Логотип Start X — ссылка ведёт на главную страницу
Бесплатный пилот
+7 499 677 19 07
Кейсы
О компании
Контакты
Блог
Логотип Start X — ссылка ведёт на главную страницу
Бесплатный пилот
+7 499 677 19 07
Блог
Контакты
О компании
Новости
Ссылка открывающая меню сайта
Продукты
Кейсы
AFT
AFT
Все продукты
Все продукты
EASM
EASM
CTF
CTF
EDU
EDU
REQ
REQ
AWR
AWR
Обзор новостей информационной безопасности с 18 по 24 июля 2025 года

Дайджест Start X № 427

24 июля 2025
9 минут
эксперт по информационной безопасности в Start X
Андрей Жаркевич

Киберкампании

Компания F6 предупреждает о новом сценарии мошенничества c удалённой работой
Особенности кампании
  1. Злоумышленники размещают объявления на популярных площадках, приглашают стать модератором сайта, чья задача — обеспечивать комфортную и безопасную среду для пользователей. За мониторинг и удаление нежелательного контента обещают платить от 10 тыс. ₽ в неделю, возможность работать из дома и гибкий график. Среди требований к соискателям, таких как ответственность, внимательность и хорошее знание русского языка, указано обязательное наличие мобильного устройства на операционной системе Android 7 и выше.
  2. Для обратной связи с потенциальными жертвами мошенники используют фейковые аккаунты в Telegram. Чтобы создать образ, вызывающий доверие, они покупают для своих аккаунтов Premium и устанавливают на аватарах изображения в деловом стиле.
  3. В переписке злоумышленники сообщают, что ищут сотрудников для OnlyFans. Это популярный сервис для взрослых, недоступный для пользователей из России. Соискателям объясняют, что в первое время они будут верифицировать новые анкеты моделей, для чего потребуется создать свой аккаунт в приложении.
  4. Обязательное условие работы в приложении, которое сразу обозначают мошенники — оплата подписки за 1₽. Злоумышленники объясняют, что это якобы необходимо для привязки карты к аккаунту модератора, чтобы в дальнейшем начислять на эту карту зарплату.
  5. Если пользователь соглашается с обозначенными условиями, скамер уточняет день, с которого кандидат готов приступить к работе, и в назначенное время направляет ему ссылку для скачивания приложения.
  6. Ссылка ведёт на сайт, домен которого созвучен названию платформы (например, only-fans[.]in) и который маскируется под страницу магазина приложений Google Play.
  7. Под видом мобильного приложения OnlyFans пользователю предлагают скачать вредоносный APK-файл: шпионскую программу, которая позволяет злоумышленникам перехватывать СМС от банков.
  8. Когда пользователь введёт данные банковской карты, чтобы оплатить подписку, мошенники сразу же получают эти данные, а вместе с ними — возможность вывести деньги со счёта пользователя, в том числе взять на его имя кредит.
Обнаружена масштабная кибершпионская операция CargoTalon, направленная против сотрудников одного из ключевых предприятий российской авиационной промышленности
Особенности кампании
  1. Жертва получает письмо, оформленное как официальная корреспонденция от несуществующего Транспортно-логистического центра.
  2. В письме содержалось вложение с именем «backup-message-10.2.2.20_9045−800 282.eml» и призывом подготовиться к получению груза.
  3. Вложения имитируют типовые формы товарно-транспортной накладной (ТТН), что сразу вызывает доверие у работников, привыкших к таким документам.
  4. Вместо обычного ZIP-архива в теле письма скрывался исполняемый файл формата DLL, замаскированный под архив с названием «Транспортная_накладная_ТТН_№ 391−44_от26.06.2025.zip». Также прилагался ярлык (LNK-файл) с аналогичным названием, который служил для запуска вредоносной цепочки.
  5. LNK-файл активировал PowerShell-скрипт, который начинал сканировать пользовательские директории %USERPROFILE% и %TEMP% в поисках внедрённого импланта. В процессе выполнения он извлекал встроенный документ Excel размером 59 904 байта, начиная с определённой позиции в DLL, и сохранял его под видом реального файла с расширением .xls.
  6. Таким образом, на экране открывался якобы подлинный документ, содержащий данные о приёмке контейнеров, кодах повреждений вроде «Трещина» или «Сквозная коррозия», а также схемах — всё в полном соответствии с российскими нормативами. Документ тщательно имитировал отчёт от компании «Облтранстерминал».
  7. За имитацией логистических документов скрывался вредоносный модуль EAGLET, специализирующийся на сборе информации и управлении заражёнными машинами. При запуске он генерировал уникальный идентификатор GUID, собирал имя устройства, имя компьютера и сведения о домене. Для сохранения устойчивости в системе создавалась папка C:/ProgramData/MicrosoftAppStore/.
  8. Вредонос запускал отдельные потоки, устанавливающие соединение с сервером команд и управления (C2) через стандартные Windows API, такие как WinHttpOpen и WinHttpConnect. Для маскировки использовался фиктивный User-Agent «MicrosoftAppStore/2001.0», а связь велась с IP-адресом 185.225.17.104 по 80-му порту.
  9. Все команды запрашивались методом GET с параметрами, включающими GUID и доменные данные жертвы. Полученные инструкции позволяли запускать команды командной строки, загружать дополнительные файлы и отсылать результат обратно через POST-запросы.

