Symantec Threat Landscape Bulletin: Актуальные новости из мира кибербезопаности за 08-11 апреля 2025

Предлагаем ознакомиться с Symantec Threat Landscape Bulletin, чтобы узнать подробнее о новостях из мира кибербезопасности за 08-11 апреля 2025 года.

Redtail APT использует уязвимость в ESET для распространения вредоносного ПО

Предполагается, что поддерживаемая китайским государством группа продвинутых постоянных угроз (APT) Redtail (она же ToddyCat, Websiic) использует уязвимость в программном обеспечении ESET для заражения устройств вредоносным ПО.

Уязвимость, отслеживаемая как CVE-2024-11859, позволяет злоумышленникам загружать вредоносный DLL-файл и запускать его через антивирусный сканер ESET, сообщают исследователи Kaspersky. Вредоносный код работает в фоновом режиме, обходя системные оповещения и оставаясь незамеченным.

ESET подтвердила наличие уязвимости 4 апреля, сообщив, что патч для нее был выпущен в январе. Компания призвала пользователей обновить свои системы, чтобы предотвратить эксплуатацию уязвимости.

Компания Kaspersky сообщила, что обнаружила проблему при анализе подозрительного файла с именем version.dll в каталоге temp на нескольких устройствах, скомпрометированных агентами Redtail в ходе одной из кампаний APT-группы. Kaspersky обнаружил, что файл version.dll представляет собой новую сложную вредоносную программу Redtail, отслеживаемую как TCESB. По словам Kaspersky, эта вредоносная программа «предназначена для скрытого выполнения полезной нагрузки в обход установленных на устройстве средств защиты и мониторинга».

Redtail действует как минимум с 2020 года и известен тем, что атакует правительственные и военные организации в Азиатско-Тихоокеанском регионе с целью кражи конфиденциальных данных.

Google исправляет 62 ошибки в Android, включая две уязвимости нулевого дня, которые использовались в атаках

Компания Google выпустила обновления для Android, устраняющие 62 уязвимости, включая две уязвимости нулевого дня, которые использовались в атаках.

По словам Google, следующие две уязвимости «могут подвергаться ограниченной целенаправленной эксплуатации»:

• CVE-2024-53150 (CVSS score: 7.8) – ошибка выхода за пределы границ в USB-компоненте Kernel, который может привести к раскрытию информации
• CVE-2024-53197 (CVSS score: 7.8) – ошибка повышения привилегий в USB-компоненте Kernel

«Наиболее серьезная из этих проблем – критическая уязвимость в компоненте System, которая может привести к удаленному повышению привилегий без дополнительных привилегий на выполнение», – предупреждает Google в ежемесячном бюллетене безопасности за апрель 2025 года. «Для эксплуатации не требуется вмешательство пользователя».

Уязвимость CVE-2024-53197 содержится в ядре Linux и была исправлена в 2024 году, наряду с двумя другими уязвимостями (CVE-2024-53104, CVE-2024-50302). Все три уязвимости были использованы вместе, чтобы скомпрометировать Android – телефон сербского молодежного активиста в декабре 2024 года.

Пока неясно, каким образом CVE-2024-53150 использовалась в атаках.

В апрельских обновлениях безопасности для Android от 2025 года также исправлено 60 других уязвимостей, большинство из которых относятся к уязвимостям, связанным с повышением привилегий.

Fortinet исправляет критическую уязвимость смены пароля администратора в FortiSwitch

Компания Fortinet выпустила предупреждение о безопасности, касающееся критической уязвимости в графическом интерфейсе Fortinet FortiSwitch, используемом в линейке продуктов FortiSwitch. Уязвимость, отслеживаемая как CVE-2024-48887 (CVSS score: 9.8), может позволить удаленному неаутентифицированному злоумышленнику изменить административные пароли с помощью специально созданных HTTP-запросов.

Уязвимость затрагивает несколько версий FortiSwitch, включая:

• FortiSwitch 7.6.0: Обновление до версии 7.6.1 или выше.
• FortiSwitch 7.4.0–7.4.4: Обновление до версии 7.4.5 или выше.
• FortiSwitch 7.2.0–7.2.8: Обновление до версии 7.2.9 или выше.
• FortiSwitch 7.0.0–7.0.10: Обновление до версии 7.0.11 или выше.
• FortiSwitch 6.4.0–6.4.14: Обновление до версии 6.4.15 или выше.

