В данной атаке используется новое вредоносное ПО Lotus Wiper, нацеленное на организации энергетического и коммунального секторов. Атака начинается с выполнения bat-скриптов, которые готовят среду, отключают защитные механизмы и загружают основную полезную нагрузку. Lotus Wiper удаляет все возможные средства восстановления системы, включая теневые копии, после чего перезаписывает содержимое физических дисков и очищает USN-журнал, что делает восстановление данных невозможным. Кампания не имеет финансовой мотивации и направлена на полное уничтожение данных и приведение систем в нерабочее состояние. Рекомендуется усилить контроль за выполнением сценариев исполнения скриптов и несанкционированными изменениями в системе, а также обеспечить строгую сегментацию сети для предотвращения распространения деструктивных нагрузок.
Уязвимость CVE-2026-5760 (CVSS: 9.8) позволяет удаленно выполнить произвольный код на сервере SGLang, использующем одноименный фреймворк для обслуживания больших языковых моделей. Атакующий создает вредоносный файл модели GGUF, содержащий специально сформированную Jinja2-инъекцию (SSTI) в параметре tokenizer.chat_template, и размещает его так, чтобы жертва загрузила эту модель в свой экземпляр SGLang. Как только жертва загружает модель и обрабатывает запрос к уязвимому эндпоинту /v1/rerank, происходит рендеринг вредоносного шаблона и выполнение кода злоумышленника на сервере. Для немедленного устранения угрозы рекомендуется заменить использование jinja2.Environment() на ImmutableSandboxedEnvironment для безопасного рендеринга шаблонов.
Кампания StealTok основана на распространении не менее 12 вредоносных браузерных расширений, маскирующихся под инструменты для скачивания видео из TikTok. После установки эти расширения начинают скрытно отслеживать действия пользователя в браузере, собирать конфиденциальные данные и выполнять вредоносный код. Эксплуатация заключается в социальной инженерии: жертва добровольно устанавливает расширение, веря в его легитимность, после чего ее системы оказываются скомпрометированы без необходимости использования эксплойтов. Пользователям и администраторам следует запретить установку непроверенных браузерных расширений и использовать корпоративные политики безопасности для контроля над расширениями в браузерах.
PureRAT — это сложный многоступенчатый бесфайловый троян удаленного доступа (RAT), начинающий атаку с вредоносного .LNK-файла. При его запуске выполняется скрытый PowerShell-скрипт, который загружает и запускает обфусцированный VBS-загрузчик, а тот в свою очередь извлекает вредоносный PE-файл из PNG-изображения с помощью стеганографии. Для закрепления и обхода защиты используются методы обхода UAC (cmstp.exe), внедрение кода в легитимный процесс Msbuild.exe (process hollowing), а также проверка на запуск в виртуальных средах VMware и QEMU. После успешного развертывания RAT собирает детальную информацию о хосте и устанавливает соединение с C2-сервером, что позволяет злоумышленнику управлять системой и загружать дополнительные модули. Рекомендуется блокировать выполнение подозрительных сценариев (PowerShell, VBS, .LNK) из временных каталогов и реализовать строгий контроль доступа к инструментам командной строки и утилитам, используемым для обхода защиты.
Данная кампания использует 109 поддельных GitHub-репозиториев, которые клонируют легитимные open-source-проекты, чтобы распространять загрузчик SmartLoader и инфостилер StealC. Вредоносная активность маскируется под безобидные репозитории: в них подменяются только README-файлы, куда вставляются ссылки на вредоносные ZIP-архивы, якобы для скачивания. Жертва, доверяя внешнему виду проекта, скачивает и запускает из архива bat-файл, который в свою очередь запускает Lua-скрипт. Этот скрипт, используя смарт-контракт Polygon для получения актуального C2, скрытно собирает данные о системе, делает скриншоты, а затем загружает и расшифровывает в памяти инфостилер StealC, ворующий учетные данные. Рекомендуем внедрить строгий контроль за запуском скриптов и процессов, а также запретить выполнение интерпретаторов (например, LuaJIT) без явной необходимости.
