Предлагаем ознакомиться с Symantec Threat Landscape Bulletin, чтобы узнать подробнее о новостях из мира кибербезопасности за 23-25 июля 2025.
Microsoft заявляет, что за взломом SharePoint стоит Китай
Microsoft заявила, что по крайней мере три китайские группы использовали недавно исправленную уязвимость нулевого дня в своем программном обеспечении SharePoint. Уязвимость (CVE-2025-53770), получившая название ToolShell, затрагивает локальные серверы SharePoint и предоставляет злоумышленникам неавторизованный доступ к уязвимым серверам, позволяя им удаленно выполнять код и получать доступ ко всему содержимому и файловым системам.
В обновлении, опубликованном вчера (22 июля 2025 г.), Microsoft сообщила, что две поддерживаемые государством шпионские группы использовали эту уязвимость – Budworm (также известная как Linen Typhoon) и Sheathminer (также известная как Violet Typhoon). Кроме того, третья группа из Китая, известная как Storm-2603, также проводила кампании по эксплуатации уязвимости.
Budworm активен по крайней мере с 2013 года. Он известен тем, что выбирает в качестве мишеней особо ценные объекты, часто сосредоточиваясь на организациях в сфере государственного управления, технологий и обороны. Группа атаковала цели в Юго-Восточной Азии, на Ближнем Востоке и в других регионах, включая США. Она разрабатывает собственное вредоносное ПО, в частности бэкдор SysUpdate.
Sheathminer действует по крайней мере с марта 2017 года. Известно, что эта группа нацелена на поставщиков ИТ-услуг и управляемых услуг (MSP), промышленные организации и государственных чиновников в Европе и США. В марте 2024 года Министерство юстиции и Министерство финансов США обвинили компанию Wuhan Xiaoruizhi Science and Technology Company, Limited в том, что она является китайской компанией, подконтрольной Министерству государственной безопасности (MSS), и прикрытием для Sheathminer.
Атаки на уязвимые серверы SharePoint продолжают нарастать
Число атак на уязвимые серверы SharePoint, по имеющимся данным, быстро растет.
Среди последних громких жертв связанных с Китаем злоумышленников, которые используют эти уязвимости, предположительно числятся Национальное управление по ядерной безопасности (NNSA).
Хотя новости о взломе NNSA, агентства Министерства энергетики США, которое управляет арсеналом ядерного оружия страны, вызывают беспокойство, полный масштаб утечки информации пока неясен, и расследование продолжается, но на данный момент потенциальный ущерб считается минимальным.
По сообщениям, другие правительственные учреждения США также подверглись атакам хакеров, которые использовали недавно устраненные уязвимости, в том числе Министерство внутренней безопасности США (DHS), Министерство образования и Министерство здравоохранения и социальных служб. Всего, по имеющимся данным, более 400 различных организаций подверглись атакам.
Уязвимости, которые были использованы в этой атаке, по сообщениям, были частью цепочки уязвимостей в Microsoft SharePoint (CVE-2025-53770, CVE-2025-53771, CVE-2025-49704, CVE-2025-49706), которые позволяли злоумышленникам получить несанкционированный доступ и выполнять произвольный код. Microsoft недавно выпустила исправления для этих уязвимостей, но, по всей видимости, злоумышленникам удалось проникнуть в организации до того, как обновления были полностью внедрены.
Между тем, Metasploit выпустил новый модуль, который позволяет тестировщикам оценить свою уязвимость к этим эксплойтам. Однако Metasploit часто используется злоумышленниками, поэтому в ближайшем будущем это нововведение, скорее всего, откроет доступ к уязвимостям еще большему числу злоумышленников.
Критическая уязвимость в библиотеке JavaScript form-data требует срочного исправления
Критическая уязвимость, отслеживаемая как CVE-2025-7783, была обнаружена в популярном пакете JavaScript form-data, что потенциально подвергает тысячи приложений риску удаленных атак. Библиотека часто используется для того, чтобы помочь веб-разработчикам более легко и эффективно обрабатывать данные форм. Уязвимость возникает из-за использования функции Math.random() JavaScript для генерации граничных значений для многочастных данных, закодированных в формате multipart.
Проблема заключается в том, как Math.random() генерирует предсказуемые псевдослучайные значения. Это может позволить опытному злоумышленнику вычислить внутреннее состояние генератора случайных чисел, наблюдая за результатами, такими как идентификаторы запросов или другие значения, сгенерированные с помощью Math.random(). Установив внутреннее состояние генератора, злоумышленник может использовать эту информацию для предсказания будущих граничных значений.
Эта предсказуемость может быть использована для создания вредоносных HTTP-запросов с рассчитанными границами и внедрения произвольных параметров в бэкэнд-коммуникации. Успешное использование этой уязвимости позволяет перезаписать или внедрить параметры, потенциально обойдя логику приложения и скомпрометировав конфиденциальные данные или целостность системы.
Уязвимость затрагивает несколько версий form-data до 2.5.4, 3.0.0–3.0.3 и 4.0.0–4.0.3. Проблема устранена в исправленных версиях (2.5.4, 3.0.4, 4.0.4), в которых уязвимая функция Math.random() заменена криптографически безопасным генератором случайных чисел. Учитывая сетевой вектор атаки и риск для конфиденциальности и целостности данных, а также наличие PoC, организациям настоятельно рекомендуется как можно скорее перейти на исправленную версию, чтобы снизить риск атаки.
