Предлагаем ознакомиться с Symantec Threat Landscape Bulletin, чтобы узнать подробнее о новостях из мира кибербезопасности за 05, 09-11 июня 2025.
Полиция Украины арестовала подозреваемого в взломе тысяч учетных записей для добычи криптовалюты
Украинская полиция арестовала 35-летнего хакера, который взломал 5000 учетных записей международной хостинговой компании и использовал их для добычи криптовалюты, что привело к убыткам в размере 4,5 миллиона долларов.
Полиция Украины провела обыск в доме хакера и изъяла компьютерное оборудование, мобильные телефоны, банковские карты и другие вещественные доказательства. Власти заявили, что в последние годы подозреваемый проживал в нескольких местах на территории Украины.
Полиция также сообщила, что экспертиза изъятых материалов подтвердила, что подозреваемый имел несколько учетных записей на хакерских форумах, и установила его причастность к похищенным учетным данным электронной почты, криптовалютным кошелькам, в которых хранились незаконно добытые монеты, программным скриптам, используемым для запуска и управления майнингом, а также инструментам для кражи данных и удаленного доступа. В случае признания виновным подозреваемому грозит до 15 лет лишения свободы.
«Подозреваемый незаконно получил доступ к более чем 5000 учетных записей клиентов международной хостинговой компании, которая предоставляет услуги аренды серверов для работы различных веб-сайтов и онлайн-платформ», – говорится в заявлении полиции. «После получения доступа к этим учетным записям преступник приступил к несанкционированному развертыванию виртуальных машин (программного обеспечения, эмулирующего работу компьютера) с использованием ресурсов серверов компании».
Неясно, будут ли клиенты хостинговой компании, чьи учетные записи были взломаны, обязаны оплатить счета, завышенные в результате несанкционированной майнинговой деятельности.
Пользователи Salesforce предупреждены о целевых атаках голосового фишинга
Исследователи сообщили о кластере угроз с финансовой мотивацией, отслеживаемом как UNC6040, нацеленном на транснациональные организации, использующие платформу Salesforce CRM. Злоумышленники, которые утверждают, что являются членами известной группы ShinyHunters, связанной со многими крупными утечками данных в прошлом, якобы используют в своих атаках сложную технику социальной инженерии голосового фишинга (vishing).
Они совершают звонки определенным лицам, выдавая себя за агентов ИТ-поддержки, и пытаются с помощью социальной инженерии заставить сотрудников подключить специально созданное приложение Salesforce Data Loader к среде Salesforce своей компании.
Для осуществления атаки используются функции OAuth и подключенных приложений Salesforce. Во время мошеннического звонка жертвы под влиянием фейкового агента выполняют ряд действий, в том числе ввод «кода подключения», который создает связь между контролируемым злоумышленником приложением Data Loader и экземпляром Salesforce организации.
Привязка вредоносного приложения позволяет злоумышленникам использовать его для получения широкого доступа к настройкам Salesforce компании, включая возможность импорта, экспорта, обновления или удаления данных. Также они могут использовать приложение для массового экспорта данных Salesforce компании и, возможно, использовать его присутствие для перехода на другие облачные платформы, которые могут использоваться компанией-жертвой, такие как Okta, Microsoft 365 и Workplace, где они могут предпринять дальнейшие попытки похищения коммуникаций, токенов и документов.
При похищении данных злоумышленники, как утверждается, используют VPN-сервисы, такие как Mullvad, для защиты своих коммуникаций.
Новый “стиратель” нацелен на критически важную инфраструктуру Украины
Новый «стиратель» используется в целевых атаках на организации критической инфраструктуры в Украине. Вредоносная программа, получившая название PathWiper, стирает данные на зараженном компьютере, заменяя их случайными данными. Она также запрограммирована на обнаружение и стирание всех подключенных носителей информации.
