Предлагаем ознакомиться с Symantec Threat Landscape Bulletin, чтобы узнать подробнее о новостях из мира кибербезопасности за 08-09, 13-14 мая 2025.
Злоумышленники создают поддельные учетные записи администраторов на серверах WordPress, на которых установлен плагин OttoKit
Сообщается, что злоумышленники активно используют две критические уязвимости в плагине OttoKit WordPress (ранее SureTriggers), установленном более 100 000 раз по всему миру, для создания поддельных учетных записей администраторов.
Первая уязвимость, отслеживаемая как CVE-2025-3102 (оценка CVSS: 8,1), затрагивает версии OttoKit 1.0.78 и более ранние. Она возникает из-за неисправной функции аутентификации REST API, при которой secret_key остается пустым, если плагин не настроен с помощью ключа API. Злоумышленники могут воспользоваться этим, отправив пустой заголовок st_authorization, обойдя процесс аутентификации и получив доступ на уровне администратора. Этот уязвимость была впервые обнаружена 3 апреля 2025 года, и в тот же день был выпущен патч. Однако злоумышленники быстро отреагировали и сразу же начали использовать эту уязвимость, применяя ее против целей с помощью автоматических атак с использованием случайных учетных данных для добавления пользователей с правами администратора. Попав внутрь, злоумышленники загружали вредоносные плагины или темы, изменяли содержимое сайта, чтобы перенаправлять пользователей на вредоносные сайты, или вставляли спам-контент.
Вторая критическая уязвимость, CVE-2025-27007 (оценка CVSS: 9,8), была обнаружена 11 апреля 2025 года и исправлена в версии 1.0.83 21 апреля. Эта уязвимость связана с логической ошибкой в функции create_wp_connection, которая позволяет злоумышленникам обойти аутентификацию, если пароли приложения не установлены.
Попытки эксплуатации начались вскоре после того, как подробности уязвимости были обнародованы. Атаки были направлены на уязвимые конечные точки REST API с использованием запросов, имитирующих легитимные действия, но с использованием угаданных имен пользователей администраторов и поддельных ключей доступа для создания новых учетных записей администраторов.
Эти уязвимости подчеркивают риски, связанные с устаревшими или неправильно настроенными плагинами, которые по-прежнему остаются основным вектором атак на установки WordPress. Пользователям OttoKit следует проверить журналы сайта на наличие подозрительной активности и как можно скорее установить соответствующие обновления безопасности.
Cisco исправила ошибку максимальной серьезности в IOS XE
Cisco выпустила обновления для устранения критической уязвимости в своем беспроводном контроллере IOS XE, которая могла позволить неавторизованным удаленным злоумышленникам загружать произвольные файлы на уязвимые системы.
Уязвимость, отслеживаемая как CVE-2025-20188 (оценка CVSS: 10,0), связана с наличием жестко запрограммированного JSON Web Token (JWT). «Злоумышленник может воспользоваться этой уязвимостью, отправив специально сформированные HTTPS-запросы на интерфейс загрузки образа AP», – пояснили в Cisco. «Успешная эксплуатация уязвимости может позволить злоумышленнику загружать файлы, выполнять переход по пути и запускать произвольные команды с правами root».
Однако для успешной эксплуатации уязвимости на устройстве должна быть включена функция Out-of-Band AP Image Download, которая по умолчанию отключена.
Уязвимость затрагивает следующие продукты:
- Беспроводные контроллеры Catalyst 9800-CL для облачных сетей
- Встроенный беспроводной контроллер Catalyst 9800 для коммутаторов серий Catalyst 9300, 9400 и 9500
- Беспроводные контроллеры серии Catalyst 9800
- Встроенный беспроводной контроллер на точках доступа Catalyst
Пользователям рекомендуется обновить программу до последней версии, чтобы избежать риска взлома.
Российская APT-группа использует ClickFix для распространения нового вредоносного ПО LostKeys
Связанная с Россией группа продвинутых постоянных угроз (APT) Brimstone (также известная как Star Blizzard, UNC4057, Callisto, Coldriver, Seaborgium) использует технику ClickFix в своих последних атаках для распространения вредоносного ПО LostKeys.
Деятельность Brimstone ведется по крайней мере с 2019 года, а в декабре 2023 года США публично связала эту группу с Федеральной службой безопасности России (ФСБ). Эта APT известна тем, что для сбора разведданных, в основном из электронных почтовых ящиков, она нацелена на академические организации, правительства стран НАТО, НПО и аналитические центры.
