Microsoft рассказала о новом сложном инструменте российской APT-группы

Екатерина Быстрова 25 Августа 2022 - 17:31

Таргетированные атаки

...

Microsoft рассказала о новом сложном инструменте российской APT-группы

Microsoft рассказала ещё об одном сложном вредоносе, который, по словам корпорации, использует «российская киберпреступная группировка» APT29 (также известна под именами Cozy Bear и The Dukes).

Вредонос для постэксплуатационного периода получил имя MagicWeb. Злоумышленники применяли его исключительно в сложных целевых кибератаках. Инструмент может использоваться для обеспечения постоянного доступа к взломанным средам.

Microsoft называет «российскую APT-группу» собственным именем — Nobelium. Именно эти хакеры отметились и запомнились многим атакой на SolarWinds в декабре 2020 года.

«Nobelium продолжает демонстрировать высокую активность, организуя множество параллельных кампаний, в ходе которых атакуются госучреждения, общественные организации и аналитические центры в Великобритании, Европе и Центральной Азии», — пишет техногигант из Редмонда.

MagicWeb чем-то похож на другой инструмент Nobelium — бэкдор FoggyWeb. Если последний может доставлять дополнительные пейлоады и красть информацию с ADFS-серверов, то MagicWeb представляет собой вредоносную DLL — бэкдор-версию Microsoft.IdentityServer.Diagnostics.dll. Эта библиотека разработана для получения доступа к ADFS-системе в обход аутентификации.

Специалисты Microsoft наткнулись на MagicWeb после анализа кампании APT29, нацеленной на связанные с НАТО организации. Как отметили исследователи, киберпреступники хотели получить доступ к внешнеполитическим данным.

«Nobelium может разворачивать MagicWeb только после получения важных учетных данных и административного доступа к ADFS-серверам», — подытоживает Microsoft.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 30 Апреля 2025 - 13:12

Уязвимости программ Домашние пользователи Google

Google Chrome 136 устраняет опасную уязвимость: обновитесь как можно скорее

Команда разработчиков Google Chrome выпустила стабильную версию браузера под номером 136 для Windows, macOS и Linux. Вроде бы очередное «техническое» обновление, но есть важная причина не откладывать его установку — в новой версии закрыли сразу восемь уязвимостей, включая одну очень серьёзную.

Главная звезда (и одновременно тревожный сигнал) в списке — CVE-2025-4096, уязвимость высокой степени риска в HTML-движке Chrome.

В двух словах: это heap overflow (переполнение буфера), которое может возникнуть при обработке веб-страниц. Если злоумышленник грамотно воспользуется этой брешью, он сможет выполнить произвольный код на вашем компьютере. То есть буквально получить доступ к системе. Неудивительно, что Google заплатила $5000 исследователю, который её обнаружил.

Апдейт также закрывает несколько менее опасных, но всё равно важных проблем:

CVE-2025-4050 — ошибка с выходом за границы памяти в DevTools (средняя опасность);
CVE-2025-4051 — недостаточная проверка данных в DevTools (тоже средней степени);
CVE-2025-4052 — некорректная реализация одной из функций (низкая опасность).

Что делать?

Обновиться как можно скорее! Обычно Chrome обновляется сам, но лучше перепроверить:

Откройте chrome://settings/help — и убедитесь, что у вас стоит последняя версия.

Google, кстати, намеренно не раскрывает технические детали уязвимостей до тех пор, пока большинство пользователей не установит патчи.