Бэкдор Pure маскируется под «сверки» и «акты» — волна атак в РФ
Главная » Новости

Бэкдор Pure маскируется под «сверки» и «акты» — волна атак в РФ

Татьяна Никитина 20 Мая 2025 - 12:31
...
Бэкдор Pure маскируется под «сверки» и «акты» — волна атак в РФ

Мошенники активно рассылают в российские организации троянов Pure под видом бухгалтерских документов. По данным «Лаборатории Касперского», с января число таких имейл-атак возросло в четыре раза в сравнении с показателем годовой давности.

Семейство Windows-зловредов Pure (загрузчик PureCrypter, инфостилер PureLogs, бэкдоPureRAT) в ИБ-компании отслеживают с 2022 года. Многофункциональные трояны предоставляются в пользование по модели MaaS (Malware-as-a-Service, «вредонос как услуга»).

В рамках текущей кампании злоумышленники распространяют поддельные письма с вредоносной ссылкой или RAR-вложением, которое содержит исполняемый файл, замаскированный под документ PDF.

Имена архивных файлов обычно содержат слова doc, akt, sverka, buh, oplata. Иногда также встречаются упоминания компаний, разрабатывающих бухгалтерский софт или предоставляющих услуги по его внедрению.

При запуске вредоносный экзешник копирует себя в папку %AppData% под именем Task.exe, создает в папке автозапуска скрипт Task.vbs и извлекает из ресурсов файлы StilKrip.exe (PureCrypter, загружающий PureLogs) и Ckcfb.exe (PureRAT).

Последний собирает информацию о зараженной системе (версия ОС, имя пользователя и компьютера, установленный антивирус) и в формате protobuf передает ее на C2-сервер, устанавливая SSL-соединение.

В ответ троян может получить команду на загрузку дополнительных модулей с данными конфигурации. Таких плагинов у PureRAT несколько десятков.

Модуль PluginPcOption, например, способен по команде выполнять самоудаление, перезапуск текущего файла, выключение / перезагрузку компьютера. Компонент PluginWindowNotify отслеживает запуск финансовых сервисов, чтобы оператор зловреда смог подключиться в режиме удаленного стола и опустошить счет жертвы.

 

Вредонос PureLogs умеет воровать данные из браузеров на основе Chromium и Gecko, а также из следующих приложений:

  • почтовых клиентов Foxmail, Mailbird, Outlook, MailMaster;
  • файловых менеджеров FileZilla, WinSCP;
  • мессенджеров Discord, Pidgin, Signal, Telegram;
  • OpenVPN, Proton VPN;
  • Steam, DownloadManager, OBS Studio, ngrok;
  • криптокошельков (40 наименований).

Стилер также интересуется браузерными расширениями (кошельки, менеджеры паролей) и обладает функциями загрузчика — по команде с С2 скачивает с указанного ресурса файл и запускает на исполнение.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Microsoft закрыла 107 уязвимостей, включая 0-day в Windows Kerberos
Екатерина Быстрова 13 Августа 2025 - 08:53
Windows ЭксплойтыУязвимости программУязвимость нулевого дня Домашние пользователиКорпорации Microsoft
Microsoft закрыла 107 уязвимостей, включая 0-day в Windows Kerberos

Вчера вечером Microsoft выпустила августовский пакет патчей в рамках Patch Tuesday. Разработчики устранили 107 уязвимостей. Среди них — одна публично раскрытая 0-day в Windows Kerberos, позволяющая повысить привилегии и получить права администратора домена.

В числе закрытых дыр — 13 «критических» уязвимостей: девять с возможностью удалённого выполнения кода, три, связанные с раскрытием информации, и одна, позволяющая повысить привилегии. Всего уязвимости распределились так:

  • 44 — повышение привилегий;
  • 35 — удалённое выполнение кода;
  • 18 — раскрытие информации;
  • 4 — отказ в обслуживании;
  • 9 — подмена (spoofing).

Стоит отметить, что в подсчёт вошли только те баги, которые Microsoft устранила именно вчера. Уязвимости в Mariner, Azure и Microsoft Edge, закрытые ранее в августе, в статистику не включены.

Главная новость — закрытие 0-day CVE-2025-53779 в Windows Kerberos. Проблема связана с выходом за пределы рабочего каталога (relative path traversal) и может быть использована атакующим для повышения привилегий в сети.

Эксплуатация требует доступ к определённым атрибутам dMSA, таким как msds-groupMSAMembership и msds-ManagedAccountPrecededByLink. Уязвимость обнаружил исследователь Ювал Гордон из Akamai. Ещё в мае специалист опубликовал соответствующий технический отчёт.

