Предлагаем ознакомиться с Symantec Threat Landscape Bulletin, чтобы узнать подробнее о новостях из мира кибербезопасности за 17-18 апреля 2025 года.
Новый контроллер BPFDoor используется в атаках на Linux-серверы
Новые обнаруженные версии бэкдора BPFDoor для Linux используют контроллер для открытия обратного командного интерпретатора и управления дополнительными хостами в сети.
Впервые обнаруженный в 2021 году, BPFDoor – это бэкдор, приписываемый китайскому государственному агенту угроз, отслеживаемому как Red Menshen и Earth Bluecrow. Разработанная для шпионажа, вредоносная программа фокусируется на обходе обнаружения, позволяя злоумышленникам сохранять долгосрочный доступ к зараженным сетям. Она использовалась в атаках на телекоммуникационные компании, финансовые службы и предприятия розничной торговли в Гонконге, Египте, Малайзии, Мьянме и Южной Корее.
Согласно отчету Trend Micro, в последних атаках бэкдор был замечен с использованием контроллера вредоносного ПО, который позволяет злоумышленникам открывать обратную оболочку или перенаправлять соединения на оболочку на определенном порту. Для проверки валидности полученной команды он использует пароли, предоставленные злоумышленником.
«Помимо использования различных режимов подключения, контроллер достаточно универсален, чтобы управлять зараженными машинами с помощью трех протоколов, поддерживаемых BPFDoor, – TCP, UDP и ICMP», – пояснили исследователи. Контроллер также может напрямую подключаться к зараженной машине по TCP, чтобы открыть оболочку».
Защита
Последние обновления защиты можно найти в бюллетени Symantec Protection Bulletin.
В обновлении Critical Patch Update за второй квартал 2025 года Oracle исправляет 378 уязвимостей
Компания Oracle, производитель баз данных и корпоративного программного обеспечения, выпустила второе обновление Critical Patch Update за 2025 год с исправлениями для 378 уязвимостей в широком спектре своих локальных продуктов. Из всех исправленных уязвимостей 40 относятся к категории критической серьезности, а 255, как сообщается, могут быть использованы без аутентификации. Триста уязвимостей связаны с компонентами сторонних разработчиков или компонентами с открытым исходным кодом.
Что касается количества исправлений, то больше всего патчей получили продукты Oracle Communications – на них приходится 103 исправленных уязвимости, причем шесть проблем (CVE-2024-56337, CVE-2024-52046, CVE-2025-1974, CVE-2025-24813, CVE-2024-40896, CVE-2024-5535) оценены как критические. Среди этих уязвимостей указаны 82, которые могут быть удаленно использованы без аутентификации.
Следующее по количеству исправлений семейство продуктов Oracle MySQL получило 43 исправления. Две из уязвимостей потенциально могут быть использованы удаленным злоумышленником без аутентификации. Только одна уязвимость (CVE-2024-40896) в MySQL Workbench была оценена как критическая и может быть использована неаутентифицированным удаленным злоумышленником.
Приложение Oracle Communications Applications получило 42 исправления, 35 из которых могут быть удаленно использованы неаутентифицированным злоумышленником. Три из них (CVE-2024-52046, CVE-2025-24813 и CVE-2024-40896) относятся к категории критической серьезности и потенциально могут быть использованы удаленным злоумышленником без аутентификации.
Oracle Financial Services Applications получила 34 исправления, причем 22 из них потенциально могут быть удаленно использованы неаутентифицированным злоумышленником. В этой группе только одна уязвимость (CVE-2024-56337) в Oracle Financial Services Model Management and Governance оценена как критическая.
Продукты Oracle Fusion Middleware получили 31 исправление, причем 26 из них потенциально могут быть удаленно использованы неаутентифицированным злоумышленником. Шесть из этих уязвимостей (CVE-2024-52046, CVE-2024-38476, CVE-2024-56337, CVE-2024-47561, CVE-2024-40896, CVE-2024-11053) оценены как критические.
Вслед за этим выпуском Агентство по кибербезопасности и защите инфраструктуры США (CISA) выпустило предупреждение о «несанкционированном доступе к устаревшей облачной среде Oracle», что может привести к компрометации учетных данных пользователей или токенов аутентификации.
Подробности атаки не уточняются, но предупреждение подчеркивает повышенный риск для организаций и частных лиц, использующих указанный продукт Oracle, где учетные данные пользователей могут быть совместно использованы, вопреки передовым методам обеспечения безопасности, в нескольких продуктах и сервисах. Такая ситуация может привести к дальнейшей компрометации учетных записей.
Apple исправляет ошибки нулевого дня, использовавшиеся в целевых атаках на iOS
Компания Apple выпустила экстренные обновления для устранения двух уязвимостей нулевого дня, использовавшихся в целевых атаках.
Уязвимости, отслеживаемые как CVE-2025-31200 (CVSS score: 7.5) и CVE-2025-31201 (CVSS score: 6.8), затрагивают iOS, macOS, tvOS, iPadOS и visionOS.
«Apple известно о том, что данная проблема могла быть использована в чрезвычайно сложной атаке на конкретных пользователей iOS», – говорится в бюллетене безопасности Apple, выпущенном 16 апреля.
