Дайджест CyberNews за червень 2025 року

Майстер-клас: секрети випікання найсмачніших млинців!

30.06.2025

Червень 2025 року виявився насиченим на кіберінциденти та вразливості, що потенційно загрожують навіть захищеним системам. Від zero-click атак через Copilot до нових варіантів шкідливого ПЗ на тлі резонансних заяв ФБР — ситуація вимагає максимальної пильності. Ми зібрали головні новини, на які варто звернути увагу командам безпеки, IT-фахівцям і всім, хто відповідає за стабільну роботу цифрової інфраструктури.

Heading photo

Lumma Infostealer продовжує діяльність попри втручання ФБР
Попри повідомлення ФБР про ліквідацію групи, що стоїть за Lumma infostealer, діяльність шкідливого програмного забезпечення триває. За інформацією Check Point Research, сервери управління все ще працюють, а обсяг викрадених даних продовжує зростати. На тематичних форумах кіберзлочинців спостерігається невизначеність щодо подальшого існування проєкту, однак наразі він залишається активним.
Чеська влада звинуватила китайське хакерське угруповання APT31 у кібератаці на систему зв’язку Міністерства закордонних справ. Прага закликає Китай припинити подібні дії. Китайська сторона заперечує звинувачення, називаючи їх необґрунтованими. 

ФБР оприлюднило попередження для юридичних компаній у США щодо фішингової кампанії, що має на меті викрадення та шантаж конфіденційною інформацією. Група Silent Ransomware Group, яка маскується під IT-фахівців, отримує доступ до систем, викрадає документи та вимагає викуп, залишаючи мінімальні сліди втручання.

Джерело

Heading photo

Microsoft усунув 67 вразливостей у рамках червневого Patch Tuesday, серед яких 10 класифіковані як критичні
Найнебезпечніша - нульова вразливість CVE‑2025‑33053 у службі WebDAV, яку вже активно експлуатує хакерська група Stealth Falcon через фішингові листи з архівованими ярликами. Її використання може призвести до віддаленого виконання коду без участі користувача. Вразливість отримала рейтинг CVSS 8.8 і вже внесена до переліку Known Exploited Vulnerabilities американським агентством CISA.
Ще одна небезпечна вразливість - CVE‑2025‑33073 - дозволяє підвищення привілеїв до рівня SYSTEM через шкідливий SMB‑сервер. Хоча факти активної експлуатації поки не зафіксовані, інформація про вразливість вже публічно доступна, що підвищує ризики її використання найближчим часом.
Серед інших важливих оновлень:
● Power Automate (CVE‑2025‑47966): критична ескалація привілеїв, CVSS 9.8● Компоненти Windows: Netlogon, KDC Proxy, RRAS● Microsoft Office: віддалене виконання коду через перегляд вкладень у панелі попереднього перегляду
Рекомендовано:
● якнайшвидше встановити всі оновлення;● приділити особливу увагу системам із ввімкненим WebDAV, SMB та Power Automate;● провести внутрішній аудит на предмет використання ярликів (.url) у поштових вкладеннях;● посилити захист за допомогою оновлених сигнатур відповідно до списку CISA KEV.
Microsoft наголошує, що своєчасне застосування оновлень є ключовим фактором захисту інфраструктури від відомих і нових атак.
Джерело

Heading photo

EchoLeak: як zero-click атака через Copilot загрожує безпеці даних Microsoft 365
Нещодавно виявлена критична уразливість під назвою "EchoLeak" (CVE‑2025‑32711) дозволяє зловмисникам використовувати механізм Microsoft 365 Copilot для автоматичного викрадення конфіденційної інформації без жодної взаємодії з користувачем. Цей тип атаки відносять до нового класу LLM Scope Violation - коли неконтрольовані інструкції змушують AI-агент виконувати доступ до даних, порушуючи принцип мінімальних прав.
Зловмисник має лише надіслати спеціально сформований лист через Outlook. Copilot автоматично включає його в контекст під час типових запитів співробітника, що дозволяє викрасти дані з Graph API: листи, файли OneDrive, документи SharePoint, чати Teams - все це може бути ексфільтровано без єдиного кліку.

