Cyber Threat Pulse
#13, April 2025
Уязвимости Fortinet: злоумышленники сохраняют доступ после официальных патчей
Fortinet предупредила о технике атаки, с помощью которой атакующие сохраняют доступ к ранее скомпрометированным FortiGate-устройствам даже после устранения уязвимостей (включая CVE-2022-42475, CVE-2023-27997, CVE-2024-21762).
Злоумышленники создавали символическую ссылку (symlink) между пользовательской и root-файловой системой в папке, обслуживающей языковые файлы SSL-VPN. Этот артефакт сохранялся после обновления FortiOS и позволял сохранить read-only доступ к конфигурациям и другим данным.
Проблема затрагивает устройства с активированной SSL-VPN. Fortinet выпустила патчи (7.6.2, 7.4.7, 7.2.11, 7.0.17, 6.4.16), в которых symlink удаляется, а интерфейс VPN модифицирован для предотвращения подобных атак.
CERT-FR сообщает о массовых атаках с начала 2023 года. CISA рекомендует отключать SSL-VPN до применения обновлений, сбросить учётные данные и проверить конфигурации.
Инфостилеры для MacOS: Разбор атаки Atomic Stealer
Несмотря на репутацию macOS как более безопасной операционной системы, в 2024 году она стала мишенью одного из самых агрессивных инфостилеров — Atomic Stealer (AMOS).
AMOS — вредоносная программа, разработанная для кражи данных с устройств под управлением macOS. Она собирает пароли из Keychain, системную информацию, заметки, файлы с рабочего стола и документов, данные браузеров и криптовалютных кошельков.
Злоумышленники распространяют AMOS через фальшивые сайты и поддельные установщики популярных приложений, маскируя их под легитимные .dmg-файлы. После запуска программа запрашивает пароль через поддельное окно AppleScript, копирует данные и пересылает их на сервер управления.
Команда исследователей из Picus Security провела подробный анализ данной угрозы, ознакомиться с ним можно по ссылке: https://www.picussecurity.com/resource/blog/atomic-stealer-amos-macos-threat-analysis
Утечка переписок Black Basta — одной из российских ransomware-группировок
В феврале 2025 года произошла утечка чатов участников хакерской группы Black Basta — одного из крупнейших операторов программ-вымогателей с 2022 года. Группа стоит за атаками на более чем 500 компаний по всему миру, включая крупные корпорации в США, Европе и Японии. Её связывают с операциями Conti и FIN7, а также с российскими киберпреступными кругами.
Слитая переписка раскрыла: ● внутренние конфликты участников и борьбу за деньги; ● разногласия по поводу атак на компании из России (это обсуждалось как «красная линия»); ● связи с другими группировками и наёмными разработчиками; ● возможные планы по ребрендингу и распаду группы.
Информацию опубликовал неизвестный под ником ExploitWhispers, предположительно бывший участник или близкий инсайдер. Утечка нанесла серьёзный удар по репутации группы и вызвала цепную реакцию в даркнете.
Скриншоты переписок и аналитику обнародованной информации можно изучить по ссылке: https://www.trellix.com/blogs/research/analysis-of-black-basta-ransomware-chat-leaks/
Основные угрозы и уязвимости (апрель 2025)
Microsoft
В этом месяце Microsoft исправила 121 уязвимость, 11 из них получили статус критических, одна классифицирована как zero-day. На момент публикации ни одна из уязвимостей не имеет публичного PoC. Самыми показательными уязвимостями являются:
● Уязвимость в Windows CLFS (CVE-2025-29824) Уязвимость с оценкой CVSS 7.8 позволяет локальному злоумышленнику повысить привилегии до уровня SYSTEM — высшего уровня доступа в Windows. Ошибка связана с неправильным управлением памятью при работе с логами. Были замечены попытки эксплуатации в реальных атаках.
● Уязвимости в Microsoft Office
Несколько уязвимостей с высокой опасностью (CVE-2025-29791, CVE-2025-27749 и др.) связаны с ошибками работы с памятью. Открытие специально созданного документа (например, Excel-файла) может привести к выполнению вредоносного кода.
● Remote Desktop Gateway (CVE-2025-27482 и CVE-2025-27480)
Две уязвимости с высокой опасностью в службе удалённого доступа. Одна из них связана с хранением данных в незаблокированной памяти, вторая — с ошибкой повторного использования памяти. Обе требуют точного тайминга, но не нуждаются в правах доступа или участии пользователя.
● Уязвимости в LDAP-клиенте Windows (CVE-2025-26670 и CVE-2025-26663)
Уязвимости позволяют атакующему удалённо выполнять код без аутентификации, используя специальные сетевые запросы к уязвимому LDAP-серверу. Атаки требуют специфических условий (race conditions), но представляют опасность из-за широкой распространённости LDAP в корпоративной инфраструктуре.
Google Chrome
Обнаружена активная атака с использованием CVE-2025-2783 — уязвимости нулевого дня, позволяющей обойти песочницу Chrome без участия пользователя. Атака начиналась с распространения фишинговых писем со ссылкой на вредоносный веб-сайт "Primakov Readings". Уязвимость устранена 25 марта.
Mozilla Firefox
В версии Firefox 137 исправлены 14 уязвимостей, 13 из них — высокой опасности. Некоторые уязвимости позволяют выполнять вредоносный код через специально созданные веб-страницы.
Apple
Apple выпустила обновления, устраняющие несколько уязвимостей, включая две активно эксплуатируемые (CVE-2025-24200 и CVE-2025-24201). Они использовались в атаках на устройства с iOS и iPadOS, позволяя эффективно обходить защитные механизмы.
Linux
Microsoft сообщила об обнаружении 20 уязвимостей в загрузчиках Linux (GRUB2, U-Boot, Barebox). Некоторые из них могут быть использованы для обхода Secure Boot и установки вредоносных загрузчиков. Большинство уязвимостей требуют физического доступа.
WinRAR
При открытии вредоносного архива критическая уязвимость CVE-2025-31334 позволяет обойти защитный механизм Mark of the Web и запустить вредоносный код. Рекомендуется обновить WinRAR до версии 7.11.
VMware
Уязвимость CVE-2025-22230 в VMware Tools for Windows позволяет пользователям без админ-доступа выполнять действия с повышенными привилегиями внутри виртуальной машины. Обновление до версии 12.5.1 устраняет проблему.
Cisco
Обнаружены попытки эксплуатации уязвимостей CVE-2024-20439 и CVE-2024-20440 в Cisco Smart Licensing Utility. Первая даёт удалённый доступ через встроенный пароль, вторая раскрывает чувствительные данные. Cisco выпустила исправления.
Apache Tomcat
Уязвимость CVE-2025-24813 уже используется в атаках. Позволяет захватить сервер с помощью PUT-запроса и сериализованных данных. Apache выпустила обновления, также возможны временные меры защиты.