Последний бюллетень ThreatsDay рисует картину ландшафта кибербезопасности, находящегося под знакомым, коварным давлением. Атмосфера характеризуется не драматичными единичными сбоями, а накоплением напряжения — множеством меньших, но устойчивых угроз, которые, по логике, должны быть уже неактуальны, но продолжают находить уязвимые места. Анализ этой недели раскрывает операции, варьирующиеся от кажущихся небрежными до тревожно практичных, и всё это на фоне нарастающего фонового шума, который организации часто приучены игнорировать. Совокупный эффект — это тихое, но неуклонное нарастание рисков в критической инфраструктуре и системах, тенденция, требующая пристального внимания, а не игнорирования.
Наглядным примером этой развивающейся угрозы является детальный анализ Group-IB группы «The Gentlemen» — новой операции «ransomware-as-a-service» (RaaS, вымогательство как услуга). Истоки группы лежат в внутренних разборках киберпреступников: она появилась после публичного спора о выплатах на форуме RAMP, где её оператор обвинил банду вымогателя Qilin в удержании $48 000 партнёрских комиссий. Несмотря на хаотичное начало, The Gentlemen демонстрируют методичную и масштабируемую тактику. Их основной вектор первоначального доступа — эксплуатация уязвимости CVE-2024-55591, критического обхода аутентификации в FortiOS и FortiProxy. Инфраструктура группы тревожно зрелая: они поддерживают глобальную операционную базу данных примерно из 14 700 уже скомпрометированных устройств FortiGate и отдельный репозиторий из 969 проверенных учётных данных VPN, подобранных методом грубой силы. Для уклонения от обнаружения они используют технику «Bring Your Own Vulnerable Driver» (BYOVD, принеси свой уязвимый драйвер) для завершения процессов безопасности на уровне ядра. С момента появления в середине 2025 года эта группа уже атаковала около 94 организаций, что иллюстрирует, как быстро «новый» игрок может превратить существующие уязвимости в прибыльное преступное предприятие.
Параллельно раскрытие четырёх уязвимостей в широко распространённом ITSM-решении BMC FootPrints подчёркивает сохраняющийся риск в корпоративном программном обеспечении. Уязвимости, зарегистрированные как CVE-2025-71257 — CVE-2025-71260, могут быть сцеплены для выполнения произвольного кода на удалённой системе (RCE) без необходимости предварительной аутентификации. Последовательность атаки начинается с того, что неаутентифицированный злоумышленник использует одну уязвимость для получения первоначального доступа, а затем применяет другие для повышения привилегий и выполнения произвольного кода на базовом сервере. Подобные цепочечные атаки, нацеленные на критически важные для бизнеса системы, такие как ITSM-платформы, особенно опасны, поскольку эти системы часто обладают привилегированным доступом к обширным сегментам ИТ-среды организации и конфиденциальным данным. Эти раскрытия служат критическим напоминанием о том, что сложные, взаимосвязанные приложения могут создавать поверхность атаки, где несколько умеренных недостатков объединяются, образуя критическую угрозу.
Помимо этих конкретных инцидентов, бюллетень освещает более широкую экосистему малозаметной, но высокоэффективной активности. Это включает продолжающуюся активную эксплуатацию известных уязвимостей Citrix NetScaler (таких как CVE-2023-4966) государственными группами, злоупотребление «Managed Code Platform» (MCP) от Microsoft для скрытного выполнения команд и изощрённые фишинговые кампании, маскирующиеся под поддержку LiveChat для доставки вредоносного ПО. Общая нить — эффективность: злоумышленники неуклонно фокусируются на методах, которые работают, будь то совершенно новые эксплойты, непропатченные уязвимости многолетней давности или простая социальная инженерия. Эта среда создаёт двойную задачу для защитников: они должны спешить с установкой исправлений и смягчением последствий новейших критических уязвимостей, одновременно постоянно выискивая и искореняя давно существующие, укоренившиеся угрозы, от которых противники отказываться не намерены. Тихий прессинг действительно нарастает, и всеобъемлющая видимость, упреждающее управление исправлениями и глубокая эшелонированная защита перестали быть опцией.
