Предлагаем ознакомиться с Symantec Threat Landscape Bulletin, чтобы узнать подробнее о новостях из мира кибербезопасности за 28-29 августа и 1-2 сентября 2025.
Серверы FreePBX стали мишенью атак с использованием уязвимости «нулевого дня»
Критическая уязвимость «нулевого дня» в серверах FreePBX активно эксплуатируется злоумышленниками, в связи с чем команда безопасности проекта выпустила экстренный патч и срочное предупреждение для администраторов с целью обеспечения безопасности их систем.
Уязвимость, которой в настоящее время не присвоен номер CVE, направлена на экземпляры панели административного управления FreePBX, которые подключены к Интернету. Ее использование может позволить неавторизованным злоумышленникам получить несанкционированный доступ и потенциально удаленно захватить контроль над уязвимыми системами.
Согласно информации, опубликованной официальным сообществом FreePBX, злоумышленники использовали эту уязвимость нулевого дня для взлома серверов по всему миру, что потенциально позволяло им изменять конфигурации, перехватывать сообщения и запускать дальнейшие атаки внутри сетей. Механизмы взлома включают злоупотребление незащищенным административным доступом и слабые средства аутентификации, которые открывают доступ к конфиденциальным функциям управления.
Администраторам рекомендуется провести проверку своих установок на уязвимость и наличие признаков потенциального взлома, а затем, в случае обнаружения заражения, выполнить шаги по восстановлению, указанные в рекомендациях.
В качестве экстренной меры разработчики FreePBX выпустили внеплановое обновление безопасности для модуля EDGE, чтобы устранить уязвимость, а в ближайшее время будет выпущена полностью протестированная версия. Для снижения риска администраторам настоятельно рекомендуется ограничить административный доступ только доверенными IP-адресами и применять строгие правила в отношении паролей.
Программа-вымогатель Storm-0501 использует Microsoft Entra ID для проведения облачных атак
Злоумышленники, использующие программу-вымогатель Storm-0501, используют взломанные учетные данные Microsoft Entra ID (ранее Azure Active Directory) для проведения разрушительных атак с использованием программ-вымогателей, нацеленных на гибридные облачные среды.
Злоумышленники сначала атаковали локальные системы, а затем перешли к получению постоянного доступа, злоупотребив учетными данными и разрешениями в облаке.
В последней кампании используются скомпрометированные учетные данные для повышения привилегий и проведения атак непосредственно в облачных инфраструктурах предприятий. Злоумышленники используют такие инструменты, как Evil-WinRM, инструмент для последующей эксплуатации, который использует PowerShell через Windows Remote Management (WinRM) для облегчения удаленного выполнения кода, что позволяет осуществлять такие действия, как латеральное перемещение и шифрование данных.
Атака DCSync, которая позволяет злоумышленнику выдать себя за контроллер домена, злоупотребляя удаленным протоколом службы репликации каталогов, также используется для извлечения конфиденциальных данных Active Directory, включая хэши паролей пользователей, которые впоследствии использовались для получения доступа к другим учетным записям, в том числе к учетной записи с ролью глобального администратора, которая не была защищена MFA.
Администраторам рекомендуется внедрить многофакторную аутентификацию (MFA), использовать модуль доверенной платформы (TPM) на сервере Entra Connect Sync для предотвращения кражи конфиденциальных материалов, осуществлять постоянный мониторинг журналов управления идентификацией и доступом, а также вводить строгий контроль доступа для снижения этих угроз.
Пользователям Passwordstate рекомендуется исправить критическую ошибку, позволяющую обойти аутентификацию
Исследователи предупреждают, что критическая уязвимость в менеджере паролей Passwordstate, позволяющая обойти аутентификацию, может привести к полному взлому системы.
Уязвимость, которой в настоящее время не присвоен номер CVE, возникает из-за некорректной проверки на странице экстренного доступа в ядре продуктов Passwordstate, что позволяет злоумышленникам использовать ее без действительных учетных данных. Успешное использование уязвимости может привести к полному взлому системы, раскрытию хранилищ учетных данных и конфиденциальной информации предприятия.
Финские исследователи в области кибербезопасности проинформировали об обнаружении уязвимости и подчеркнули ее серьезные последствия, особенно для организаций, которые полагаются на Passwordstate для безопасного управления привилегированными учетными записями, учетными данными служб и паролями ИТ-инфраструктуры. Учитывая централизованный характер менеджеров паролей, несанкционированный доступ может также позволить злоумышленникам переключаться и расширять атаки на подключенные системы.
Для решения этой проблемы компания Passwordstate выпустила внеплановое обновление безопасности (версия 9.9 Build 9972), устраняющее данную уязвимость, и настоятельно рекомендует пользователям незамедлительно его установить. Дополнительные меры по снижению риска включают проверку журналов административного доступа, внедрение многофакторной аутентификации, смену критически важных паролей и мониторинг сетевой активности на предмет подозрительных попыток входа в систему.
Российские спецслужбы по-прежнему нацелены на пользователей Microsoft
Amazon заявила, что пресекла кампанию российской шпионской группы Fritillary (также известной как APT29, Cozy Bear), целью которой было выманить у пользователей учетные данные Microsoft.
Злоумышленники взломали ряд легитимных веб-сайтов и использовали их для перенаправления примерно 10 % посетителей на вредоносную инфраструктуру, настроенную так, чтобы обманом заставить посетителей авторизовать устройства, контролируемые злоумышленниками, с помощью потока аутентификации кода устройства Microsoft.
