Предлагаем ознакомиться с Symantec Threat Landscape Bulletin, чтобы узнать подробнее о новостях из мира кибербезопасности за 02, 06, 07 мая 2025 года.
Apple предупреждает более 100 клиентов о том, что они стали целью «наемных шпионских программ»
Сообщается, что Apple недавно отправила уведомления пользователям в более чем 100 странах, чтобы проинформировать их о том, что их устройства Apple могли быть заражены наемными шпионскими программами (также известными как коммерческие шпионские программы). Эти типы шпионских программ, такие как программы, созданные Paragon Solutions или NSO Group (подпадающие под санкции правительства США), якобы продаются таким клиентам, как правительства и правоохранительные органы, чтобы они могли вести скрытое наблюдение за целями, например, подозреваемыми преступниками.
Эти шпионские программы часто могут похвастаться такими функциями, как заражение «нулевым щелчком», когда устройства жертв могут быть скомпрометированы без какого-либо взаимодействия с пользователем, просто отправив специально созданное сообщение на устройство, использующее уязвимость. Хотя эти инструменты могут считаться легитимными для использования правоохранительными органами, существует также серьезная озабоченность по поводу их неправомерного использования или продажи недобросовестным организациям, которые могут использовать их для преследования диссидентов, журналистов и информаторов.
Недавно две жертвы выступили с подробностями о том, как они стали мишенью шпионского ПО. Одной из жертв является итальянский журналист по имени Сайрус Пеллегрино, работающий на Fanpage, который получил уведомление в конце января 2025 года. Ранее Канчелло разоблачил молодых фашистов в ультраправой партии премьер-министра Джорджии Мелони, а другие жертвы, как сообщается, также критиковали правительство Мелони, что вызвало подозрения в причастности итальянского правительства к нападениям, однако оно отрицает любую связь с ними.
Вторая жертва, которая также обратилась к общественности, – Эва Влаардингерброк, голландская активистка правого толка, которая также получила уведомление от Apple. В социальных сетях она прокомментировала, что «кто-то пытается запугать меня», но добавила, что «это не сработает».
Пользователям устройств Apple, получившим уведомление о том, что они стали объектом целевого нападения, рекомендуется обратиться за экстренной помощью по вопросам безопасности. Пользователи, которые имеют серьезные подозрения, что стали объектом целевого нападения, могут перевести свое устройство в режим блокировки, который значительно ограничивает функциональность устройства для защиты конфиденциальности.
Экстрадирован в США украинец, причастный к распространению программы-вымогателя Nefilim
Гражданин Украины Артем Стрижак был экстрадирован из Испании в США в среду (30 апреля 2025 г.) для предъявления обвинений в причастности к атакам программы-вымогателя Nefilim.
Стрижак был арестован в Испании в 2024 году. Ему предъявлены обвинения в мошенничестве, включая вымогательство, и ему грозит до пяти лет лишения свободы.
Действующая по крайней мере с марта 2020 года, группировка Nefilim, занимавшаяся распространением программ-вымогателей как услуги (RaaS), использовала свои методы против высокодоходных организаций в США, Франции, Германии, Нидерландах, Норвегии, Швейцарии, Канаде и Австралии.
Стрижак стал членом группы вымогателей Nefilim в июне 2021 года и под влиянием администратора Nefilim начал атаковать компании с годовым доходом более 200 миллионов долларов, получая 20 % от выкупа.
«Преступники, совершающие эти злонамеренные кибератаки, часто действуют из-за рубежа, полагая, что американское правосудие не сможет их достать. Экстрадиция обвиняемого и сегодняшние обвинения доказывают, что они ошибаются», – заявил прокурор США Джон Дж. Дарем.
Кибератаки России на Украину участились на 70%, но не принесли значительного эффекта
По данным Группы реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA), в прошлом году количество кибератак России на Украину увеличилось примерно на 70%.
CERT-UA приписал российским спецслужбам 4315 инцидентов в сфере кибербезопасности в 2024 году, по сравнению с 2543 в 2023 году. Однако, по данным CERT-UA, только 55 из этих инцидентов были признаны серьезными, а четыре – критическими. За всю вторую половину 2024 года произошло десять серьезных инцидентов и только один критический: 19 декабря была совершена атака на государственные реестры Министерства юстиции Украины, которая привела к сбоям в их работе.
Однако еще более тревожным является тот факт, что Россия все больше внимания уделяет целям, имеющим большое значение для ее военных действий. С 2021 года на украинские государственные учреждения и местные органы власти приходится от 20% до 25% всех кибератак, исходящих из России. В 2024 году этот показатель более чем удвоился и достиг 58%. Что касается военных целей, то в 2023 году на долю сектора безопасности и обороны Украины приходилось лишь 7 % всех атак, но в 2024 году этот показатель вырос до 18 %.
