Dirty Frag: новый LPE в Linux из той же «грязной» серии

После Dirty Pipe и Copy Fail появился новый кейс — Dirty Frag: локальная эскалация привилегий в Linux, позволяющая получить root при успешной эксплуатации.

По данным опубликованного исследования, Dirty Frag строится на цепочке из уязвимостей в механизмах xfrm-ESP и RxRPC. 

Митигация

До выхода и установки патчей от дистрибутива можно временно снизить риск, выгрузив уязвимые модули:

rmmod esp4 esp6 rxrpc

Для более устойчивой митигации после перезагрузки:

printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf
rmmod esp4 esp6 rxrpc 2>/dev/null
echo 3 > /proc/sys/vm/drop_caches

Перед применением проверьте, не используются ли эти модули легитимными сервисами, например IPsec/xfrm или RxRPC-зависимыми компонентами. После появления обновлений ядра приоритетная мера — установить патчи от вашего Linux-дистрибутива.

Детектирование

F6 EDR обнаруживает попытки эксплуатации Dirty Frag, а также эксплуатацию Copy Fail, позволяя выявлять активность, связанную с локальной эскалацией привилегий, даже если патчи или временные митигации еще не развернуты на всех хостах.

Рекомендации:

1. Проверить наличие модулей esp4, esp6, rmmod, rxrpc;

2. Применить временную митигацию там, где это не ломает бизнес-сервисы;

3. Установить обновления ядра сразу после выхода патчей;

4. Контролировать попытки эксплуатации через EDR.

Детали доставки: исследование новой версии Android‑трояна DeliveryRAT

Специалисты F6 Threat Intelligence исследовали обновленную версию вредоносного ПО DeliveryRAT, распространяемого злоумышленниками во второй половине 2025 года. Троян DeliveryRAT маскируется под популярные приложения для доставки еды, маркетплейсы, банковские сервисы и трекинг посылок.

Впервые про Android‑троян DeliveryRAT компания F6 рассказала в годовом отчете F6 за 2024 год. Способы распространения ВПО были детально описаны в публикации — F6 и RuStore заблокировали более 600 доменов, распространявших Android‑троян DeliveryRAT.

Было зафиксировано, что новая версия ВПО появилась в апреле 2025 года. Как отмечают специалисты F6 Threat Intelligence, троян DeliveryRAT несет всё большие риски для пользователей Android‑устройств в России. Помимо базовых функций, таких как кража содержания SMS и уведомлений, троян теперь может отображать заранее подготовленные варианты диалоговых окон с возможностью похищения фотографий, загружаемых пользователем, ввода данных банковской карты и так далее.

Кроме того, DeliveryRAT получил отличающиеся от стилера возможности для выполнения DDoS‑атак, что позволяет использовать этот троян не только для финансовой выгоды, но и для проведения массовых атак на инфраструктуру организаций с целью нарушения их работы.

Подробный разбор ВПО DeliveryRAT читайте в новом блоге F6.

Злоумышленник выкладывает старые данные в Telegram под видом утечек из российских банков

Эксперты департамента Threat Intelligence компании F.A.C.C.T. обнаружили Telegram-канал, в котором с 7 ноября было опубликовано более сотни файлов в форматах xlsx, csv, rar — "утечек" баз данных якобы из российских банков.

Сам канал появился 6 ноября, и первые сообщения были посвящены якобы утечкам из финорганизаций. Анализ файлов показал, что злоумышленник использует куски данных из других публичных утечек и просто переименовывает их под названия российских банков. Получается даже не компиляция, а обыкновенный... фейк для привлечения внимания. Позднее в канале были опубликованы старые базы РУБОПа, ГИБДД, паспортов и банковских карт, СНИЛС, телеком-операторов и даже челябинского секс-шопа.

Напомним, что за первую половину 2023 г. F.A.C.C.T. зафиксировал 114 утечек из российских компаний и госорганизаций (за аналогичный период 2022 г. — 109). Большинство данных по-прежнему выкладывают бесплатно, но часть утечек злоумышленники продают или используют сами.