Предлагаем ознакомиться с Symantec Threat Landscape Bulletin, чтобы узнать подробнее о новостях из мира кибербезопасности за 16 и 19 мая 2025 года.
Критическая уязвимость Fortinet CVE-2025-32756, используемая в реальных условиях
Fortinet раскрыла подробности критической уязвимости переполнения буфера стека, отслеживаемой как CVE-2025-32756 (оценка CVSS: 9,8), которая затрагивает несколько продуктов компании, в том числе FortiVoice, FortiMail, FortiNDR, FortiRecorder и FortiCamera. Эта уязвимость может позволить неавторизованному удаленному злоумышленнику выполнить удаленный запуск кода (RCE) путем отправки специально сформированных HTTP-запросов.
Уязвимость была обнаружена командой по безопасности продуктов Fortinet, которая зафиксировала ее активное использование в реальных условиях, в основном для атак на FortiVoice – платформу унифицированных коммуникаций для предприятий.
Сообщалось, что злоумышленники использовали эту уязвимость для получения первоначального доступа, после чего проводили разведку сети, удаляли журналы сбоев системы, включали функции отладки, чтобы регистрировать конфиденциальные учетные данные для последующей кражи, а также устанавливали вредоносное ПО на скомпрометированные устройства.
Fortinet выпустила исправления для всех уязвимых продуктов и рекомендует пользователям немедленно обновить их. Пользователям, которые не могут обновить продукты в ближайшее время, Fortinet рекомендует временно отключить административный интерфейс HTTP/HTTPS. Исправленные версии продуктов включают FortiVoice 7.2.1+, FortiMail 7.6.3+, FortiNDR 7.6.1+, FortiRecorder 7.2.4+ и FortiCamera 2.1.4+.
Эта уязвимость является третьей уязвимостью Fortinet, добавленной в каталог известных уязвимостей (KEV) Агентства по кибербезопасности и защите инфраструктуры США (CISA) в 2025 году, что указывает на то, что злоумышленники продолжают совершенствовать методы использования продуктов компании для получения доступа к организациям.
Google исправляет серьезную уязвимость, активно используемую злоумышленниками
Google выпустила экстренное обновление безопасности для Chrome, устраняющее серьезную уязвимость, которая могла привести к полному взлому учетной записи.
Уязвимость (CVE-2025-4664) была обнаружена исследователем Solidlab Всеволодом Кокориным, который 5 мая опубликовал технические подробности в Интернет; она была исправлена Google в среду (14 мая). Кокорин пояснил, что уязвимость связана с недостаточным соблюдением политики в компоненте Loader браузера Google Chrome, и что ее успешное использование может позволить удаленным злоумышленникам получить доступ к междоменным данным через специально созданные HTML-страницы.
Агентство по кибербезопасности и защите инфраструктуры США (CISA) подтвердило вчера (15 мая), что эта уязвимость активно эксплуатируется в реальных условиях, и добавило ее в каталог известных уязвимостей, что означает, что федеральные агентства должны как можно скорее исправить эту уязвимость. Google исправила уязвимость для пользователей стабильного канала Desktop, выпустив исправленные версии 136.0.7103.113 для Windows/Linux и 136.0.7103.114 для macOS.
Злоумышленники, связанные с Россией, атакуют почтовые серверы в рамках шпионской кампании
Группа злоумышленников, связанная с Россией и отслеживаемая Symantec под названием Swallowtail (также известная как APT28, Fancy Bear, Sednit или Sofacy), использует уязвимости нулевого дня и известные уязвимости межсайтового скриптинга (XSS) в нескольких популярных веб-серверах электронной почты, включая MDaemon, Roundcube, Horde и Zimbra. Кампания, названная исследователями «Operation RoundPress», предположительно ведется с 2023 года. Целями предполагаемой шпионской кампании были в первую очередь лица, работающие в государственных организациях, оборонных компаниях и военных организациях, расположенных в Восточной Европе (в основном в Украине, Болгарии и Румынии), а также в Африке, Южной Америке и на Балканах.
Злоумышленники начинают свои атаки с отправки фишинговых писем, содержащих вредоносный JavaScript-код, встроенный в текст письма. Когда жертвы открывают эти письма в уязвимых веб-порталах почты, уязвимости XSS запускают JavaScript-код в контексте сеанса пользователя, что позволяет злоумышленникам похитить конфиденциальные данные, такие как содержимое писем, контакты, учетные данные для входа, коды многофакторной аутентификации (MFA) и даже создать пароли для приложений, чтобы сохранить постоянный доступ.
Примечательно, что злоумышленники использовали уязвимость MDaemon (CVE-2024-11182) в качестве уязвимости нулевого дня, которая позже была исправлена в конце 2024 года, в то время как другие уязвимости в Roundcube (CVE-2023-43770), Horde и Zimbra (CVE-2024-27443) были известны ранее и исправлены.
Вредоносная программа SpyPress предназначена для вывода похищенных данных через HTTP-запросы POST на серверы, контролируемые злоумышленниками. Некоторые варианты также создавали правила пересылки электронной почты для отправки копий входящих писем злоумышленникам.
Пользователи уязвимых почтовых серверов должны убедиться, что они используют последние версии программного обеспечения, чтобы избежать взлома через эти уязвимости.
HTTPBot использовался в сотнях целенаправленных DDoS-атак
Сообщается, что использование ботнета HTTPBot для Windows значительно возросло в ходе атак на объекты в Китае. Недавние атаки были направлены в основном на организации в игровой индустрии Китая, технологические компании, образовательные учреждения и туристические веб-сайты.
