S
SecAtor
08.07.2026 18:30 · 👁 3K
В киберподполье тем временем свои интересные кейсы. Среди наиболее громких следующие.
1. Хакеры выставили на продажу учетные данные Министерства иностранных дел Великобритании, добытые в результате атаки в начале этого года.
Учетные данные относятся к межсетевым экранам и VPN-серверам, установленным в ведомстве, британских посольствах и некоторых местных советах Великобритании.
Они были собраны в рамках кампании FortiBleed, когда были украдены учетные данные почти с 80 000 устройств Fortinet. Злоумышленник SantaAd взял на себя ответственность за кампанию. Учетные данные МИД Великобритании теперь продаются за 60 000 долл.
2. В прошлом году ведущее разведывательное агентство Канады провело ряд кибероперации в отношении RaaS-платформы. Неназванная группа, предположительно, участвовала более чем в 25 хакерских атаках по всей Канаде.
Управление безопасности связи (CSE) заявляет, что работало с партнерами по альянсу Five Eyes, выведя из строя инфраструктуру группы и удалив украденные данные после того, как они были выставлены на продажу.
Агентство также атаковало еще десять групп, занимавшихся распространением ransomware, вызвав «технические сбои». Другие кибер-операции CSE также были направлены против группы вербовщиков-экстремистов в Канаде и наркокартели, связанной с производством фентанила.
3. Японский телекоммуникационный гигант KDDI сообщил, что адреса электронной почты и пароли 14,22 миллионов пользователей были скомпрометированы в результате взлома почтовой платформы, используемой пятью интернет-провайдерами страны: STNet, JCOM, Chubu Telecommunications C, NIFTY Corporation и BIGLOBE.
4. Крупнейший IT-провайдер Accenture подтвердил, что подвергся утечке данных после того, как злоумышленник 888 заявил о краже 35 ГБ исходного кода и других данных у компании.
По словам злоумышленника, данные включают исходный код, ключи RSA, ключи SSH, персональные токены доступа Azure (PAT), ключи доступа к хранилищу Azure и файлы конфигурации.
5. Хакеры утверждают, что взломали внутренние системы Deutsche Bank, опубликовав якобы записи из базы данных сотрудников.
По имеющимся данным, утечка включает адреса электронной почты сотрудников, хэши паролей, физические адреса и записи из внутренней базы данных. Deutsche Bank при этом подтверждает утечку данных от третьей стороны.
S
SecAtor
08.07.2026 17:00 · 👁 3.8K
Исследователи Positive Technologies поведали про рынки монетизации уязвимостей.
Данные об уязвимостях в ПО или инфраструктуре - важнейшая информация, которая может быть использована как для усиления защиты систем, так и для проведения кибератак.
Уязвимости остаются одной из распространенных киберугроз (35% от доли успешных атак за 2025 год на организации по всему миру) и становится объектом интереса по обе стороны, а ее ценность определяется потенциальными последствиями использования.
По данным Positive Technologies, основными последствиями являются нарушения конфиденциальности (28%) и основной деятельности компаний (13%), а также использование их ресурсов для реализации последующих атак через цепочку поставок (12%).
По мере усложнения ИТ-систем растет и количество слабых мест в них, что приводит к формированию целого рынка уязвимостей, который развивается в двух параллельных направлениях - легальном и теневом.
Легальный основан на поиске недостатков безопасности с их последующей передачей на багбаунти-площадки либо с ответственным раскрытием информации о них.
Существует несколько полностью легальных каналов продажи данных об обнаруживаемых уязвимостях. Например, функционирующий уже более 20 лет проект Zero Day Initiative от Trend Micro, но самым масштабным каналом является, кончено же, багбаунти.
Обычно речь идет о типовых недостатках (например, ошибках контроля доступа, конфигурации, XSS). Тенденция подтверждается статистикой одной из популярных багбаунти-площадок: в 2025 году первое место в топе обнаруженных уязвимостей заняла XSS.
Нелегальный же связан с продажей данных об уязвимостях на теневых площадках. Оба рынка строятся вокруг спроса на эксклюзивную техническую информацию, но различаются правилами, мотивацией участников и последствиями использования найденных слабостей систем.
