Проукраинские хакеры воспользовались неустранимой уязвимостью Windows

Яков Шпунт 26 Августа 2024 - 14:37

...

Инцидент произошел еще в мае 2024 г. Его расследование показало, что, обойдя защиту, киберпреступники смогли зашифровать ряд корпоративных систем и частично разрушили серверы виртуализации, нанеся колоссальный ущерб компании.

Злоумышленники воспользовались недостатком систем Windows, связанным со взаимодействием с цифровыми подписями драйверов.

Злоумышленники проникли в сеть промышленной компании через взломанную учетную запись подрядчика. С хоста подрядчика по удаленному рабочему столу (RDP) они получили доступ к ряду систем. Но, прежде чем совершать деструктивные действия, хакеры смогли отключить защитные системы, чтобы их действия невозможно было обнаружить и заблокировать.

Злоумышленники воспользовались тем, что Microsoft сделала исключения при реализации запущенной в 2022 г политики обязательной цифровой подписи драйверов. Процедура обязательной проверки не работала для драйверов, выпущенных до определенной даты (29 июня 2015 г.). Нападавшие «состарили» сертификат одного из производителей электроники, что позволило обойти требования системы.

В процессе исследования атакованных серверов компании эксперты Solar 4RAYS обнаружили два образца вредоносной программы, один из которых искал в системе признаки присутствия защитного решения, а другой — отключал его командой из режима ядра. По итогам расследования все вредоносы были удалены из инфраструктуры, а компания получила рекомендации о дальнейших действиях по закрытию уязвимостей, которыми воспользовались хакеры.

«Подобная техника позволяет киберпреступникам отключить вообще любой софт (а не только антивирусное ПО) и беспрепятственно развить атаку в целевой инфраструктуре. Раньше подобные атаки практиковали в основном киберпреступные группировки из азиатского региона, но теперь мы видим ее активное распространение и среди других злоумышленников. Но если азиатские хакеры в основном собирали данные, не разрушая инфраструктуру, то злоумышленники из Восточной Европы часто нацелены на деструктив, что усугубляет угрозу. Для того, чтобы вовремя «отловить» подобную атаку, нужно регулярно проверять работоспособность установленных в инфраструктуре защитных решений. Если с какого-то ПО не идет телеметрия — это очевидный повод его проверить. Кроме того, важно периодически проводить оценку компрометации. Такая проверка повышает шансы выявить атаку до наступления серьезных последствий», — сказал Иван Сюхин, руководитель группы расследований инцидентов Solar 4RAYS ГК «Солар».

Напомним, в прошлом году мы анализировали, как взлом сертификационного центра Microsoft поставили на поток.

Следующая главная новость »

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 20 Января 2026 - 08:49

iOS Утечки информации Случайные утечки Случайное разглашение данных Домашние пользователи

Сотни iOS-приложений с ИИ в App Store сливают данные пользователей

Исследователи обнаружили в App Store сотни приложений, сливающих пользовательские данные — от имён и адресов электронной почты до истории чатов. И что особенно показательно, подавляющее большинство таких приложений связано с ИИ.

На проблему обратили внимание авторы инициативы Firehound, которую ведёт исследовательская команда CovertLabs.

Проект сканирует и индексирует приложения в App Store, выявляя те, которые по неосторожности (или халатности) оставляют данные пользователей в открытом доступе. На это указал известный исследователь @vxunderground, который без лишних церемоний охарактеризовал происходящее как «slopocalypse» («слопокалипсис» — от «AI-slop» — прим. Anti-Malware.ru).

По состоянию на текущий момент проект Firehound выявил 198 iOS-приложений, которые в той или иной форме раскрывают пользовательские данные. Причём 196 из них грозят серьёзными утечками.

Антирекордсменом стало приложение Chat & Ask AI. Оно уверенно возглавляет рейтинги Firehound по количеству открытых файлов и записей: более 406 миллионов записей, относящихся к 18+ миллионам пользователей. И это не абстрактные метаданные — речь идёт о реальной пользовательской информации.

Исследователь @Harrris0n, один из участников проекта, отдельно прокомментировал находку, подчеркнув масштабы проблемы и её системный характер.

Большинство утечек связано с неправильно настроенными базами данных и облачными хранилищами. Во многих случаях приложения не только оставляют данные открытыми, но и фактически «помогают» исследователям — раскрывая схемы данных и точное количество записей.

Хотя наибольшее число проблемных приложений действительно относится к ИИ-сервисам (чат-боты, ассистенты, генераторы контента), список категорий куда шире. Среди них:

образование,
развлечения,
графика и дизайн,
здоровье и фитнес,
образ жизни,
социальные сети.

Публичная версия Firehound намеренно ограничена. Самые чувствительные результаты не выкладываются в открытый доступ — их сначала проверяют и редактируют, чтобы не усугубить ситуацию.

Хотя в соцсетях Firehound уже окрестили каталогом ИИ-слопа, сами авторы проекта осторожны в формулировках. Нет прямых доказательств, что эти приложения были созданы с помощью вайб-кодинга или автономных ИИ-инструментов. Да и сам термин больше отражает настроение, чем техническую суть проблемы.

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »