Сегодня в ТОП-5 — уязвимость CVE-2025-32433, бэкдор, мимикрирующий под обновления ПО ViPNet, новая схема атаки, усовершенствованный троян и новая волна кибератак APT-группировки Cloud Atlas на государственный сектор России.
Уязвимость CVE-2025-32433 позволяет выполнить код без аутентификации
В SSH-библиотеке Erlang/OTP была обнаружена критическая уязвимость CVE-2025-32433, которая получила максимальный балл CVSS — 10.0. Она позволяет злоумышленнику выполнить произвольный код на сервере без предварительной аутентификации.
Уязвимость связана с некорректной обработкой сообщений SSH-протокола, что позволяет отправлять команды до завершения аутентификации. Эта уязвимость особенно опасна для промышленных и телекоммуникационных систем, где широко используется Erlang. Патчи для исправления уязвимости выпущены в версиях OTP-27.3.3, OTP-26.2.5.11 и OTP-25.3.2.20. Рекомендуется обновить систему или ограничить доступ к SSH-серверу с помощью файрвола.
Российские организации атакует бэкдор, мимикрирующий под обновления ПО ViPNet
Исследователи из «Лаборатории Касперского» обнаружили новый бэкдор, маскирующийся под обновление ПО ViPNet. Злоумышленники распространяют его через фальшивые сайты, предлагающие обновления ViPNet, что позволяет обойти стандартные механизмы защиты. После установки обновлений бэкдор предоставляет злоумышленникам удаленный доступ к системе, позволяя выполнять команды и собирать данные. Для защиты продуктов ViPNet от вирусных угроз рекомендуется использовать только официальные источники обновлений, регулярно проверять целостность программ и своевременно устанавливать обновления. Также важно ограничивать права пользователей и применять принцип минимально необходимых привилегий.
Новая схема атаки усложняет обнаружение вредоносного ПО
Эксперты из Palo Alto Networks выявили сложную фишинговую кампанию, использующую многоступенчатую цепочку атак для доставки вредоносного ПО, включая Agent Tesla, Remcos RAT и XLoader. Атака начинается с письма, замаскированного под уведомление о платежном поручении, с вложением в формате .7z, содержащим скрипт .jse. При запуске этот скрипт загружает и выполняет PowerShell-скрипт, который в свою очередь запускает финальный вредоносный файл. Особенность этой кампании — использование AutoIt-собранных исполнимых файлов, что ранее не наблюдалось. Такая многоуровневая схема позволяет злоумышленникам обходить традиционные средства защиты.
Усовершенствованный троян атакует государственные учреждения в России
Специалисты «Лаборатории Касперского» зафиксировали новую волну атак с обновленной версией трояна MysterySnail. Целью атак стали госструктуры России и Монголии. Вредоносный скрипт маскируется под документ и активирует бэкдор через библиотеку CiscoSparkLauncher.dll. Троян поддерживает около 40 команд, а его облегченная версия MysteryMonoSnail использует WebSocket. Для защиты рекомендуется использовать только проверенные источники обновлений, своевременно обновлять антивирусы, ограничивать права пользователей и повышать уровень киберграмотности сотрудников.
Новая волна кибератак APT-группировки Cloud Atlas на государственный сектор России
Исследователи Positive Technologies сообщили о новой волне атак APT-группировки Cloud Atlas на государственные учреждения России. Злоумышленники отправляли фишинговые письма с вредоносными документами, содержащими скрытые серверы. Письма приходили со скомпрометированной электронной почты ранее зараженных российских предприятий оборонно-промышленного комплекса России. Атаки сопровождались миграцией на новые серверы, такие как cyberservice24[.]com и block-monitor[.]net. Для защиты рекомендуется применять многоуровневые системы безопасности, включая песочницы и EDR, а также соблюдать базовые правила информационной гигиены и обращаться к специалистам при подозрении на инцидент.