Продажа информации об уязвимостях третьим сторонам формирует сегмент рынка, находящийся между багбаунти и теневыми площадками. В такой модели исследователь передает сведения о найденной уязвимости не разработчику для исправления, а посреднику, брокеру или специализированной компании, которые затем используют их в собственных целях или перепродают.
Большая часть активности по теневому обращению информации об уязвимостях и последствиях их эксплуатации размещается на дарквеб-форумах и в группах, где участники обсуждают детали и совершают сделки.
При этом если в багбаунти основное внимание часто уделяется широкому спектру уязвимостей, включая их менее критичные вариации, то на теневых рынках интерес сосредоточен преимущественно на 0-day и готовых доступах к системам.
После компрометации такой доступ превращается в отдельный товар, который может перепродаваться другим злоумышленникам для дальнейших атак. По данным PT, подобные предложения составляют бjльшую часть теневого рынка сервисов - на них приходится 61% сообщений.
Уникальные уязвимости и новые подходы к их эксплуатации формируют отдельный рынок. На ytv также наблюдается активный переход к сервисной модели.
Уже сейчас примерно 7% объявлений, продвигающих сервисные услуги, связаны с покупкой или продажей услуг по эксплуатации уязвимостей в ПО. При этом в 40% объявлений фигурируют 0-day, что дополнительно подтверждает их популярность.
Сстоимость каждой отдельной уязвимости не является строго регламентированной, а в половине случаев (47%) даже не указывается в сообщении, однако основной ценообразующий фактор - эксплуатационная ценность - остается неизменным.
Именно поэтому 49% и 11% от всех объявлений нацелены на 0-day и 1-day соответственно. При этом в 38% сообщений пишется не о продаже, а о покупке данных о конкретной уязвимости.
Большая часть объявлений о продаже сведений об уязвимостях касается тех, которые связаны с RCE и LPE, на них приходится 43% и 25% соответственно.
Более детальные данные доступны в полной версия исследования - здесь.
S
SecAtor
08.07.2026 15:00 · 👁 3.9K
Исследователи Лаборатории Касперского выкатили новый отчет с аналитикой по ландшафту угроз для систем промышленной автоматизации за первый квартал 2026 года.
Доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, продолжила снижаться и в первом квартале 2026 года составила 19,6%. Это наименьший показатель за три года, и он в 1,4 раза меньше, чем во втором квартале 2023 года.
При этом показатели в регионах варьируются от 9,1% в Северной Европе до 27,4% в Африке. Доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, за квартал увеличилась в пяти регионах, больше всего - в Южной Европе, Северной Европе и России.
В первом квартале Южная Европа заняла первое место по росту доли компьютеров АСУ, затронутых угрозами из интернета и почтовых клиентов.
Регион также находится на первом месте по росту показателей, связанных с атаками шпионских программ, а также вредоносных скриптов и фишинговых страниц.
В России доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, превысила показатели предыдущих двух кварталов. В регионе вырос показатель угроз из интернета и немного выросла доля устройств, затронутых угрозами из почтовых клиентов.
Среди категорий угроз больше всего выросла доля компьютеров АСУ, столкнувшихся с ресурсами в интернете из списка запрещенных, а также шпионскими ПО (в России распространяются через интернет и почтовые клиенты).
Рейтинг исследуемых отраслей и типов ОT-инфраструктур по доле компьютеров АСУ, на которых были заблокированы вредоносные объекты, традиционно возглавляют биометрические системы с показателем 26,4%.
Для этих систем характерны доступность интернета, активное использование электронной почты для обмена данными и согласований (например, предоставления доступов) и зачастую минимальный контроль ИБ со стороны организации-потребителя.
Биометрические системы находятся на первом месте среди отраслей по показателям угроз из почты. При этом, в отличие от остальных отраслей, для биометрических систем показатель почтовых клиентов превышает показатель угроз из интернета.
Во всех исследуемых отраслях наблюдается тенденция к уменьшению среднемирового показателя. В первом квартале 2026 года доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, увеличилась только в производственной отрасли — на 1 п.п.