Согласно отчету Google, недавние кампании Brimstone были направлены против «нынешних и бывших советников западных правительств и вооруженных сил, а также журналистов, аналитических центров и НПО», а также лиц, связанных с Украиной.
В ходе атак, зафиксированных в январе, марте и апреле 2025 года, Brimstone доставлял новое семейство вредоносных программ под названием LostKeys в рамках многоэтапной цепочки заражения, которая начинается с веб-страницы-приманки, содержащей поддельный Captcha и использующей технику ClickFix для выполнения вредоносного кода.
LostKeys «способен похищать файлы из жестко запрограммированного списка расширений и каталогов, а также отправлять информацию о системе и запущенных процессах злоумышленнику», пояснили в Google, добавив, что вредоносная программа используется только в отдельных случаях.
Программное обеспечение для мониторинга сотрудников Kickidler используется в вымогательских атаках
Злоумышленники, использующие программы-вымогатели, злоупотребляют легальным программным обеспечением для мониторинга сотрудников Kickidler для разведки, отслеживания деятельности своих жертв и сбора учетных данных после взлома их сетей.
Kickidler можно использовать для записи нажатий клавиш, создания снимков экрана и записи видео с экрана. Разработчик Kickidler утверждает, что этим инструментом пользуются более 5000 организаций из 60 стран, и что он обеспечивает визуальный мониторинг и функции предотвращения потери данных.
По данным компаний по кибербезопасности Varonis и Synacktiv, во время недавних атак вредоносное ПО Kickidler было установлено филиалами Qilin и Hunters International, занимающимися разработкой программ-вымогателей.
Атаки начинались с того, что злоумышленники удаляли рекламу Google Ads, которая отображалась при поиске определенного программного обеспечения. При нажатии на рекламу пользователи попадали на поддельные сайты, где предлагались троянские версии программного обеспечения. Программа представляет собой загрузчик вредоносного ПО, который скачивает и запускает бэкдор SMOKEDHAM PowerShell .NET, который использовался для установки Kickidler на устройство.
Kickidler использовался для перехвата нажатий клавиш и веб-страниц с рабочих станций администраторов. «Это позволяет злоумышленникам выявить удаленные облачные резервные копии и получить необходимые пароли для доступа к ним», – пояснили исследователи. «Это делается без сброса памяти или других рискованных тактик, которые с большей вероятностью могут быть обнаружены».
После возобновления вредоносной деятельности в скомпрометированных сетях операторы вымогателей развернули полезные нагрузки, нацеленные на инфраструктуру VMware ESXi жертв, шифруя виртуальные жесткие диски VMDK.
Apple выпускает майские обновления 2025 года с исправлениями нескольких уязвимостей
Apple выпустила майские обновления 2025 года для всех своих устройств с исправлениями нескольких уязвимостей в своей линейке продуктов.
Для iOS и iPadOS в версии 18.5 были исправлены серьезные уязвимости, связанные с компонентами AppleJPEG (CVE-2025-31251) и CoreMedia (CVE-2025-31233), которые могли позволить злоумышленнику выполнить произвольный код, заставив целевого пользователя открыть специально созданный медиафайл.
Добавлено девять исправлений для различных уязвимостей в компоненте WebKit, многие из которых являются критическими и могут привести к повреждению памяти и сбою приложения. В ImageIO исправлена уязвимость средней степени опасности (CVE-2025-31226), позволявшая вызывать отказ в обслуживании (DoS). Также исправлена заметная уязвимость, связанная с FaceTime (CVE-2025-31253), которая позволяла микрофону продолжать запись звука, даже когда он был отключен.
Хотя ни одна из этих уязвимостей, по имеющимся данным, не была использована в реальных условиях, пользователям устройств Apple рекомендуется незамедлительно установить обновления, чтобы закрыть любые возможности для злоумышленников.
Подробная информация об этих уязвимостях, а также обновления для других продуктов Apple можно найти на официальной странице обновлений безопасности.
Молдавские власти арестовали человека, подозреваемого в участии в атаках с использованием вымогательского ПО DoppelPaymer
В совместной операции участвовали молдавские прокуроры, Центр по борьбе с киберпреступностью страны и правоохранительные органы Королевства Нидерландов. 45-летний мужчина, имя которого не разглашается, но которого молдавские власти описали как «иностранного гражданина», объявлен в международный розыск за преступления, связанные с киберпреступностью, в том числе шантаж и отмывание денег.
