Десктопный Signal открывает возможность для шпионажа и кибератак

Татьяна Никитина 26 Января 2023 - 17:22

...

Десктопный Signal открывает возможность для шпионажа и кибератак

Изъяны, выявленные Джоном Джексоном (John Jackson) в десктопных клиентах Signal, позволяют получить незашифрованные конфиденциальные данные или подменить содержимое кеша. Эксплойт в обоих случаях требует локального доступа, поэтому вендор не считает данные проблемы уязвимостями.

Тем не менее обеим найденным ошибкам был присвоен CVE-идентификатор. Согласно блог-записи эксперта, уязвимости возникли из-за неправильной работы IM-приложения с кешем. Затронуты все версии Signal для Windows, Linux и macOS, в том числе новейшая 6.2.0.

Уязвимость CVE-2023-24069 грозит раскрытием конфиденциальной информации. Как оказалось, все отправленные в чат вложения клиент временно сохраняет в папке Signal\attachments.noindex\, притом в незашифрованном виде. После ответа на сообщение с аттачем последний автоматом удаляется из кеша, но очистка, как выяснил Джонсон, проводится недостаточно хорошо.

Исследователю удалось восстановить прокомментированную в группе картинку на своем Windows-компьютере, изменив расширение в свойствах файла и добавив .png (в macOS и Linux это работает точно так же: расширение меняется на .png). Примечательно, что при удалении аттача из чата самим автором публикации файл исправно вычищается из папки attachments.noindex.

Эксплойт, по словам эксперта, позволяет злоумышленнику с локальным доступом к хосту перехватывать сообщения жертвы с целью получения секретных данных (например, паролей к сторонним сервисам). Контрразведчики также смогут скопировать содержимое жесткого диска, изъятого у подозреваемого, и восстановить все аттачи, расшаренные в Signal.

Уязвимость CVE-2023-24068 позволяет незаметно подменить содержимое вложения в папке attachments.noindex, сохранив расширение файла, имя и размер. Причиной появления такой возможности является отсутствие проверки подлинности кешированных файлов.

В результате злоумышленник сможет внедрить во вложение вредоносный код, переслать его в другой чат, и там его загрузят, не подозревая о подвохе. Более того, можно выбрать жертву, часто использующую функцию Forward («переслать сообщение»), дождаться, когда она будет тиражировать новые аттачи в групповых чатах, и спокойно собирать данные о заражении на C2.

Подобная атака пройдет незаметно и для собеседников, доверяющих скомпрометированному источнику, и для самой жертвы. Цепная реакция, по словам Джонсона, будет неспешной, но процесс можно ускорить с помощью Python и компилятора.

Следующая главная новость »

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!

Екатерина Быстрова 13 Февраля 2026 - 14:14

Бэкдоры Трояны Кибершпионаж Целевые атаки Таргетированные атаки Корпорации Государство Лаборатория Касперского

Head Mare атакует российские госструктуры новым бэкдором PhantomHeart

Хактивистская группировка Head Mare снова активизировалась. Аналитики Cyber Threat Intelligence «Лаборатории Касперского» в конце 2025 года зафиксировали новую волну целевых атак на российские госструктуры, строительные и промышленные компании. И судя по всему, инструментарий группы стал более продуманным и автоматизированным.

Главная находка — новый бэкдор PhantomHeart. Изначально он распространялся как DLL-библиотека, но позже злоумышленники переработали его в PowerShell-скрипт.

Это вписывается в стратегию Living-off-the-Land (LOTL), когда атакующие используют штатные инструменты Windows, чтобы не привлекать лишнего внимания. Чем меньше стороннего «зловреда» на диске, тем сложнее его обнаружить.

Вектор первоначального доступа остаётся прежним. Head Mare продолжает эксплуатировать уязвимость BDU:2025-10114 в TrueConf Server. В отдельных случаях используются и фишинговые рассылки. То есть проверенные способы проникновения сочетаются с обновлённой «начинкой» внутри сети.

PhantomHeart после запуска разворачивает SSH-туннель по команде с сервера управления. Это даёт операторам устойчивый удалённый доступ к системе. Параллельно бэкдор собирает базовую информацию: имя компьютера, домен, внешний IP и уникальный идентификатор.

Закрепление в системе тоже продумано: в одной из атак вредонос запускался через планировщик заданий под видом легитимного скрипта обновления в директории LiteManager — популярного инструмента удалённого администрирования. Фактически активность маскировалась под обычную работу ПО.

Кроме того, эксперты отмечают рост автоматизации. Head Mare добавила новые скрипты и утилиты для постэксплуатации. Они помогают автоматически закрепляться в системе, управлять привилегиями и организовывать сетевой доступ. Такой подход снижает «ручную» нагрузку на операторов и позволяет проводить больше атак с большей скоростью и повторяемостью.

Продукты «Лаборатории Касперского» детектируют используемые инструменты под различными вердиктами, включая HEUR:Trojan-Ransom.Win32., Backdoor.PowerShell.Agent.gen и Trojan.PowerShell.Agent..

Подробный технический разбор новой активности Head Mare опубликован на Securelist. Аналитики также отмечают, что тактики и процедуры этой группировки вписываются в более широкую картину угроз, описанную в отчёте «Записки цифрового ревизора: три кластера угроз в киберпространстве».

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!