Показатель отрасли увеличился в 10 регионах, больше всего - в Западной Европе, Северной Европе и России.
В первом квартале защитные решения ЛК в системах промышленной автоматизации заблокировали вредоносное ПО из 10 052 семейств, относящихся к различным категориям.
За квартал выросла доля компьютеров АСУ, на которых были заблокированы ресурсы в интернете из списка запрещенных (предыдущие два квартала она снижалась), и немного вырос показатель вредоносных программ для AutoCAD.
В первом квартале 2026 года показатели всех источников угроз, кроме угроз из интернета, в среднем по миру уменьшились.
Подробная инфографика и статистика по индустриальным угрозам в первом квартале 2026 года - в полной версии отчета.
S
SecAtor
08.07.2026 14:02 · 👁 4.2K
Ubiquiti выпустила обновления для устранения семи критических уязвимостей в UniFi OS, включая уязвимость максимальной серьезности, отслеживаемую как CVE-2026-50746, которая может быть использована в атаках с внедрением команд.
CVE-2026-50746 затрагивает приложение UniFi Connect (версии 3.4.16 и более ранние), пакет ПО для управления, который клиенты Ubiquiti могут использовать для автоматизации и управления эксплуатацией коммерческих зданий через единый интерфейс.
Злоумышленник, имеющий доступ к сети, может использовать уязвимость, связанную с некорректным контролем доступа (Improper Access Control), обнаруженную в приложении UniFi Connect, для выполнения внедрения команд на хост-устройстве.
Компания рекомендовала пользователям обновить затронутое приложение UniFi Connect до версии 3.4.20 или более поздней, чтобы защитить свои системы от потенциальных атак.
Ubiquiti также устранила еще шесть критических уязвимостей (CVE-2026-50747, CVE-2026-50748, CVE-2026-54400, CVE-2026-54402, CVE-2026-55115, CVE-2026-55116) в приложениях UniFi Talk, UniFi Access и UniFi Protect, UniFi OS Server, а также на широком спектре маршрутизаторов, шлюзов, NAS и систем видеонаблюдения Ubiquiti.
Ubiquiti пока не сообщила, были ли какие-либо из этих уязвимостей использованы злоумышленниками до их устранения, но заявила, что шесть из них могут быть использованы в атаках низкой сложности, не требующих взаимодействия с пользователем.
При этом Censys отслеживает более 100 000 экземпляров UniFi OS, находящихся в открытом доступе в сети, большинство из которых (почти 50 000 IP) расположены в США. Сколько из них уже защищены от этих уязвимостей или являются ловушками для злоумышленников не ясно.
Кроме того, данные Censys включают в себя результаты сканирования за прошлые периоды и могут неточно отражать количество систем, в настоящее время доступных через Интернет.
В последние годы поддерживаемые государством группы киберпреступников и хакерские группировки часто нацеливаются на продукцию Ubiquiti, взламывая её для создания ботнетов, предназначенных для сокрытия вредоносной деятельности.
S
SecAtor
08.07.2026 11:54 · 👁 4.6K
▫️ SkillSpector — открытый сканер безопасности 🖥NVIDIA для проверки подключаемых навыков (skills) ИИ-агентов перед установкой. Инструмент сочетает статический анализ и опциональную оценку с помощью ИИ-моделей, выявляя 68 шаблонов уязвимостей в 17 категориях, включая внедрение инструкций в промпт (prompt injection), эксфильтрацию данных, опасный код, повышение привилегий, отравление MCP-инструментов, совпадения с YARA-сигнатурами вредоносного ПО и риски цепочки поставок.
Зависимости проверяются через OSV[.]dev на известные уязвимости. SkillSpector сканирует Git-репозитории, URL, ZIP-архивы, локальные каталоги и отдельные файлы, рассчитывает риск по шкале от 0 до 100 и формирует отчёты в форматах терминального вывода, JSON, Markdown и SARIF. Инструмент можно использовать для ручного аудита, интеграции в CI/CD и оценки безопасности сторонних навыков ИИ-агентов.
