Сегодня в ТОП-5 — эксплуатация zero-day в Cisco ISE и Citrix в продвинутой APT-кампании, атака российских компаний злоумышленниками под видом писем от ФСБ и МЧС, позволяющая обойти аутентификацию и установить RAT критическая уязвимость, раскрытие инструментов и целей киберопераций Китая, новые кампании APT BlueNoroff против криптоиндустрии.
Эксплуатация zero-day в Cisco ISE и Citrix в продвинутой APT-кампании
Amazon Threat Intelligence зафиксировала APT-кампанию, в которой злоумышленники использовали две zero-day уязвимости: «Citrix Bleed Two» (CVE-2025-5777, CVSS 9.3) — утечка памяти в NetScaler ADC/Gateway (версии до 14.1-43.56 и 13.1-58.32), позволяющая удалённое выполнение кода без аутентификации, и CVE-2025-20337 (CVSS 10.0) — критическая ошибка десериализации в Cisco ISE (версии 3.3–3.4), дающая root-доступ.
Атаки велись до публикации исправлений, что указывает на высокую подготовленность группы. После проникновения злоумышленники разворачивали веб-шелл IdentityAuditAction, маскирующийся под легитимный компонент Cisco ISE. Вредонос работал в памяти Java-процессов Tomcat, использовал DES-шифрование с фиксированным ключом и модифицированное Base64, не оставляя следов на диске.
Рекомендуется немедленно обновить Citrix NetScaler до 14.1-43.56 или 13.1-58.32 и выше, Cisco ISE — до 3.3 Patch 7, Cisco ISE-PIC — до 3.4 Patch 2 и выше, ограничить доступ к административным интерфейсам и эндпоинту /p/u/doAuthentication.do, а также включить мониторинг аномального поведения в Java-процессах и API-запросах.
Злоумышленники из группы CapFIX атакуют российские компании под видом писем от ФСБ и МЧС
Аналитики F6 обнаружили фишинговую кампанию, в которой злоумышленники маскируются под официальные уведомления с темами «инструкции при минной угрозе» и «отчетность по кибербезопасности». Атаки нацелены на ритейл, МФО, страховые и коллекторские компании. В письмах — PDF-вложения, побуждающие жертву скачать якобы КриптоПРО, но на самом деле загружается вредоносный архив (пароль: криптопро2025), содержащий MSI-установщик.
MSI-файл устанавливает легитимное ПО VB Decompiler Lite и использует DLL Side-Loading для запуска бэкдора CapDoor, который позволяет выполнять PowerShell-команды, загружать и запускать EXE/DLL-файлы через rundll32 и регистрировать COM-объекты через regsvr32. C2-сервера находятся на IP 213.165.61*133 и 94.156.232*113, домены — sed-documents[.]com и documents-sed[.]com (зарегистрированы в сентябре 2025).
Рекомендуется заблокировать указанные в отчете IoC, контролировать использование regsvr32, rundll32 и подозрительные HTTP-запросы в SIEM, а также проводить обучение сотрудников по противодействию социальной инженерии.
Triofox: критическая уязвимость позволяет обойти аутентификацию и установить RAT
Mandiant и Google Threat Intelligence выявили критическую уязвимость CVE-2025-12480 в платформе Triofox (Gladinet), позволяющую злоумышленникам без аутентификации получить доступ к страницам настройки через подмену HTTP-заголовка Host на «localhost». Используя этот доступ, атакующие создавали нового администратора и злоупотребляли встроенной функцией антивируса, указав путь к вредоносному скрипту, который выполнялся с правами SYSTEM.
После получения контроля над системой злоумышленники загружали и запускали легитимные инструменты удалённого доступа (Zoho Assist, AnyDesk) и создавали зашифрованные SSH-туннели (через sihosts.exe/silcon.exe) для стабильного RDP-доступа. Уязвимость, оценённая в 9.1 по CVSS, была активно эксплуатируемой с августа 2025 года и внесена в CISA KEV.
Рекомендуется немедленно обновить Triofox до версии 16.7.10368.56560 или выше, проверить конфигурацию антивирусного движка на предмет подозрительных путей, а также провести поиск IoC-ов — аномальных запусков cmd.exe от GladinetCloudMonitor.exe, файлов sihosts.exe/silcon.exe в C:WindowsTemp и подозрительных SSH-соединений на порт 433.
Масштабная утечка данных Knownsec: раскрыты инструменты и цели киберопераций Китая
В начале ноября 2025 года произошла масштабная утечка более чем 12 000 конфиденциальных файлов компании Knowles Security (Knownsec), связанной с китайским правительством. В утечку попали исходные коды вредоносных программ, списки целей и данные о кибероперациях против Японии, Вьетнама, Тайваня, Индии, Южной Кореи и других стран, включая похищенные сотни гигабайт данных из государственных и корпоративных систем.
Среди утекших материалов — мультисистемные RAT-агенты, модули для перехвата сообщений из мессенджеров и физические устройства для скрытного внедрения, например, модифицированные пауэрбанки. Несмотря на удаление архива с GitHub, информация уже распространилась в экспертной среде.
Событие вскрывает риски, связанные с государственно-спонсируемыми киберинструментами и безопасностью поставщиков. Рекомендуется интегрировать IoC и тактики из утечки в системы мониторинга, провести анализ на признаки атак и пересмотреть риски, связанные с поставщиками из регионов с высокой активностью APT-групп.
Новые кампании APT BlueNoroff: GhostCall и GhostHire против криптоиндустрии
Исследователи Kaspersky выявили две кампании северокорейской группы BlueNoroff — GhostCall и GhostHire, направленные на криптоиндустрию и смежные организации в нескольких странах. В рамках GhostHire злоумышленники рассылают фишинговые письма с поддельными предложениями о работе, содержащие вредоносные вложения, в то время как GhostCall использует социальную инженерию через телефонные звонки с имитацией HR-специалистов для убеждения жертв в установке вредоносного ПО. Обе кампании применяют сложные цепочки доставки, включая использование легитимных сервисов для обфускации и обхода защитных механизмов. Цель — кража криптовалюты и конфиденциальных данных. Рекомендуется усилить верификацию HR-вакансий и телефонных обращений, внедрить анализ поведения процессов и мониторинг загрузок исполняемых файлов, особенно из подозрительных источников.
Источник: habr.com