Технічно атака обходить 4 рівні захисту: 

1. Обхід систем виявлення XPIA шляхом маскування команд як людських інструкцій.
2. Використання нетипового markdown (посилань/зображень), який не розпізнають фільтри.
3. Обхід Content Security Policy через певні ендпоїнти Teams/SharePoint, дозволяючи silent exfiltration.
4. Завершальний етап - Copilot повертає найчутливішу інформацію через URL запити до сервера зловмисника.

Microsoft вже випустила оновлення (Patch Tuesday червень 2025). Уразливість вже виправлено та за даними компанії - користувачі не постраждали.

Джерело

Heading photo

Google виправила «нульовий» день у Chrome (CVE‑2025‑2783), що використовувався в атаках TaxOff для встановлення бекдору Trinper
У червні 2025 року Google оновила браузер Chrome, закривши критичну вразливість CVE‑2025‑2783 (оцінка CVSS 8.3), яку почали активно використовувати у кіберкампанії TaxOff проти російських організацій. Цей баг дозволяв оминати пісочницю браузера через «sandbox escape». Перші ознаки атаки були зафіксовані наприкінці березня 2025 року аналітиками Positive Technologies та Kaspersky у рамках кампанії «Operation ForumTroll».
Зловмисники застосовували фішингові листи з імітацією запрошення на форум «Primakov Readings». Після кліку за посиланням спрацьовував експлойт «в один клік», який автоматично завантажував Trinper - бекдор, що дозволяє збирати інформацію з пристрою жертви, реєструвати натискання клавіш, викрадати документи (.doc, .xls, .ppt, .rtf, .pdf) і здійснювати віддалене виконання команд через керований C2‑сервер.
Раніше атаки, виявлені ще в жовтні 2024 року, мали схожу структуру: ZIP‑файл через фішинговий канал, ярлик, що запускав PowerShell-скрипт і впроваджував Trinper через Donut або Cobalt Strike завантажувач. Також спостерігалася перехресна схожість з активністю групи Team46. 

Рекомендації для корпоративної безпеки:

● Негайно оновіть Chrome до версій ≥ 134.0.6998.177/178 для Windows (або еквівалентних для інших ОС) - це закриває CVE‑2025‑2783.● Посилити обізнаність співробітників щодо фішингу, особливо у разі отримання електронних запрошень або посилань із незрозумілих джерел.● Впровадити багаторівневе середовище захисту: контроль пісочниці, виявлення аномальної активності, обмеження прав у PowerShell і системному середовищі.● Моніторинг і виявлення C2‑активності: налаштувати систему IDS/IPS для перевірки зв’язків з підозрілими серверами.● Налагодити реагування на інциденти: підготовлений план у разі підозрілих інцидентів зі збором артефактів для forensic‑аналізу.

Джерело

Heading photo

Критична вразливість у Notepad++ 8.8.1: ризик повного захоплення системи

У версії 8.8.1 популярного текстового редактора Notepad++ виявлено критичну уразливість (CVE-2025-49144), що дозволяє локальним зловмисникам виконувати довільний код із правами SYSTEM. Проблема полягає у небезпечному пошуку допоміжних файлів у поточній директорії при запуску інсталятора - це відкриває можливість підміни файлів і несанкціонованого виконання. Поки оновлення безпеки ще не опубліковане, рекомендується вжити тимчасових заходів захисту.

Рекомендації:

● Тимчасово утриматися від запуску інсталятора Notepad++ 8.8.1 на вразливих системах.● Завантажувати інсталятори лише з офіційного сайту.● Перевірити системи на наявність підозрілих .exe файлів у директоріях поруч з інсталятором.● Заборонити запуск інсталяційних файлів з тимчасових або загальнодоступних папок.● Провести інформування користувачів щодо ризику запуску неперевірених інсталяторів.
Компаніям слід уважно поставитися до цієї загрози, оскільки її експлуатація можлива навіть без прав адміністратора. Безпечне оновлення та контроль середовища - запорука стабільної та захищеної роботи.

Джерело

Кіберзагрози розвиваються швидше, ніж встигають оновлюватися системи. Навіть великі гравці, як Microsoft, Google чи державні відомства, не застраховані від атак — тож варто оперативно встановлювати патчі, проводити аудит внутрішніх процесів та підвищувати обізнаність співробітників. Захищеність — не стан, а постійний процес.

IT Specialist — безпечна інтеграція в майбутнє.