Amazon отметила, что злоумышленники использовали файлы cookie, чтобы предотвратить повторные посещения пользователями, и быстро перешли на новую инфраструктуру, когда атаки были заблокированы. Fritillary начала специализироваться на атаках на облачные сервисы, в частности на облачные сервисы Microsoft. В начале 2024 года группе удалось взломать саму Microsoft.
Fritillary — это группа кибершпионов, известная тем, что она нацелена на высокопоставленных лиц и организации в сфере государственного управления, международных отношений, политики и исследований, и особенно активна в отношении дипломатических организаций в США и Европе. Группа была ответственна за взлом Национального комитета Демократической партии (DNC) в 2016 году и атаку на цепочку поставок с использованием программного обеспечения для управления ИТ SolarWinds в 2020 году. Правительство США официально назвало Службу внешней разведки России (СВР) организатором атаки на SolarWinds.
Уязвимость WhatsApp, не требующая кликов, использовалась в целевых атаках
В пятницу (29 августа 2025 г.) компания Meta сообщила в своем уведомлении, что уязвимость в WhatsApp, не требующая никаких действий со стороны пользователя, была использована в целенаправленных и сложных атаках «нулевого дня».
Уязвимость (CVE-2025-55177 — оценка CVSS: 5,4) затрагивает WhatsApp для iOS до версии 2.25.21.73, WhatsApp Business для iOS v2.25.21.78 и WhatsApp для Mac v2.25.21.78. Эта уязвимость может позволить «постороннему пользователю инициировать обработку контента с произвольного URL-адреса на устройстве жертвы», говорится в сообщении WhatsApp. «Мы полагаем, что эта уязвимость в сочетании с уязвимостью на уровне ОС на платформах Apple (CVE-2025-43300 — оценка CVSS: 8,8) могла быть использована в сложной атаке на конкретных целевых пользователей».
WhatsApp отправил уведомления пользователям, которые, по их мнению, могли стать целью злонамеренных сообщений в течение последних 90 дней. В предупреждениях говорилось, что, хотя они не могут с уверенностью сказать, какие устройства были скомпрометированы, они отправляют предупреждения из соображений крайней осторожности. Несмотря на то, что уязвимость теперь устранена, они также посоветовали тем, кто получил уведомление, выполнить полный сброс настроек устройства до заводских настроек, поскольку «операционная система устройства может оставаться скомпрометированной вредоносным ПО или подвергаться другим видам атак».
Подобные уязвимости, не требующие никаких действий со стороны пользователя, особенно опасны. Такие уязвимости обычно используются для установки шпионского ПО на телефоны жертв и, как правило, связаны с хорошо финансируемыми злоумышленниками, в том числе с группами, спонсируемыми государством.
Уязвимость удаленного выполнения кода в Google Web Designer исправлена
Уязвимость в Google Web Designer, которая в настоящее время исправлена, могла позволить удаленному злоумышленнику удаленно выполнять код в системах Windows.
Уязвимость CSS-инъекции (которой еще не присвоен номер CVE) была обнаружена исследователем в области безопасности Балинтом Магяром и затрагивает версии Web Designer до версии 6.4.0.0711, выпущенной 29 июля 2025 года. Версии программного обеспечения для Linux и macOS не уязвимы из-за различий в обработке подпроцессов и аргументов командной строки.
Магяр имеет опыт обнаружения уязвимостей в Web Designer, ранее в этом году он обнаружил две отдельные уязвимости удаленного выполнения кода (CVE-2025-1079 и CVE-2025-4613).
Новый троян TinkyWinkey использует передовые технологии кейлоггинга
Исследователи в области кибербезопасности написали в своем блоге о новом сложном вредоносном ПО-кейлоггере под названием «TinkyWinkey», впервые обнаруженном в июне 2025 года, которое нацелено на системы Windows и обладает расширенными возможностями скрытого действия.
Это вредоносное ПО использует двухкомпонентную архитектуру, состоящую из двух основных частей: службы Tinky, отвечающей за поддержание постоянного присутствия в системе путем регистрации в качестве легитимной службы Windows с автоматическим запуском при загрузке, и компонента Winkey Keylogger, который собирает данные о нажатиях клавиш.
Механизм кейлоггинга TinkyWinkey использует низкоуровневые системные хуки для сбора всех нажатий клавиш, включая специальные клавиши, функциональные клавиши и многоязычные входы Unicode. Он динамически отслеживает изменения раскладки клавиатуры, обеспечивая точное ведение журнала при переключении пользователями языков или методов ввода. Вредоносное ПО также соотносит нажатия клавиш с активным окном на переднем плане, что позволяет злоумышленникам определять, когда жертвы получают доступ к конфиденциальным приложениям, таким как банковские порталы или почтовые клиенты.
Помимо перехвата нажатий клавиш, TinkyWinkey выполняет комплексное профилирование системы, собирая подробную информацию об аппаратном и программном обеспечении, которая помогает злоумышленникам понять среду жертвы для дальнейшего использования. Вся перехваченная информация сохраняется в файлах журнала с кодировкой UTF-8 во временных системных каталогах для последующей экстракции.
TinkyWinkey использует методы внедрения процессов, встраивая свои скрипты кейлоггера в доверенные системные процессы, такие как explorer.exe, что повышает эффективность уклонения от обнаружения традиционными антивирусными инструментами.
Читайте Symantec Protection Bulletin, чтобы узнать больше о том, как продукты Symantec защищают вас от угроз.