Пользователи также могут применить меры по снижению риска эксплуатации, отключив доступ к HTTP/HTTPS из административных интерфейсов и ограничив доступ к системе только доверенными узлами.

Пока нет информации о том, что эта уязвимость используется злоумышленниками в настоящее время, но, учитывая склонность злоумышленников к атакам на сетевые устройства, владельцам этих устройств рекомендуется как можно скорее установить обновления.

Уязвимость в WhatsApp для Windows может быть использована для обмана пользователей с целью запуска вредоносного ПО

Компания Facebook, владелец популярного чат-приложения WhatsApp, выпустила уведомление о том, что она исправила уязвимость средней степени серьезности во всех версиях приложения для Windows до версии 2.2450.6.

Уязвимость, отслеживаемая как CVE-2025-30401, представляет собой проблему подмены, когда злоумышленник может отправить исполняемый файл в качестве вложения целевому пользователю, но объявить MIME-тип файла как нечто безобидное, например, изображение. Когда уязвимая версия WhatsApp получает вложение, она отображает его в приложении в соответствии с типом MIME, но когда вложение открывается, WhatsApp открывает файл с помощью обработчика файлов в соответствии с фактическим именем файла. Это означает, что если файл был назван «vacation_pic.jpg.exe», то он открывается как исполняемый файл, независимо от типа MIME.

Злоумышленник может использовать эту уязвимость для отправки жертвам вредоносных исполняемых файлов, скрывая истинную природу вложения. Пользователям WhatsApp для Windows рекомендуется обновить версию как можно быстрее.

Microsoft исправляет более 120 уязвимостей, включая активно эксплуатируемую уязвимость Windows CLFS

Компания Microsoft выпустила обновления для устранения более 120 уязвимостей в рамках апрельского выпуска Patch Tuesday, включая одно обновление для активно эксплуатируемой уязвимости.
Количество ошибок в каждой категории уязвимостей выглядит следующим образом:

• 49 уязвимостей, связанных с повышением привилегий
• 9 уязвимостей обхода средств защиты
• 31 уязвимость удаленного выполнения кода
• 17 уязвимостей раскрытия информации
• 14 уязвимостей отказа в обслуживании
• 3 уязвимости спуфинга

Компания Microsoft выпустила исправления для одиннадцати критических уязвимостей, все они связаны с удаленным выполнением кода.

Активно эксплуатируемая уязвимость нулевого дня в обновлении этого месяца –CVE-2025-29824, уязвимость повышения привилегий драйвера файловой системы Windows common log. В Microsoft пояснили, что эта уязвимость позволяет локальным злоумышленникам получить привилегии SYSTEM на уязвимом устройстве. Обновления безопасности сейчас доступны только для Windows Server и Windows 11, а обновления для Windows 10 Microsoft выпустит позже. Microsoft также опубликовала блог с подробным описанием того, как эта уязвимость была использована в качестве «нулевого дня» группировкой вымогателей RansomEXX для получения повышенных привилегий.

Adobe исправляет 11 критических уязвимостей ColdFusion

Компания Adobe выпустила обновления безопасности для устранения 30 уязвимостей, включая критические ошибки в ColdFusion версий 2025, 2023 и 2021, которые могут привести к произвольному чтению файлов и выполнению кода.