Согласно заявлению, опубликованному в понедельник, молдавская полиция изъяла у арестованного мужчины более 84 000 евро (93 000 долларов США) наличными, электронный кошелек, два ноутбука, мобильный телефон, планшет, шесть банковских карт и различные устройства для хранения данных.
В частности, власти связали подозреваемого с атакой с использованием вымогательского ПО, совершенной в 2021 году против NWO (Нидерландского совета по научным исследованиям), которая привела к ущербу в размере примерно 4,5 млн евро. Группировка, использующая вымогательское ПО DoppelPaymer, появилась в июне 2019 года после раскола киберпреступной группировки Evil Corp, некоторые члены которой присоединились к новой структуре.
Майский выпуск Microsoft Patch Tuesday исправляет 71 уязвимостей, включая 5 уязвимостей нулевого дня
В мае 2025 года в рамках Patch Tuesday компания Microsoft выпустила обновления для устранения 71 уязвимости, включая пять уязвимостей нулевого дня.
Количество уязвимостей в каждой категории представлено ниже:
- 17 уязвимостей повышения привилегий
- 2 уязвимостей обхода функций безопасности
- 28 уязвимостей удаленного выполнения кода
- 15 уязвимостей раскрытия информации
- 7 уязвимостей отказа в обслуживании
- 2 уязвимостей спуфинга
Пять уязвимостей нулевого дня включают:
- CVE-2025-30397 (оценка CVSS: 7,5) – уязвимость, связанная с повреждением памяти движка сценариев
- CVE-2025-30400 (оценка CVSS: 7,8) – уязвимость, связанная с повышением привилегий в базовой библиотеке диспетчера окон рабочего стола Microsoft (DWM)
- CVE-2025-32701 (оценка CVSS: 7,8) – уязвимость повышения привилегий драйвера общей системы лог-файлов Windows (CLFS)
- CVE-2025-32706 (оценка CVSS: 7,8) – уязвимость повышения привилегий драйвера общей системы лог-файлов Windows
- CVE-2025-32709 (оценка CVSS: 7,8) – уязвимость повышения прав в драйвере вспомогательных функций Windows для WinSock
Агентство по кибербезопасности и защите инфраструктуры (CISA) добавило все пять уязвимостей нулевого дня в свой список известных уязвимостей (KEV) во вторник (13 мая).
Северокорейская APT-группа нацелилась на Украину для сбора разведданных
Согласно Proofpoint, северокорейская государственная группа продвинутых постоянных угроз (APT), отслеживаемая под названием TA406 (также известная как Konni APT, Opal Sleet, Osmium, Vedalia), ведет шпионскую кампанию против украинских государственных структур, вероятно с целью сбора разведданных о военных действиях России.
TA406 известна использованием атак типа spear-phishing для нападения на правительства, исследовательские центры, аналитические центры, академические учреждения и СМИ по всему миру. Последний всплеск активности в Украине свидетельствует о том, что Северная Корея стремится «лучше понять желание продолжать борьбу [против] российского вторжения» и «среднесрочные перспективы конфликта», пояснили исследователи Proofpoint.
По словам исследователей, Северная Корея начала развертывание войск для оказания помощи российским войскам в Украине в конце 2024 года и, вероятно, использует собранные разведданные для оценки рисков для своих войск и определения необходимости дальнейшей военной поддержки.
Последний набор атак включает в себя использование фишинговых писем от вымышленного старшего научного сотрудника несуществующего аналитического центра под названием «Королевский институт стратегических исследований». Письмо содержит ссылку на защищенный паролем архив RAR. Открытие архива RAR с помощью пароля, указанного в сообщении, запускает последовательность действий, направленных на проведение обширной разведки скомпрометированных компьютеров.
При нажатии на поддельный документ, отображаемый получателю, выполняется команда PowerShell, которая обращается к внешнему серверу и загружает следующий PowerShell-скрипт. Вновь запущенный скрипт PowerShell может выполнять различные команды для сбора информации о системе, шифровать ее с помощью кодировки Base64 и отправлять на тот же сервер.
Читайте Symantec Protection Bulletin, чтобы узнать больше о том, как продукты Symantec защищают вас от угроз.