Если интересно, сегодня Microsoft также выпустила накопительные обновления Windows 11 (KB5063878 и KB5063875) и Windows 10 (KB5063709), но это уже другая история — они относятся не к безопасности, а к улучшениям функциональности.

Затронутый компонент CVE-идентификатор CVE-наименование Степень риска
Azure File Sync CVE-2025-53729 Microsoft Azure File Sync Elevation of Privilege Vulnerability Важная
Azure Stack CVE-2025-53793 Azure Stack Hub Information Disclosure Vulnerability Критическая
Azure Stack CVE-2025-53765 Azure Stack Hub Information Disclosure Vulnerability Важная
Azure Virtual Machines CVE-2025-49707 Azure Virtual Machines Spoofing Vulnerability Критическая
Azure Virtual Machines CVE-2025-53781 Azure Virtual Machines Information Disclosure Vulnerability Критическая
Desktop Windows Manager CVE-2025-53152 Desktop Windows Manager Remote Code Execution Vulnerability Важная
Desktop Windows Manager CVE-2025-50153 Desktop Windows Manager Elevation of Privilege Vulnerability Важная
GitHub Copilot and Visual Studio CVE-2025-53773 GitHub Copilot and Visual Studio Remote Code Execution Vulnerability Важная
Graphics Kernel CVE-2025-50176 DirectX Graphics Kernel Remote Code Execution Vulnerability Критическая
Kernel Streaming WOW Thunk Service Driver CVE-2025-53149 Kernel Streaming WOW Thunk Service Driver Elevation of Privilege Vulnerability Важная
Kernel Transaction Manager CVE-2025-53140 Windows Kernel Transaction Manager Elevation of Privilege Vulnerability Важная
Microsoft Brokering File System CVE-2025-53142 Microsoft Brokering File System Elevation of Privilege Vulnerability Важная
Microsoft Dynamics 365 (on-premises) CVE-2025-49745 Microsoft Dynamics 365 (on-premises) Cross-site Scripting Vulnerability Важная
Microsoft Dynamics 365 (on-premises) CVE-2025-53728 Microsoft Dynamics 365 (On-Premises) Information Disclosure Vulnerability Важная
Microsoft Edge for Android CVE-2025-49755 Microsoft Edge (Chromium-based) for Android Spoofing Vulnerability Низкая
Microsoft Edge for Android CVE-2025-49736 Microsoft Edge (Chromium-based) for Android Spoofing Vulnerability Средняя
Microsoft Exchange Server CVE-2025-25005 Microsoft Exchange Server Tampering Vulnerability Важная
Microsoft Exchange Server CVE-2025-25006 Microsoft Exchange Server Spoofing Vulnerability Важная
Microsoft Exchange Server CVE-2025-25007 Microsoft Exchange Server Spoofing Vulnerability Важная
Microsoft Exchange Server CVE-2025-53786 Microsoft Exchange Server Hybrid Deployment Elevation of Privilege Vulnerability Важная
Microsoft Exchange Server CVE-2025-33051 Microsoft Exchange Server Information Disclosure Vulnerability Важная
Microsoft Graphics Component CVE-2025-49743 Windows Graphics Component Elevation of Privilege Vulnerability Важная
Microsoft Graphics Component CVE-2025-50165 Windows Graphics Component Remote Code Execution Vulnerability Критическая
Microsoft Office CVE-2025-53732 Microsoft Office Remote Code Execution Vulnerability Важная
Microsoft Office CVE-2025-53740 Microsoft Office Remote Code Execution Vulnerability Критическая
Microsoft Office CVE-2025-53731 Microsoft Office Remote Code Execution Vulnerability Критическая
Microsoft Office Excel CVE-2025-53759 Microsoft Excel Remote Code Execution Vulnerability Важная
Microsoft Office Excel CVE-2025-53737 Microsoft Excel Remote Code Execution Vulnerability Важная
Microsoft Office Excel CVE-2025-53739 Microsoft Excel Remote Code Execution Vulnerability Важная
Microsoft Office Excel CVE-2025-53735 Microsoft Excel Remote Code Execution Vulnerability Важная
Microsoft Office Excel CVE-2025-53741 Microsoft Excel Remote Code Execution Vulnerability Важная
Microsoft Office PowerPoint CVE-2025-53761 Microsoft PowerPoint Remote Code Execution Vulnerability Важная
Microsoft Office SharePoint CVE-2025-53760 Microsoft SharePoint Elevation of Privilege Vulnerability Важная
Microsoft Office SharePoint CVE-2025-49712 Microsoft SharePoint Remote Code Execution Vulnerability Важная
Microsoft Office Visio CVE-2025-53730 Microsoft Office Visio Remote Code Execution Vulnerability Важная
Microsoft Office Visio CVE-2025-53734 Microsoft Office Visio Remote Code Execution Vulnerability Важная
