SecAtor

Официальное расследование Predatorgate так ни к чему и не привело. Все началось в декабре 2022 года после журналистских разоблачений Inside Story и ряда других СМИ в отношении скандала с прослушкой телефонных разговоров.Тогда правительство Кириакоса Мицотакиса приняло закон 5002/2022, направленный на обеспечение прозрачности закупок шпионского ПО в интересах национальных спецслужб.Для того чтобы использование шпионского ПО спецслужбами было законным и конституционным, регулятор ADAE должен иметь возможность контролировать его использование, как в случае с контролем каналов связи.Закон предусматривает также создание списка шпионского ПО, которое правительство планирует закупить.Полномочия по ведению такого перечня были возложены на вновь созданный Координационный комитет по вопросам кибербезопасности.Для принятия регламента работы комитета понадобилось 15 месяцев, а его формирования состоялось еще через семь месяцев, только 10 сентября 2024 года.Правда, в ответ на требования ADAE предоставить список генеральный секретарь национальной безопасности канцелярии премьер-министра Танос Докос и по совместительству глава комитета выдал общие формулировки функционала вместо наименований поставщиков spyware.Фактически своими действиями чиновники полностью лишили новый закон какой-либо реальной юридической силы, что позволило им продолжать производить закупки.В общем спустя почти три года не было сделано абсолютно ничего, что указывает на задействование spyware Национальной разведслужбой, службой по борьбе с терроризмом и полицией ровно в той же серой правовой зоне, как и было ранее вне надзора со стороны ADAE.Причем, как отмечают в InsideStory, само ADAE и вовсе осталось обезглавленным после отставки «неугодного» для правительства Христоса Раммоса.Кроме того, чиновникам удалось также избавиться и от некоторых других «назойливых» членов ADAE.Таким образом, можно констатировать: расследование греческого правительства по факту использования им шпионского ПО Predator зашло в тупик и фактически провалилось.

Виртуозную аферу провернули хакеры в Бразилии, сумев через подрядчика взломать и опустошить сразу шесть банков.Как сообщает Reuters, Центральный банк Бразилии выступил в среду с заявлением, подтверждая инцидент, связанный с компрометацией C&M Software, обслуживающей почти два десятка финансовых учреждений страны, не имеющих собственной транзакционной инфраструктуры.Подробностей относительно случившегося не разглашают, но всем клиентам C&M было приказано закрыть доступ к управляемой ей инфраструктуре.В свою очередь, коммерческий директор C&M Software Камаль Зогейб заявил, что компания стала жертвой кибератаки, которая привела к злоупотреблениям учетными данными клиентов в целях доступа к их системам и услугам.Проникнув в систему C&M, преступник получил доступ к нескольким счетам, включая - самое важное - счет BMP, поставщика банковских услуг, работающего с 1999 года.При этом в C&M заявляют, что все критические системы остаются полностью работоспособными, инициировано расследование совместно со специалистами Центробанка и полицией штата Сан-Паулу.По одним данным, убытки оцениваются в 185 миллионов долларов, а ряд источников сообщают, что клиенты не понесли никаких убытков.Тем не менее Бразильский финансовый институт BMP реализует активную поддержку пострадавшим учреждениям. Клиенты BMP не понесут никаких потерь, поскольку учреждение внесло залог для покрытия украденной суммы.Насколько критичен инцидент можно судить по прошлогодней валовой выручке BMP, которая составила 804 млн реалов, а чистая прибыль - 231 млн реалов (43 млн. долл.).

