Инструмент десериализации Java и активность программ-вымогателей: ландшафт киберугроз первой недели июня

Главной технической новостью стало появление в сигнатурах систем обнаружения вторжений угрозы .................... Это не самостоятельное вредоносное ПО, а набор готовых цепочек гаджетов из доверенных библиотек. Злоумышленники используют его для генерации сериализованных объектов Java, которые при десериализации на сервере приводят к выполнению произвольного кода. Атака начинается с того, что на уязвимое приложение отправляется специально сформированная полезная нагрузка. После десериализации объект запускает скрытые команды, что открывает путь для полного контроля над системой. Подобная активность часто сопровождается аномальным трафиком из центров обработки данных и необычным поведением процессов десериализации. В системах защиты Red Piranha для Ysoserial установлены правила блокировки: в сбалансированном и безопасном режимах IDS (система обнаружения вторжений) и IPS (система предотвращения вторжений) трафик отклоняется, а в средах промышленного интернета вещей (OT) генерируется предупреждение.

Одновременно обновился перечень известных эксплуатируемых уязвимостей. В него вошли пять новых позиций. Первая - проблема в SolarWinds Serv-U версий ниже 15.5.4. Уязвимость с оценкой CVSS 7.5 позволяет удалённо вызвать отказ в обслуживании (Denial of Service). Вторая - критическая уязвимость в плагине Mirasvit Full Page Cache Warmer для Magento. Оценка CVSS 9.8, суть - неаутентифицированное удалённое выполнение кода. Уязвимость затрагивает версии до 1.11.12. Третья проблема связана с ядром Linux и позволяет повысить привилегии локально (CVSS 7.8). Четвёртая - уязвимость в Android Framework с аналогичным эффектом (CVSS 8.4). Пятая - ошибка в Oracle WebLogic Server версий 12.2.1.4.0 и 14.1.1.0.0. Она также приводит к неаутентифицированному удалённому выполнению кода. Производители уже выпустили исправления.

В обновлении сигнатур вредоносного кода аналитики отметили активность Win32/NetSupport RAT. Это вредоносная конфигурация легитимного инструмента удалённого администрирования NetSupport Manager. Атакующие устанавливают оригинальные файлы программы вместе с изменённым конфигурационным файлом, который обеспечивает скрытое соединение с сервером злоумышленников. После этого они получают полный доступ к рабочему столу, возможность красть файлы и мониторить систему. Поскольку основное ПО имеет цифровую подпись авторитетного разработчика, базовые антивирусы не реагируют на него. Чаще всего NetSupport RAT доставляется через фишинговые письма или поддельные обновления браузеров.

Переходя к отчёту о программах-вымогателях, стоит отметить, что лидером по числу атак на прошлой неделе стала группировка The Gentlemen (16,91% от всех инцидентов). Чуть меньше активность показала Qilin (11,03%). Третье место заняла Inc Ransom (7,35%). DragonForce и Akira совершили по 5,88% атак каждая. SafePay отметилась 5,15%. Группировки Genesis, Nova, Krybit и Play - по 4,41%. Coinbase Cartel и Black X - по 2,94%. CMD Organisation, Gunra, Space Bears и Worldleaks - по 2,21%. Меньше 2% пришлось на Abyss-Data, Ailock, Eraleign и других. Единичные инциденты зафиксированы у Pear, ShinyHunters, Termite и ещё нескольких операторов.

Особого внимания заслуживает группа Securotrop. Она была создана в начале 2025 года и действует внутри партнёрской сети Qilin, но при этом ведёт собственный сайт утечек в даркнете. Специалисты компании Red Piranha в своём отчёте подтвердили, что Securotrop использует неизменённый код вымогателя Qilin, что делает её не отдельным семейством, а брендом-аффилиатом. Инфраструктурное пересечение двух групп неоднократно подтверждено независимыми источниками. Например, onion-адрес Securotrop (securo45z554mw7rgrt7wcgv5eenj2xmxyrsdj3fcjsvindu63s4bsid[.]onion) указан в трекере Qilin как канал вымогательства. В тактике Securotrop используются стандартные для Qilin методы: начальный доступ через удалённые сервисы, эксплуатация публичных приложений, фишинг с вредоносными вложениями; выполнение через PowerShell; закрепление через ключи реестра; модификация групповых политик; сбор учётных данных из браузера Chrome и дампинг LSASS; горизонтальное перемещение через SMB и RDP; уничтожение теневых копий томов и очистка журналов Windows. Для шифрования применяется ChaCha20 при отсутствии аппаратной поддержки AES-NI, и AES-256-CTR в противном случае. Ключи защищены алгоритмом RSA-4096. Среди индикаторов компрометации - путь C:\temp\w.exe, файл требования с именем README-RECOVER-[company_id].txt, папка QLOG во временной директории пользователя. Семьи Qilin также используют замену обоев рабочего стола, непрерывное очищение журналов событий и установку модуля RSAT-AD-PowerShell для разведки домена.

География атак демонстрирует традиционное лидерство США (45,59%). На втором месте Канада (7,35%), на третьем Германия (5,15%). Индия, Бразилия и Франция набрали по 2,94%. Великобритания, Нидерланды, Испания, Таиланд и Португалия - по 2,21%. Далее следуют Чили, Южная Корея, Турция и другие страны с долей 1,47%. Единичные инциденты отмечены в Перу, Шри-Ланке, Китае, Египте, Швейцарии и ещё более десятка государств.

Отраслевая статистика показывает, что сильнее всего пострадали производственные компании (20,59%) и сектор бизнес-услуг (14,71%). Ритейл - 11,03%, здравоохранение - 7,35%. Гостиничный бизнес и ИТ - по 5,88%, госсектор и строительство - по 5,15%. Транспорт - 3,68%, финансы, юридические фирмы, архитектура - по 2,94%. Меньше всего атак пришлось на образование (0,74%) и телекоммуникации (0,74%).

Подводя итог, можно отметить устойчивую тенденцию: злоумышленники активно комбинируют новые инструменты эксплуатации (вроде Ysoserial) с проверенными тактиками программ-вымогателей. Группировки расширяют географию, наращивают число жертв в промышленности и сфере услуг. Securotrop служит примером успешного использования аффилированной модели, когда операторы берут готовый код и адаптируют инфраструктуру для собственных вымогательских кампаний. Специалистам по защите следует обратить внимание на обновление сигнатур, установку патчей для перечисленных уязвимостей и усиление контроля за PowerShell и групповыми политиками.

Onion Domains

• securo45z554mw7rgrt7wcgv5eenj2xmxyrsdj3fcjsvindu63s4bsid.onion

Tox ID

• BAFBD2AE7FC859F27D49471EF83365DD7E345EB3908B0612BFE83FEF33F79919A6C636A4E543

SHA256

• 11fab1676b3c3fd01f4f0ab84eab9bb474a1483d20d2634b35bd637279b029ac
• 16cbd60f0e147c4998e3c3d140af23365e77c3403737be0157b878753bf4f999
• 18550a8b193b52f8fdd86e9e8d66affdab001ed8feca5585065388a66ceebb5c
• 38db5bd1fcde3c96916134a0393e386fc4290031fbca81b8bd593bd929a7caa1
• 43691290ac03ebb26754203f1cc3940b32f036babb7cfab3cb14fe2128389c0c
• 76f860a0e238231c2ac262901ce447e83d840e16fca52018293c6cf611a6807e
• cd27a31e618fe93df37603e5ece3352a91f27671ee73bdc8ce9ad793cad72a0f