Первая версия вредоносного ПО была обнаружена еще в августе 2024 года, но недавно исследователи заметили резкий рост активности HTTPBot в апреле 2025 года, когда было зафиксировано более 200 целенаправленных распределенных атак типа «отказ в обслуживании» (DDoS), связанных с этим вредоносным ПО.
Согласно отчетам, HTTPBot отличается от типичных ботнетов, которые без разбора перегружают сети, чтобы вывести из строя серверы и «положить» сайты. HTTPBot вместо этого использует так называемую «точность скальпеля», чтобы нацеливаться на критически важные бизнес-интерфейсы, такие как системы входа в игры и платежные системы, с целью нарушить работу этих ключевых узлов службы. Нацеливаясь на эти критически важные точки онлайн-сервисов, которые в значительной степени зависят от взаимодействия в режиме реального времени, он делает воздействие DDoS-атаки потенциально более эффективным.
HTTPBot написан на языке Golang и предназначен для работы в системах Windows. Он использует передовые методы обхода традиционных средств обнаружения и скрытый графический интерфейс пользователя. Для обеспечения устойчивости он изменяет реестр Windows. Ботнет связывается со своим командно-контрольным сервером (C&C) через «идентификатор атаки», который точно контролирует время атаки и цели. Злоумышленники могут дать вредоносному ПО команду выполнить один из семи типов DDoS-атак, которые может осуществить бот.
Исследователь создал новый инструмент PoC для отключения Microsoft Defender
Исследователь под ником «es3n1n» создал новый инструмент PoC (proof of concept) под названием «Defendnot», который можно использовать для отключения Microsoft Defender. В отличие от популярного ранее инструмента «No-defender», который для своей работы использовал уязвимость стороннего продукта безопасности, новый инструмент не имеет такой зависимости.
Defendnot использует недокументированный API Центра безопасности Windows (WSC), чтобы заставить Defender отключить себя. Этот API обычно используется легальным антивирусным ПО для регистрации в Windows в качестве предпочтительного решения безопасности, которое затем отключает Defender, чтобы избежать запуска нескольких продуктов безопасности, которые могут конфликтовать друг с другом.
Однако, чтобы вызвать этот API, вызов должен поступать из доверенного процесса. Чтобы обойти это, исследователь вставляет код в уже доверенный процесс Windows. В данном случае он использует taskmgr.exe (Диспетчер задач), который действует как хост-процесс. Оттуда выполняется вызов API WSC для регистрации несуществующего решения безопасности, что приводит к отключению Defender. Инструмент может принимать файл конфигурации, в котором можно контролировать некоторые аспекты, такие как имя фиктивного продукта безопасности, который будет использоваться. Он также может обеспечить постоянство, используя запланированные задачи для запуска при входе пользователя в Windows.
Хотя этот инструмент является лишь доказательством концепции, входящие в него функции демонстрируют, как их можно использовать в реальных атаках.
DDNS становится ключевым компонентом инструментария злоумышленников
Поставщики услуг динамического DNS (DDNS) становятся одним из основных факторов, способствующих кибератакам. DDNS — это служба, которая автоматически обновляет записи системы доменных имен (DNS) при каждом изменении IP-адреса сервера или устройства. Хотя услуги DDNS не являются новинкой, в последнее время все больше злоумышленников начинают осознавать их потенциал.
Одним из частых пользователей DDNS является активно действующая партнерская группа вымогателей Scattered Spider, которая начала использовать арендуемые субдомены от DNS-провайдеров, таких как Domains LLC. В ходе одной из атак она создала новый субдомен klv1.it[.]com, чтобы выдать себя за домен, принадлежащий компании Klaviyo, занимающейся автоматизацией маркетинга.
«Это то, что делают многие злоумышленники – они используют эти сервисы, потому что у них не остается следов регистрации домена, и это затрудняет их отслеживание», – рассказал Зак Эдвардс, старший исследователь угроз в Silent Pus, в интервью технологическому новостному сайту Dark Reading.
Новая кампания по распространению вредоносного ПО продвигает безфайловую версию Remcos RAT
Недавно была обнаружена новая кампания по распространению вредоносного ПО, продвигающая безаппаратный вариант трояна удаленного доступа (RAT) Remcos. Вредоносное ПО доставляется через электронные письма с вредоносными файлами ярлыков Windows (LNK), встроенными в ZIP-архивы, которые часто маскируются под документы Office с налоговой тематикой, чтобы обманом заставить пользователя открыть файл.
Эта цепочка атак использует mshta.exe, легитимный инструмент Windows, используемый для запуска HTML-приложений (HTA), для прокси-выполнения в попытке обойти обнаружение программным обеспечением безопасности. Файл HTA содержит скрипт VB, который загружает дополнительный скрипт PowerShell, ложный PDF-файл для отображения пользователю и еще один файл HTA, который вносит изменения в реестр для обеспечения постоянного присутствия.
При запуске скрипт PowerShell декодирует Remcos RAT, а затем запускает ее в памяти без использования файлов, чтобы избежать обнаружения. Remcos RAT – это модульный троян, который может обеспечить полный контроль над системой, регистрировать нажатия клавиш, делать снимки экрана, отслеживать содержимое буфера обмена и собирать информацию о системе.
RAT пытается подключиться к C&C-серверу злоумышленника по адресу readystearants[.]com, чтобы отправить данные и дождаться дальнейших команд; для защиты связи используется протокол TLS.
Защита
Последние обновления защиты см. в Бюллетене защиты Symantec.
Последние обновления защиты можно найти в бюллетени Symantec Protection Bulletin.