По данным Cisco Talos, обнаружившей вредоносную программу, PathWiper распространяется в сети с помощью легитимной платформы для администрирования конечных устройств. Любопытно, что Cisco не назвала эту платформу. Компания предположила, что платформа уже была установлена в целевых организациях, и что злоумышленники, вероятно, получили доступ к административной консоли, прежде чем использовать ее для отправки вредоносных команд и развертывания PathWiper на конечных устройствах.
Cisco заявила, что механизмы PathWiper «в некоторой степени семантически схожи» с HeremeticWiper, инструментом, приписываемым группе Sandworm. Sandworm (также известная как VoodooBear, Telebots, UAC-0113) – российская шпионская группа, специализирующаяся на разрушительных атаках и кампаниях, направленных против устройств Интернета вещей (IoT). По данным правительства США, она является подразделением российской военной разведслужбы ГРУ. Группа наиболее известна своими разрушительными атаками на энергосистему Украины, атаками VPNFilter на маршрутизаторы и кампанией AcidRain против спутниковых модемов Viasat.
Microsoft предлагает скрипт, помогающий администраторам восстановить важную папку inetpub
Microsoft выпустила новый скрипт PowerShell, помогающий администраторам восстановить пустую папку C:\inetpub, которая была автоматически создана в ходе обновлений безопасности Windows в апреле 2025 года. Некоторые пользователи были встревожены, обнаружив эту папку после установки обновлений Microsoft от апреля 2025 года, а некоторые даже удалили папку, подвергнув свои компьютеры риску. Впоследствии выяснилось, что папка была добавлена Microsoft в качестве меры по снижению риска уязвимости с высокой степенью серьезности, связанной с повышением привилегий, отслеживаемой как CVE-2025-21204 (оценка CVSS: 7,8), которая затрагивает службу активации процессов Windows.
Уязвимость возникает из-за неправильного разрешения символической ссылки в стеке Windows Update, что может позволить злоумышленникам с низким уровнем привилегий повысить свои права до уровня SYSTEM и манипулировать критически важными файлами.
Путаницу вносит название папки inetpub, которое совпадает с названием папки, используемой службой Microsoft Internet Information Services (IIS). Ранее эта папка не входила в состав Windows, если IIS не был установлен, но теперь она будет обязательной для устранения уязвимости.
Пользователи, удалившие папку, могут восстановить ее, установив IIS через панель управления «Включение и отключение компонентов Windows», которая воссоздает папку с необходимыми разрешениями. Для администраторов Microsoft теперь предлагает этот скрипт исправления PowerShell (Set-InetpubFolderAcl) для установки соответствующих средств контроля доступа к папке inetpub, а также для защиты каталога DeviceHealthAttestation в системах Windows Server.
Злоумышленники из группы Qilin атакуют уязвимые устройства Fortinet
Злоумышленники, связанные с кампанией по распространению вымогательского ПО Qilin, контролируемой группой Stinkbug, используют две недавно исправленные уязвимости в устройствах Fortinet.
Согласно отчету компании Prodaft, занимающейся вопросами безопасности, кампания по взлому ведется с мая 2025 года. «Мы с определенной уверенностью оцениваем, что первоначальный доступ достигается путем использования нескольких уязвимостей FortiGate, в том числе CVE-2024-21762 (оценка CVSS: 9,8), CVE-2024-55591 (оценка CVSS: 9,8) и других», – говорится в отчете. Особое внимание в рамках кампании, по-видимому, уделялось испаноязычным странам.
Stinkbug – это киберпреступная группировка, известная тем, что использует программу-вымогатель Qilin в качестве услуги (RaaS). Группировка действует с июля 2022 года. Qilin – это кроссплатформенная программа-вымогатель, которая может заражать Windows, Linux и другие операционные системы, а также серверы vCenter и ESXi. Stinkbug позволяет партнерам Qilin настраивать двоичные файлы для каждой жертвы и предлагает им до 85 % от каждой выплаты выкупа.
Google исправил уязвимость, позволявшую похищать номера телефонов
Уязвимость в системе восстановления учетных записей Google, обнаруженная исследователем в области безопасности BruteCat, могла позволить злоумышленникам с помощью метода перебора восстановить номера телефонов, привязанные к учетным записям Google, что потенциально подвергало пользователей учетных записей Google повышенному риску фишинга и атак с заменой SIM-карты.
