29 декабря 2026 года Рави Лакшманан Новости о взломе / Кибербезопасность

Киберновости прошлой недели в 2025 году были не о одном крупном инциденте. Речь шла о множестве маленьких трещин, открывающихся одновременно. Инструменты, которым люди доверяют каждый день, ведут себя неожиданно. Старые недостатки вновь всплыли. Новые были использованы почти сразу.

Общая тема проходила через всё это в 2025 году. Атакующие действовали быстрее, чем фиксы. Доступ, предназначенный для работы, обновлений или поддержки, постоянно подвергался злоупотреблениям. И ущерб не прекращался, когда инцидент «заканчивался» — он продолжал появляться спустя месяцы или даже годы.

Этот еженедельный обзор объединяет эти истории в одном месте. Нет перегрузки, нет шума. Читайте дальше, чтобы узнать, что сформировало ландшафт угроз в заключительном отрезке 2025 года и что заслуживает вашего внимания сейчас.

⚡ Угроза недели

Уязвимость MongoDB подвергается атаке — Недавно раскрытая уязвимость безопасности в MongoDB подверглась активной эксплуатации, по всему миру выявлено более 87 000 потенциально уязвимых экземпляров. Речь идёт о уязвимости CVE-2025-14847 (оценка CVSS: 8,7), которая позволяет неаутентифицированному злоумышленнику удалённо утекать конфиденциальные данные из памяти сервера MongoDB. Он получил кодовое название MongoBleed. Точные детали характера атак, использующих этот недостаток, пока неизвестны. Пользователям рекомендуется обновлять версии MongoDB до версий 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 и 4.4.30. Данные компании по управлению поверхностями атак Censys показывают, что существует более 87 000 потенциально уязвимых экземпляров, большинство из которых находятся в США, Китае, Германии, Индии и Франции. Wiz отметил, что 42% облачных сред имеют хотя бы один экземпляр MongoDB в версии, уязвимой к CVE-2025-14847. Это включает как доступные в интернете, так и внутренние ресурсы.

🔔 Главные новости

• Взлом расширения Trust Wallet для Chrome приводит к убытку в 7 миллионов долларов — Trust Wallet призвал пользователей обновить расширение Google Chrome до последней версии после того, что они назвали «инцидентом с безопасностью», который привёл к потере примерно 7 миллионов долларов. Пользователям рекомендуется как можно скорее обновить её до версии 2.69. «Мы подтвердили, что примерно 7 миллионов долларов были затронуты, и обеспечим возврат всем пострадавшим пользователям», — сообщили в Trust Wallet. Расширение для Chrome насчитывает около 1 миллиона пользователей. Пользователи только мобильных устройств и все остальные версии расширений браузера не затронут. Пока неизвестно, кто стоит за атакой, но Trust Wallet сообщил, что злоумышленник, вероятно, опубликовал вредоносную версию (2.68), используя утекший API Chrome Web Store. Пострадавших пострадавших просят заполнить форму для оформления возмещения.
