Злодеи использовали 500 тыс. семплов вредоноса для атак на VoIP-серверы

Екатерина Быстрова 18 Июля 2022 - 17:25

Домашние пользователи

...

Эксперты вычислили масштабную киберпреступную кампанию, атакующую серверы IP-телефонии Elastix. По словам аналитиков, за три месяца злоумышленники использовали более 500 тысяч образцов вредоносных программ.

Атакующие, предположительно, задействовали уязвимость под идентификатором CVE-2021-45461, с помощью которой можно удаленно выполнить код. Эта брешь получила статус критической и 9,8 балла из 10 по шкале CVSS.

Преступники эксплуатируют CVE-2021-45461 с декабря 2021 года. По словам команды Unit 42 (Palo Alto Networks), цель киберкампании — установить PHP-шелл, позволяющий запускать команды на скомпрометированном сервере.

В отчете исследователей отмечается, что злоумышленники развернули «более 500 тысяч уникальных семплов вредоносных программ в период с декабря 2021 года по март 2022-го». В настоящее время атаки все ещё продолжаются, а специалисты находят в них много общего с кибероперацией 2020 года, о которой рассказывали эксперты Check Point.

Специалисты выделили две кибергруппы, использующие разные скрипты для эксплуатации и установки шелл-скрипта. В результате такой атаки жертва получает на устройство PHP-бэкдор, создающий аккаунт с правами root и обеспечивающий устойчивость за счет запланированных заданий.

«Дроппер также пытается “смешаться” со средой, устанавливая бэкдору ту же временную метку, которая есть у известного системе файла», — отмечают исследователи.

IP-адреса обеих киберпреступных группировок располагаются в Нидерландах, а вот DNS-записи содержат ссылки на российские порносайты. Сейчас часть инфраструктуры, отвечающая за доставку пейлоада, остается активной в Сети.

Создаваемая вредоносом запланированная задача запускается каждую минуту, чтобы фетчить PHP-шелл, закодированный base64. При этом в веб-запросах могут содержаться следующие параметры:

md5 — MD5-хеш аутентификации для удаленного входа и взаимодействия с шеллом.
admin — выбирает между сессиями администратора Elastic и Freepbx.
cmd — удаленно запускает произвольные команды.
call — создает вызов из интерфейса командой строки Asterisk.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 28 Мая 2026 - 18:24

Эксплойты Уязвимости программ Домашние пользователи Корпорации

Обновляйте Notepad++: баг в config.xml открывал путь к выполнению кода

Разработчики Notepad++ выпустили версию 8.9.6.1, закрыв сразу несколько уязвимостей, включая опасные баги, которые при определённых условиях позволяли выполнить произвольный код.

Обновление вышло 26 мая 2026 года. В нём исправлены три уязвимости: CVE-2026-48770, CVE-2026-48778 и CVE-2026-48800.

Проблемы затрагивают версии Notepad++ вплоть до 8.9.6 и в основном связаны с тем, как приложение обрабатывает конфигурационные файлы.

Самая серьёзная из них — CVE-2026-48778. Уязвимость находится в механизме обработки файла config.xml, а точнее параметра <GUIConfig name="commandLineInterpreter">. Notepad++ считывал это значение без нормальной проверки, контроля белого списка и проверки целостности, а затем использовал его при запуске функции «Открыть директорию в cmd».

В результате злоумышленник мог подменить исполняемый файл, который запускается через Notepad++. В демонстрационном сценарии в конфигурацию подставляли calc.exe, после чего вместо командной строки открывался калькулятор Windows. Сам по себе калькулятор, конечно, никого не пугает, но смысл PoC предельно понятен: вместо него можно подсунуть куда менее безобидный исполняемый файл.

Для эксплуатации уязвимости требуется действие пользователя. Атакующий может изменить файл %APPDATA%\Notepad++\config.xml в контексте текущего пользователя, раздать вредоносный ярлык с параметром -settingsDir, указывающим на подконтрольную директорию, или отравить синхронизируемые через облако конфигурации.

Есть и более приземлённый вариант: социальная инженерия. Пользователя можно убедить распаковать подготовленный архив в нужное место внутри AppData, а дальше Notepad++ сам аккуратно подхватит изменённые настройки.

Помимо CVE-2026-48778, обновление закрывает ещё две проблемы. CVE-2026-48770 связана с аварийным завершением работы при обработке некорректных структур и может приводить к отказу в обслуживании. CVE-2026-48800 описана как ещё одна уязвимость выполнения произвольного кода, связанная с неправильной обработкой файла shortcuts.xml.

Пользователям и организациям рекомендуется как можно быстрее обновить Notepad++ до версии 8.9.6.1.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!