Предлагаем ознакомиться с Symantec Threat Landscape Bulletin, чтобы узнать подробнее о новостях из мира кибербезопасности за 24, 28, 30 апреля 2025 года.
Группы разработчиков программ-вымогателей тестируют новые модели партнерства
Преступники, ответственные за деятельность групп DragonForce и Anubis, занимающихся распространением вымогательского ПО как услуги (RaaS), запускают новые бизнес-модели, чтобы привлечь партнеров и увеличить количество инцидентов, в которых могут быть использованы их услуги, говорится в отчете компании Secureworks.
Организация DragonForce, стартовавшая в августе 2023 года как традиционная RaaS-схема, недавно объявила о том, что теперь аффилиаты могут создавать свой собственный «бренд», что позволяет аффилиату использовать собственное вредоносное ПО, пользуясь при этом другими инфраструктурами, предлагаемыми DragonForce. «В этой модели DragonForce предоставляет свою инфраструктуру и инструменты, но не требует от аффилированных лиц развертывания своего вымогательского ПО. Среди рекламируемых возможностей – административная и клиентская панели, инструменты для шифрования и согласования выкупа, система хранения файлов, сайт утечки на базе Tor и домен .onion, а также услуги поддержки», – говорится в сообщении Secureworks.
Между тем, Anubis недавно начала рекламировать три различные партнерские модели, которые включают в себя:
- Традиционная модель RaaS, при которой аффилированные лица получают 80% от суммы выкупа
- Вариант «выкупа данных», когда Anubis помогает выкупить данные у жертвы после атаки с вымогательством (аффилиаты получают 60% от выручки)
- Опция «монетизация доступа» – это услуга, которая помогает злоумышленникам вымогать деньги у уже скомпрометированных жертв и предлагает партнерам 50% от выкупа.
Рэйф Пиллинг, директор по анализу угроз в подразделении по борьбе с угрозами Secureworks, говорит, что он и его команда наблюдают «более широкие эксперименты с различными операционными моделями» среди групп, распространяющих вымогательское ПО. «Понимание того, как эти группы действуют, используют инструменты и монетизируют свои средства, имеет решающее значение для развертывания правильных средств защиты, чтобы обезопасить людей и предприятия», – сказал Пиллинг.
Удаление файлов с GitHub для устранения утечек конфиденциальных данных может быть недостаточным
Исследователь безопасности Шарон Бризинов обнаружил значительный риск безопасности, восстанавливая файлы, удаленные из публичных репозиториев GitHub. В процессе он обнаружил сотни утечек секретов в нескольких проектах и заработал 64 000 долларов в виде вознаграждения за найденные ошибки.
Для проведения своего исследования Бризинов автоматизировал процесс клонирования публичных репозиториев, чтобы восстановить удаленные файлы, а затем проверил их на наличие секретов, таких как API-ключи, токены и учетные данные. Он сосредоточил свое внимание на популярных репозиториях с более чем 5 000 звезд и компаниях с активными программами вознаграждения за ошибки. В ходе этого процесса он обнаружил сотни активных секретов, в основном в удаленных бинарных файлах. Среди найденных секретов были токены для Google Cloud Platform, AWS, Slack, GitHub, OpenAPI, HuggingFace и Algolia, а также токены разработчиков и учетные данные SMTP электронной почты.
Утечка секретов через репозитории – давняя проблема безопасности, которая решается по многим направлениям. Однако эта проблема усугубляется тем, что Git сохраняет в своей истории все зафиксированные файлы, даже если они впоследствии удалены из рабочей директории или на них больше нет ссылок в ветках или тегах. Несмотря на удаление, файлы остаются доступными в истории коммитов репозитория и хранилище объектов Git в течение примерно двух недель, прежде чем сборка мусора приведет к их удалению, что затрудняет полное удаление конфиденциальных данных после их фиксации.
Хотя распределённая система контроля версиями Git, которая отслеживает каждую версию файла как уникальный объект, полезна тем, что позволяет легко восстановить удалённые файлы, её недостатком является то, что она также сохраняет любые секреты, которые могли быть ошибочно зафиксированы, что усложняет устранение ошибки.
Пользователям Git рекомендуется: «Чтобы полностью удалить файл из истории, необходимо переписать историю с помощью таких инструментов, как git filter-branch, git-filter-repo, или вручную выполнить ребазинг и запустить сборщик мусора (с prune) для очистки недоступных объектов». Однако это не полное решение, поскольку, как отмечает Бризинов, для публичных репозиториев полное удаление конфиденциальных файлов практически невозможно, поскольку копии или форки проекта могут быть сделаны другими людьми, и они также содержат секреты.
Обновление Microsoft за апрель добавляет «функцию», которая может быть использована для блокировки будущих обновлений безопасности
Пользователи, которые установили последние апрельские обновления Microsoft для Windows 10 и 11, обнаружили таинственную новую пустую папку с именем «inetpub», созданную в корневом каталоге системного диска. Эта папка, которая является новой функцией для большинства пользователей, используется компьютерами, на которых работает веб-сервер Microsoft Internet Information Services (IIS), но обычно отсутствует на тех компьютерах, на которых он не запущен.
Через несколько дней после выпуска ежемесячных обновлений в апреле 2025 года Microsoft выпустила дополнительное разъяснение, что эта папка действительно добавляется во все обновленные системы Windows, независимо от того, используют ли они ISS или нет. Это добавление является частью исправления уязвимости повышения привилегий активации процессов Windows, отслеживаемой как CVE-2025-21204 (оценка CVSS: 7,8), и Microsoft дополнительно порекомендовала пользователям не удалять эту папку.