🤖 AI agent skills: cогласно исследованиям, 26,1% подключаемых навыков ИИ-агентов содержат хотя бы одну уязвимость.
✋ @Russian_OSINT
S
SecAtor
07.07.2026 17:20 · 👁 6.5K
CERT/CC предупреждает о наличии скрытого административного бэкдора в нескольких версиях прошивки, выпущенных китайским производителем сетевого оборудования Tenda.
недокументированный бэкдор аутентификации обеспечивает административный доступ к веб-интерфейсам управления устройствами.
Злоумышленник может использовать недокументированный бэкдор аутентификации (CVE-2026-11405) для обхода процесса проверки пароля и получения полного административного контроля без действительных учетных данных.
Уязвимость затрагивает несколько версий прошивки: US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD; US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE; US_AC10V1.0re_V15.03.06.46_multi_TDE01; US_AC5V1.0RTL_V15.03.06.48_multi_TDE01 и US_AC6V2.0RTL_V15.03.06.51_multi_T.
Бэкдор присутствует в функции login() исполняемого файла веб-сервера /bin/httpd. Хотя изначально метод использует обычный путь аутентификации с проверкой пароля на основе MD5, в случае неудачной аутентификации активируется альтернативный путь выполнения кода.
В частности, это включает вызов функции GetValue (sys.rzadmin.password) для получения альтернативного значения пароля из конфигурации устройства и выполнение прямого сравнения предоставленного пользователем пароля с значением, хранящимся в конфигурации.
Если эти значения совпадают, приложение предоставляет доступ уровня администратора (роль=2) и создает действительную сессию с повышенными привилегиями.
Связанное имя пользователя [rzadmin] не проверяется, поэтому любое предоставленное имя пользователя будет успешно использовано в паре с паролем бэкдора. Этот механизм аутентификации через бэкдор не задокументирован и не виден ни в одном административном интерфейсе.
Успешная эксплуатация этой стандартной функции обхода проверки имени пользователя позволяет получить полный административный доступ к веб-интерфейсу устройства независимо от учетных данных администратора.
Это позволит злоумышленнику вносить несанкционированные удаленные изменения в настройки, отключать функции безопасности или перенастраивать устройство, что потенциально может привести к полному захвату устройства.
Уязвимость, о которой сообщил анонимный исследователь, на текущий момент до сих пор не устранена. Tenda также никак не комментирует.
Пользователям рекомендуется отключить удаленное управление на устройстве и изменить IP локальной сети по умолчанию, чтобы предотвратить доступ злоумышленников к нему и уменьшить вероятность обнаружения сканерами, нацеленными на известные диапазоны IP по умолчанию.
S
SecAtor
07.07.2026 15:20 · 👁 5K
Исследователи Sysdig предупреждают о начале эксплуатации недавно исправленной критической уязвимости в образах Docker Gitea.
CVE-2026-20896 (CVSS: 9,8) обусловлена тем, что платформа DevOps доверяет заголовку X-WEBAUTH-USER от любого исходного IP, что фактически позволяет неаутентифицированному интернет-клиенту получить расширенный доступ.
Исследователь Али Мустафа, которому приписывают обнаружение уязвимости, сообщил, что образы Docker от Gitea содержали шаблон app.ini, в котором по умолчанию жестко задано значение REVERSE_PROXY_TRUSTED_PROXIES = *.
Файл app.ini является основным конфигурационным файлом для управления параметрами сервера, подключениями к базам данных, поведением в области безопасности и настройками приложения.
При включенном обратном прокси-сервере этот подстановочный знак доверяет каждому IP источника, поэтому любой, кто может получить доступ к порту, может отправить заголовок X-WEBAUTH-USER и пройти аутентификацию как любой пользователь, без пароля и токена.
Стоит отметить, что документированное безопасное значение для внутренней переменной REVERSE_PROXY_TRUSTED_PROXIES - 127.0.0.0/8,::1/128, что означает, что в качестве доверенного прокси-сервера разрешен только localhost, то есть интерфейс обратной связи.
