Дайджест CyberNews за березень 2025 року

Майстер-клас: секрети випікання найсмачніших млинців!

31.03.2025

На порядку денному — кіберзагрози. Нові шкідливі програми, критичні вразливості у широко використовуваних програмних платформах та виправлення помилок — ось, чим запам’ятався березень 2025 року. У новому дайджесті CyberNews розглянемо найважливіші інциденти, що сталися у світі кібербезпеки, а також поділимося рекомендаціями для підприємств та організацій щодо запобігання таким атакам.

Heading photo

Шкідливий софт "Auto-Color" дає хакерам повний контроль над Linux-системами
Університети та державні організації Північної Америки та Азії стали жертвами невідомого раніше Linux-шкідника Auto-Color у листопаді–грудні 2024 року, повідомляє Palo Alto Networks Unit 42.
● Auto-Color надає хакерам повний віддалений доступ до заражених машин і важко видаляється без спеціального програмного забезпечення.● Вірус маскується під нешкідливі файли (наприклад, door або egg), шифрує комунікацію та приховує підключення до серверів управління (C2).● Запущений з root-правами, він встановлює шкідливу бібліотеку libcext.so.2, змінює "/etc/ld.preload" для збереження в системі та перехоплює системні виклики для приховування активності.● Він може віддалено керувати системою, створювати reverse shell, змінювати файли, працювати проксі-сервером, а також має "вимикач" для самознищення.
Шкідник вимагає ручного запуску на пристрої жертви, а його командні сервери використовують приватне шифрування для захисту інструкцій від аналізу.
Джерело

Heading photo

SOC 3.0: Еволюція центрів безпеки та роль штучного інтелекту
Сучасні організації щодня стикаються з кіберзагрозами, а традиційні центри безпеки (SOC) не встигають обробляти величезні обсяги даних вручну. Відповіддю на цю проблему став SOC 3.0 — середовище, де штучний інтелект (AI) допомагає аналітикам автоматизувати процеси та переходити від реактивної до проактивної безпеки.
Ключові переваги SOC 3.0:
● AI-аналіз загроз – нейромережі швидко класифікують та пріоритизують інциденти.● Автоматична адаптація – AI оновлює правила кореляції в реальному часі, мінімізуючи хибні спрацьовування.● Швидке реагування – AI формує варіанти відповіді, які аналітики можуть прийняти одним кліком.● Масштабованість – система обробляє великі обсяги даних без необхідності постійного втручання людини.
SOC 3.0 – це не просто новий етап розвитку кібербезпеки, а необхідність у світі, де загрози зростають швидше, ніж можливості людини їх обробляти.
Джерело

Heading photo

12,000 живих API-ключів і паролів виявлено в навчальних даних DeepSeek, використаних для тренування LLM
Дослідження, проведене компанією Truffle Security, виявило близько 12,000 активних API-ключів та паролів у наборі даних Common Crawl, який використовується для навчання великих мовних моделей (LLM) на кшталт DeepSeek. Ці дані були отримані з публічно доступних веб-сторінок, що містять жорстко закодовані облікові дані. Це підкреслює проблему: LLM, які навчаються на небезпечному коді, можуть випадково генерувати небезпечні результати.

Основні результати дослідження:

● Кількість виявлених секретів: 11,908 активних секретів, включаючи API-ключі та паролі.● Поширеність: 2.76 мільйона веб-сторінок містили ці активні секрети.● Повторне використання секретів: 63% секретів повторювалися на різних веб-сторінках. Наприклад, один API-ключ WalkScore з'являвся 57,029 разів на 1,871 піддоменах. 
Це дослідження підкреслює важливість обережного підходу до збору та використання даних для навчання моделей штучного інтелекту, щоб уникнути впровадження небезпечних практик у згенерований код.

Джерело

Heading photo

Критична вразливість у Windows: загроза мережевій безпеці та цілісності системи
Фахівці виявили критичну вразливість CVE-2025-21418 (CVSS Score: 7.8) у драйвері AFD.sys, який відповідає за мережеві комунікації в операційній системі Windows. Експлуатація цієї вразливості може дозволити зловмисникам підвищувати привілеї, порушувати роботу мережевих служб та компрометувати безпеку системи.