Инциденты

Неизвестные хакеры взломали Национальное управление по ядерной безопасности США (NNSA), входящее в структуру Министерства энергетики и ответственное за хранение и обслуживание ядерного арсенала страны
Для атаки использовалась уязвимость нулевого дня ToolShell (CVE-2025-53770/53771) в локальных серверах Microsoft SharePoint. В результате злоумышленники получили доступ к системам ряда федеральных ведомств США, включая Национальное управление по ядерной безопасности (NNSA) и Национальные институты здравоохранения (NIH). В NNSA взломанные системы не содержали секретных данных, но факт проникновения подтверждён.

Министерство внутренней безопасности (DHS) оказалось среди жертв той же волны атак на SharePoint. Для расследования отключались отдельные серверы, подключились ФБР и CISA.

Уязвимость ToolShell позволяет обходить аутентификацию и исполнять код на сервере. Это классический способ проникновения в инфраструктуру. Часть организаций не успела вовремя поставить патчи, а локальные версии SharePoint сложнее обновлять и изолировать, чем облачные.

Телеграм-канал Start X

Подписаться
Наши разборы мошеннических схем поймет даже бабушка
Хакер скомпрометировал ИИ-помощника Q, внедрив команды, которые приказывали стирать данные на компьютерах пользователей. Amazon включила это обновление в публичный релиз
Amazon Q представляет собой ИИ-помощника, ориентированного на разработчиков и ИТ-специалистов. Он чем-то похож на GitHub Copilot и встроен в AWS и IDE, например, VS  Code. Хакер целенаправленно атаковал версию Amazon Q для VS Code — это расширение, которое подключает помощника к IDE. Согласно статистике на сайте Visual Studio, расширение было установлено более 950 000 раз.

В конце июня 2025 года хакер попросту создал pull request в GitHub-репозиторий Amazon, используя для этого случайную учетную запись, не имеющую доступа. Однако вскоре ему предоставили полномочия администратора. В итоге 13 июля хакер внедрил свой код в Q, а 17 июля разработчики Amazon включили его в релиз версии 1.84.0, «совершенно ничего не заметив».

Взломщик признается, что риск уничтожения данных на самом деле был мал, однако он имел возможность нанести гораздо больший ущерб, с помощью полученного доступа. Так, он мог действительно удалить данные, внедрить в код стилер или закрепиться в системах жертв, но не стал этого делать.
Хакерская группировка World Leaks взломала одну из демонстрационных платформ Dell и попыталась вымогать у компании выкуп
Представители Dell подтвердили СМИ, что злоумышленникам удалось проникнуть на платформу Customer Solution Centers, которая используется для демонстрации продуктов и решений клиентам.

