На этой неделе в разделе «Безопасность»: Landfall, Imunify AV и Sudo Rust
Давайте поговорим о LANDFALL. Это была кампания по распространению шпионских программ для Android, специально предназначенных для устройств Samsung. История обнаружения интересна и, возможно, является важным ключом к пониманию этого конкретного вида коммерческого вредоносного ПО. Ранее в этом году iOS от Apple была исправлена из-за ошибки в обработке изображений в формате DNG (Digital NeGative), а WhatsApp опубликовал предупреждение о второй уязвимости iOS, которые в совокупности могли быть использованы при атаках в дикой природе.
Исследователи из Unit 42 занялись поиском реальных примеров этой кампании по борьбе с угрозами для iOS и вместо этого обнаружили DNG-изображения, которые использовали аналогичную, но отличающуюся от других уязвимость в библиотеке обработки изображений Samsung. К этим изображениям был прикреплен zip-файл в конце вредоносных DNG-файлов. Похоже, что атака была запущена через WhatsApp, как и атака на iOS. Этот файл. zip содержит пару общих объектных файлов. so, которые загружаются для манипулирования защитой системы SELinux и установки долговременного шпионского ПО.
Самый ранний известный пример этого шпионского ПО датируется июлем 2024 года, а Samsung исправила уязвимость в обработке DNG в апреле 2025 года. Apple исправила аналогичную проблему с DNG в августе 2025 года. Временные рамки и сходство позволяют предположить, что эти две кампании по распространению шпионских программ могли быть связаны. Подразделение 42 подготовило краткий обзор известных злоумышленников, которые могли стоять за LANDFALL, и пришло к выводу, что для принятия окончательного решения недостаточно веских доказательств.
Не все так плохо, как кажется
Watchtowr вернулся с еще парой своих уникальных отчетов об уязвимостях. Во-первых, это настоящая находка, поскольку они нашли способ удалить значительный объем памяти с компьютеров Citrix NetScaler. Загвоздка в том, что утечка памяти является частью сообщения об ошибке, в котором сообщается, что аутентификация пользователя отключена. Эта конфигурация уже не подходит для развертывания, и утечке памяти не был назначен CVE.
В системе NetScaler возникла вторая проблема — открытое перенаправление в системе входа в систему. Именно здесь злоумышленник может создать вредоносную ссылку, указывающую на доверенный компьютер NetScaler, и если пользователь перейдет по этой ссылке, NetScaler перенаправит пользователя в местоположение, указанное в вредоносной ссылке. Эта уязвимость не относится к категории особо серьезных, но все же имеет CVE и исправление.
Все еще хуже, чем кажется
И еще есть другая статья от WatchTowr, на Monsta FTP. В этом случае старые уязвимости продолжают работать в версиях, выпущенных после исправления. Худшая из них — это не прошедший проверку подлинности RCE (удаленное выполнение кода), который можно устранить, попросив сервер подключиться к удаленному SFTP-серверу и загрузить файл. В этом случае указанный путь для сохранения этого файла не является подтвержденным и может быть записан в любом месте файловой системы Monsta FTP. Мгновенная веб-оболочка. На этот раз проблема была исправлена в течение пары недель после того, как WatchTowr отправил сообщение об уязвимости.
Imunify AV
Антивирусное программное обеспечение Imunify только что устранило проблему, которая угрожала нескольким миллионам серверов. Imunify — это антивирусный продукт, который сканирует на наличие вредоносного кода. Звучит заманчиво. Проблема в том, что он деобфускировал PHP-код, вызвав вспомогательную функцию executeWrapper. Краткое объяснение заключается в том, что этот подход оказался не таким безопасным, как ожидалось, и этим шагом деобфускации можно манипулировать, чтобы запустить сам вредоносный код. Упс.
В Patchstack сообщили об этой проблеме и указали, что о ней стало известно общественности 4 ноября. С тех пор были выпущены исправления и опубликовано простое сообщение о том, что критическая уязвимость в системе безопасности исправлена. Для этой уязвимости существует PoC (Proof of Concept), который можно было бы легко преобразовать в полноценную веб-оболочку. Единственная проблема заключается в том, чтобы загрузить файл на сервер для проверки. В любом случае, если на ваших серверах работает Imunify, обязательно обновите его!
IndonesianFoods
Еще один червь NPM разгуливает на свободе, и этот спокойно существует уже пару лет. Этот немного отличается, и «вредоносные» пакеты не делают ничего вредоносного, по крайней мере, по умолчанию. [Пол Маккарти] первым заметил эту кампанию и дал ей название «IndonesianFoods», вдохновленный уникальными названиями, которые использовались на поддельных упаковках. Похоже, что несколько вредоносных учетных записей потратили время на запуск скрипта, который генерирует эти поддельные пакеты с уникальными именами и загружает их в NPM. Загрузка одного из этих пакетов не приводит к запуску скрипта на компьютере жертвы и, по сути, не приводит к каким-либо вредоносным действиям. Так в чем же смысл?
Endor Labs подхватила эту тему и продолжила развивать. Похоже, речь идет о краже ЧАЯ. Это технология блокчейна, которая предназначена для поощрения проектов с открытым исходным кодом и их вклада. Это еще одно злоупотребление NPM, у которого был тяжелый год.
Rusty Sudo
Canonical приняла смелое решение, выпустив Ubuntu 25. 04, обновив uutils Rust для coreutils и sudo-rs. Это решение было спорным и, как оказалось, стало причиной нескольких проблем. Совсем недавно утилита sudo-rs попала в новости из-за уязвимостей в системе безопасности. Мы знаем подробности о некоторых проблемах, исправленных в этом обновлении, CVE-2025-64170. Есть одна странность, когда пользователь вводит пароль в приглашении, но никогда не нажимает кнопку возврата. Время ожидания запроса истекает, и введенные символы возвращаются в терминал.
Еще одной проблеме еще не назначен CVE, но она доступна в качестве рекомендации по безопасности на GitHub, и исправление опубликовано. Это может быть способом обхода аутентификации. В Sudo есть функция, которая отслеживает, сколько времени прошло с момента последней аутентификации пользователя. Недостаток заключался в том, что это состояние передавалось между разными пользователями, позволяя логину одного пользователя считаться логином для других пользователей, что позволяло пропускать этот пароль.
Биты и байты
И, наконец, есть немного о хороших новостях, даже если они временные. Google приняла меры против одного из крупнейших провайдеров SMS-мошенничества. Группа работает под названием Lighthouse и, похоже, использует обычную облачную инфраструктуру для проведения мошеннических операций, но пока остается незамеченной. Google объединила юридические действия с техническими, и, если повезет, правоохранительные органы могут присоединиться к веселью.
Другие статьи: