Предлагаем ознакомиться с Symantec Threat Landscape Bulletin, чтобы узнать подробнее о новостях из мира кибербезопасности за 28, 31 июля, 1 августа 2025.
На форуме Darkweb Leakzone произошла утечка данных
В результате утечки данных на известном форуме Darkweb Leakzone были раскрыты большие объемы конфиденциальной информации с сайта, что может поставить под угрозу многих его пользователей. 18 июля 2025 года исследователи обнаружили незащищенную базу данных Elasticsearch, содержащую около 22 миллионов записей веб-запросов за период с 25 июня по середину июля. Эти записи раскрывали IP-адреса, географическое положение и данные интернет-провайдеров пользователей форума.
Раскрытые записи содержали 185 000 уникальных IP-адресов, что значительно превышает количество зарегистрированных пользователей (109 000). Это говорит о том, что многие пользователи приняли меры предосторожности и решили использовать инструменты для защиты конфиденциальности, такие как VPN и прокси-серверы, чтобы скрыть свою личность. Почти 5% запросов поступило с публичных прокси-серверов, причем многие активные пользователи направляли трафик через общие выходные узлы VPN. Географические данные показали, что пользователи форума проживали во многих регионах мира, за исключением пользователей из Китая, которые в основном направляли свой трафик через прокси-серверы, расположенные в других странах.
Как ни странно, несмотря на то, что Leakzone уделяет особое внимание цифровой анонимности и содействию незаконной деятельности, инцидент с утечкой данных указывает на небрежное отношение самого форума к безопасности: сервер Elasticsearch был подключен к интернету без пароля и брандмауэра. Информация, содержащаяся во вскрытых файлах, может оказаться полезной для властей при проведении любых расследований, связанных с сайтом и его пользователями.
Атаки Scattered Spider нацелены на установки VMware ESXi
Согласно сообщениям, группа Scattered Spider (также известная как UNC3944, OctoTempest) атакует установки VMware ESXi в американских компаниях, работающих в сфере розничной торговли, авиаперевозок, транспорта и страхования.
Scattered Spider недавно попал в заголовки новостей, когда в сотрудничестве с группировкой DragonForce, занимающейся вымогательством выкупа, провел серию атак на розничные сети в Великобритании, в том числе Marks & Spencer и сеть супермаркетов Co-op. По имеющимся данным, затем злоумышленники переключили свое внимание на другие отрасли в США.
Scattered Spider в значительной степени полагается на методы социальной инженерии, звоня в службу технической поддержки целевого объекта под видом сотрудника и пытаясь убедить оператора изменить пароль Active Directory сотрудника, чтобы получить доступ.
Получив доступ, они быстро ищут информацию об инфраструктуре, собирая данные о привилегированных учетных записях и выискивая системы с высокой степенью влияния, которые можно использовать для продолжения атаки. В атаках, обнаруженных исследователями Google, злоумышленники, по имеющимся данным, нацелены на VMware vCenter Server Appliance (vCSA), который используется для управления средами VMware vSphere.
Получив доступ к vCenter и включив SSH на хостах ESXi, злоумышленники могут сбросить пароли root и провести атаки «disk-swap» с целью похищения важных данных, таких как NTDS.dit (база данных AD). Они также очищают резервные машины, отключая возможности восстановления, а затем развертывают программу-вымогатель, которая шифрует все файлы виртуальных машин.
Чтобы противостоять угрозе со стороны злоумышленников, нацеленных на инфраструктуру VMware, администраторам рекомендуется заблокировать vSphere, ввести строгие политики многофакторной аутентификации и доступа, а также постоянно отслеживать изменения в конфигурациях, которые могут свидетельствовать о деятельности злоумышленников. Поскольку служба IT-поддержки является первоначальной точкой атаки, организации должны обеспечить наличие надлежащих политик и процедур проверки для предотвращения мошеннических запросов.
Между тем, пользователям VMware напоминается о необходимости установить исправления для критических уязвимостей в службе аутентификации гостей VMware Tools (VGAuth). Эти уязвимости, отслеживаемые как CVE-2025-22230 и CVE-2025-22247, могут быть использованы злоумышленниками для повышения привилегий учетных записей пользователей до полного доступа к системе на виртуальных машинах Windows. Проблемы затрагивают VMware Tools 12.5.0 и более ранние версии в средах, управляемых ESXi, а также автономные развертывания VMware Workstation. Патчи для них были выпущены в марте и мае 2025 года соответственно, и, хотя нет признаков того, что они используются в реальных условиях, пользователям этих продуктов настоятельно рекомендуется обновить их, если они еще не сделали этого.
Apple выпустила исправление для уязвимости нулевого дня в графическом движке ANGLE для Chrome
Apple выпустила срочные обновления безопасности для устранения уязвимости высокой степени опасности, отслеживаемой как CVE-2025-6558 (оценка CVSS: 8,8) в графическом движке ANGLE, которая, по сообщениям, была использована в качестве уязвимости нулевого дня в Google Chrome (затрагивая браузер Safari). Эта уязвимость связана с некорректной проверкой недоверенных входных данных, что потенциально может позволить удаленному злоумышленнику выйти из песочницы GPU браузера с помощью специально созданного HTML-кода. Успешное использование уязвимости может привести к выполнению кода и компрометации операционной системы.
Ошибка была обнаружена группой Google Threat Analysis Group, которая сообщила, что уязвимость уже активно эксплуатируется. Впоследствии уязвимость была исправлена в обновлении Chrome, выпущенном в середине июля 2025 года.
В этом выпуске Apple исправила уязвимость во всех продуктах своей экосистемы. К ним относятся iOS 18.6, iPadOS 18.6, macOS Sequoia 15.6, более старая версия iPadOS 17.7.9, tvOS 18.6, visionOS 2.6 и watchOS 11.6.
Эти обновления появились как раз вовремя для пользователей Apple, поскольку Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) уже добавило эту уязвимость в свой каталог уязвимостей, подверженных эксплуатации, 22 июля, обязав федеральные агентства установить исправления до 12 августа 2025 года.
Кибератака привела к закрытию сотен аптек по всей России
Кибератака на две крупнейшие аптечные сети России привела к закрытию сотен аптек по всей стране на этой неделе.
Сеть аптек «Столичные», которая насчитывает около 1000 магазинов по всей России, заявила, что технический сбой, приведший к прекращению ее работы во вторник (29 июля 2025 года), был вызван хакерской атакой. Между тем, другая сеть, «Неофарм», которая управляет более 110 аптеками в Москве и Санкт-Петербурге, также приостановила работу, сославшись на «технические проблемы». Онлайн-сервисы обеих сетей также были нарушены, а сотрудники отправлены домой. Хотя «Столичные» и «Неофарм» являются отдельными сетями, они входят в одну холдинговую компанию.
На этой неделе российская сеть клиник «Семейный врач» в Москве также сообщила о кибератаке, в результате которой временно вышли из строя портал для пациентов и система онлайн-записи на прием, однако пока неизвестно, связано ли это с перебоями в работе аптек.
Ни одна группировка пока не взяла на себя ответственность за эти инциденты, хотя российский государственный орган по надзору в сфере интернета Роскомнадзор заявил, что сбои не были вызваны распределенными атаками типа «отказ в обслуживании» (DDoS).
Новый троян нацелен на пользователей мобильного банкинга в Европе
Новый банковский троян под названием DoubleTrouble нацелен на пользователей онлайн-банкинга в Европе, по данным исследователей Zimperium.
Команда zLabs из Zimperium сообщила, что троян первоначально распространялся через фишинговые сайты, подделывавшие сайты известных европейских банков. Затем он использовал наложения для кражи банковских учетных данных и сбора информации с экрана блокировки, а также имел функцию кейлоггера.
Исследователи заявили, что отслеживали троян в течение нескольких месяцев и за это время он эволюционировал — теперь он использует поддельные веб-сайты, которые размещают образцы вредоносного ПО непосредственно в каналах Discord для распространения трояна. По словам исследователей, он также расширил свои возможности, включая «отображение вредоносных наложений на пользовательский интерфейс для кражи PIN-кодов или схем разблокировки, комплексные функции записи экрана, возможность блокировать открытие определенных приложений и расширенные функции кейлоггера».
Вредоносная программа злоупотребляет службами доступности Android для получения доступа к телефонам жертв и использует установку на основе сеансов, чтобы обойти ограничения разрешений. Она скрывает свои скрипты в каталоге Resources/raw приложения и маскируется под легитимное расширение со значком Google Play, чтобы обманом заставить пользователей предоставить доступ, что позволяет ей работать в фоновом режиме.
Читайте Symantec Protection Bulletin, чтобы узнать больше о том, как продукты Symantec защищают вас от угроз.
