Сегодня в ТОП-5 — новая волна многоступенчатых атак Kaspersky: Head Mare, Petya-стиль шифровальщик с UEFI-bootkit, 14 рекомендаций по безопасности промышленных систем (ICS/OT), Android-RAT с NFC-ретрансляцией и ATS и macOS-бекдор и кроссплатформенный RAT.
Kaspersky: Head Mare — новая волна многоступенчатых атак
«Лаборатория Касперского» зафиксировала новую волну активности группировки Head Mare: злоумышленники доставляют polyglot-вложения, которые при открытии запускают первичный загрузчик и разворачивают модульные бэкдоры, после чего создают SSH-туннели и прокси для стойкого доступа. Атака реализуется через целенаправленный фишинг и использование living-off-the-land для скрытного движения по сети, что дает возможность долгой эксфильтрации данных и доступа к админ-консолям. Рекомендуется включить распаковку и глубокий анализ вложений на почтовом шлюзе, запретить исполнение неподписанных DLL-скриптов из пользовательских каталогов и детектировать/блокировать нестандартные исходящие SSH-туннели.
ESET: HybridPetya — Petya-стиль шифровальщик с UEFI-bootkit
ESET описал семейство HybridPetya: классическая логика шифрования метаданных (MFT) дополняется UEFI-компонентом bootkit. Часть образцов записывает вредоносный EFI-модуль в EFI System Partition и выполняется до загрузки ОС. В отчете указано, что некоторые варианты эксплуатируют уязвимости прошивок, в том числе CVE-2024-7344 (CVSS: 6.7), что позволяет обходить Secure Boot. Атака реализуется через зараженные инсталляторы или на этапе post-exploit после компрометации хоста; последствия — стойкий руткит на уровне загрузки, затрудненное восстановление и риск полной потери доступа к данным. Рекомендуется обновить прошивки и UEFI-компоненты, применить списки отзыва неподписанных EFI-модулей, проверить целостность EFI-разделов на ключевых системах и иметь проверенные офлайн-бэкапы перед любыми восстановительными работами.
CISA публикует 14 рекомендаций по безопасности промышленных систем (ICS/OT)
CISA выпустила комплект из 14 рекомендаций для промышленных систем, где перечислены уязвимости, ведущие к RCE, обходу аутентификации и DoS. Среди них — CVE-2025-9065 (CVSS: 9.8) и CVE-2025-53187 (CVSS: 8.7), которые могут эксплуатироваться через публично доступные интерфейсы или ошибочные конфигурации. Атаки реализуются через интернет-экспозицию устройств, уязвимые сторонние компоненты или цепочки поставок, что способно привести к остановке производства и даже физическому ущербу. Рекомендуется пройти по списку CISA, внедрить патчи, сегментировать OT/IT, ограничить удаленный доступ к контроллерам и внедрить мониторинг аномалий вместе с офлайн-бэкапами для ключевых систем.
ThreatFabric: RatOn — Android-RAT с NFC-ретрансляцией и ATS
ThreatFabric задокументировала троян RatOn, который сочетает RAT-функции с NFC-ретрансляцией и модулем ATS. Распространение идет через сторонние магазины или фишинговые APK. После установки и получения расширенных разрешений троян ретранслирует NFC-сессии, перехватывает SMS-уведомления и автоматизирует переводы в целевых банковских приложениях, что позволяет дистанционно подтверждать транзакции и красть средства. Рекомендуется запретить установку приложений из сторонних источников, внедрить MDM/EDR с контролем разрешений и мониторингом NFC-активности и блокировать подозрительные банковские операции.
CHILLYHELL и ZynorRAT — macOS-бэкдор и кросс-платформенный RAT
Аналитики Jamf и сторонние исследователи описали CHILLYHELL — модульный бэкдор для macOS, обеспечивающий устойчивое закрепление в системе (через LaunchAgent/LaunchDaemon и правки профилей), и ZynorRAT — кросс-платформенный RAT на Go, управляемый через Telegram-канал и работающий на Windows/macOS/Linux. Распространение происходит через скомпрометированные загрузчики, взломанные сайты и социальную инженерию; в постэксплуатации злоумышленники получают удаленный шелл, ведут кейлоггинг и похищают файлы. Опасность — широкий охват платформ и стойкий удаленный доступ, подходящие для таргетированных атак и шпионажа. Рекомендуется обновить ОС и ПО, запретить запуск неподписанных бинарей, внедрить кросс-платформенный EDR, отозвать/блокировать скомпрометированные загрузчики и провести сканирование и форензик-проверку подозрительных хостов.
Источник: habr.com