Основні ризики:

● Порушення роботи мережі – зміни в AFD.sys можуть негативно впливати на TCP/IP-з'єднання та всі мережеві додатки.● Ескалація привілеїв – зловмисники можуть отримати можливість виконання коду з підвищеними правами, що створює ризик повного компрометування системи.● Компрометація системної безпеки – модифікація драйвера підриває механізми захисту Windows, відкриваючи потенційні вектори атак.
Рекомендовані заходи захисту:

● Моніторинг цілісності AFD.sys – використання спеціалізованих скриптів для виявлення несанкціонованих змін у драйвері.● Застосування заходів безпеки – активація DEP AlwaysOn для запобігання виконанню шкідливого коду.● Оновлення системи – встановлення актуальних оновлень безпеки Windows.
Джерело

Heading photo

Понад 4 000 IP-адрес ISP націлено на атаки брутфорс для розгортання крадіїв інформації та криптомайнерів
Інтернет-провайдери у Китаї та США стали мішенню експлойтів, що викрадають інформацію та майнять криптовалюту на скомпрометованих хостах.

Зловмисники виконують операції мінімального втручання шляхом ексфільтрації бінарних файлів для уникнення виявлення та використовують переважно Python, PowerShell і API-запити для операцій командування та контролю (C2).

Атаки спостерігалися від IP-адрес, пов'язаних зі Східною Європою, для експлуатації слабких облікових даних. 

Після отримання початкового доступу виконувані файли через PowerShell сканують мережу, крадуть інформацію та майнять криптовалюти XMRig за допомогою комп’ютерів жертв. Викрадення інформації про Bitcoin (BTC), Ethereum (ETH), Binance Chain BEP2 (ETHBEP2), Litecoin (LTC) та TRON (TRX) відбувається шляхом збирання скриншотів та інформації з буферів обміну, агрегується інформація централізовано через Telegram-ботів.

Крім цього, бінарні файли запускають файл auto.exe, що завантажує IP-адреси (ip.txt) і паролі (pass.txt) з серверів С2 зловмисників для подальшого проведення атак типу BruteForce та masscan.exe - для сканування.

Джерело

Heading photo

Понад 1,000 сайтів на WordPress заражені бекдорами на JavaScript, що дозволяють постійний доступ зловмисникам
Понад 1,000 сайтів на WordPress були заражені стороннім JavaScript-кодом, який впроваджує чотири різні бекдори. Це дозволяє зловмисникам мати кілька точок для повторного доступу у випадку виявлення та видалення однієї з них. Код було знайдено на cdn.csyndication[.]com, і наразі 908 сайтів містять згадки про цей домен. Перший бекдор встановлює фальшивий плагін "Ultra SEO Processor", другий впроваджує шкідливий JavaScript у wp-config.php, третій додає SSH-ключ для віддаленого доступу, а четвертий виконує віддалені команди для відкриття зворотної оболонки.

Для зменшення ризику користувачам рекомендовано видалити несанкціоновані SSH-ключі, змінити облікові дані адміністратора WordPress і моніторити системні журнали. Одночасно з цим інцидентом, інша кампанія зловмисників заразила понад 35,000 сайтів шкідливим JavaScript, що перенаправляє відвідувачів на китайськомовні платформи для азартних ігор. Виявлено, що атаки виконуються через JavaScript, розміщені на п'яти різних доменах.

Водночас Group-IB звітує про загрозу ScreamedJungle, яка впроваджує JavaScript (Bablosoft JS) на зламані Magento-сайти для збору відбитків користувачів. Вони використовують відомі вразливості в Magento для проникнення на сайти. Цей метод дозволяє зловмисникам імітувати поведінку легітимних користувачів та обминати заходи безпеки.

Джерело

Heading photo

Критична вразливість CVE-2025-22224 в програмному забезпечені VMware
Дослідники з Microsoft Threat Intelligence Center виявили критичну вразливість CVE-2025-22224 у продуктах VMware ESXi та Workstation. Ця вразливість пов'язана з помилкою типу TOCTOU (Time-of-Check Time-of-Use), яка може призвести до запису даних за межами виділеної області пам’яті. Це дає можливість зловмиснику з локальними адміністративними привілеями на віртуальній машині виконати довільний код на хості.
Що відомо про CVE-2025-22224:
● Продукти під загрозою: VMware ESXi, VMware Workstation.● Тип вразливості: помилка TOCTOU, що призводить до виходу за межі пам’яті.● Наслідки: можливе виконання довільного коду зловмисником із правами на віртуальній машині.● Виявлено: Microsoft Threat Intelligence Center.● Експлуатація: Broadcom підтверджує, що вразливість уже використовується у реальних атаках.
Broadcom вже випустила оновлення безпеки для усунення вразливості. Рекомендується негайно:
1. Оновити VMware ESXi та Workstation до останніх версій.2. Обмежити доступ до віртуальних машин, щоб мінімізувати ризики експлуатації.3. Моніторити журнали подій на предмет підозрілої активності.
Посилання на виправленняДжерело

