Еженедельный Дайджест в сфере «кибербезопасности»  

10 – 16 апреля 2025 г.

Крупные инциденты и утечки

Прокси‑атака на сервис передачи файлов Cleo обернулась утечкой у прокатчика автомобилей Hertz — более 100 000 записей клиентов уже продаются в даркнете. Вымогатели добрались и до глобальной сети диализных центров DaVita – IT‑системы частично шифрованы, но лечение пациентов не прервано. Тем временем страховой оператор Landmark Administration сообщил, что компрометация единственного VPN‑аккаунта раскрыла 1,6 млн страховых полисов.

Новые угрозы и уязвимости

Апрельский Patch Tuesday устранил 134 дефекта, включая активно эксплуатируемую 0‑day CVE‑2025‑29824 в CLFS, обеспечивающую мгновенное повышение привилегий. Обход аутентификации CVE‑2025‑31161 в CrushFTP уже применяют для кражи корпоративных файлов. В Apache Roller закрыта RCE 10/10, а уязвимость CVE‑2025‑27840 в чипах ESP32 угрожает аппаратным Bitcoin‑кошелькам. На уровне TTP замечены новый контроллер для бэкдора BPFDoor, загрузчик GrapeLoader от APT29 и техника RemoteMonologue, крадущая NTLM‑хэши без доступа к LSASS.

Политика и регулирование

Microsoft по умолчанию отключила ActiveX во всех редакциях Office 365/2024, закрыв исторически популярный вектор макро‑атак. Одновременно CISA сократила «окно» закрытия уязвимостей из каталога KEV до 72 часов, заставляя федеральные структуры ускорять цикл патч‑менеджмента.

Заключительные рекомендации

Не откладывайте установку апрельских обновлений Windows; срочно пропатчите CrushFTP, Apache Roller, FortiOS/FortiSwitch и SDK ESP32. Отключите ActiveX, очистите логи CLFS и проверьте SSL‑VPN на symlink‑backdoor. SOC‑командам стоит тренировать сценарии Fast Flux DNS, Device‑Code Phishing и скрытый lateral movement BPFDoor.

Author: admin