Apple закрыла две 0-day дыры, через которые проникал шпион Pegasus

Екатерина Быстрова 08 Сентября 2023 - 10:53

Домашние пользователи

Уязвимость нулевого дня

...

Apple закрыла две 0-day дыры, через которые проникал шпион Pegasus

Apple вчера вечером выпустила обновления для систем iOS, iPadOS, macOS и watchOS. Апдейты всем рекомендуются к установке, поскольку они устраняют две уязвимости нулевого дня, эксплуатируемые в атаках шпиона Pegasus.

Напомним, софт для слежки Pegasus, разрабатываемый израильской компанией NSO Group, не раз использовался в целевых атаках. Например, пару лет назад его нашли на смартфонах французских журналистов.

Найденные и пропатченные в последних версиях iOS, iPadOS и macOS бреши проходят под следующими идентификаторами:

CVE-2023-41061 — проблема валидации в электронном кошельке Apple Wallet. Может привести к выполнению произвольного кода при обработке вредоносного вложения;
CVE-2023-41064 — переполнение буфера в компоненте Image I/O, которое может привести к выполнению кода при обработке специально подготовленного изображения.

На CVE-2023-41064 указали исследователи из Citizen Lab, а CVE-2023-41061 обнаружила сама Apple, но при участии той же Citizen Lab. Патчи доступны в следующих релизах:

iOS 16.6.1 и iPadOS 16.6.1 — можно установить на устройства iPhone 8 и более поздние модели, все модели iPad Pro, iPad Air третьего поколения и позже, iPad пятого поколения и позже, iPad mini пятого поколения и позже.
macOS Ventura 13.5.2 — для Mac-устройств, работающих на macOS Ventura.
watchOS 9.6.2 — для «умных» часов Apple Watch 4 и более современных.

«Цепочка эксплойтов могла пробить iPhone, работающие на актуальной версии iOS — 16.6. При этом не требовалось никакого взаимодействия с пользователем», — объясняют в Citizen Lab.

«Для эксплуатации атакующий должен был использовать вложения PassKit, содержащие вредоносные изображения и отправить их по iMessage жертве».

Следующая главная новость »

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!

Екатерина Быстрова 13 Февраля 2026 - 14:14

Бэкдоры Трояны Кибершпионаж Целевые атаки Таргетированные атаки Корпорации Государство Лаборатория Касперского

Head Mare атакует российские госструктуры новым бэкдором PhantomHeart

Хактивистская группировка Head Mare снова активизировалась. Аналитики Cyber Threat Intelligence «Лаборатории Касперского» в конце 2025 года зафиксировали новую волну целевых атак на российские госструктуры, строительные и промышленные компании. И судя по всему, инструментарий группы стал более продуманным и автоматизированным.

Главная находка — новый бэкдор PhantomHeart. Изначально он распространялся как DLL-библиотека, но позже злоумышленники переработали его в PowerShell-скрипт.

Это вписывается в стратегию Living-off-the-Land (LOTL), когда атакующие используют штатные инструменты Windows, чтобы не привлекать лишнего внимания. Чем меньше стороннего «зловреда» на диске, тем сложнее его обнаружить.

Вектор первоначального доступа остаётся прежним. Head Mare продолжает эксплуатировать уязвимость BDU:2025-10114 в TrueConf Server. В отдельных случаях используются и фишинговые рассылки. То есть проверенные способы проникновения сочетаются с обновлённой «начинкой» внутри сети.

PhantomHeart после запуска разворачивает SSH-туннель по команде с сервера управления. Это даёт операторам устойчивый удалённый доступ к системе. Параллельно бэкдор собирает базовую информацию: имя компьютера, домен, внешний IP и уникальный идентификатор.

Закрепление в системе тоже продумано: в одной из атак вредонос запускался через планировщик заданий под видом легитимного скрипта обновления в директории LiteManager — популярного инструмента удалённого администрирования. Фактически активность маскировалась под обычную работу ПО.

Кроме того, эксперты отмечают рост автоматизации. Head Mare добавила новые скрипты и утилиты для постэксплуатации. Они помогают автоматически закрепляться в системе, управлять привилегиями и организовывать сетевой доступ. Такой подход снижает «ручную» нагрузку на операторов и позволяет проводить больше атак с большей скоростью и повторяемостью.

Продукты «Лаборатории Касперского» детектируют используемые инструменты под различными вердиктами, включая HEUR:Trojan-Ransom.Win32., Backdoor.PowerShell.Agent.gen и Trojan.PowerShell.Agent..

Подробный технический разбор новой активности Head Mare опубликован на Securelist. Аналитики также отмечают, что тактики и процедуры этой группировки вписываются в более широкую картину угроз, описанную в отчёте «Записки цифрового ревизора: три кластера угроз в киберпространстве».

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!