Heading photo

Microsoft попереджає про масштабну кампанію malvertising, що інфікувала понад 1 мільйон пристроїв
Microsoft виявила масштабну кампанію шкідливої реклами (malvertising), яка спрямована на викрадення конфіденційних даних користувачів. Атака, що триває з грудня 2024 року, належить до діяльності угруповання Storm-0408, яке поширює шкідливе програмне забезпечення через фішингові сайти, SEO-маніпуляції та рекламні оголошення.

Основний механізм атаки – використання нелегальних стрімінгових платформ, які містять шкідливі редиректори. Вони перенаправляють жертву на проміжні сайти, звідки завантажується вірусне ПЗ через платформи GitHub, Discord або Dropbox. Зловмисники застосовують складні методи обходу захисту, зокрема багатоетапну систему редиректів та PowerShell-скрипти, які можуть приховувати сліди атаки. 

Атака вражає як персональні пристрої, так і корпоративні мережі, підвищуючи ризик масштабного витоку даних. Серед завантажуваних вірусів – Lumma Stealer та Doenerium, які здатні викрадати системну інформацію, облікові дані та криптовалютні гаманці.

Microsoft вже видалила частину шкідливих GitHub-репозиторіїв, однак не розкриває їх точну кількість. Компанія закликає користувачів бути обачними щодо підозрілих сайтів, не переходити за невідомими посиланнями та оновлювати захисне програмне забезпечення.

Джерело

Heading photo

Desert Dexter: хакери атакували 900 жертв через Facebook та Telegram
З вересня 2024 року кібератаки групи Desert Dexter вразили 900 жертв у країнах Близького Сходу та Північної Африки, зокрема в Лівії, Саудівській Аравії, Єгипті, Туреччині, ОАЕ, Катарі та Тунісі. 
Хакери поширюють AsyncRAT через рекламні оголошення у Facebook та шкідливі посилання в Telegram. Вірус викрадає особисті дані, зчитує 16 типів криптовалютних гаманців та відправляє інформацію з заражених пристроїв на Telegram-бот.
Зловмисники використовують PowerShell-скрипти, які видаляють файли безпеки, забезпечують стійкість вірусу в системі та інфікують пристрої через aspnet_compiler.exe.
Походження атаки поки невідоме, але сліди ведуть до Лівії. Більшість жертв – співробітники нафтовидобувних, будівельних, ІТ та аграрних компаній. Експерти наголошують на ризиках соцмереж як інструменту кібератак.
Джерело

Heading photo

Вірусне ПЗ, розміщене на GitHub, заражає 1 мільйон користувачів Windows
Microsoft виявила складний ланцюг атак на основі малвертізингу, який доставляв Lumma та інші інфостилери до користувачів ПК в підприємствах та серед споживачів; ця кампанія, ймовірно, не буде останньою такого роду.

Широка кампанія малвертізингу використовувала комбінацію незаконних стрімінгових сайтів і GitHub для зараження майже 1 мільйона ПК з Windows шкідливим ПЗ, яке краде дані. Кампанія, виявлена Microsoft, націлювалася як на споживачів, так і на підприємства в різних галузях та організаціях.

У грудні Microsoft Threat Intelligence (MTI) виявила атаку, що походила з незаконних стрімінгових сайтів, на яких були вбудовані редіректори для малвертізингу. Це призводило жертв до проміжного сайту — наприклад, сайту для розповсюдження шкідливого ПЗ або шахрайства з техпідтримкою, після чого вони перенаправлялися, головним чином, на GitHub, де зловмисники розміщували малвар. Microsoft також виявила одну з payload, розміщену на Discord, а іншу — на Dropbox.

Джерело

Heading photo

Apple закликає 1,4 млрд користувачів iPhone оновити пристрої — у смартфонах знайшли критичну вразливість
Apple закликає користувачів iPhone завантажити останнє оновлення iOS через виявлену серйозну вразливість безпеки. Ця вразливість, яка була позначена як CVE-2025-24201, була виявлена в Webkit — браузерному движку, який використовують Safari та інші браузери на iPhone та iPad. Зловмисники могли створювати шкідливі веб-сайти, які надавали їм доступ до інших частин смартфона після відвідування таких сторінок.