Исследователи Stratascale Cyber Research Unit (CRU) обнаружили две уязвимости безопасности в утилите командной строки Sudo для Linux и Unix-подобных ОС, которые могут позволить локальным злоумышленникам повысить свои привилегии до уровня root на уязвимых компьютерах.Одна из них CVE-2025-32463 (CVSS: 9,3) в Sudo до версии 1.9.17p1 позволяет локальным пользователям получать права root, поскольку /etc/nsswitch.conf из контролируемого пользователем каталога используется с опцией --chroot, вторая CVE-2025-32462 (CVSS: 2,8) - выполнять команды.Sudo - это инструмент командной строки, который позволяет пользователям с низкими привилегиями выполнять команды от имени другого пользователя, например, суперпользователя. Команда настраивается с помощью файла /etc/sudoers, который определяет, кто может запускать те или иные команды, как и какие пользователи, на каких компьютерах, а также может контролировать особые параметры, например, нужен ли вам пароль для определенных команд.Как отмечают исследователи, CVE-2025-32462 ускользала из внимания более 12 лет.Ошибка коренится в опции Sudo "-h" (хост), которая позволяет перечислять привилегии sudo пользователя для другого хоста.Функция была включена в сентябре 2013 года.Однако обнаруженная ошибка сделала возможным выполнение любой команды, разрешенной удаленным хостом для запуска на локальной машине, а также при запуске команды Sudo с параметром хоста, ссылающимся на несвязанный удаленный хост.В руководстве проекта Sudo полагают, что это в первую очередь влияет на сайты, которые используют общий файл sudoers, распространяемый на несколько машин. Сайты, которые используют sudoers на основе LDAP (включая SSSD), также подвержены влиянию.CVE-2025-32463, с другой стороны, использует опцию Sudo "-R" (chroot) для запуска произвольных команд от имени root, даже если они не перечислены в файле sudoers. Уязвимость относится к категории критически важных.Конфигурация Sudo по умолчанию уязвима и хотя ошибка связана с функцией Sudo chroot, она не требует определения каких-либо правил Sudo для пользователя.В результате любой локальный непривилегированный пользователь может потенциально повысить привилегии до root, если установлена уязвимая версия.Другими словами, уязвимость позволяет злоумышленнику обманом заставить sudo загрузить произвольную общую библиотеку, создав файл конфигурации /etc/nsswitch.conf в указанном пользователем корневом каталоге и запускать вредоносные команды с повышенными привилегиями.Разработчики отмечают, что опция chroot будет полностью удалена из будущей версии Sudo, при этом поддержка указанного пользователем корневого каталога «подвержена ошибкам».После ответственного раскрытия 1 апреля 2025 года уязвимости были устранены в версии Sudo 1.9.17p1, выпущенной в конце прошлого месяца.Рекомендации также были выпущены для различных дистрибутивов Linux:- CVE-2025-32462: AlmaLinux 8, AlmaLinux 9, Alpine Linux, Amazon Linux, Debian, Gentoo, Oracle Linux, Red Hat, SUSE и Ubuntu.- CVE-2025-32463: Alpine Linux, Amazon Linux, Debian, Gentoo, Red Hat, SUSE и Ubuntu.Пользователям рекомендуется применить необходимые исправления и убедиться, что дистрибутивы Linux для настольных ПК обновлены до последних пакетов.

Банда вымогателей Hunters International официально объявила о закрытии своей RaaS и анонсировала публикацию бесплатных дешифраторов, которыми могут воспользоваться жертвы для восстановления своих данных без необходимости выплаты выкупа.Как отмечают участники, решение было принято «в свете последних событий» и нелегко. Тем не менее Hunters International удалили все записи с портала DLS, предоставив жертвам возможность размещения запроса на получение дешифраторов и руководства по восстановлению.Несмотря на отсылку в своем заявлении на «последние события» в качестве причины своего ухода, их суть так и не раскрывается, но речь по всей видимости идет про усиленное внимание со стороны спецслужб на фоне снижения рентабельности бизнеса.Исследователи Group-IB в апреле также сообщали, что Hunters International проводит ребрендинг, планируя сосредоточиться исключительно на краже данных и вымогательстве в рамках новой операции, известной как World Leaks.В отличие от схемы Hunters International с шифрованием и вымогательством, World Leaks действует исключительно в формате вымогательства, задействуя специально разработанный инструмент для эксфильтрации Storage Software.Hunters International впервые появилась в конце 2023 года и выступала, по мнению исследователей, в качестве потенциального ребрендинга Hive, на что указывало сходство кода.Вредоносное ПО группы вымогателей нацелено на широкий спектр платформ, включая Windows, Linux, FreeBSD, SunOS и ESXi (серверы VMware), а также поддерживает архитектуры x64, x86 и ARM.За последние два года хакеры Hunters International атаковали компании различного калибра, требуя выкуп в размере от сотен тысяч до миллионов долларов в зависимости от финансовых показателей жертвы.За время работы банда взяла на себя ответственность за почти 300 атак по всему миру, что делает ее одной из самых активных RaaS в последние годы.Среди наиболее известных жертв Hunters International значится Служба маршалов США, японский гигант по производству оптики Hoya, Tata Technologies, AutoCanada, подрядчик ВМС США Austal USA и Integris Health, а также крупнейшая сеть здравоохранения Оклахомы.В декабре 2024 года банда также взломала онкологический центр Фреда Хатча, угрожая раскрыть украденные данные более 800 000 онкологических больных.

