Число групп APT, использующих последние уязвимости Exchange, растет, и ESET обнаруживает, что тысячи почтовых серверов находятся в осаде
ESET выявила более 5000 почтовых серверов, которые были затронуты вредоносной деятельностью, связанной с недавними уязвимостями Microsoft Exchange.
Братислава, Монреаль – исследование ESET показало, что более десяти различных групп продвинутых постоянных угроз (APT) используют недавние уязвимости Microsoft Exchange для компрометации почтовых серверов. ESET выявила более 5000 почтовых серверов, которые были затронуты вредоносной деятельностью, связанной с этим инцидентом. Серверы принадлежат организациям – как предприятиям, так и правительствам – со всего мира, в том числе и крупным. Таким образом, угроза не ограничивается широко распространенной группой гафния.
в начале марта Microsoft выпустила патчи для Exchange Server 2013, 2016 и 2019 годов, которые исправляют ряд уязвимостей удаленного выполнения кода предварительной аутентификации (RCE). Эти уязвимости позволяют злоумышленнику захватить любой доступный сервер Exchange без необходимости знать какие-либо действительные учетные данные учетной записи, что делает подключенные к интернету серверы Exchange особенно уязвимыми.
“На следующий день после выпуска патчей мы начали наблюдать, как многие другие субъекты угроз массово сканируют и компрометируют серверы Exchange Интересно, что все они являются подходящими группами, ориентированными на шпионаж, за исключением одного выброса, который, по-видимому, связан с известной кампанией по добыче монет. Однако неизбежно, что все больше и больше субъектов угроз, включая операторов программ-вымогателей, рано или поздно получат доступ к этим эксплойтам”, - говорит Матье Фау, возглавляющий исследовательскую работу ESET по недавней цепочке уязвимостей Exchange. Исследователи ESET заметили, что некоторые группы APT использовали эти уязвимости еще до того, как были выпущены патчи. “Это означает, что мы можем отбросить возможность того, что эти группы создали эксплойт путем обратного проектирования обновлений Microsoft", - добавляет Фау.
Телеметрия ESET отметила наличие веб-оболочек (вредоносных программ или скриптов, позволяющих удаленно управлять сервером через веб-браузер) на более чем 5000 уникальных серверах в более чем 115 странах.
Ежечасное обнаружение ESET веб-оболочек, сброшенных через CVE-2021-26855 – одна из недавних уязвимостей биржиДоля обнаружений веб-оболочек в разбивке по странам (2021-02-28 - 2021-03-09)
ESET выявила более десяти различных субъектов угроз, которые, вероятно, воспользовались недавними уязвимостями Microsoft Exchange RCE для установки вредоносных программ, таких как веб-оболочки и бэкдоры, на почтовые серверы жертв. В некоторых случаях несколько субъектов угрозы были нацелены на одну и ту же организацию.
Идентифицированные группы угроз и кластеры поведения:
Большинство российских предприятий обеспокоено возможностью раскрытия секретных сведений вследствие внедрения искусственного интеллекта. Глава технологического подразделения Content AI Сергей Юдин поделился своим мнением с изданием «Российская газета», раскрыв причины, по которым публичные нейросети представляют собой потенциальный источник серьёзных утечек информации, и предложил рекомендации по осторожному внедрению ИИ-технологий внутри корпораций
Отечественные компании «Базальт СПО», создающая системное программное обеспечение, и VINTEO, разрабатывающая профессиональные инструменты видеоконференций, объявили о подтвержденной совместимости операционных систем «Альт» с клиентским приложением VINTEO Desktop.
Специалисты обеих организаций провели ряд тестирований, по итогам которых была удостоверена полная совместимость и бесперебойная работа приложения VINTEO Desktop на операционных системах «Альт Рабочая станция» версий 10 и 11. Подтверждение результатов зафиксировано соответствующими двусторонними сертификатами.
Фирма «ИнтерТраст», создатель корпоративной системы электронного документооборота CompanyMedia, совместно с российским производителем операционных систем «Базальт СПО» завершила тестирование и подтвердила полное соответствие и стабильность функционирования СЭД CompanyMedia на операционных системах линейки «Альт». Полученный сертификат №0312/25 от 16 октября 2025 года подтверждает успешность проведенных испытаний специалистами «ИнтерТраст». Итоги проверок зафиксированы в специальном двустороннем протоколе
При исследовании определенной партнерской сети эксперты компании «Доктор Веб» выявили оригинальное вредоносное программное обеспечение типа кликер, обозначенное как Trojan.ChimeraWire. Это приложение функционирует на устройствах с установленной операционной системой Windows и создано на базе открытых проектов zlsgo и Rod, предназначенных для автоматизации взаимодействия с веб-ресурсами и приложениями.
Программное обеспечение позволяет автоматически распознавать текст в сканированных документах, значительно сокращая сроки их подготовки и размещения в ведущем региональном цифровом архиве
С 3 по 5 октября 2025 года в городе Переславль-Залесский прошла XXI конференция разработчиков свободного программного обеспечения. Мероприятие посетило свыше 2 тысяч участников, присутствовавших лично и подключившихся удаленно. Организацию события взяли на себя компания «Базальт СПО» и Институт программных систем имени А.К. Айламазяна Российской академии наук (ИПС РАН)
В июле 2025 года в компанию «Доктор Веб» обратился клиент из государственного сектора Российской Федерации с подозрением о возможной компрометации внутренней сети. Гипотеза возникла в связи с тем, что клиент зафиксировал рассылку нежелательных сообщений с одного из корпоративных почтовых ящиков. Проведенное нашей антивирусной лабораторией расследование инцидента показало, что учреждение подверглось целевой атаке со стороны хакерской группировки, которую специалисты «Доктор Веб» идентифицировали как Cavalry Werewolf. Одной из целей кампании был сбор конфиденциальной информации и данных о конфигурации сети
«Доктор Веб» представляет обновленную версию Dr.Web vxCube. Основное изменение — наложение отчета песочницы на Enterprise-матрицу MITRE ATT&CK, что позволяет объединить результаты анализа с базой знаний о тактиках и техниках атакующих. Результат: более точная оценка вредоносности исследуемых образцов и выстраивание хронологии атаки. Матрица MITRE ATT&CK в формате базы знаний описывает тактики и техники киберпреступников, атакующих информационные системы, — это позволяет специалистам по информационной безопасности получать готовые данные для повышения эффективности защиты инфраструктуры
Согласно статистике детектирований антивируса Dr.Web, в III квартале 2025 года общее число обнаруженных угроз снизилось на 4,23% по сравнению со II кварталом. При этом количество уникальных угроз увеличилось на 2,17%. Чаще всего на защищаемых устройствах обнаруживалось нежелательное рекламное ПО, рекламные трояны и вредоносные скрипты. В почтовом трафике преобладали вредоносные скрипты, бэкдоры, и различные троянские программы, такие как загрузчики, дропперы и похитители паролей
Ваши контактные данные не публикуются на сайте.