Найти в Дзене
CISOCLUB
11,4 тыс подписчиков

Атаки и утечки: Италия, Klopatra, PureLogs и zero-day

1
5 мин
В последнее время Италия и ряд международных организаций столкнулись с очередной серией скоординированных вредоносных кампаний. Злоумышленники активизировали фишинговые операции, развёрнули распространение новых семейств вредоносного ПО и добились крупных утечек данных, одновременно используя ряд активно эксплуатируемых уязвимостей. В этом материале — сводка ключевых инцидентов, идентифицированных семейств вредоносного ПО и список уязвимостей, за которыми сейчас стоит следить в первую очередь. Итальянские пользователи стали мишенью нескольких фишинговых кампаний. Злоумышленники: Исследователи выявили несколько семейств вредоносного ПО, используемых в текущих кампаниях: За последнее время было подтверждено несколько крупных компрометаций: Исследователи обнаружили и зафиксировали ряд критически важных уязвимостей, которые активно используются злоумышленниками: Инцидент, связанный с CVE-2025-5777, вызвал серьёзные кадровые и организационные последствия. В частности, Министерство внутренне
Оглавление

В последнее время Италия и ряд международных организаций столкнулись с очередной серией скоординированных вредоносных кампаний. Злоумышленники активизировали фишинговые операции, развёрнули распространение новых семейств вредоносного ПО и добились крупных утечек данных, одновременно используя ряд активно эксплуатируемых уязвимостей. В этом материале — сводка ключевых инцидентов, идентифицированных семейств вредоносного ПО и список уязвимостей, за которыми сейчас стоит следить в первую очередь.

Фишинговые кампании и целевые атаки в Италии

Итальянские пользователи стали мишенью нескольких фишинговых кампаний. Злоумышленники:

  • ориентировались на пользователей Sistema Tessera Sanitaria и сотрудников университетов, в частности Politecnico di Bari;
  • использовали поддельные письма и веб-страницы с логотипами государственных учреждений, чтобы вынудить жертв выдать персональные данные и учётные записи;
  • маскировали рассылки под официальные уведомления, что повышает вероятность успешного фишинга среди неподготовленных пользователей.

Вредоносное ПО: PureLogs, Rhadamanthys и новый Android RAT Klopatra

Исследователи выявили несколько семейств вредоносного ПО, используемых в текущих кампаниях:

  • PureLogs — infostealer, тематически маскирующийся под заказы на покупку (purchase order). Цель — сбор учётных данных и финансовой информации.
  • Rhadamanthys — вредоносное ПО, эксплуатировавшее поддельные счета-фактуры от Booking.com для распространения и похищения данных.
  • Klopatra — новый Android RAT, приписываемый тюркоязычным злоумышленникам. Klopatra предоставляет злоумышленникам полный контроль над устройствами и позволяет похищать данные и совершать мошеннические транзакции. Троян использует сложные техники уклонения от обнаружения, включая интеграцию с инструментами вроде Virbox.

Крупные утечки данных и активность групп

За последнее время было подтверждено несколько крупных компрометаций:

  • DATACARRY взяла на себя ответственность за атаку на Miljdata, в результате которой утекли персональные данные примерно 870 000 учётных записей.
  • Harrods уведомила о нарушении у стороннего поставщика, затронувшем около 430 000 клиентов электронной коммерции.
  • WestJet подтвердила компрометацию конфиденциальной информации клиентов, включая документы, удостоверяющие личность, в следствие ранее раскрытого инцидента.
  • Allianz Life заявила, что атака, приписываемая ShinyHunters, скомпрометировала персональные данные почти 1,5 млн человек.
  • Группа вымогателей Crimson Collective утверждает, что получила доступ к приватным репозиториям Red Hat на GitHub и похитила значительный объём внутренних данных проекта.

Zero-day и активно эксплуатируемые уязвимости

Исследователи обнаружили и зафиксировали ряд критически важных уязвимостей, которые активно используются злоумышленниками:

  • CVE-2025-10035 — уязвимость в Fortra GoAnywhere, позволяющая десериализовать ненадёжные данные посредством поддельной подписи ответа на лицензию.
  • CVE-2021-21311 — SSRF (Server-Side Request Forgery) в программном обеспечении администратора, отмеченная в списках CISA.
  • CVE-2025-20352 — переполнение буфера в Cisco IOS, создающее риск удалённого выполнения кода или DoS.
  • CVE-2025-59689 — ввод команды в Libraesva ESG, связанный с обработкой вредоносных писем.
  • CVE-2025-32463 — уязвимость в утилите Sudo, позволяющая несанкционированное выполнение команд.
  • CVE-2025-41244 — проблема в продуктах VMware, используемая группировкой UNC5174 для локального повышения привилегий.
  • CVE-2025-5777 — так называемый CitrixBleed 2.0, облегчённый обход протоколов многофакторной аутентификации (MFA), приведший к несанкционированному доступу к конфиденциальным данным сотрудников.

Последствия инцидента с CitrixBleed 2.0 и реакция регуляторов

Инцидент, связанный с CVE-2025-5777, вызвал серьёзные кадровые и организационные последствия. В частности, Министерство внутренней безопасности США (DHS) инициировало расследование и предприняло кадровые меры — были уволены несколько технических сотрудников за пренебрежение мерами кибербезопасности. Этот случай подчёркивает, как уязвимости на уровне инфраструктуры и ошибки в управлении доступом могут привести к длительным и дорогостоящим последствиям.

«Компрометация инфраструктуры и слабая гигиена безопасности третьих сторон остаются ключевыми факторами роста числа инцидентов», — отмечают независимые эксперты.

Рекомендации для организаций и пользователей

На фоне текущей активности злоумышленников рекомендуется принять следующие практические меры:

  • Немедленно установить обновления и патчи для уязвимых продуктов (особенно для Fortra GoAnywhere, Cisco IOS, VMware, Libraesva и Sudo).
  • Пересмотреть и усилить настройки MFA, включая мониторинг аномалий авторизации и применение дополнительных факторов там, где это возможно.
  • Усилить контроль над поставщиками и третьими сторонами: проводить регулярные проверки, требовать отчётов о безопасности и контрактных гарантий.
  • Внедрить многоуровневую систему обнаружения вторжений и мониторинга логов; оперативно реагировать на индикаторы компрометации.
  • Обучать персонал распознаванию фишинговых писем и сценариев социальной инженерии.
  • Регулярно проверять и сегментировать сеть, минимизировать привилегии (principle of least privilege).
  • Иметь актуальный план реагирования на инциденты и регулярно отрабатывать его в тестовых учениях.

Вывод

Текущая ситуация демонстрирует многоуровневую угрозу: от локализованных фишинговых кампаний и распространения новых RAT до крупных утечек данных и эксплуатации критических уязвимостей. Комбинация целевых атак, уязвимостей в ключевых продуктах и проблем в управлении рисками третьих сторон делает среду особенно опасной. Организациям требуется оперативно реагировать — патчить, усиливать аутентификацию, мониторить поведение в сети и контролировать поставщиков — чтобы снизить вероятность серьёзных компрометаций в ближайшей перспективе.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Атаки и утечки: Италия, Klopatra, PureLogs и zero-day".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются