Cyber Threat Pulse
#13, April 2025
Вразливості Fortinet: зловмисники зберігають доступ після офіційних патчів
Fortinet попередила про техніку атаки, за допомогою якої зловмисники зберігають доступ до раніше скомпрометованих пристроїв FortiGate навіть після усунення вразливостей (зокрема CVE-2022-42475, CVE-2023-27997, CVE-2024-21762).
Зловмисники створювали символічне посилання (symlink) між користувацькою та root-файловою системою в папці, що обслуговує мовні файли SSL-VPN. Цей артефакт зберігався після оновлення FortiOS і забезпечував read-only доступ до конфігурацій та інших даних.
Проблема поширюється на пристрої з активованою SSL-VPN. Fortinet випустила оновлення (7.6.2, 7.4.7, 7.2.11, 7.0.17, 6.4.16), у яких симлінк видаляють, а інтерфейс VPN модифікують для запобігання подібним атакам.
CERT-FR повідомляє про масові атаки з початку 2023 року. CISA рекомендує відключити SSL-VPN до застосування оновлень, скинути облікові дані та перевірити конфігурації.
Інфостилери для MacOS: розбір атаки Atomic Stealer
Попри репутацію macOS як більш безпечної операційної системи, у 2024 році вона стала мішенню одного з найагресивніших інфостилерів — Atomic Stealer (AMOS).
AMOS — це шкідлива програма, розроблена для крадіжки даних із пристроїв під управлінням macOS. Вона збирає паролі з Keychain, системну інформацію, нотатки, файли з робочого столу й документів, а також дані браузерів і криптовалютних гаманців.
Зловмисники поширюють AMOS через фальшиві сайти і підроблені інсталятори популярних додатків, маскуючи їх під легітимні .dmg-файли. Після запуску програма запитує пароль через підроблене вікно AppleScript, копіює дані й пересилає їх на сервер управління.
Команда дослідників з Picus Security провела детальний аналіз цієї загрози. Ознайомитися з ним можна за посиланням: https://www.picussecurity.com/resource/blog/atomic-stealer-amos-macos-threat-analysis
Витік листувань Black Basta — одного з російських ransomware-угруповань
У лютому 2025 року стався витік чатів учасників хакерського угруповання Black Basta — одного з найбільших операторів програм-вимагачів із 2022 року. Групу пов’язують з атаками на понад 500 компаній по всьому світу, включно з великими корпораціями у США, Європі та Японії. Її також асоціюють з операціями Conti і FIN7 та російськими кіберзлочинними колами.
Злите листування розкрило: ● внутрішні конфлікти учасників і боротьбу за гроші; ● розбіжності щодо атак на російські компанії (це обговорювалося як «червона лінія»); ● зв'язки з іншими угрупованнями і найманими розробниками; ● можливі плани щодо ребрендингу та розпаду групи.
Інформацію оприлюднив невідомий під ніком ExploitWhispers, імовірно колишній учасник або інсайдер. Витік завдав серйозного удару по репутації групи і викликав ланцюгову реакцію в даркнеті.
Скріншоти листувань і аналітику оприлюдненої інформації можна переглянути за посиланням: https://www.trellix.com/blogs/research/analysis-of-black-basta-ransomware-chat-leaks/
Основні загрози та вразливості (квітень 2025)
Microsoft Цього місяця Microsoft виправила 121 вразливість, з яких 11 класифіковані як критичні й одна визнана zero-day. На момент публікації жодна з вразливостей не має публічного PoC. Найпоказовіші: ● Вразливість у Windows CLFS (CVE-2025-29824) Вразливість з оцінкою CVSS 7.8 дає змогу локальному зловмиснику підвищити привілеї до рівня SYSTEM — вищого рівня доступу в Windows. Помилка пов'язана з неправильним керуванням пам'яттю під час роботи з логами. Зафіксовано спроби експлуатації в реальних атаках. ● Вразливості в Microsoft Office Декілька вразливостей із високою небезпекою (CVE-2025-29791, CVE-2025-27749 тощо) пов'язані з помилками роботи з пам'яттю. Відкриття спеціально створеного документа (наприклад, Excel-файлу) може призвести до виконання шкідливого коду. ● Remote Desktop Gateway (CVE-2025-27482 і CVE-2025-27480) Дві вразливості з високою небезпекою в службі віддаленого доступу. Одна з них пов'язана зі зберіганням даних у незаблокованій пам'яті, друга — з помилкою повторного використання пам'яті. Обидві вимагають точного таймінгу, однак не вимагають прав доступу або участі користувача. ● Вразливості в LDAP-клієнті Windows (CVE-2025-26670 і CVE-2025-26663) Дають змогу атакувальнику віддалено виконувати код без автентифікації за допомогою спеціальних мережевих запитів до вразливого LDAP-сервера і вимагають специфічних умов (race conditions). Через широку поширеність LDAP у корпоративній інфраструктурі ризики значні.
Google Chrome Активно експлуатують атаку з використанням CVE-2025-2783 — вразливості нульового дня, що дозволяє обійти пісочницю Chrome без участі користувача. Атака починалася з поширення фішингових листів із посиланням на шкідливий вебсайт "Primakov Readings". Вразливість усунуто 25 березня.
Mozilla Firefox У версії Firefox 137 виправлено 14 вразливостей, 13 із них класифіковані як вразливості з високою небезпекою. Деякі дозволяють виконувати шкідливий код через спеціально створені вебсторінки.
Apple Apple випустила оновлення, які усувають кілька вразливостей, зокрема дві активно експлуатовані (CVE-2025-24200 і CVE-2025-24201). Їх використовували в атаках на пристрої з iOS і iPadOS, щоб ефективно обходити захисні механізми.
Linux Microsoft повідомила про виявлення 20 вразливостей у завантажувачах Linux (GRUB2, U-Boot, Barebox). Деякі можуть використовуватися для обходу Secure Boot і встановлення шкідливих завантажувачів. Більшість вразливостей вимагають фізичного доступу.
WinRAR Вразливість CVE-2025-31334 дозволяє обійти захисний механізм Mark of the Web і запустити шкідливий код під час відкриття архіву. Рекомендовано оновити WinRAR до версії 7.11.
VMware Вразливість CVE-2025-22230 у VMware Tools for Windows дозволяє користувачам без прав адміністратора виконувати дії з підвищеними привілеями в межах віртуальної машини. Усувається оновленням до версії 12.5.1.
Cisco Виявлено спроби експлуатації вразливостей CVE-2024-20439 і CVE-2024-20440 у Cisco Smart Licensing Utility. Перша забезпечує віддалений доступ через вбудований пароль, друга розкриває чутливі дані. Cisco випустила виправлення.
Apache Tomcat Вразливість CVE-2025-24813, вже використовується в атаках, дозволяє захопити сервер через PUT-запит із серіалізованими даними. Apache випустила оновлення і запропонували тимчасові заходи захисту.