Группа злоумышленников OldGremlin, известная с 2020 года, возобновила атаки на российские компании, применяя фишинговые письма с вредоносными вложениями и самописный шифровальщик
TinyCrypt. Это вредоносное ПО написано на .NET и использует гибридное шифрование (AES и RSA). Злоумышленники имитируют переписку от имени крупных банков и сервисных организаций, а после заражения активно используют легитимные админ-инструменты для закрепления и скрытного перемещения в сети. Характерная особенность OldGremlin — длительная скрытность: между первичным проникновением и запуском TinyCrypt может пройти несколько месяцев. Рекомендуется усиливать почтовую фильтрацию, обучать сотрудников фишинг-гигиене и контролировать аномальное применение легитимных утилит администратора.
Исследователи из SAP Security Research обнаружили критическую уязвимость
CVE-2025-42957 (CVSS: 9.9) в SAP S/4HANA, которая связана с небезопасной обработкой RFC-вызовов и позволяет внедрять произвольный ABAP-код. Эксплуатация ошибки даёт атакующему возможность выполнять произвольные команды, создавать суперпользователей, изменять бизнес-логику и внедрять бэкдоры для долгосрочного доступа. В реальных атаках злоумышленники используют этот вектор для компрометации финансовых модулей и получения данных о транзакциях. Масштаб риска особенно высок для компаний, где RFC-интерфейсы доступны извне. Администраторам рекомендуется срочно установить исправление (SAP Security Note 3627998), ограничить внешние RFC-вызовы и активировать UCON для контроля модулей.
CISA включила в каталог KEV две критические уязвимости маршрутизаторов TP-Link:
CVE-2024-50395 (CVSS: 8.8) и
CVE-2025-26853 (CVSS: 9.8). Первая позволяет обойти аутентификацию, вторая — выполнять произвольный код на устройстве от имени root. Злоумышленники уже используют их в реальных атаках для установки ботнет-клиентов и организации прокси-сетей, что превращает домашние и корпоративные маршрутизаторы в точки входа в инфраструктуру. Рекомендуется немедленно обновить прошивки, отключить удалённое администрирование и сегментировать сеть для минимизации ущерба.
Компания Google выпустила сентябрьское обновление безопасности Android, исправляющее более 120 уязвимостей, включая две активно эксплуатируемые:
CVE-2025-35642 (CVSS: 8.0) в Android Runtime и
CVE-2025-35643 (CVSS: 7.8) в Framework. Первая позволяет локальному злоумышленнику повысить привилегии и выполнить код с правами приложения, вторая открывает доступ к конфиденциальным данным и системным API. Так как эксплойты уже используются в реальных атаках, пользователи подвергаются риску кражи данных и установки вредоносного ПО. Рекомендуется как можно скорее обновить устройства через OTA и избегать установки приложений из сторонних источников.
Google TAG зафиксировала активную эксплуатацию критической уязвимости
CVE-2025-53690 (CVSS: 9.0) в CMS Sitecore, связанной с небезопасной десериализацией ViewState. Уязвимость позволяет злоумышленнику сформировать вредоносный ViewState-объект и отправить его серверу, что приводит к удалённому выполнению кода без авторизации. В атаках фиксируется установка веб-шеллов и последующее боковое перемещение по сети. Так как проблема ещё не закрыта патчем, организации находятся под высоким риском. Рекомендуется ограничить доступ к уязвимым страницам, усилить мониторинг IIS-журналов и готовиться к установке официального обновления.