Однако в официальном образе Docker это значение по умолчанию не используется, вместо него жестко задан символ "*". Другими словами, проверка в списке разрешенных серверов фактически отсутствует.
Таким образом, если администратор устанавливает параметр ENABLE_REVERSE_PROXY_AUTHENTICATION = true, чтобы Gitea использовал аутентифицирующий обратный прокси-сервер, и оставляет параметр REVERSE_PROXY_TRUSTED_PROXIES в значении по умолчанию, это разрешает пользовательский HTTP-заголовок X-WEBAUTH-USER с любого исходного IP, который может достичь контейнера.
Любой процесс, который может напрямую получить доступ к HTTP-порту контейнера Gitea - не через предназначенный для аутентификации прокси-сервер - может выдать себя за любого пользователя, чье имя пользователя известно или может быть угадано.
Уязвимость затрагивает образы Docker Gitea версий до 1.26.2 включительно. Она была устранена в 1.26.3, выпущенной в конце прошлого месяца, где был удален символ подстановки "*", а аутентификация через обратный прокси-сервер стала необязательной.
Sysdig сообщила об обнаружении первой попытки эксплуатации уязвимости в реальных условиях спустя 13 дней после ее публичного раскрытия. Речь идет примерно о 6200 доступных из интернета экземплярах Gitea.
Несмотря на первые действия с IP-адреса сервиса ProtonVPN, 159.26.98[.]241, до сих пор активность не привела к эксплуатации уязвимости или атаке. Как считают исследователи, это связано с тем, что детектирование было реализовано на ранней стадии, до того, как атака успела развиться дальше начальной фазы.
Учитывая серьезность проблемы и начавшуюся эксплуатацию, пользователям крайне важно как можно скорее применить исправления для обеспечения оптимальной защиты.
S
SecAtor
07.07.2026 13:20 · 👁 5.8K
Исследователи Лаборатории Касперского совсем разошлись и выкатывают отчет за отчетом, на этот раз в их поле зрения - Armored Likho, APT-группа, реализующая сложные таргетированные атаки на правительственные организации и ТЭК в нескольких странах.
Злоумышленник использует модульные RAT и стилеры в рамках как финансово мотивированными атаках на отдельных лиц, так и кибершпионажа в отношении организаций в России, Бразилии и Казахстане.
В арсенале злоумышленника - BusySnake Stealer на основе Python, а также такие инструменты, как Go2Tunnel, для удаленного доступа и сетевого туннелирования.
Разнообразный набор вредоносных ПО позволяет злоумышленнику сохранять скрытый контроль над скомпрометированными хостами, похищать учетные данные и другую конфиденциальную информацию, а также динамически развертывать загружаемые модули, адаптированные к профилю жертвы и выполняемым задачам.
Armored Likho в основном использует целевой фишинг для первоначального доступа. Архивы, прикрепленные к его электронным письмам, содержат исполняемые файлы или LNK-файлы, которые после открытия отображают ложные цели, в то время как вредоносное ПО устанавливается в фоновом режиме.
Загрузчик, внедряемый в память через такой исполняемый файл, загружает архивы из репозиториев GitHub, содержащие ранние сборки и тестовые образцы вредоносного ПО. Файлы LNK отображают фейковый документ, в то время как интерпретатор Python 3.12 и архив загружаются в фоновом режиме.
В числе прочих компонентов архивы содержат вредоносную ПО на основе Python, которую в ЛК отслеживают как BusySnake Stealer.
Эта вредоносная ПО использует множество методов обхода защиты, динамически расшифровывает байт-код при вызове функции, сразу же шифруя его после вызова, и работает в фоновом режиме без окна консоли.
Стилер задействует сразу несколько обработчиков для выполнения различных функций, таких как кража данных из буфера обмена, перечисление файлов, извлечение 64-символьных шестнадцатеричных ключей, эксфильтрация документов, захват скриншотов, архивирование скриншотов, проверка на сохранение активности и выполнение команд.
