Эксперты сняли цифровой отпечаток хакеров и связали их с Россией

Эксперты сняли цифровой отпечаток хакеров и связали их с Россией

Эксперты сняли цифровой отпечаток хакеров и связали их с Россией

Исследователи в области безопасности разработали новый метод снятия цифровых отпечатков с киберпреступников. В результате эксперты смогли выследить двух активных продавцов эксплойтов для систем Windows.

Специалисты компании Check Point заявили, что с помощью цифровых отпечатков им удалось выйти на двух авторов эксплойтов для Windows, чьи разработки позволяют повысить права в операционной системе.

Также исследователи отметили, что злоумышленники продавали свои эксплойты российским киберпреступным группировкам, занимающимся целевыми атаками (APT).

Как пишут в блоге сотрудники Check Point, цифровой отпечаток удалось снять после расследования одного из киберинцидентов, с которым столкнулся клиент. В той атаке принимал участие маленький 64-битный исполняемый файл.

В процессе анализа образца эксперты обнаружили необычные строки, отвечающие за отладку. Именно эти куски кода указали специалистам на попытку использовать уязвимость на одной из атакуемых машин.

Команда Check Point решила зафиксировать эти уникальные нюансы, которые впоследствии выступили в роли идентификаторов: внутренние имена файлов, PDB-пути, жёстко закодированные значения и тому подобное.

Чуть позже специалисты Check Point поймали новые образцы, которые совпадали со снятым ранее цифровым отпечатком. В результате не составило труда идентифицировать самих продавцов эксплойтов — «Volodya» (также известен под псевдонимом «BuggiCorp») и «PlayBit» (также — «luxor2008»).

Среди клиентов этих двух товарищей были операторы таких группировок, как Ursnif, GandCrab, Cerber, Magniber, а также APT-групп — Turla, APT28 и Buhtrap.

OpenClaw взломали через WhatsApp: ИИ-ассистент мог отдать доступ к хосту

В OpenClaw нашли сразу три серьёзные уязвимости, которые позволяли красть учетные данные, повышать привилегии и выполнять произвольный код в системе, где запущен ИИ-ассистент. Две ошибки получили оценку 8,8 из 10 по шкале CVSS.

Они были связаны с фильтрацией команд: защитный механизм блокировал не все опасные входные данные, поэтому злоумышленник мог протащить системную команду туда, где ей быть совсем не положено.

Третья уязвимость с рейтингом 8,4 позволяла обходить ограничения песочницы через монтирование родительских каталогов. OpenClaw запрещал прямой доступ к папкам вроде ~/.ssh, ~/.aws и ~/.gnupg, но при этом мог разрешить подключить весь каталог /home. После этого SSH-ключи, облачные токены и GPG-секреты оказывались буквально на столе.

 

Еще веселее с /var: через него атакующий мог добраться до сокета Docker и выбраться из песочницы прямо на хост.

Исследователь Чинмохан Наяк утверждает, что атаку можно было запустить внешним сообщением через WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России) без предварительного доступа к системе. В худшем сценарии злоумышленник получал данные, закреплялся в системе и выполнял код на машине владельца.

 

Разработчики закрыли все три дыры в OpenClaw 2026.6.6. Пользователям советуют срочно обновиться, включить песочницу для всех второстепенных сессий, убрать exec из разрешенных инструментов и максимально сузить списки доверенных каналов.

RSS: Новости на портале Anti-Malware.ru