Специалисты Red Piranha опубликовали еженедельный обзор угроз информационной безопасности, охватывающий первую неделю июля 2026 года. Сводка включает данные о новых образцах вредоносного программного обеспечения, двух критических уязвимостях, требующих немедленного внимания, и статистику активности программ-вымогателей. Полученная картина указывает на сохранение высокой интенсивности атак как со стороны отдельных хакерских группировок, так и в рамках автоматизированных кампаний.
Описание
Среди новых угроз выделяется MarkiRAT - троян удалённого доступа для Windows, который распространяется через поддельные приложения и клиенты VPN. Вредоносная программа ассоциируется с иранскими группировками, нацеленными на кибершпионаж. После заражения MarkiRAT собирает имя компьютера, имя текущего пользователя и делает снимки экрана, после чего передаёт эти данные на серверы злоумышленников. Также в фокус попал XWorm - ещё один троян удалённого доступа, который часто используется как загрузчик для доставки дополнительных вредоносных компонентов. XWorm предоставляет атакующим полный контроль над системой и активно продаётся или сдаётся в аренду на форумах даркнета под видом легитимного инструмента.
Особого внимания заслуживают две уязвимости, включённые в каталог известных эксплуатируемых уязвимостей. Первая, CVE-2026-45659, затрагивает Microsoft SharePoint Server (локальные версии). Оценка CVSS составляет 8,8, что классифицирует проблему как критическую. Уязвимость связана с десериализацией данных: неаутентифицированный удалённый злоумышленник может выполнить произвольный код на сервере. Вторая, CVE-2026-48558 в решении SimpleHelp, получила максимальную оценку CVSS 10,0. Ошибка обнаружена в механизме аутентификации OIDC: злоумышленник, не имеющий учётных данных, способен подделать токены аутентификации и получить доступ к системе. Уязвимы версии SimpleHelp до 5.5.15 и 5.5.16, а также ряд сборок 6.0. Производитель выпустил исправления в версиях 5.5.16 и 6.0 RC2.
Предоставленный анализ активности программ-вымогателей за неделю показывает, что лидером по числу жертв стала группировка Qilin - 25 атак, что составило 17,48% от общего количества. На втором месте расположилась The Gentlemen (22 атаки, 15,38%), за ними Krybit (12 атак), Stormous и Inc Ransom (по 11). В сумме пять ведущих групп несут ответственность за 81 инцидент (около 56,64% всех атак). В целом отмечена высокая фрагментация ландшафта: более двадцати группировок провели хотя бы одну успешную атаку.
Особый интерес вызывает группировка Aurora, активность которой зафиксирована в 2026 году. Важно отметить, что под именем Aurora могут действовать разные субъекты. Старая версия (Aurora/OneKeyLocker/Zorro) была известна ещё с 2018 года. Текущая же группировка, публикующая данные жертв на утёчках, пока недостаточно изучена на уровне вредоносного кода. Тем не менее, на основе предыдущих кампаний можно восстановить типовую цепочку атаки. Распространение осуществлялось через фишинговые вложения с эксплойтами (например, CVE-2017-11882 для Microsoft Office) или через компрометацию служб удалённого рабочего стола (RDP) путём подбора паролей. После получения доступа загрузчик AZORult собирал учётные данные, файлы, историю браузера и криптовалютные кошельки. Затем запускалась полезная нагрузка Aurora, которая шифровала файлы, добавляя расширения .Aurora, .aurora, .animus, .desu или .ONI. На рабочий стол помещался файл %UserProfile%wall.i с инструкциями по выкупу. В арсенале группировки используются такие имена файлов записок, как !-GET_MY_FILES-!.txt и HOW_TO_DECRYPT_YOUR_FILES.txt. В качестве мер защиты рекомендуется применять шлюзы веб-безопасности с антифишингом, сегментировать сети, ограничивать RDP, а также использовать системы обнаружения вторжений и SIEM для корреляции событий.
География пострадавших компаний демонстрирует традиционную картину. Соединённые Штаты остаются главной целью: 60 жертв (41,96% от общего числа). Второе место занимает Германия (9 инцидентов), далее Италия, Япония, Великобритания, Канада (по 6) и Бразилия (5). Всего атаки затронули 33 страны, что подтверждает глобальный характер угрозы. Отраслевое распределение показывает, что наиболее уязвимой сферой стало производство (27 атак, 18,88%). На втором месте розничная торговля (19 атак), на третьем - бизнес-услуги (18). Здравоохранение получило 12 атак. В совокупности на эти четыре сектора пришлось более половины всех инцидентов. Злоумышленники по-прежнему нацелены на отрасли с высокой операционной зависимостью, критичными данными и низкой терпимостью к простою.
Текущая неделя демонстрирует, что угрозы не ослабевают. Новые варианты троянов пополняют арсенал хакеров, а критически опасные уязвимости в популярных корпоративных продуктах оставляют широкую поверхность для атаки. Рынок программ-вымогателей остаётся активным и фрагментированным, при этом группы быстро перенимают успешные тактики. Организациям необходимо оперативно обновлять программное обеспечение, особенно патчить уязвимости CVE-2026-45659 и CVE-2026-48558, усиливать мониторинг входящего трафика и контролировать целостность сегментов сети, к которым подключены критически важные системы.
Индикаторы компрометации
- anastacialove21@mail.com
- anonimus.mr@yahoo.com
- big.fish@vfemail.net
- enco@cock.email
- hellstaff@india.com
- j0ra@protonmail.com
- ochennado@tutanota.com
- oktropys@protonmail.com
- UnlockAlexKingman@protonmail.com
SHA256
- e8e995787549117aacb30b3d4896c058a8bfc8d0aab312b726d34e6ab85d819d