CloudSorcerer — новая кибершпионская кампания против российских госструктур

CloudSorcerer — новая кибершпионская кампания против российских госструктур

CloudSorcerer — новая кибершпионская кампания против российских госструктур

Злоумышленники провели сложную кибершпионскую кампанию против российских государственных организаций. Специалисты Глобального центра исследований и анализа угроз «Лаборатории Касперского» (GReAT) дали ей имя — CloudSorcerer.

Методы и тактики киберпреступников пересекаются с другой кибероперацией, в которой использовался фреймворк CloudWizard. В качестве командного центра (C2) атакующие используют GitHub.

От CloudWizard новая кампания отличается совершенно другим кодом вредоносной программы. Скорее всего, за CloudSorcerer стоит другая киберпреступная группировка, просто использующая схожий метод передачи команд через публичные облачные службы.

Структура кода вредоноса и отсутствие ошибок говорит о высокой квалификации атакующих. Используя токены аутентификации, группа получает доступ к облачным сервисам вроде Dropboх через API.

В Kaspersky также отмечают многоступенчатый подход: первым делом киберпреступники разворачивают на устройстве жертвы вредоносную программу, затем подстраивают её функциональность под настройки системы.

Далее зловред активирует различные возможности: сбор, копирование и удаление данных; запуск модуля связи с командным сервером; внедрение шелл-кода.

На качественно проработанную кампанию указывает и возможность вредоноса адаптироваться под процесс, в котором он запущен, а также сложное межпроцессное взаимодействие через каналы Windows.

Более того, в CloudSorcerer злоумышленники применяют оригинальные методы шифрования и обфускации. Например, по данным «Лаборатории Касперского», зловред декодирует команды с помощью жёстко закодированной таблицы кодов и манипулирует объектными интерфейсами Microsoft COM для проведения атак.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В Chrome найдена 0-day в V8: Google выпустила срочное обновление

Google выпустила срочное обновление Chrome (140.0.7339.185/.186 для Windows и macOS и 140.0.7339.185 для Linux). Повод серьёзный — четыре критические уязвимости в компонентах браузера. И одна из них уже активно используется киберпреступниками.

Самая опасная проблема — уязвимость CVE-2025-10585 в движке V8, который отвечает за выполнение JavaScript и WebAssembly.

Ошибка типа «type confusion» позволяет злоумышленникам подменять данные в памяти и запускать произвольный код. Проще говоря, достаточно зайти на заражённый сайт — и система под ударом. Google подтвердила: эксплойт уже используется в реальных атаках, так что обновляться нужно немедленно.

Ещё три уязвимости не лучше:

  • CVE-2025-10500 — use-after-free в Dawn (WebGPU). Может приводить к сбоям или выполнению кода. За находку Google заплатила исследователю $15 000.
  • CVE-2025-10501 — use-after-free в WebRTC (онлайн-звонки и видеосвязь). Потенциально позволяет вмешиваться в живые коммуникации. Награда — $10 000.
  • CVE-2025-10502 — переполнение буфера в ANGLE, графическом движке для совместимости с OpenGL и Direct3D. Угроза — повреждение памяти и удалённое выполнение кода.

Что делать пользователям? Как обычно — не откладывать обновление. Chrome сам предложит перезапуск после установки патча, но лучше проверить вручную: меню → «Справка» → «О браузере Google Chrome».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru