Новый вектор атаки Rowhammer нивелирует любую защиту памяти DDR4

Новый вектор атаки Rowhammer нивелирует любую защиту памяти DDR4

Новый вектор атаки Rowhammer нивелирует любую защиту памяти DDR4

Как известно, эксплойты класса Rowhammer позволяют атакующему, не располагающему большими правами, модифицировать или повредить данные, хранящиеся в уязвимых чипах памяти. Теперь этот вид атаки угрожает практически каждому DDR4-модулю, поскольку новый вектор нивелирует защитные меры производителей.

С помощью вектора Rowhammer злоумышленники могут выбить самые высокие права в системе, обойти песочницы, а также проводить рутинг и заражение устройств, работающих на операционной системе Android.

Опубликованное исследование показало, как можно обойти все защитные меры, введённые в DRAM. Из 40 протестированных DIMM-модулей экспертам удалось добиться проброса битов в 100% случаев. Напомним, что предыдущее исследование (PDF) демонстрировало куда более скромные результаты: 13 из 42 чипов.

«Новая техника увеличивает число устройств, которые может взломать потенциальный злоумышленник. Согласно нашему анализу, успешной компрометации можно добиться в 80% случаев. Поскольку корень проблемы лежит в аппаратном обеспечении, эту уязвимость едва ли можно пропатчить в ближайшее время», — отмечают специалисты.

Для нового вектора атаки Rowhammer исследователи использовали кастомный фаззер — софт, предназначенный для выявления багов. Этот фаззер, получивший имя Blacksmith, «натравили» на DDR4-модули, которые на сегодняшний день занимают около 94% всего рынка DRAM.

Напомним, что в мае Google выявила ещё одну версию Rowhammer, которой присвоили название «Half-Double».

Фейковые заказчики атакуют производство в России целевым фишингом

«Лаборатория Касперского» обнаружила многоступенчатую фишинговую кампанию против производственных предприятий. Под удар попали организации в разных странах, включая Россию, Чехию, Малайзию и Египет. Кампания стартовала в апреле 2026 года и, по данным компании, всё ещё продолжается.

Схема построена не на грубом «срочно оплатите счёт», а на более аккуратной легенде.

Злоумышленники пишут на английском языке якобы от лица потенциального заказчика: интересуются продукцией, спрашивают стоимость, наличие или другие детали.

Если сотрудник отвечает, атака переходит на следующий уровень. Ему присылают ссылку, где якобы лежит файл с техническими требованиями к продукту. Иногда ссылку отправляют сразу, иногда — после небольшой переписки и уточняющих вопросов, чтобы всё выглядело убедительнее.

После перехода пользователь попадает на фишинговую страницу, которая маскируется под популярный облачный сервис для работы с PDF-документами. Дальше классика: жертве предлагают нажать «скачать», а затем появляется форма аутентификации.

Нужно ввести корпоративную почту и пароль якобы для защиты файла от несанкционированного доступа. На самом деле никакой защиты там нет, только аккуратный сбор учётных данных.

В «Лаборатории Касперского» отмечают, что целевой фишинг становится сложнее. Атакующие всё чаще используют многоэтапные сценарии, заранее изучают компании и подстраивают легенды под особенности отрасли. В случае с производством ставка делается на привычную рабочую коммуникацию: запросы от заказчиков, спецификации, файлы с требованиями и деловую переписку.

Эксперты предупреждают: такие атаки опасны именно своей нормальностью. Письмо выглядит как обычный рабочий запрос, ссылка — как файл от клиента, форма входа — как стандартная проверка. Поэтому компаниям стоит не только ставить защитные решения, но и регулярно объяснять сотрудникам простое правило: если «заказчик» просит ввести корпоративный пароль на странной странице, это уже не заказчик, а охота за доступом.

RSS: Новости на портале Anti-Malware.ru