Apple випустила патч iOS 18.3.2, який вже доступний для завантаження. Користувачам радять перейти в налаштування та перевірити наявність оновлення в розділі "Загальні" -> "Оновлення ПЗ". Вразливість може торкнутися всіх моделей iPhone XS і новіших.

Це вже третя така вразливість, яку Apple повинна була виправити у 2025 році. Цього разу проблема пов’язана з тим, як зловмисники могли обходити захисні бар'єри iPhone за допомогою фальшивих веб-сторінок, що дозволяло їм отримати доступ до інших частин системи.

Експерти з безпеки рекомендують регулярно перевіряти оновлення, щоб захистити свої пристрої від потенційних загроз.

Джерело

Heading photo

Нова атака через файли правил дозволяє хакерам впроваджувати шкідливий код у редактори з ШІ
Дослідники кібербезпеки виявили нову техніку атаки, яка використовує файли правил (rules files) в ШІ-асистованих редакторах коду для впровадження шкідливих інструкцій. Це створює бекдор, який може змінювати або виконувати код без відома розробника.

Механізм атаки:

● Модифікація файлів правил: зловмисники змінюють конфігураційні файли редактора, які визначають автодоповнення, форматування або поведінку коду.● Непомітна інтеграція: шкідливі інструкції спрацьовують під час аналізу або генерації коду ШI-асистентами.● Компрометація проєкту – бекдор може виконувати довільний код, змінювати вихідний код програми або відкривати прихований доступ до системи.
Ця атака показує, що навіть непримітні конфігураційні файли можуть стати інструментом компрометації, тому безпека середовища розробки має бути під таким самим контролем, як і вихідний код. 

Джерело

Heading photo

CISA: критична вразливість у Fortinet активно експлуатується
Критична вразливість в продуктах Fortinet FortiOS версій 7.0.0–7.0.16 та FortiProxy версій 7.0.0–7.0.19 і 7.2.0–7.2.12, яка активно експлуатується зловмисниками. Вразливість, що отримала ідентифікатор CVE-2024-24472, дозволяє віддаленим нападникам обходити автентифікацію та отримувати права суперадміністратора через CSF proxy-запити.

Вразливість активно використовується в кампаніях з розповсюдження програм-вимагачів. Особливу загрозу становить група Mora_001, яка використовує CVE-2024-24472 для впровадження нового варіанту програм-вимагачів SuperBlack. Цей вірус є модифікацією добре відомого LockBit 3.0, що дозволяє шифрувати дані та вимагати викуп.

Fortinet випустила оновлення, які усувають цю вразливість. Рекомендується оновити FortiOS до версії 7.0.17 або вище, а FortiProxy до версії 7.0.20 або 7.2.13 чи вище.

Джерело

Heading photo

Вразливість Tomcat використовується в дикій природі для захоплення серверів Apache Tomcat
Критична вразливість віддаленого виконання коду в Apache Tomcat (CVE-2025-24813) активно експлуатується в дикій природі, дозволяючи зловмисникам отримати повний контроль над вразливими серверами.Дослідники безпеки спостерігають збільшення спроб експлуатації з моменту першого виявлення вразливості на початку цього місяця. Вразливість впливає на сервери Apache Tomcat і дозволяє неавтентифікованим зловмисникам віддалено виконувати довільний код на уражених системах.
Вразливість існує в основних компонентах обробки сервера, що робить її особливо небезпечною для організацій, які використовують невиправлені версії популярного сервера веб-додатків.
«Ця вразливість RCE викликає особливе занепокоєння, оскільки вона вимагає мінімальної взаємодії з користувачем для успішної експлуатації».
Джерело

Березень 2025 року вкотре нагадав, що кібербезпека — не статичний стан, а постійний процес реагування, оновлення й адаптації до нових викликів. Від потужного шкідника для Linux-систем і бекдорів у WordPress до критичних вразливостей у продуктах Microsoft, VMware, Apple та Fortinet — кількість і складність атак стрімко зростає.
Водночас тенденції на кшталт автоматизації в SOC 3.0 та посилення безпеки AI-рішень вказують на шлях розвитку галузі: проактивність, штучний інтелект, обмеження прав доступу та швидке впровадження патчів. Організаціям і звичайним користувачам варто бути пильними, адже навіть один неправильно сконфігурований плагін чи застарілий драйвер можуть відкрити двері для масштабного зламу.

IT Specialist — безпечна інтеграція в майбутнє.