Уязвимости ColdFusion включают следующие:

• CVE-2025-24446 (CVSS score: 9.1) – Уязвимость некорректной проверки ввода, которая может привести к произвольному чтению файловой системы
• CVE-2025-24447 (CVSS score: 9.1) – Уязвимость десериализации недоверенных данных, которая может привести к выполнению произвольного кода
• CVE-2025-30281 (CVSS score: 9.1) – Уязвимость неправильного управления доступом, которая может привести к произвольному чтению файловой системы
• CVE-2025-30282 (CVSS score: 9.1) – Уязвимость неправильной аутентификации, которая может привести к выполнению произвольного кода
• CVE-2025-30284 (CVSS score: 8.0) – Уязвимость десериализации недоверенных данных, которая может привести к выполнению произвольного кода
• CVE-2025-30285 (CVSS score: 8.0) – Уязвимость десериализации недоверенных данных, которая может привести к выполнению произвольного кода
• CVE-2025-30286 (CVSS score: 8.0) – Уязвимость инъекции команд операционной системы, которая может привести к выполнению произвольного кода
• CVE-2025-30287 (CVSS score: 8.1) – Уязвимость некорректной аутентификации, которая может привести к выполнению произвольного кода
• CVE-2025-30288 (CVSS score: 7.8) – Уязвимость неправильного управления доступом, которая может привести к обходу функции безопасности
• CVE-2025-30289 (CVSS score: 7.5) – Уязвимость инъекции команд операционной системы, которая может привести к выполнению произвольного кода
• CVE-2025-30290 (CVSS score: 8.7) – Уязвимость обхода пути, которая может привести к обходу функции безопасности

Уязвимости были устранены в ColdFusion 2021 Обновление 19, ColdFusion 2023 Обновление 13 и ColdFusion 2025 Обновление 1.

Adobe также выпустила обновления, исправляющие ошибки, связанные с выходом за границы записи и переполнением буфера на основе динамической памяти в After Effects (CVE-2025-27182, CVE-2025-27183), Media Encoder (CVE-2025-27194, CVE-2025-27195), Bridge (CVE-2025-27193), Premiere Pro (CVE-2025-27196), Photoshop (CVE-2025-27198), Animate (CVE-2025-27199) и FrameMaker (CVE-2025-30304, CVE-2025-30297, CVE-2025-30295), что может привести к выполнению произвольного кода.

Shuckworm нацелилась на иностранную военную миссию, расположенную в Украине

Неустанная борьба Shuckworm с Украиной продолжилась и в 2025 году. Группа нацелилась на военную миссию западной страны, расположенную в восточноевропейском государстве.

Новое исследование Symantec Threat Hunter Team показало, что первая активность в рамках этой кампании произошла в феврале 2025 года и продолжилась в марте. Первоначальный вектор заражения, использованный злоумышленниками, судя по всему, представлял собой зараженный съемный диск.

Вероятно, злоумышленники используют обновленную версию вредоносной программы GammaSteel для похищения информации. Злоумышленники используют различные методы эксфильтрации данных, в том числе веб-сервис write.as для возможной 77exfiltration. Также замечено, что в качестве резервного метода эксфильтрации данных они используют cURL наряду с Tor.

Эта кампания также демонстрирует переход Shuckworm от использования большого количества VBS-скриптов к использованию инструментов на базе PowerShell. Вероятно, он использует PowerShell для обфускации и потому, что он позволяет хранить скрипты в реестре. GammaSteel была развернута по сложной, многоступенчатой цепочке атак с частым использованием обфускации. Скорее всего, этот процесс был разработан для минимизации риска обнаружения.

Shuckworm (она же Gamaredon, Armageddon) – связанная с Россией шпионская группа, которая с момента своего появления в 2013 году почти полностью сосредоточила свои операции на правительственных, правоохранительных и оборонных организациях в Украине. Известно, что группа использует фишинговые письма для распространения свободно распространяемых инструментов удаленного доступа или специализированного вредоносного ПО. Предполагается, что Shuckworm действует от имени Федеральной службы безопасности России (ФСБ).

Кампания кибератак нацелена на сайты, размещенные на AWS, с уязвимостями SSRF

Исследователи заметили целенаправленную кибератаку на веб-сайты, размещенные на серверах AWS EC2 с середины и до конца марта 2025 года. Сообщается, что злоумышленники действуют из Франции и Румынии и используют неопределенные уязвимости в подделке запросов на стороне сервера (SSRF) на целевых веб-сайтах, чтобы получить доступ к метаданным EC2 для этих сайтов.

