Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) ужесточило свои предупреждения, добавив пять активно эксплуатируемых уязвимостей в свой каталог известных эксплуатируемых уязвимостей (KEV). Эти уязвимости затрагивают продукты Apple, Craft CMS и Laravel Livewire. Федеральные агентства теперь обязаны устранить эти уязвимости к 3 апреля 2026 года. Это действие подчеркивает непосредственную угрозу, которую представляют эти уязвимости, поскольку они используются в реальных атаках продвинутыми угрозыми акторами.
Включение трех уязвимостей Apple напрямую связано с эксплойт-китом для iOS под названием «DarkSword». Отчеты от Google Threat Intelligence Group, iVerify и Lookout подробно описывают, как этот киты использует эти уязвимости вместе с тремя другими для развертывания сложных семейств вредоносных программ, таких как GHOSTBLADE, GHOSTKNIFE и GHOSTSABER, с целью кражи данных. Отдельно уязвимость CVE-2025-32432 в Craft CMS, согласно Orange Cyberdefense SensePost, эксплуатировалась как уязвимость нулевого дня с февраля 2025 года. Группа вторжения, отслеживаемая как Mimo (или Hezb), использовала ее для развертывания майнеров криптовалюты и резидентского прокси-ПО. Последняя уязвимость, CVE-2025-54068 в Laravel Livewire, была недавно отмечена исследовательской группой Ctrl-Alt-Intel Threat Research как эксплуатируемая иранской государственной группировкой MuddyWater, также известной как Boggy Serpens.
Деятельность MuddyWater демонстрирует значительную и развивающуюся угрозу. В недавнем анализе Unit 42 компании Palo Alto Networks подробно описала постоянное нацеливание группировки на дипломатические объекты и критически важные секторы инфраструктуры, включая энергетику, морской транспорт и финансы, на Ближнем Востоке и других стратегических регионах мира. Хотя социальная инженерия остается основной тактикой, Unit 42 отмечает, что группировка быстро наращивает свои технологические возможности. Их арсенал теперь включает вредоносные импланты, усиленные ИИ, разработанные с использованием методов защиты от анализа для длительного сохранения в системе, что создает более мощный и скрытный профиль угрозы.
Для управления своими масштабными операциями Boggy Serpens использует собственную веб-платформу оркестрации для поддержки крупномасштабных кампаний социальной инженерии. Это сочетание ориентированного на человека обмана и быстро разработанных сложных инструментов делает их formidable противником. Включение CISA в каталог KEV является критически важным предупреждением для всех организаций, а не только федеральных агентств, о необходимости приоритетного устранения этих конкретных уязвимостей. Установленный срок предоставляет четкий график, но учитывая активную эксплуатацию, командам безопасности рекомендуется устранить эти проблемы в срочном порядке, чтобы предотвратить компрометацию со стороны этих хорошо оснащенных и настойчивых угрозых групп.