Microsoft Office Word CVE-2025-53738 Microsoft Word Remote Code Execution Vulnerability Важная
Microsoft Office Word CVE-2025-53736 Microsoft Word Information Disclosure Vulnerability Важная
Microsoft Office Word CVE-2025-53784 Microsoft Word Remote Code Execution Vulnerability Критическая
Microsoft Office Word CVE-2025-53733 Microsoft Word Remote Code Execution Vulnerability Критическая
Microsoft Teams CVE-2025-53783 Microsoft Teams Remote Code Execution Vulnerability Важная
Remote Access Point-to-Point Protocol (PPP) EAP-TLS CVE-2025-50159 Remote Access Point-to-Point Protocol (PPP) EAP-TLS Elevation of Privilege Vulnerability Важная
Remote Desktop Server CVE-2025-50171 Remote Desktop Spoofing Vulnerability Важная
Role: Windows Hyper-V CVE-2025-50167 Windows Hyper-V Elevation of Privilege Vulnerability Важная
Role: Windows Hyper-V CVE-2025-53155 Windows Hyper-V Elevation of Privilege Vulnerability Важная
Role: Windows Hyper-V CVE-2025-49751 Windows Hyper-V Denial of Service Vulnerability Важная
Role: Windows Hyper-V CVE-2025-53723 Windows Hyper-V Elevation of Privilege Vulnerability Важная
Role: Windows Hyper-V CVE-2025-48807 Windows Hyper-V Remote Code Execution Vulnerability Критическая
SQL Server CVE-2025-49758 Microsoft SQL Server Elevation of Privilege Vulnerability Важная
SQL Server CVE-2025-24999 Microsoft SQL Server Elevation of Privilege Vulnerability Важная
SQL Server CVE-2025-53727 Microsoft SQL Server Elevation of Privilege Vulnerability Важная
SQL Server CVE-2025-49759 Microsoft SQL Server Elevation of Privilege Vulnerability Важная
SQL Server CVE-2025-47954 Microsoft SQL Server Elevation of Privilege Vulnerability Важная
Storage Port Driver CVE-2025-53156 Windows Storage Port Driver Information Disclosure Vulnerability Важная
Web Deploy CVE-2025-53772 Web Deploy Remote Code Execution Vulnerability Важная
Windows Ancillary Function Driver for WinSock CVE-2025-53718 Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability Важная
Windows Ancillary Function Driver for WinSock CVE-2025-53134 Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability Важная
Windows Ancillary Function Driver for WinSock CVE-2025-49762 Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability Важная
Windows Ancillary Function Driver for WinSock CVE-2025-53147 Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability Важная
Windows Ancillary Function Driver for WinSock CVE-2025-53154 Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability Важная
Windows Ancillary Function Driver for WinSock CVE-2025-53137 Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability Важная
Windows Ancillary Function Driver for WinSock CVE-2025-53141 Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability Важная
Windows Cloud Files Mini Filter Driver CVE-2025-50170 Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability Важная
Windows Connected Devices Platform Service CVE-2025-53721 Windows Connected Devices Platform Service Elevation of Privilege Vulnerability Важная
Windows DirectX CVE-2025-53135 DirectX Graphics Kernel Elevation of Privilege Vulnerability Важная
Windows DirectX CVE-2025-50172 DirectX Graphics Kernel Denial of Service Vulnerability Важная
Windows Distributed Transaction Coordinator CVE-2025-50166 Windows Distributed Transaction Coordinator (MSDTC) Information Disclosure Vulnerability Важная
Windows File Explorer CVE-2025-50154 Microsoft Windows File Explorer Spoofing Vulnerability Важная
Windows GDI+ CVE-2025-53766 GDI+ Remote Code Execution Vulnerability Критическая
Windows Installer CVE-2025-50173 Windows Installer Elevation of Privilege Vulnerability Важная
Windows Kerberos CVE-2025-53779 Windows Kerberos Elevation of Privilege Vulnerability Средняя
Windows Kernel CVE-2025-49761 Windows Kernel Elevation of Privilege Vulnerability Важная
Windows Kernel CVE-2025-53151 Windows Kernel Elevation of Privilege Vulnerability Важная
Windows Local Security Authority Subsystem Service (LSASS) CVE-2025-53716 Local Security Authority Subsystem Service (LSASS) Denial of Service Vulnerability Важная
Windows Media CVE-2025-53131 Windows Media Remote Code Execution Vulnerability Важная
Windows Message Queuing CVE-2025-53145 Microsoft Message Queuing (MSMQ) Remote Code Execution Vulnerability Важная