Раскрытие метаданных EC2 может представлять серьезную опасность для владельцев сайтов, поскольку метаданные могут содержать конфиденциальную информацию об экземплярах EC2, например учетные данные Identity and Access Management (IAM), полученные от старых конечных точек Instance Metadata Service (IMDS) версии 1. Злоумышленники потенциально могут использовать эту информацию для доступа и повышения привилегий на экземпляре, а также на других ресурсах AWS, таких как хранилища, используемые веб-сайтом. Злоумышленники успешно используют эту технику, поскольку IMDSv1 не требует аутентификации для доступа к своим метаданным, в отличие от более новой версии 2.

Хотя конкретных уязвимостей выявлено не было, владельцы сайтов предупреждают, что злоумышленники часто используют старые уязвимости для получения доступа к системам, поэтому им следует регулярно обновлять свое программное обеспечение. Пользователям AWS следует перейти на IMDSv2, чтобы снизить риск этой атаки.

Хакеры эксплуатируют уязвимость обхода аутентификации в плагине OttoKit для WordPress всего через несколько часов после её раскрытия

Недавно обнаруженная серьезная уязвимость в WordPress-плагине OttoKit (ранее SureTriggers) стала активно эксплуатироваться уже через несколько часов после обнародования.

OttoKit предлагает пользователям WordPress возможность соединять различные приложения и плагины с помощью рабочих процессов, которые позволяют автоматизировать повторяющиеся задачи. Плагин имеет более 100 000 активных установок.

Уязвимость, обозначенная как CVE-2025-3102 (CVSS score: 8.1), представляет собой ошибку обхода авторизации, которая может позволить злоумышленнику при определенных условиях создать учетную запись администратора и получить контроль над восприимчивыми веб-сайтами.

Проблема вызвана отсутствием проверки пустого значения secret_key в функции authenticate_user во всех версиях до 1.0.78 включительно. «Это позволяет неаутентифицированным злоумышленникам создавать учетные записи администраторов на целевом сайте, когда плагин установлен и активирован, но не настроен с помощью ключа API», — пояснили исследователи Wordfence.

Проблема была устранена в версии 1.0.79 плагина, выпущенной 3 апреля 2025 года.

Juniper Networks выпустила апрельскую серию обновлений программного обеспечения

Компания Juniper Networks выпустила исправления для многочисленных уязвимостей в своих продуктах Junos OS и Junos OS Evolved, а также исправления для зависимостей от сторонних производителей в Junos Space.

Эти обновления устраняют 11 уязвимостей высокой степени серьезности в Junos OS и одну уязвимость в Junos OS Evolved. Уязвимости могут привести к отказу в обслуживании (DoS) и содержатся в таких компонентах, как механизм пересылки пакетов, демон протокола маршрутизации и веб-интерфейсы управления. Некоторые из этих уязвимостей характерны для определенных устройств Juniper, таких как серия EX, серия MX и серия SRX.

Кроме того, компания Juniper устранила 10 уязвимостей средней степени тяжести в Junos OS и Junos OS Evolved. Большинство из них могут привести к DoS-атакам, а одна позволяет локальному, аутентифицированному злоумышленнику получить конфиденциальную информацию через интерфейс командной строки.

Компания Juniper также обновила Junos Space до версии 24.1R3. Это обновление устраняет почти 50 уязвимостей в программном обеспечении сторонних разработчиков, некоторые из которых имеют рейтинг критической серьезности.

Компания обновила старое сообщение об уязвимости, зарегистрированной как CVE-2025-21590 (CVSS score: 4.4). Это уязвимость неправильной изоляции в ядре Junos OS, которая может позволить локальному злоумышленнику с доступом к оболочке внедрить код и скомпрометировать устройство. В обновлении также указано, что некоторые устройства получат исправление проблемы только в более поздних обновлениях программного обеспечения. В то же время сообщается, что Juniper известно как минимум об одном случае атаки с использованием этой уязвимости в реальности.

Несмотря на то, что большинство устраненных уязвимостей не были отмечены как реально используемые, пользователям продуктов Juniper рекомендуется как можно скорее проверить и применить обновления, а также применить все необходимые стратегии по снижению риска их использования.

Последние обновления защиты можно найти в бюллетени Symantec Protection Bulletin.