• Evasive Panda организует атаку DNS-отравления, чтобы протолкнуть вредоносное ПО MgBot — Связанная с Китаем группа advanced persistent threat (APT) под названием Evasive Panda была связана с целенаправленной кибершпионской кампанией, в ходе которой противник отравлял запросы Domain Name System (DNS) на доставку своей фирменной MgBot бэкдор в атаках, нацеленных на жертв в Турции, Китае и Индии. Мероприятие проходило с ноября 2022 по ноябрь 2024 года. По данным Kaspersky, хакерская группа проводила атаки противника посередине (AitM) на конкретных жертв для предоставления троянизированных обновлений популярных инструментов, таких как SohuVA, iQIYI Video, IObit Smart Defrag и Tencent QQ, которые в итоге привели к внедрению MgBot — модульного импланта с широкими возможностями сбора информации. В настоящее время неизвестно, как злоумышленник отравляет DNS-ответы. Однако подозреваются два возможных сценария: либо провайдеры, используемые жертвами, были избирательно нацелены и скомпрометированы для установки сетевых имплантов на периферийных устройствах, либо роутер или файрвол, используемые жертвами, были взорваны для этой цели.
• Взлом LastPass 2022 привёл к краже криптовалюты — Зашифрованные резервные копии хранилища, украденные после утечки данных LastPass в 2022 году, позволили злоумышленникам воспользоваться слабыми мастер-паролями для взлома и выращивания криптовалютных активов вплоть до конца 2025 года. Новые данные TRM Labs показывают, что злоумышленники, возможно связанные с российской киберпреступной экосистемой, украли не менее 35 миллионов долларов по состоянию на сентябрь 2025 года. Российские связи с украденной криптовалютой обусловлены двумя основными факторами: использованием бирж, обычно связанных с российской киберпреступной экосистемой, в процессе отмывание средств, а также операционными связями, полученными от взаимодействия кошельков с микшерами как до, так и после процесса смешивания и отмывания.
• Fortinet предупреждает о возобновлении активности по эксплуатации CVE-2020-12812 — Фортине это сказал зафиксировано «недавнее злоупотребление» CVE-2020-12812, пятилетней давности в VPN SSL FortiOS, в определённых конфигурациях. Эта уязвимость могла позволить пользователю успешно войти в систему без запроса второго фактора аутентификации при изменении случая с именем пользователя. Новоизданное руководство не содержит конкретики о характере атак, использовавших этот недостаток, а также о том, были ли какие-либо из этих инцидентов успешными. Fortinet также посоветовала пострадавшим клиентам связаться со своей службой поддержки и сбросить все учетные данные, если они обнаруживают доказательства аутентификации администраторов или VPN-пользователей без двухфакторной аутентификации (2FA).
• Поддельный пакет WhatsApp API NPM крадет сообщения — Новый вредоносный пакет в npm-репозитории под названием lotusbail оказался полностью функциональным WhatsApp-API, но содержащим возможность перехватывать каждое сообщение и связывать устройство злоумышленника с аккаунтом жертвы в WhatsApp. С момента первой загрузки пользователя по имени «seiren_primrose» в мае 2025 года его скачали более 56 000 раз. Позже посылка была удалена npm. После установки пакета npm злоумышленник может читать все сообщения WhatsApp, отправлять сообщения другим, скачивать медиафайлы и получать доступ к спискам контактов. «И вот что важно: удаление пакета NPM удаляет вредоносный код, но устройство злоумышленника остаётся привязанным к вашему аккаунту WhatsApp», — сказал Кой. «Сопряжение сохраняется в системах WhatsApp, пока вы вручную не отсоедините все устройства от настроек WhatsApp. Даже после того, как посылка исчезла, у них всё равно есть доступ.»