На основе команд, полученных от С2, вредоносная ПО может делать снимки экрана, извлекать данные о нажатиях клавиш, расшифровывать сохраненные пароли из браузеров на основе Chromium и Firefox, извлекать файлы cookie из браузеров, собирать данные с машины в виде одноразовых паролей (OTP), находить криптокошельки, собирать данные о сессиях и учетные данные Telegram, устанавливать обратный SSH-туннель и перезапускать RustDesk для захвата учетных данных пользователей.
До появления BusySnake Stealer группа Armored Likho использовала Go2Tunnel для установления обратного SSH-туннеля, но реализовала эту функциональность в своем стилере, который теперь предоставляет злоумышленникам постоянный удаленный доступ и интерактивное управление системой жертвы.
Деятельность Armored Likho, по всей видимости, пересекается с деятельностью Eagle Werewolf. Ранее эта хакерская группа использовала RAT-программу AquilaRAT, которая имеет схожую структуру и механизм обеспечения устойчивости с BusySnake Stealer.
При этом вредоносная нагрузка первого этапа (загрузчики и стейджеры) сгенерирована при помощи ИИ, что размывает TTP атакующих, усложняя атрибуцию атак.
В ходе анализа Касперы также выявили признаки, указывающие на то, что операторы стилера владеют украинским языком, на основе языковых и инфраструктурных артефактов.
Наблюдаемая кампания демонстрирует сразу несколько трендов: рост технической зрелости Armored Likho, морфизм инструментов и переход к более сложным схемам в попытках обойти защитные решения, от обфускации исходного кода на Python до внедрения сетевых механизмов прямо в код вредоносного ПО.
Технические подробности и IOCs - в отчете.
S
SecAtor
07.07.2026 11:21 · 👁 6.4K
Уязвимость ядра Linux позволяет виртуальным машинам обходить защиту на системах Intel и AMD.
Januscape, обнаруженная 16 лет назад, позволяет злоумышленникам выходить за пределы виртуальных машин и потенциально выполнять код на базовом хосте.
Уязвимость отслеживается как CVE-2026-53359 и получила условное наименование Januscape. Она затрагивает код теневого MMU в гипервизоре виртуальных машин на базе ядра Linux (KVM).
Уязвимость, позволяющая взаимодействовать между гостевыми системами и хостами, представляет собой серьезную угрозу для многопользовательских публичных облаков x86, работающих с ненадежными гостевыми системами и использующих вложенную виртуализацию.
Известно, что это первый эксплойт KVM, который может быть активирован как на архитектурах Intel, так и на AMD. Уязвимость была обнаружена исследователем Хёнву Кимом, который раскрыл её как 0-day в рамках Google kvmCTF.
По словам исследователя, эта уязвимость представляет собой уязвимость типа «использование после освобождения памяти», которая может быть активирована из виртуальной машины и привести к повреждению состояния теневых страниц ядра хоста.
Как поясняет исследователь, успешная эксплуатация Januscape может привести к полной компрометации хоста, на котором работает виртуальная машина.
Например, злоумышленник, арендовавший всего один экземпляр в публичном облаке, может вызвать сбой в работе ядра хоста, чтобы вывести из строя все остальные виртуальные машины арендаторов на той же физической машине (DoS-атака), или запустить код с правами root на хосте, чтобы захватить управление хостом и всеми его гостевыми системами (удалённое управление).
В некоторых дистрибутивах Linux, таких как Red Hat Enterprise Linux (RHEL), уязвимость безопасности может быть использована непривилегированными пользователями для повышения своих привилегий до уровня root.
Для эксплуатации уязвимости Januscape требуются права root на гостевой машине, которые обычно доступны по умолчанию, когда пользователю выделяется экземпляр виртуальной машины в публичном облаке.
Если доступ root недоступен, злоумышленник может объединить эту уязвимость с уязвимостью повышения привилегий, такой как Dirty Frag, как отмечает Ким.
CVE-2026-53359 оставалась неактивной в ядре Linux в течение 16 лет. Она была исправлена в основной ветке 19 июня, когда был объединен коммит 81ccda30b4e8.