Новый троян Coyote, по всей видимости, стал первым, кто злоупотребил функцией Windows UI Automation
Сообщается, что недавно обнаруженный вариант банковского трояна Coyote является первым известным вредоносным ПО, использующим фреймворк Microsoft Windows UI Automation (UIA) для кражи конфиденциальной финансовой информации пользователей.
UIA – это функция .NET Framework, которая обычно используется инструментами доступности для программного доступа и управления элементами пользовательского интерфейса на рабочих столах Windows. Coyote использует эту легитимную функцию для извлечения учетных данных, связанных с 75 банками и криптовалютными биржами, в частности с теми, которые обслуживают пользователей в Бразилии.
Типичные атаки включают в себя отслеживание трояном названия активного окна с помощью API GetForegroundWindow() по списку целевых финансовых организаций. Если прямого совпадения не найдено, Coyote использует UIA, чтобы проникнуть в элементы пользовательского интерфейса окон браузера и найти банковские или криптовалютные операции, что позволяет ему идентифицировать цели, даже если соответствующие веб-сайты открыты во вкладках, а не в основном окне.
Эта возможность расширяет охват и скрытность вредоносного ПО за пределы традиционных методов кейлоггеров и фишинговых наложений, которые часто используются другими вредоносными программами.
Возможность злоупотребления UIA с целью кражи данных или выполнения кода была впервые продемонстрирована исследователями еще в декабре 2024 года. Спустя несколько месяцев этот вариант Coyote, как полагают, стал первым вредоносным ПО, активно использующим эту технику в реальных условиях. Учитывая преимущества, которые дает злоумышленникам использование этой функции, ее злоупотребление, вероятно, будет расти по мере того, как другие злоумышленники узнают об этой технике.
Злоумышленники, использующие программы-вымогатели, присоединяются к массовому использованию ToolShell
По мере того как атака SharePoint «ToolShell» набирает обороты, появляется все больше сообщений о том, что злоумышленники, использующие программы-вымогатели, присоединяются к этой кампании, чтобы воспользоваться уязвимостью. По крайней мере одна хакерская группа из Китая под названием Storm-2603 была идентифицирована как использующая уязвимости нулевого дня в серверах Microsoft SharePoint (CVE-2025-49706, CVE-2025-49704 и CVE-2025-53770) для массового распространения программы-вымогателя Warlock.
По имеющимся данным, на данный момент злоумышленники взломали сотни подключенных к Интернету серверов SharePoint, принадлежащих почти 150 организациям по всему миру. После получения первоначального доступа злоумышленники используют типичные методы из стандартного набора средств вымогательства, такие как использование Mimikatz для извлечения учетных данных из памяти LSASS, создание запланированных задач, манипулирование компонентами Internet Information Services (IIS) для обеспечения постоянного присутствия и выполнение бокового перемещения с помощью PsExec, набора инструментов Impacket и Windows Management Instrumentation (WMI).
Они также изменяют объекты групповой политики (GPO), чтобы облегчить распространение программы-вымогателя Warlock, шифрование файлов и создание общих проблем для жертв.
Хотя уязвимости ToolShell изначально были связаны с атаками, мотивированными кибершпионажем и осуществляемыми более изобретательными злоумышленниками, сейчас, по-видимому, наступила новая фаза, когда к ним присоединяются более широкий круг злоумышленников, в том числе киберпреступники, преследующие финансовые цели.
Новое вредоносное ПО для Linux использует майнеры криптовалюты и, возможно, создано с помощью ИИ
Новое вредоносное ПО для Linux под названием Koske, возможно, разработано с помощью ИИ и использует изображения панды в формате JPEG для внедрения непосредственно в системную память, сообщают исследователи из компании AquaSec, занимающейся кибербезопасностью.
Koske использует криптомайнеры, способные добывать более 18 различных криптовалют. Исследователи полагают, что вредоносное ПО было разработано с использованием больших языковых моделей (LLM) или платформ автоматизации из-за его адаптивного поведения.
Злоумышленники получают первоначальный доступ, используя ошибки в настройках открытых экземпляров JupyterLab. Затем они загружают два изображения панды в формате .JPEG, которые скрывают вредоносные скрипты. Это файлы-полиглоты, которые соответствуют сразу нескольким форматам и могут распознаваться как изображение или как скрипт — в зависимости от используемого приложения.
«Один из компонентов представляет собой код C, записанный непосредственно в память, скомпилированный и выполняемый в виде файла .so, который функционирует как руткит», – объясняют исследователи AquaSec. «Вторая – это скрипт оболочки, также выполняемый из памяти, который использует стандартные системные утилиты для скрытого запуска и поддержания постоянного присутствия, оставляя при этом мало видимых следов».
После получения доступа и обеспечения постоянного присутствия вредоносное ПО оценивает доступные ресурсы графического процессора и центрального процессора, а затем определяет, какой майнер будет работать лучше всего в данной системе, и загружает его с GitHub. Если майнер, выбранный в первую очередь, не работает или перестает работать, вредоносное ПО может автоматически переключиться на резервный вариант.
Читайте Symantec Protection Bulletin, чтобы узнать больше о том, как продукты Symantec защищают вас от угроз.