Используемые в Solution Center данные в основном являются синтетическими (фиктивными), то есть состоят из общедоступных датасетов, несекретной и системной информации и результатов тестов, предназначаясь исключительно для демонстрации продуктов Dell.

«Согласно результатам текущего расследования, данные, полученные злоумышленниками, в основном являются синтетическими, общедоступными или относятся к системным или тестовым», — заявили в Dell.

Участники World Leaks, судя по всему, были убеждены, что похитили у Dell 1,3 ТБ ценной информации, включая медицинские и финансовые данные. Однако в действительности, в руках хакеров оказалась фальшивка, а единственные реальные данные в дампе — это устаревший список контактов.
В Москве возбудили первое уголовное дело за «дроперство» (ч. 3 ст. 187 УК РФ)
Жертва «нашла подработку» в интернете, чтобы погасить долги по кредитам. Затем она передала «работодателям» в использование свой банковский счёт, через который прогнали более миллиона рублей. МВД назвала это «дропперством» — неправомерным оборотом средств платежей.

Это пример классической схемы, когда «работодатель» просит открыть карту и «помочь прогонять платежи». С 5 июля ужесточилось законодательство, и теперь посредники отвечают отдельно.

Комментарий Start X. То, что выглядит как лёгкий заработок, на деле превращает вас в соучастника. Банки и полиция активно сверяют подозрительные транзакции, и объяснение «я ничего не знал» уже не работает. Лучше отказываться от любой «работы», где вас просят «просто дать карту».
В открытом доступе обнаружено хранилище, содержащее приватные данные фитнес-приложения Fitify, в том числе фотографии пользователей с минимумом одежды
У приложения Fitify было открытое для всех облачное хранилище в Google Cloud — без пароля и шифрования. Исследователи нашли 373 тыс. файлов, включая 138 тыс. «фото прогресса», где пользователи снимали себя в нижнем белье или купальниках. После уведомления хранилище закрыли.

Причина случившегося — базовая ошибка конфигурации — отсутствие контроля доступа к бакету. Несмотря на обещания «данные шифруются в пути», никто не подумал о защите при хранении.

Комментарий Start X. Пользователям стоит помнить: «фото для себя» в приложении — это всё равно файл на чужом сервере. Если уж снимаете «прогресс», выбирайте сервисы с прозрачной политикой хранения и регулярно проверяйте, что публикуете и куда загружаете.

Что еще почитать

Дайджест № 425
Мошенники выманивают деньги и личные данные под видом продажи онлайн-полисов ОСАГО. Ограбление криптовалютной биржи GMX. Создатель Flipper Zero стал жертвой фишинга. Хакер шантажирует испанскую телеком-компанию
Дайджест № 424
Фальшивые интернет-магазины известных брендов. Дроперство через букмейкеров. Атака на владельцев Ethereum. СМС-бластер обходит все фильтры. Стационарные телефоны несут угрозу. Атаки на авиакомпании. Взлом систем МУС
Дайджест Start X № 423
Фальшивые работники миграционной службы. Поддельный VPN крадёт учётные данные. Фишинг от имени Trezor. Как получить деньги за фиктивное лечение. Слабый пароль позволил взломать систему управления плотиной
Дайджест Start X № 422
Мошенники атакуют врачей и учителей. «Подозрительный» вход на Госуслуги. Любители K-pop остались без билетов. Утечка данных 16 млрд пользователей. У Ирана «сожгли» криптовалюту. Хакеры разорили фабрику бумаги в Германии. Утечка 4 млрд записей граждан Китая
Дайджест Start X № 421
Актуальные киберкампании и инциденты информационной безопасности с 23 мая по 5 июня 2025 года
Дайджест Start X № 420
Актуальные киберкампании и инциденты информационной безопасности с 16 по 22 мая 2025 года
Мужчина в кресле с ноутбуком

Подпишитесь на дайджест Start X

Еженедельная подборка материалов и аналитики про цифровые атаки на людей, технологии защиты, безопасность инфраструктуры и приложений
Нажимая кнопку «Отправить заявку» вы соглашаетесь с политикой обработки персональных данных.