируемые образы дисков (ISO), замаскированные под резюме, которые запускают многоступенчатую процедуру заражения, включающую подмену DLL с помощью легитимного исполняемого файла Adobe.
QWCrypt поддерживает множество аргументов командной строки, которые позволяют управлять тем, как шифровальщик будет нацеливаться на виртуальные машины Hyper-V для настройки атак. Для шифрования файлов QWCrypt использует алгоритм шифрования XChaCha20-Poly1305 и добавляет к зашифрованным файлам расширение .locked$ или .randombits$.
В настоящее время неясно, использует ли RedCurl вымогательское ПО как отвлекающий маневр или для настоящих атак с целью вымогательства.
Check Point подтверждает факт взлома
Хакер утверждает, что похитил у Check Point «очень важные» данные и выставил их на продажу вместе с доступом к сети израильской компании, занимающейся кибербезопасностью.
Участник киберпреступного форума под ником CoreInjection сообщил, что якобы похищенные данные содержат карты и архитектурные схемы внутренней сети, учетные данные пользователей (включая пароли в хэшированном и открытом виде), контактную информацию сотрудников и собственный исходный код.
На скриншотах, предоставленных CoreInjection, видно, что хакер находится на портале Check Point admin Infinity (управление безопасностью) и якобы дает себе право изменять настройки двухфакторной аутентификации пользователей.
CoreInjection опубликовала свои утверждения в воскресенье, 30 марта 2025 года, назначив за данные «твердую и не подлежащую обсуждению» цену в 5 биткойнов ($434 570).
В ответ на предполагаемый взлом компания Check Point заявила, что претензии относятся к «старому, известному и очень точечному событию», которое затронуло ограниченное число организаций и не коснулось никаких основных систем. «Это событие произошло несколько месяцев назад и не включало в себя описание, подробно описанное в сообщении на темном форуме», — говорится в заявлении компании. «Эти организации были обновлены и обработаны в то время, и это не более чем повторное использование устаревшей информации».
Если, как утверждает Check Point, это связано со старым событием, то непонятно, почему об этом не было сообщено во время события.
Группа Shuckworm атакует украинские организации с помощью Remcos RAT
Связанная с Россией группа постоянных угроз Shuckworm (она же Gamaredon Group, SectorC08, Primitive Bear, ACTINIUM, Trident Ursa), как сообщается, атаковала различные правительственные и военные организации в Украине с помощью трояна Remcos для удаленного доступа (RAT). Файлы, используемые в атаках, имеют русскоязычные названия, выбранные таким образом, чтобы навести на мысль, что они содержат важную разведывательную информацию, связанную с действиями российских войск в Украине.
Хотя у исследователей не было доказательств того, как файлы распространялись изначально, прошлый опыт показал, что Shuckworm обычно нацелен на жертв с помощью кампаний по рассылке вредоносных программ по электронной почте. Вероятно, ничего не подозревающим жертвам рассылались фишинговые письма, содержащие ZIP-файл или ссылку на ZIP-файл.
Если пользователь откроет ZIP-файл из фишингового письма, он запустит содержащийся в нем LNK-файл, который запустит сценарии PowerShell для загрузки и выполнения следующих этапов цепочки атак с серверов в России и Германии, отображая при этом документ-обманку для сохранения прикрытия.
В итоге вредоносный DLL загружается в легитимные приложения и используется для сброса и запуска копии Remcos RAT, которая позволяет злоумышленникам получить удаленный доступ к взломанному компьютеру, что дает им возможность осуществлять другие действия, например, сбор разведданных.
Защита
Последние обновления защиты можно найти в бюллетене Symantec Protection Bulletin.
Хакеры используют WordPress MU-плагины для внедрения спама и перехвата изображений сайта
Злоумышленники используют директорию WordPress mu-plugins (Must-Use Plugins) для скрытия вредоносного кода и обхода проверок безопасности, сообщают исследователи Sucuri.
Mu-plugins — это PHP-файлы, хранящиеся в директории ‘wp-content/mu-plugins/’ на сайтах WordPress. Плагины автоматически загружаются на каждой странице, не требуют активации и не отображаются в стандартном интерфейсе плагинов WordPress, что делает каталог привлекательной целью для злоумышленников.