️ 🔥 Популярные CVE

Хакеры действуют быстро. Они могут использовать новые жуки уже за несколько часов. Одно пропущенное обновление может привести к серьёзному утечке. Вот самые серьёзные уязвимости безопасности этой недели. Проверьте их, сначала исправьте важное и оставайтесь в безопасности.

Список этой недели включает — CVE-2025-14847 (MongoDB), CVE-2025-68664 (ядро LangChain), CVE-2023-52163 (Digiever DS-2105 Pro), CVE-2025-68613 (n8n), CVE-2025-13836 (Python http.client), CVE-2025-26794 (Exim), CVE-2025-68615 (Net-SNMP), CVE-2025-44016 (TeamViewer DEX Client) и CVE-2025-13008 (M-Files Server).

📰 В мире кибербезопасности

• Бывший агент службы поддержки клиентов Coinbase арестован в Индии — Генеральный директор Coinbase Брайан Армстронг сообщил, что бывший агент службы поддержки крупнейшей американской криптобиржи был арестован в Индии через несколько месяцев после того, как хакеры подкупили сотрудников службы поддержки клиентов, чтобы получить доступ к информации о клиентах. В мае компания заявила, что хакеры подкупили подрядчиков, работающих из Индии, чтобы украсть конфиденциальные данные клиентов, и потребовали выкуп в размере 20 миллионов долларов. «У нас нулевая терпимость к плохому поведению, и мы продолжим работать с правоохранительными органами, чтобы привлечь злоумышленников к ответственности», — сказал Армстронг. «Благодаря полиции Хайдарабада в Индии бывший сотрудник службы поддержки Coinbase только что был арестован. Ещё один удал, и впереди ещё новые.» Инцидент затронул 69 461 человека. Коллективный иск в сентябре 2025 года показал, что Coinbase наняла TaskUs для обслуживания клиентов из Индии. В судебном документе также упоминалось, что Coinbase «разорвала связи с сотрудниками TaskUs, участвовавшими в этом, и другими зарубежными агентами, и ужесточила контроль». Одна из сотрудниц TaskUs из Индора, Ашита Мишра, обвиняется в «присоединении к заговору, согласившись продавать крайне чувствительные данные пользователей Coinbase этим преступникам» уже в сентябре 2024 года. Мишра был арестован в январе 2025 года по подозрению в продаже украденных данных хакерам за $200 за запись. TaskUs заявила, что «она выявила двух лиц, которые незаконно получили доступ к информации одного из наших клиентов [who] были завербованы гораздо более широкой, скоординированной криминальной кампанией против этого клиента, которая также затронула ряд других поставщиков, обслуживающих этого клиента.» Также утверждалось, что у Coinbase «были и другие поставщики, кроме TaskUs, и что сотрудники Coinbase были замешаны в утечке данных». Однако компания не предоставила никаких дополнительных подробностей.
• Облачный атлас нацелен на Россию и Беларусь — Злоумышленник, известный как Cloud Atlas, использовал фишинговые приманки с помощью вредоносного вложения документа Microsoft Word, которое при открытии загружает вредоносный шаблон с удалённого сервера, который, в свою очередь, получает и запускает файл HTML-приложения (HTA). Вредоносный HTA-файл извлекает и создаёт несколько файлов Visual Basic Script (VBS) на диске, которые являются частью бэкдора VBShower. VBShower затем скачает и устанавливает другие бэкдоры, включая PowerShower, VBCloud и CloudAtlas. VBCloud может скачивать и выполнять дополнительные вредоносные скрипты, включая захватчик файлов для извлечения интересующих файлов. Подобно VBCloud, PowerShower способен получать дополнительную полезную нагрузку с удалённого сервера. CloudAtlas устанавливает связь с командой и командойntrol (C2) через WebDAV и загружает исполняемые плагины в виде DLL, что позволяет собирать файлы, выполнять команды, крать пароли из браузеров на базе Chromium и захватывать системную информацию. Атаки, совершённые этим злоумышленником, в первую очередь были направлены против организаций телекоммуникационного сектора, строительства, государственных структур и предприятий в России и Беларуси.
• BlackHawk Loader обнаружен в дикой природе — В дикой природе обнаружен новый загрузчик MSIL под названием BlackHawk, включающий три слоя обфускации, которые демонстрируют признаки генерации с помощью инструментов искусственного интеллекта (ИИ). Согласно ESET, он включает скрипт Visual Basic и два скрипта PowerShell, второй из которых содержит загрузчик BlackHawk, закодированный в Base64, и последнюю полезную нагрузку. Загрузчик активно используется в кампаниях по распространению агента Тесла в атаках, нацеленных на сотни конечных точек в румынских малых и средних компаниях. Погрузчик также использовался для доставки информационного вора под названием Phantom.
• Рост числа серверов Cobalt Strike — Censys отметила внезапный рост числа серверов Cobalt Strike, размещённых онлайн с начала декабря по 18 декабря 2025 года, в частности на сетях AS138415 (YANCY) и AS133199 (SonderCloud LTD). «Если посмотреть на приведённую выше хронологию, AS138415 сначала демонстрирует ограниченную «посевную» активность, начиная с 4 декабря, а затем значительное расширение на 119 новых серверов Cobalt Strike 6 декабря», — сообщили в Censys. «Однако всего за два дня почти вся эта новая инфраструктура исчезает. 8 декабря AS133199 наблюдался почти зеркальный рост и уменьшение новых серверов Cobalt Strike.» Более 150 различных IP-адресов, связанных с AS138415, были отмечены как хостинг слушателей Cobalt Strike в это окно. Этот нет-блок, 23.235.160[.]0/19 был передан компании RedLuff, LLC в сентябре 2025 года.
• Познакомьтесь с Флаем, администратором российского рынка — Intrinsec раскрыла, что злоумышленник по имени Fly, вероятно, является администратором Russian Market — подпольного портала для продажи украденных учетных данных через инфостилеры. «Этот злоумышленник неоднократно и на протяжении многих лет продвигал рынок», — заявила французская компания в области кибербезопасности. «Его никин напоминает старое название рынка — ‘Flyded.’ Мы нашли два адреса электронной почты, использовавшихся для регистрации первых доменов Russian Market, что позволило нам найти возможные ссылки на аккаунт Gmail с названием ‘AlexAske1’, но мы не смогли найти дополнительную информацию об этой потенциальной личности.»
• Новая мошенническая кампания нацелена на MENA с помощью фейковых предложений о работе — Новая мошенническая кампания нацелена на страны Ближнего Востока и Северной Африки (MENA) с помощью фейковых онлайн…