Предлагаем ознакомиться с Symantec Threat Landscape Bulletin, чтобы узнать подробнее о новостях из мира кибербезопасности за 17 и 21 июля 2025.
Правоохранительная операция направлена против российской хактивистской группировки
Международная операция правоохранительных органов пресекла деятельность NoName057(16), связанной с Россией хактивистской группы, которая неоднократно организовывала распределенные атаки типа «отказ в обслуживании» (DDoS) на Украину.
Операция под кодовым названием «Иствуд», координируемая Европолом, привела к отключению большей части серверной инфраструктуры группы. В ней приняли участие полицейские силы Чехии, Франции, Финляндии, Германии, Италии, Литвы, Польши, Испании, Швеции, Швейцарии, Нидерландов и США. Были проведены обыски в 24 домах, допрошены 13 человек. Германия выдала шесть ордеров на арест подозреваемых, проживающих в России, двое из которых обвиняются в том, что являются главными организаторами NoName057(16).
Пятеро из этих подозреваемых были включены в список самых разыскиваемых преступников ЕС.
Кроме того, сотням лиц, предположительно причастных к NoName057(16), правоохранительные органы направили через «популярное приложение для обмена сообщениями» уведомления об «уголовной ответственности, которую они несут за свои действия в соответствии с национальным законодательством».
Украинские хакеры заявили о взломе российского производителя дронов
Украинские хакеры заявили, что вывели из строя всю IT-инфраструктуру российского производителя дронов Gaskar Integration.
Украинская хактивистская группа Black Owl взяла на себя ответственность за атаку на своем канале в Telegram, заявив, что действовала совместно с другой группой, Ukrainian Cyber Alliance. Она также намекнула на причастность Министерства обороны Украины.
Black Owl заявила, что «провела масштабную операцию по захвату всей сети и серверной инфраструктуры Gaskar Group, сбору ценной информации о производимых и перспективных беспилотных летательных аппаратах, а затем уничтожила эту информацию и вывела из строя инфраструктуру». Группа утверждает, что похитила 47 ТБ данных о производстве дронов и уничтожила все данные на серверах Gaskar, включая резервные копии.
ToolShell: Критическая уязвимость нулевого дня в SharePoint исправлена после использования в реальных условиях
Microsoft исправила уязвимость нулевого дня в SharePoint после появления сообщений о ее использовании в реальных условиях. Уязвимость (CVE-2025-53770), получившая название ToolShell, затрагивает локальные серверы SharePoint и предоставляет злоумышленникам неавторизованный доступ к уязвимым серверам, позволяя им удаленно выполнять код и получать доступ ко всему содержимому и файловым системам.
В своих рекомендациях по уязвимости Microsoft заявила, что «осведомлена об активных атаках, направленных на локальных клиентов SharePoint Server». Компания не предоставила дополнительной информации о том, кто стоит за этими атаками.
Новая уязвимость нулевого дня является вариантом недавно исправленной уязвимости CVE-2025-49704, которая была исправлена в июле 2025 года.
Защита
Последние обновления защиты см. в бюллетене Symantec Protection Bulletin.
Дополнительная информация
Для получения дополнительной информации читайте блог: ToolShell: критическая уязвимость нулевого дня в SharePoint исправлена после использования в реальных условиях
Новое вымогательское ПО Crux замечено в ограниченных атаках
Новый штамм вымогательского ПО под названием «Crux» был замечен в ходе ряда атак, и, как утверждается, является работой группы, связанной с BlackByte, оказывающей услуги по вымогательству выкупа (RaaS), которая отслеживается Symantec как Hecamede.
По данным исследователей, новое программное обеспечение для вымогательства выкупа было использовано по крайней мере в трех инцидентах с начала июля 2025 года. Файлы, зашифрованные программой-вымогателем, получают расширение .crux, а в формате crux_readme_[RANDOM].txt оставляется записка с требованием выкупа, в которой указан адрес электронной почты службы поддержки BlackBCruxSupport@onionmail[.]org, по которому жертвы могут обратиться за помощью.
Первоначальный доступ, по всей видимости, осуществляется в основном через легитимный протокол удаленного рабочего стола (RDP), часто с использованием действительных учетных данных. Цепочка атак программ-вымогателей начинается с запуска неподписанного исполняемого файла программы-вымогателя, который, в свою очередь, запускает svchost.exe с определенными аргументами, а затем cmd.exe, запускающий bcdedit.exe. Последний используется для изменения конфигурации загрузки с целью отключения восстановления системы и затруднения устранения последствий атаки.
Сам исполняемый файл Crux был развернут в различных папках и под разными именами на зараженных компьютерах с использованием уникальных идентификаторов, связанных с целевыми организациями.
Также было замечено, что злоумышленники осуществляли латеральное перемещение по зараженной сети, создавали учетные записи пользователей, сбрасывали реестры, устанавливали драйверы и похищали данные с помощью широко используемых инструментов, таких как Rclone.
Читайте Symantec Protection Bulletin, чтобы узнать больше о том, как продукты Symantec защищают вас от угроз.