Windows Message Queuing CVE-2025-53143 Microsoft Message Queuing (MSMQ) Remote Code Execution Vulnerability Важная
Windows Message Queuing CVE-2025-50177 Microsoft Message Queuing (MSMQ) Remote Code Execution Vulnerability Критическая
Windows Message Queuing CVE-2025-53144 Microsoft Message Queuing (MSMQ) Remote Code Execution Vulnerability Важная
Windows NT OS Kernel CVE-2025-53136 NT OS Kernel Information Disclosure Vulnerability Важная
Windows NTFS CVE-2025-50158 Windows NTFS Information Disclosure Vulnerability Важная
Windows NTLM CVE-2025-53778 Windows NTLM Elevation of Privilege Vulnerability Критическая
Windows PrintWorkflowUserSvc CVE-2025-53133 Windows PrintWorkflowUserSvc Elevation of Privilege Vulnerability Важная
Windows Push Notifications CVE-2025-53725 Windows Push Notifications Apps Elevation of Privilege Vulnerability Важная
Windows Push Notifications CVE-2025-53724 Windows Push Notifications Apps Elevation of Privilege Vulnerability Важная
Windows Push Notifications CVE-2025-50155 Windows Push Notifications Apps Elevation of Privilege Vulnerability Важная
Windows Push Notifications CVE-2025-53726 Windows Push Notifications Apps Elevation of Privilege Vulnerability Важная
Windows Remote Desktop Services CVE-2025-53722 Windows Remote Desktop Services Denial of Service Vulnerability Важная
Windows Routing and Remote Access Service (RRAS) CVE-2025-50157 Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability Важная
Windows Routing and Remote Access Service (RRAS) CVE-2025-53153 Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability Важная
Windows Routing and Remote Access Service (RRAS) CVE-2025-50163 Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability Важная
Windows Routing and Remote Access Service (RRAS) CVE-2025-50162 Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability Важная
Windows Routing and Remote Access Service (RRAS) CVE-2025-50164 Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability Важная
Windows Routing and Remote Access Service (RRAS) CVE-2025-53148 Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability Важная
Windows Routing and Remote Access Service (RRAS) CVE-2025-53138 Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability Важная
Windows Routing and Remote Access Service (RRAS) CVE-2025-50156 Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability Важная
Windows Routing and Remote Access Service (RRAS) CVE-2025-49757 Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability Важная
Windows Routing and Remote Access Service (RRAS) CVE-2025-53719 Windows Routing and Remote Access Service (RRAS) Information Disclosure Vulnerability Важная
Windows Routing and Remote Access Service (RRAS) CVE-2025-53720 Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability Важная
Windows Routing and Remote Access Service (RRAS) CVE-2025-50160 Windows Routing and Remote Access Service (RRAS) Remote Code Execution Vulnerability Важная
Windows Security App CVE-2025-53769 Windows Security App Spoofing Vulnerability Важная
Windows SMB CVE-2025-50169 Windows SMB Remote Code Execution Vulnerability Важная
Windows StateRepository API CVE-2025-53789 Windows StateRepository API Server file Elevation of Privilege Vulnerability Важная
Windows Subsystem for Linux CVE-2025-53788 Windows Subsystem for Linux (WSL2) Kernel Elevation of Privilege Vulnerability Важная
Windows Win32K - GRFX CVE-2025-50161 Win32k Elevation of Privilege Vulnerability Важная
Windows Win32K - GRFX CVE-2025-53132 Win32k Elevation of Privilege Vulnerability Важная
Windows Win32K - ICOMP CVE-2025-50168 Win32k Elevation of Privilege Vulnerability Важная
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Selectel представила изолированное хранилище S3 Vault для бэкапов
Новость
Selectel представила изолированное хранилище S3 Vault для бэ...
Chrome-аддоны AVG, Microsoft передают данные по HTTP, хранят ключи в коде
Новость
Chrome-аддоны AVG, Microsoft передают данные по HTTP, хранят...
Мошенники заманивают россиян через Telegram-ботов и фейковые маркетплейсы
Новость
Мошенники заманивают россиян через Telegram-ботов и фейковые...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.