Исследователи SentinelOne сообщают о задействовании северокорейскими APT нового штамма вредоносного ПО для macOS под названием NimDoor в кампании, нацеленной на организации, работающие в сфере web3 и криптовалют.Проанализировав полезную нагрузку, исследователи обнаружили, что хакеры использовали технику внедрения процесса и удаленную связь через wss, зашифрованную с помощью TLS версию протокола WebSocket.Кроме того, новый механизм сохранения использует обработчики сигналов SIGINT/SIGTERM для сохранения после завершения работы вредоносной программы или перезагрузки системыЦепочка атак включает в себя связь с жертвами через Telegram для побуждения их к запуску фейкового обновления SDK Zoom, которое доставляется через Calendly и по электронной почте.Причем аналогичную схему благодаря Huntress недавно связали с BlueNoroff.Согласно отчету, северокорейцы использовали двоичные файлы, скомпилированные с помощью C++ и Nim (совместно отслеживаемые как NimDoor), на macOS, что «является весьма необычным».Один из скомпилированных Nim двоичных файлов, installer, отвечает за начальную настройку и подготовку, подготовку каталогов и путей конфигурации.Он также сбрасывает два других двоичных файла - GoogIe LLC, CoreKitAgent, на систему жертвы.GoogIe LLC берет на себя сбор данных об окружении и генерирует файл конфигурации в шестнадцатеричном коде, записывая его во временный путь.Он настраивает macOS LaunchAgent (com.google.update.plist) для сохранения, который повторно запускает GoogIe LLC при входе в систему и сохраняет ключи аутентификации для последующих этапов.Самым продвинутым компонентом, используемым в атаке, является CoreKitAgent, основная полезная нагрузка фреймворка NimDoor, который работает как управляемый событиями двоичный файл, использующий механизм kqueue macOS для асинхронного управления выполнением.Он реализует 10-вариантный конечный автомат с жестко запрограммированной таблицей переходов состояний, что обеспечивает гибкий поток управления на основе условий выполнения.Наиболее отличительной особенностью являются механизмы сохранения на основе сигналов, где он устанавливает специальные обработчики для SIGINT и SIGTERM.Обычно это сигналы, используемые для завершения процессов, но при обнаружении любого из них CoreKitAgent запускает процедуру переустановки, которая повторно развертывает GoogIe LLC, восстанавливая цепочку сохранения.Такое поведение гарантирует, что любое инициированное пользователем завершение работы вредоносного ПО приведет к развертыванию основных компонентов, что делает код устойчивым к базовым защитным действиям.CoreKitAgent декодирует и запускает шестнадцатеричный код AppleScript, который каждые 30 секунд отправляет сигналы на инфраструктуру злоумышленника, извлекает системные данные и выполняет удаленные команды через osascript, обеспечивая легкий бэкдор.Параллельно с выполнением NimDoor, zoom_sdk_support.scpt запускает вторую цепочку инъекций с участием trojan1_arm64, которая инициирует C2-коммуникации на основе WSS и загружает два скрипта (upl и tlgrm), облегчающие кражу данных.В случае загрузчика zoom_sdk_support.scpt исследователи заметили, что он включает в себя более 10 000 пустых строк в целях запутывания кода.Upl извлекает данные из веб-браузеров, захватывает Keychain, bash_history и zsh_history, а затем с помощью curl отправляет их в dataupload[.]store.Tlgrm фокусируется на краже базы данных Telegram вместе с tempkeyEncrypted, вероятно, используя их для расшифровки сообщений, которыми жертва обменивалась на платформе.В целом фреймворк NimDoor и остальные бэкдоры, проанализированные SentinelLABS, являются одними из самых сложных семейств вредоносных ПО для macOS, связанных с северокорейскими хакерами.