Всяка седмица дигиталният свят ни напомня, че тишината не означава сигурност. Кибератаките често започват тихо – една незащитена уязвимост, забравена парола или незашифровано резервно копие. Когато алармата най-после се задейства, щетите вече са нанесени.Тази седмица ще разгледаме как нападателите променят играта – комбинират различни уязвимости, работят в екип през граници и дори превръщат доверени инструменти в оръжия. От сериозни софтуерни грешки до злоупотреби с изкуствен интелект и нови фишинг измами, всяка история показва колко бързо се променя заплахата и защо сигурността трябва да е също толкова бърза.
Заплаха на седмицата
Десетки организации са засегнати от уязвимост в софтуера на Oracle
От 9 август 2025 г. десетки организации може да са пострадали от атака, използваща уязвимост в софтуера Oracle E-Business Suite (EBS), според Google Threat Intelligence Group и Mandiant. Нападението, свързано с групата Cl0p, комбинира няколко уязвимости, включително една критична (CVE-2025-61882, оценка 9.8 от 10). Хакерите са успели да проникнат в мрежи и да откраднат чувствителни данни, като са използвали зловреден софтуер като GOLDVEIN.JAVA, SAGEGIFT, SAGELEAF и SAGEWAVE. Oracle пусна актуализации за EBS, за да коригира и друга уязвимост (CVE-2025-61884), която също може да позволи неоторизиран достъп до данни. Не е ясно дали тази втора уязвимост е била използвана в реални атаки.
Основни новини
Хакерската група Storm-1175 атакува с уязвимост в GoAnywhere MFT
Киберпрестъпна група, следена от Microsoft като Storm-1175, използва критична уязвимост в софтуера GoAnywhere MFT (CVE-2025-10035), за да извършва сложни атаки, включително с ransomware Medusa. Групата атакува организации в транспорта, образованието, търговията, застраховането и производството. Използват легитимни инструменти и хитри техники, за да останат незабелязани, като инсталират инструменти за отдалечен достъп като SimpleHelp и MeshAgent, уеб черупки и се движат из мрежите с помощта на вградените в Windows програми. Fortra започна разследване на 11 септември след сигнал от клиент за подозрителна активност.
OpenAI спря три групи от Китай, Северна Корея и Русия
OpenAI съобщи, че е спряла три групи, злоупотребяващи с ChatGPT за създаване на зловреден софтуер. Руски хакери са използвали чатбота, за да разработят троянски кон за отдалечен достъп и крадец на пароли. Севернокорейска група е използвала ChatGPT за разработка на зловреден софтуер и командни системи, фокусирани върху macOS и Windows VPN. Китайска група, известна като UNK_DropPitch, е използвала AI за фишинг кампании на английски, китайски и японски, както и за автоматизиране на задачи като отдалечено изпълнение и защита на трафика. OpenAI е блокирала тези акаунти.
Над 175 npm пакета се използват за фишинг
Хакерите са създали над 175 фалшиви npm пакета, които при инсталиране създават други пакети с имена като „redirect-xxxxxx“ или „mad-xxxxxx“. Тези пакети пренасочват жертвите към фишинг сайтове, когато отворят специално създадени HTML документи. Вместо да заразяват чрез инсталация, атаките използват легитимната инфраструктура на npm (UNPKG), за да подмамят жертвите да въведат паролите си в фалшиви страници, маскирани като проверки за сигурност на Cloudflare.
LockBit, Qilin и DragonForce се обединяват
Трите известни ransomware групи LockBit, Qilin и DragonForce обявиха създаването на престъпен картел, за да координират атаки и да споделят ресурси. Обединението беше обявено миналия месец след появата на LockBit 5.0. „Създаваме равни условия за конкуренция, без конфликти и публични обиди“, пише DragonForce в тъмния уеб. Групите атакуват и сектори, които преди бяха „забранени“, като ядрени и водноелектрически централи. Това идва на фона на натиск от правоохранителните органи и обединяване на други групи като Scattered Spider, ShinyHunters и LAPSUS$.
Хакери от Китай използват легитимен инструмент Nezha за атаки
Хакери, вероятно свързани с Китай, превърнаха легитимния инструмент за наблюдение Nezha в оръжие, като го използваха за разпространение на зловредния софтуер Gh0st RAT. Кампанията е заразила над 100 устройства от август 2025 г., главно в Тайван, Япония, Южна Корея и Хонконг. Хакерите са използвали уязвимост в phpMyAdmin, за да инсталират уеб черупка, след което са пуснали Nezha и Gh0st RAT, като са се опитали да избегнат откриване.
По света
TwoNet атакува симулатор на Forescout
Симулатор на водопречиствателна станция, създаден от Forescout, беше атакуван миналия месец от руската група TwoNet. Групата се опита да промени интерфейса, да наруши процесите и да манипулира системите. TwoNet, известна с DDoS атаки, обяви на 30 септември, че прекратява дейността си. Това показва колко бързо се променят хакерските групи – те често се преименуват или присъединяват към други.
WhatsApp червей свързан с троянеца Coyote
Кампания, наречена Water Saci, разпространява зловреден софтуер SORVEPOTEL чрез WhatsApp. Sophos разследва дали е свързана с банковия троянец Coyote, насочен към потребители в Бразилия. Съобщенията в WhatsApp съдържат зипнат LNK файл, който задейства злонамерени PowerShell команди, променящи локалните настройки за сигурност.
Севернокорейски IT работници търсят работа в нови сектори
Севернокорейски IT работници сега търсят работа в индустриалния дизайн и архитектурата, според KELA. Това може да доведе до рискове като шпионаж или достъп до чувствителни проекти. Двама работници, Hailong Jin и Lian Hung, вероятно са една и съща личност, свързана с разработката на злонамерена игра и фалшива компания в Танзания.
ФБР конфискува сайт за изнудване на Salesforce
ФБР конфискува сайта „breachforums[.]hn“, използван от групата Scattered LAPSUS$ Hunters за изнудване на Salesforce и нейни клиенти. Въпреки това тъмният уеб вариант на сайта все още работи. Групата обяви, че сървърите и резервните копия са унищожени, а данни от 2023 г. са компрометирани.
NSO Group е купена от американска инвестиционна група
Израелската компания за шпионски софтуер NSO Group беше придобита от американска инвестиционна група за десетки милиони долара.
Apple обновява програмата си за намиране на уязвимости
Apple увеличи наградите за намиране на уязвимости до 2 млн. долара за сложни атаки, подобни на шпионски софтуер. Програмата е изплатила над 35 млн. долара на над 800 изследователи от 2020 г.
Испанската полиция разби групата GXC Team
Испанските власти арестуваха 25-годишен бразилец, известен като GoogleXcoder, лидер на GXC Team. Групата предлагаше AI фишинг инструменти и зловреден софтуер за атаки срещу банки, транспорт и търговия.
Еволюция на руския пазар за крадени данни
Rapid7 съобщи, че Russian Market вече продава не само достъп до RDP и кредитни карти, но и данни от кражби чрез зловреден софтуер като Lumma, Raccoon и Vidar. Новите семейства Atomic, Poseidon и Odyssey целят и macOS системи.
Microsoft наруши законите на ЕС
Австрийският орган за защита на данните установи, че Microsoft нарушава законите на ЕС, като проследява ученици чрез Microsoft 365 Education без тяхно съгласие. Microsoft е наредено да изтрие събраните данни.
AI моделите могат да бъдат компрометирани с 250 злонамерени документа
Изследване на Anthropic и други установи, че са необходими само 250 злонамерени документа, за да се вгради „задна врата“ в големи езикови модели. Това прави атаките по-лесни, отколкото се смяташе.
Съвет на седмицата
Не оставяйте резервните копия незащитени
Резервните копия са вашата мрежа за сигурност, но ако не са шифровани, могат да се превърнат в най-големия ви риск. Всеки, който получи достъп до незашифровано копие, може да види всичко – пароли, имейли, финансови данни и клиентска информация.
Лесно решение: Винаги шифровайте резервните си копия, преди да ги запазите или изпратите (на USB, облак или сървър). Шифроването заключва данните, така че само вие можете да ги отворите.
Препоръчани безплатни инструменти:
Restic: Бърз, прост и автоматично шифрова всичко. Работи с много облачни услуги.
BorgBackup: Компресира, премахва дубликати и шифрова – идеален за дългосрочно съхранение.
Duplicity: Използва GPG шифроване за локално или отдалечено съхранение.
rclone: Сигурно синхронизира файлове в облака с вградено шифроване.
Професионален съвет: Редовно тествайте резервните си копия – уверете се, че можете да ги дешифрирате и възстановите. Неработещо или заключено копие е все едно нямате такова.