Неофициальное приложение Signal, использовавшееся чиновниками администрации Трампа, расследует взлом
Израильская компания TeleMessage, продающая неофициальный клон приложения Signal, используемого некоторыми сотрудниками правительства США, приостановила все услуги после того, как, по сообщениям, подверглась взлому.
Взлом выявил уязвимости в системе безопасности и конфиденциальную информацию в TM SGNL — мессенджере, разработанном компанией TeleMessage.
В результате взлома хакер получил доступ к архивированным сообщениям, включая приватные и групповые чаты.
Хакер, который остался анонимным, заявил, что взломал бэкэнд-инфраструктуру TeleMessage всего за несколько минут. Среди похищенных данных – содержание сообщений, контактная информация государственных чиновников, имена пользователей и пароли для бэкэнд-панели TeleMessage, а также сведения о клиентах агентств и компаний. Среди компаний – Таможенная и пограничная служба (CBP) и криптовалютный гигант Coinbase. Однако было подтверждено, что хакер не получал сообщения от чиновников кабинета Трампа или самого Уолтца.
«Это не составило большого труда», – пояснил хакер. «Если я смог найти это менее чем за 30 минут, то любой другой тоже смог бы. И кто знает, как долго эта уязвимость существовала?»
Инженер-программист Мика Ли, который проанализировал исходный код приложения, обнаружил серьезные уязвимости, в том числе жестко закодированные учетные данные.
Этот взлом вызывает опасения по поводу безопасности коммуникаций на высшем уровне правительства США, особенно с учетом того, что бывший советник по национальной безопасности Майк Уолтц недавно был замечен с TM SGNL во время заседания кабинета министров с президентом Трампом.
Google исправил одну активно используемую уязвимость в майском обновлении Android
В обновлении Android за этот месяц Google выпустил обновления для устранения 46 уязвимостей, включая одну активно используемую в реальных условиях.
Активно используемая уязвимость, отслеживаемая как CVE-2025-27363 (оценка CVSS: 8,1), представляет собой ошибку высокой степени серьезности в компоненте «Система», которая может привести к локальному выполнению кода без дополнительных привилегий. Для эксплуатации уязвимости CVE-2025-27363 взаимодействие с пользователем не требуется. Google добавляет, что она «может подвергаться ограниченной целенаправленной эксплуатации», но пока не раскрывает подробностей об атаках.
Уязвимость связана с библиотекой FreeType — открытым решением для рендеринга шрифтов, и была впервые раскрыта Facebook в марте.
В майском обновлении Android также устранены восемь других уязвимостей в системе Android и 15 уязвимостей в модуле Framework, которые могли быть использованы для повышения привилегий, раскрытия информации и отказа в обслуживании.
Злоумышленники-вымогатели использовали повышение привилегий «нулевого дня»
Злоумышленники, связанные с вымогательской программой Play, использовали эксплойт нулевого дня для повышения привилегий при попытке атаки на одну из организаций в США. Согласно новому сообщению в блоге команды Threat Hunter Team компании Symantec, атака произошла до раскрытия и исправления уязвимости нулевого дня для повышения привилегий в Windows (CVE-2025-29824) в драйвере Common Log File System Driver (clfs.sys) 8 апреля 2025 года.
Хотя при вторжении не было задействовано никакого вымогательского ПО, злоумышленники использовали Grixba infostealer – специальный инструмент, связанный с Balloonfly, группой, ответственной за вымогательское ПО Play.
Эксплойт, возможно, попал в руки нескольких злоумышленников до исправления уязвимости CVE-2025-29824. При исправлении уязвимости Microsoft сообщила, что она была использована против «небольшого числа целей», включая организации в США, Венесуэле, Испании и Саудовской Аравии.
Microsoft сообщила, что эксплойт был задействован вредоносным ПО PipeMagic, которое часто используется группой Storm-2460 для распространения программ-вымогателей.
Характер эксплуатации, осуществлённой группировкой Storm-2460, отличается от активности, связанной с Balloonfly, обнаруженной Symantec. По заявлению Microsoft, эксплойт был запущен в памяти из процесса dllhost.exe. При этом эксплуатация, обнаруженная Symantec, не была безфайловой.
Характер эксплуатации, осуществлённой группировкой Storm-2460, отличается от активности, связанной с Balloonfly, обнаруженной Symantec. По заявлению Microsoft, эксплойт был запущен в памяти из процесса dllhost.exe. При этом эксплуатация, обнаруженная Symantec, не была безфайловой.
Абзац заблокував користувач Анонімний користувач
Balloonfly – киберпреступная группировка, действующая по крайней мере с июня 2022 года и использующая в своих атаках программу-вымогатель Play (также известную как PlayCrypt). Группировка нанесла ущерб широкому кругу предприятий и объектам критически важной инфраструктуры в Северной и Южной Америке, а также в Европе.
Защита
Последние обновления защиты см. в Бюллетене защиты Symantec.
В модулях Go на GitHub обнаружено вредоносное ПО для стирания дисков
Сегодня редко бывает, чтобы за несколько недель не появлялись сообщения о новом вредоносном ПО, обнаруженном в том или ином репозитории кода. Последний случай отличается от обычных случаев кражи информации и вредоносного ПО типа бэкдора, которые обычно встречаются. В данном конкретном случае исследователи обнаружили как минимум три модуля Go, размещенных на GitHub (github[.]com/truthfulpharm/prototransform, github[.]com/blankloggia/go-mcp, github[.]com/steelpoor/tlsproxy), которые содержат код для загрузки и выполнения дополнительной полезной нагрузки с одного из следующих адресов: vanartest[.]website, kaspamirror[.]icu, 147. 45.44[.]41.
Дополнительная полезная нагрузка представляет собой компонент wiper, который предназначен для проверки того, что он выполняется в среде Linux, прежде чем немедленно начать перезапись основного тома хранения в /dev/sda с помощью команды dd, заменяя все существующие данные нулями. Это значительно затрудняет процесс восстановления системы, поскольку уничтожаются важные файлы, используемые операционной системой, а перезаписанные данные делают практически невозможным восстановление утраченных данных с помощью инструментов для восстановления данных, поскольку они уже были перезаписаны.
Вредоносные файлы, обнаруженные в официальных репозиториях кода, по-прежнему остаются постоянной проблемой. Пользователи общедоступных репозиториев кода должны оставаться бдительными в отношении потенциальных поддельных вредоносных пакетов, которые имеют названия, схожие с названиями реальных пакетов, или заражения реальных официальных пакетов вредоносным кодом, что может произойти в результате нарушений со стороны поставщика программного обеспечения.
Microsoft: Стандартные диаграммы Helm могут привести к утечке данных из приложений Kubernetes
Microsoft: Стандартные Helm-чарты могут оставить приложения Kubernetes подверженными утечкам данных.
Абзац заблокував користувач Анонімний користувач
Microsoft предупреждает, что использование готовых шаблонов, таких как стандартные диаграммы Helm, при развертывании Kubernetes может привести к неправильной настройке и утечке данных.
Helm – это менеджер пакетов для Kubernetes, который позволяет разработчикам упаковывать, настраивать и развертывать приложения и сервисы в кластерах Kubernetes.
«Хотя эти «plug-and-play»-опции значительно упрощают процесс настройки, они часто ставят удобство использования выше безопасности», – поясняет команда Microsoft Defender for Cloud Research. «В результате большое количество приложений по умолчанию развертывается с неправильными настройками, что подвергает уязвимости конфиденциальные данные, облачные ресурсы или даже всю среду в целом».
Пакеты приложений Kubernetes структурированы в формате упаковки Helm, называемом «чартами», которые представляют собой манифесты YAML и шаблоны, используемые для описания ресурсов и конфигураций Kubernetes, необходимых для развертывания приложения. Microsoft предупреждает, что проекты с открытым исходным кодом часто включают манифесты по умолчанию или предопределенные чарты Helm, в которых удобство использования ставится выше безопасности, что приводит к двум основным проблемам:
- Exposing services externally without proper network restrictions
- Lack of adequate built-in authentication or authorization by default
Организации, использующие эти проекты без проверки манифестов YAML и диаграмм Helm, могут подвергнуть свои приложения риску атак.
К проектам, которые могут подвергнуть среды Kubernetes риску атак, относятся:
- Apache Pinot, который по умолчанию открывает доступ к основным компонентам хранилища данных OLAP, pinot-controller и pinot-broker, через службы Kubernetes LoadBalancer без какой-либо аутентификации.
- Meshery, который открывает доступ к интерфейсу приложения через внешний IP-адрес, тем самым позволяя любому, кто имеет доступ к IP-адресу, зарегистрировать нового пользователя, получить доступ к интерфейсу и развернуть новые поды, что в конечном итоге приводит к выполнению произвольного кода.
- Selenium Grid, который открывает службу NodePort на определенном порту на всех узлах в кластере Kubernetes, делая внешние правила брандмауэра единственной линией защиты.
Microsoft рекомендует пользователям проверять и изменять шаблоны проектов в соответствии с лучшими практиками безопасности, периодически сканировать общедоступные интерфейсы и отслеживать запущенные контейнеры на наличие вредоносных и подозрительных действий.
Последние обновления защиты можно найти в бюллетени Symantec Protection Bulletin