Далее, исследователь обнаружил, что эта папка может быть использована злоумышленником для блокировки установки будущих обновлений безопасности на компьютер. Для этого злоумышленнику достаточно создать специальный тип ссылки на папку, называемый «соединением», чтобы папка «inetpub» указывала на файл. Это приведет к сбою будущих обновлений, поскольку они будут ожидать, что «inetpub» является папкой, а не файлом.
Компания Microsoft признала эту проблему и классифицировала ее как средней серьезности. В настоящее время исправления для этой проблемы отсутствуют, но функциональность можно восстановить, удалив соединение.
Исследователи насчитали 75 уязвимостей нулевого дня, использованных в 2024 году
Исследователи Google опубликовали новый отчет, в котором отслеживаются тенденции в области кибератак с использованием уязвимостей нулевого дня в 2024 году. Согласно отчету, количество уязвимостей нулевого дня, использованных в 2024 году, составило 75, что на 23% меньше, чем в 2023 году. Однако, несмотря на снижение, исследователи отмечают, что цифры могут колебаться от года к году, но общая тенденция по-прежнему остается стабильно восходящей.
Что касается категорий систем, затронутых уязвимостями нулевого дня, наиболее часто атакуемыми являются продукты, связанные с конечными пользователями (например, мобильные устройства, ОС, браузеры и приложения), на которые приходится более половины (42) случаев. Остальные атаки «нулевого дня» (33) нацелены на технологии, связанные с предприятиями, такие как корпоративное программное обеспечение, а также на устройства, такие как брандмауэры, маршрутизаторы и VPN. Хотя абсолютное количество уязвимостей нулевого дня, связанных с предприятиями, по-прежнему ниже, чем у конечных пользователей, их доля в общем числе уязвимостей нулевого дня продолжает расти и достигла самого высокого уровня с 2019 года – 44% в 2024 году по сравнению с 36% в 2023 году.
Интересный аспект нулевых дней, связанных с предприятиями, можно увидеть в продвижении Ivanti на третье место в рейтинге наиболее часто атакуемых поставщиков, зарегистрировавшего семь эксплойтов нулевых дней в 2024 году. Ivanti часто становится мишенью различных злоумышленников в последнее время, поскольку его устройства расположены в стратегически важных точках инфраструктуры организаций, что делает их особенно ценной целью для злоумышленников.
Что касается популярных технологий, в 2024 году по сравнению с 2023 годом было обнаружено на шесть уязвимостей больше в системах на базе Windows. Большинство других популярных технологий, таких как Safari, iOS и Android, остались стабильными или даже продемонстрировали снижение по сравнению с предыдущим годом. Только браузеры Chrome и Firefox показали небольшой рост по сравнению с предыдущим годом.
Согласно отчету, основными источниками атак «нулевого дня» являются злоумышленники, действующие при поддержке государств. В 2024 году их число составило 21, причем на долю Северной Кореи и Китая пришлось по 5 атак «нулевого дня». Другие заметные сегменты злоумышленников, причастных к атакам «нулевого дня», включают негосударственных злоумышленников с финансовыми мотивами (5) и коммерческих поставщиков шпионского ПО (8), которые используют эти уязвимости для продвижения своих услуг.
AirBorne: Уязвимости Apple могут привести RCE-атакам на AirPlay с нулевым кликом
Набор уязвимостей в протоколе AirPlay и наборе средств разработки программного обеспечения AirPlay (SDK) Apple может привести к различным атакам. Набор из 23 уязвимостей, получивший название AirBorne, был обнаружен исследователями Oligo Security.
По мнению исследователей, эти уязвимости могут быть использованы в атаках с удаленным выполнением кода (RCE) без кликов и с одним кликом, в атаках «человек посередине» (MITM) и атаках типа «отказ в обслуживании» (DoS), а также для обхода списка контроля доступа (ACL) и взаимодействия с пользователем с целью получения доступа к конфиденциальной информации и чтения произвольных локальных файлов.
Хотя уязвимости могут быть использованы только злоумышленниками, находящимися в той же сети, они позволяют захватить уязвимые устройства и использовать доступ к ним в качестве плацдарма для взлома других устройств с поддержкой AirPlay в той же сети.
Две из этих ошибок (CVE-2025-24252 и CVE-2025-24132) могут быть использованы злоумышленниками для создания червеобразных RCE-эксплойтов с нулевым кликом, а третья (CVE-2025-24206) позволяет обойти требование нажатия кнопки «Принять» в запросах AirPlay и может быть объединена с другими уязвимостями для запуска атак без нажатия кнопки.
«Поскольку AirPlay является основным программным обеспечением для устройств Apple (Mac, iPhone, iPad, AppleTV и т. д.), а также для устройств сторонних производителей, использующих AirPlay SDK, этот класс уязвимостей может иметь далеко идущие последствия», – предупредил Олиго.
31 марта Apple выпустила обновления для устранения этих уязвимостей для iPhone и iPad (iOS 18.4 и iPadOS 18.4), Mac (macOS Ventura 13.7.5, macOS Sonoma 14.7.5 и macOS Sequoia 15.4) и устройств Apple Vision Pro (visionOS 2.4).
Последние обновления защиты можно найти в бюллетени Symantec Protection Bulletin