Впервые Sucuri заметила злоупотребление mu-плагинами в феврале 2025 года, но теперь компания заявила, что обнаружила еще больше вредоносного PHP-кода, спрятанного в той же директории, предназначенного для перенаправления посетителей сайта на внешние, вредоносные страницы (redirect.php); для создания веб-оболочки для выполнения команд, обеспечивающей злоумышленникам контроль над сайтом (index.php); и для внедрения спам-контента на сайт (custom-js-loader.php).
«Тот факт, что мы наблюдаем так много заражений внутри mu-plugins, говорит о том, что злоумышленники активно используют этот каталог в качестве постоянного плацдарма», — предупреждает Puja Srivastava из Sucuri.
Sucuri не определила путь заражения, но предположила, что злоумышленники используют известные уязвимости в плагинах и темах или слабые учетные данные администратора.
Microsoft использует искусственный интеллект для поиска недостатков в загрузчиках с открытым исходным кодом
Компания Microsoft обнаружила 20 ранее неизвестных уязвимостей в нескольких загрузчиках с открытым исходным кодом.
Используя свой Security Copilot, работающий на основе искусственного интеллекта, исследователи Microsoft обнаружили недостатки в GRUB2 (GRand Unified Bootloader), который является загрузчиком по умолчанию для большинства дистрибутивов Linux, а также в U-Boot и Barebox, которые обычно используются во встраиваемых и IoT-устройствах.
GRUB2 содержал 11 уязвимостей, включая целочисленные переполнения и переполнения буфера в парсерах файловой системы, недостатки команд и побочный канал в криптографическом сравнении. В то же время в U-Boot и Barebox было обнаружено девять переполнений буфера при разборе SquashFS, EXT4, CramFS, JFFS2 и симлинков.
«В то время как для использования уязвимостей U-boot или Barebox угрожающим лицам, скорее всего, потребуется физический доступ к устройству, в случае с GRUB2 уязвимости могут быть использованы для обхода Secure Boot и установки скрытых буткитов или потенциального обхода других механизмов безопасности, таких как BitLocker», — пояснили в Microsoft.
GRUB2, U-boot и Barebox выпустили обновления для устранения уязвимостей в феврале 2025 г.
Apple выпускает огромное количество обновлений, включая исправления «нулевого дня» для старых продуктов
Компания Apple выпустила большую коллекцию обновлений безопасности для широкого спектра своих продуктов, включая iOS, iPadOS, macOS и многие другие. Примечательной особенностью этого выпуска является обратный перенос исправлений для трех уязвимостей, которые ранее были недоступны для старых устройств, что делало их уязвимыми для атак. К этим уязвимостям относятся:
CVE-2025-24200 (CVSS score: 6.1), которая может быть использована для отключения «Ограниченного режима USB» на заблокированных устройствах iOS и iPadOS. Сообщалось, что она использовалась в «чрезвычайно изощренной атаке на конкретных людей».
CVE-2025-24201 (CVSS score: 8.8), который также эксплуатировался в реальных условиях, мог позволить злоумышленнику выйти из «песочницы» веб-контента в веб-браузере Safari в iOS и iPadOS.
CVE-2025-24085 (CVSS score: 7.8) — уязвимость повышения привилегий в фреймворке Apple Core Media в macOS.
Пользователям старых и новых продуктов Apple следует проверить и применить обновления для своих продуктов в обычном режиме.
Критическая ошибка обнаружена в драйверах принтеров Canon
Драйверы, связанные с несколькими производственными принтерами, офисными МФУ и лазерными принтерами Canon, подвержены критической уязвимости, связанной с выходом за пределы допустимого диапазона.
Уязвимость, отслеживаемая как CVE-2025-1268 (CVSS score: 9.4), влияет на обработку перекодировки EMF в драйверах принтеров Generic Plus PCL6, UFR II, LIPS4, LIPSXL и PS, а именно в версиях 3.12 и более ранних.
Она может позволить злоумышленнику предотвратить печать или потенциально выполнить произвольный код, «когда печать обрабатывается вредоносным приложением», сообщает Canon.
Пользователям рекомендуется проверить веб-сайты Canon на наличие исправленных версий уязвимых драйверов принтеров.
Последние обновления защиты можно найти в бюллетени Symantec Protection Bulletin.