Уязвимость использует устаревшую версию формы восстановления имени пользователя Google без JavaScript, которая не имела современных средств защиты от злоупотреблений. Чтобы продемонстрировать проблему, исследователь создал инструмент, который мог быстро проверять диапазоны телефонных номеров по имени профиля целевого пользователя. Он обходит базовые средства защиты от злоупотреблений в сервисе, используя ротацию IPv6-адресов для обхода ограничений скорости и заменяя токены CAPTCHA действительными токенами BotGuard из версии формы восстановления с поддержкой JS. Диапазон номеров, которые будут проверены, можно сузить с помощью библиотеки Google «libphonenumber» для генерации действительных форматов телефонных номеров и, при необходимости, номеров, связанных с определенными регионами.
Чтобы получить дополнительную информацию, исследователь обнаружил, что с помощью Looker Studio от Google можно получить отображаемые имена, связанные с адресами электронной почты, без взаимодействия с пользователем, создав документ Looker Studio, а затем передав права владения на адрес Gmail целевого пользователя.
Комбинируя эти методы с частичными подсказками номера телефона из собственной системы восстановления учетной записи Google и других онлайн-сервисов, таких как PayPal, злоумышленник может еще больше сузить диапазон номеров, которые необходимо проверить, чтобы определить полные номера телефонов для восстановки учетных записей.
Об уязвимости было сообщено в Google в апреле 2025 года, и в июне 2025 года были приняты меры для устранения этой уязвимости.
Июньский Microsoft 2025 Patch Tuesday исправляет 67 ошибок, включая 2 уязвимости нулевого дня
В июньском Patch Tuesday 2025 года Microsoft выпускает обновления для устранения 67 уязвимостей, включая две уязвимости нулевого дня и 10 уязвимостей, классифицированных как критические.
Количество уязвимостей в каждой категории представлено следующим образом:
- 25 уязвимостей удаленного выполнения кода (RCE)
- 17 уязвимостей раскрытия информации
- 13 уязвимостей повышения привилегий
- 6 уязвимостей отказа в обслуживании (DoS)
- 3 уязвимостей обхода функций безопасности
- 2 уязвимостей спуфинга
Две уязвимости нулевого дня, исправленные в этом пакете обновлений, следующие:
- CVE-2025-33053 (оценка CVSS: 8,8) – критическая уязвимость нулевого дня WebDAV RCE, которая, по имеющимся данным, активно эксплуатируется в реальных условиях группой APT (Advanced Persistent Threat), известной как Stealth Falcon (также FruityArmor), еще с марта 2025 года. Агентство по кибербезопасности и защите инфраструктуры США (CISA) уже добавило эту уязвимость в свой каталог KEV.
- CVE-2025-33073 (оценка CVSS: 8,8) – это уязвимость повышения привилегий клиента Windows Server Message Block (SMB), которая только что была обнаружена. Злоумышленники могут использовать ее для получения привилегий уровня SYSTEM в уязвимой системе.
Другие значимые критические уязвимости:
- CVE-2025-47164, CVE-2025-47167, CVE-2025-47162, CVE-2025-47953: уязвимости RCE, которые затрагивают продукты Microsoft Office и могут позволить злоумышленнику выполнить вредоносный код через специально созданные файлы Office.
- CVE-2025-47172 – уязвимость RCE, которая может быть использована для взлома сред SharePoint.
- CVE-2025-29828 – уязвимость RCE в криптографических службах Windows.
- CVE-2025-32710 – уязвимость RCE в службах удаленного рабочего стола Windows, которая может быть использована через сеть.
Пользователи продуктов Microsoft должны убедиться, что они своевременно устанавливают соответствующие исправления, чтобы избежать риска взлома.
Читайте Symantec Protection Bulletin, чтобы узнать больше о том, как продукты Symantec защищают вас от угроз.