S
SecAtor
06.07.2026 17:10 · 👁 5.4K
Исследователи Solar 4RAYS сообщают об обнаружении кампании по распространению Santa Stealer, который превратил кражу логов в настоящий бесперебойный конвейер.
В марте 2026 года Солары зафиксировали атаку на российскую компанию из сферы промышленности с использованием техники ClickFix, где сотрудника на фишинговом сайте под видом проверки капчи от Cloudflare убедили выполнить команду через Win+R.
Запущенный PowerShell-скрипт загрузил стилер Santa Stealer, нацеленный на максимальный сбор всех доступных учетных данных.
Santa Stealer - не очередной рядовой инфостилер, а зрелая MaaS-платформа, прошедшая путь от классического граббера до инструмента подготовки данных к монетизации.
Конфиг-ориентированная архитектура (модули остаются в сборке даже при пустом конфиге), 16 заявленных модулей в панели и билдере, двухслойное сокрытие строк (XOR-распаковка блоба плюс ChaCha20 для отдельных строк), перехват данных прямо из памяти браузеров через инжект в их процессы и многоканальная эксфильтрация с резервированием C2 указывают на коммерческую зрелость продукта, а не на разовую поделку.
Злоумышленники использовали взломанный легитимный ресурс, а саму доставку стилера в систему осуществлял go-дропер, запускающий малварь исключительно в памяти процесса без записи файлов на диск.
В новой версии вредоноса появилась возможность туннелирования трафика через Cloudflare WARP/WireGuard, что позволяет скрывать реальный адрес командного сервера внутри легитимных UDP-пакетов.
В качестве резервного канала (Dead Drop Resolver) стилер обращается к подконтрольным страницам в Telegram и Mastodon, извлекая новые C2-домены.
Архитектура вредоноса включает 13 последовательных модулей, которые «пылесосят» сессии браузеров, токены Discord/Steam, корпоративные VPN-клиенты, облачные доступы (Azure, Google Cloud) и криптокошельки.
При этом заложенная в коде функция самоликвидации на системах в странах СНГ (Anti-CIS) была намеренно отключена, так как кампания изначально была нацелена на российские организации.
Солары предполагают, что инфраструктура Santa Stealer тесно завязана на массовую перепродажу похищенных игровых учетных записей, а за семейством стоит активный участник теневого рынка, для которого сам стилер лишь один элемент более широкой схемы.
Те же лица, по всей видимости, связаны с массовой перепродажей похищенных аккаунтов (в первую очередь Roblox) на профильной площадке, где происхождение товара даже не скрывается.
Отдельно исследователи выделяют важную особенность стилера: он не рассчитан на длительное закрепление и стремится завершить эксфильтрацию раньше, чем отреагируют средства защиты.
Его модель работы ближе к «быстро распаковаться, быстро собрать, быстро отправить», что подтверждается как описанием в панели, так и самим расследованным инцидентом: образец успел распаковаться и начать выполнение до того, как защитные средства смогли полноценно отреагировать.
В таких сценариях классические антивирусы могут просто не успеть остановить цепочку на ранней стадии, особенно если вредонос активно обфусцирует строки, восстанавливает конфиг в памяти и быстро переходит к сбору данных.
При этом подобная активность хорошо ложится на поведенческое детектирование: массовый доступ к браузерным профилям, чтение Local State, DPAPI-дешифрование, SQL-запросы к Login Data/Cookies, сбор токенов, multipart-эксфильтрация, чанкование полезной нагрузки, а также попытки поднять WARP/WireGuard-туннель являются устойчивыми признаками.
Наиболее значимой мы считаем не техническую начинку, а экосистему вокруг нее. MaaS в связке с централизованной C2-инфраструктурой может означать, что покупатель подписки не является единственным потребителем украденных данных: часть логов вполне может оседать у разработчика, посредника или любой стороны, контролирующей инфраструктуру и каналы эксфильтрации.
Солары полагают, что связки «Santa Stealer плюс готовый канал сбыта» будут вытеснять разрозненных одиночек на этом рынке. Для жертвы же это означает, что компрометация одного аккаунта обернется его появлением сразу в нескольких независимых каналах перепродажи.