CVE-2025-31200 – это уязвимость в CoreAudio, которая может быть использована путем обработки аудиопотока в злонамеренно созданном медиафайле для выполнения удаленного кода на уязвимом устройстве. CVE-2025-31201 – ошибка в RPAC, позволяющая злоумышленникам с доступом на чтение или запись обойти аутентификацию по указателю (PAC), функцию безопасности iOS, которая помогает защититься от уязвимостей памяти.
Apple не раскрыла никаких подробностей о том, как уязвимости используются в атаках.
Уязвимости были устранены в iOS 18.4.1, iPadOS 18.4.1, tvOS 18.4.1, macOS Sequoia 15.4.1 и visionOS 2.4.1.
Маркет BidenCash выложил 1 миллион украденных платежных карт на российский форум
Кардинговая площадка BidenCash в Dark Web разместила почти 1 миллион записей о похищенных платежных картах на русскоязычном киберпреступном форуме XSS.
В сообщении, которое было сделано 14 апреля, указаны номера карт, CVV-коды и даты истечения срока действия, но отсутствуют имена или другая личная идентификационная информация.
BidenCash утверждает, что данные были собраны с различных форумов и групп Telegram за последний месяц. Компания BidenCash заявила, что утечка произошла для того, чтобы продемонстрировать свою «антипубличную систему» – внутренний процесс, предназначенный для выявления и удаления с рынка уже выпущенных карт. «В очередной раз мы покажем результаты работы нашей антипубличной системы.
Это данные, собранные из различных чатов и форумов в течение месяца. Карты, которые были найдены на нашей платформе для продажи, были удалены, а поставщики были оштрафованы за каждую найденную карту», – говорится в сообщении BidenCash на форуме.
BidenCash известен тем, что бесплатно публикует украденные данные в большом количестве, чтобы привлечь к себе внимание и повысить авторитет. В марте 2023 года торговая площадка опубликовала 2 миллиона данных о картах, а в декабре 2023 года – 1,6 миллиона.
Уязвимость раскрытия хэша NTLM, используемая в фишинговых атаках
Сообщается, что злоумышленники начали использовать недавно исправленную уязвимость раскрытия хэша NTLM (New Technology LAN Manager), идентифицированную как CVE-2025-24054 (оценка CVSS: 6,5), в целевых атаках на частные и государственные организации в Польше и Румынии. Атаки начались через несколько дней после того, как уязвимость была исправлена Microsoft 11 марта в ежемесячном выпуске исправлений.
Уязвимость была оценена как «важная», а вероятность её эксплуатации — как «маловероятная», что означает, что она не представляла собой серьезной угрозы. Однако, несмотря на это, злоумышленники обратили на нее внимание и нашли способ включить ее в свои цепочки атак, используя ее в фишинговых атаках для кражи хэшей NTLM с целью получения доступа к сетям.
Последние атаки, замеченные в марте 2025 года, используют электронные письма, содержащие ссылку Dropbox на архивный файл, содержащий несколько файлов, для эксплуатации различных уязвимостей. Пакет содержит файл .library-ms, предназначенный для запуска уязвимости CVE-2025-24054, в результате чего компьютер пытается установить SMB-соединение с контролируемым злоумышленниками путем по адресу 159.196.128[.]120 или 194.127.179[.]157 и аутентифицироваться на нем. Во время этого процесса злоумышленники могут перехватить все отправленные NTLM-хэши и использовать их в дальнейшем для получения доступа к сети.
NTLM – это устаревшая технология, от которой Microsoft постепенно отказывается в пользу более безопасных технологий, таких как Kerberos. Из-за недостатков безопасности она часто становится мишенью злоумышленников, поскольку все еще часто используется, особенно в старых системах.
В свете изменения статуса CVE-2025-24054 CISA недавно добавила его в свой собственный список известных эксплуатируемых уязвимостей (KEV), обязав Федеральную гражданскую исполнительную власть (FCEB) США устранить проблему до 8 мая 2025 года. Другим организациям также следует провести необходимые исправления и планировать отказ от NTLM, поскольку обратный отсчет времени до его отключения продолжается.
Популярные расширения Chrome несут скрытые риски
Исследователь обнаружил коллекцию из 57 расширений Chrome, которые содержат крайне рискованную скрытую функциональность, которая может быть использована для нарушения конфиденциальности пользователя и потенциального выполнения скриптов. Указанные расширения в общей сложности имеют суммарное количество пользователей около 6 миллионов, причем многие из них имеют несколько сотен тысяч пользователей. Некоторые из них находятся в магазине расширений Chrome, в то время как другие являются закрытыми и могут быть загружены только через прямой URL-адрес.
При анализе этих расширений исследователь обнаружил, что они часто использовали сильно запутанный код для сокрытия своей функциональности. Опасные функциональные возможности, обнаруженные в этих расширениях, включают возможность доступа к файлам cookie, в том числе и важные заголовки, как «Авторизация». Они также могут отслеживать поведение пользователя при просмотре, изменять поисковых провайдеров и результаты, возвращаемые во время поиска, внедрять и выполнять удаленные скрипты на посещаемых страницах с помощью iframes и даже удаленно активировать расширенное отслеживание.
Полный список расширений доступен для проверки. Пользователям, которые их установили, рекомендуется удалить их и сбросить пароли в качестве меры предосторожности. Google был проинформирован об этих расширениях и в настоящее время удалил многие из них из магазина.
Последние обновления защиты можно найти в бюллетени Symantec Protection Bulletin
