На прошлой неделе команда исследователей Unit 42 из компании Palo Alto Networks опубликовала отчет о таргетированной кибершпионской кампании LANDFALL, которая эксплуатировала уязвимость нулевого дня в смартфонах Samsung. Датировка известных сэмплов вредоносного кода позволяет предположить, что уязвимость эксплуатировалась как минимум с июля 2024 года и вплоть до апреля 2025 года, когда Samsung выпустила патч для уязвимости, получившей идентификатор CVE-2025-21042 с рейтингом опасности 8,8 балла из 10.

Уязвимость была обнаружена в библиотеке для обработки изображений libimagecodec.quram.so. Средством доставки вредоносной программы служили сообщения в мессенджере WhatsApp, к которым был прикреплен файл с разрешением JPEG. На самом деле это было изображение в формате DNG (Digital Negative) — универсальном формате для хранения изображений без компрессии. В этот файл был интегрирован архив в формате ZIP, содержащий два вредоносных модуля, — один содержал код бэкдора, другой манипулировал параметрами системы безопасности SELinux, позволяя шпионской программе закрепиться в системе и обеспечивая повышенные привилегии. Ошибка в модуле обработки изображений позволяла выполнить содержащийся в приложенном файле код.

Анализ строк в шпионском модуле позволил определить его функциональность, хотя часть кода, которому эти строки соответствуют, отсутствовала в исследованном сэмпле. Скорее всего, недостающие вредоносные модули при необходимости загружались с командного сервера. Бэкдор обеспечивал широчайшие возможности слежки за жертвой, начиная с идентификации устройства по различным параметрам: идентификаторам IMEI и IMSI, серийному номеру SIM-карты, списку установленных приложений, данным об учетных записях и так далее. После успешного заражения устройства злоумышленники могли записывать звук со встроенного микрофона либо телефонные переговоры, получать историю звонков, список контактов, сообщения SMS, сохраненные в галерее фотографии. Обеспечивалась возможность доступа к базам данных приложений (например, к истории браузера), а также загрузка на командный сервер произвольных файлов.

Вредоносная программа была специально нацелена на конкретные модели смартфонов Samsung: Galaxy S22, S23 и S24, Z Fold 4 и Z Flip 4. Модели были прописаны в коде вредоносной программы, включая идентификаторы конкретных версий прошивок.

Примечательно, что это далеко не единственный пример эксплуатации уязвимостей в обработчиках изображений с использованием файлов DNG. Так, в сентябре Samsung закрыла другую уязвимость CVE-2025-21043 (с таким же рейтингом 8,8 балла по шкале CVSS) в той же самой библиотеке libimagecodec.quram.so. В августе аналогичная проблема была закрыта в мобильных устройствах Apple — этой уязвимости был присвоен идентификатор CVE-2025-43300. И в этом случае «подготовленный» файл DNG, отправленный через какой-либо мессенджер, позволял выполнить произвольный код без дополнительного вмешательства пользователя. В паре с этой уязвимостью эксплуатировалась проблема в мессенджере WhatsApp.

По данным Unit 42, атака LANDFALL была нацелена на пользователей в Иране, Ираке, Турции и Марокко.

Что еще произошло

Команда Google Threat Intelligence опубликовала очередной отчет об использовании ИИ-ассистентов во вредоносных целях. В отчете описываются новые семейства вредоносного ПО PROMPTFLUX и PROMPTSTEAL с расширенной интеграцией ИИ в процесс атаки. Их их код написан с использованием ИИ-ассистента, но примечательно что и в процессе работы вредоносная программа периодически обращалась к сервису Google Gemini, чтобы получить обновления для обхода средств киберзащиты. Помимо этого, в отчете приводятся свежие примеры абьюза Gemini AI. Причем, по мнению авторов отчета, этим занимаются организованные группировки, которые пытаются замаскировать свою деятельность под исследовательскую работу студентов или участников легитимных соревнований CTF. На киберкриминальных форумах ИИ-функциональность рекламируется примерно в том же стиле, что и легитимные инструменты — как способ автоматизации рутинных задач и масштабирования деятельности. Под рутиной в данном контексте подразумевается, помимо собственно разработки компонентов вредоносного ПО, генерация фишинговых сообщений, генерация дипфейков и тому подобное.

Отчет компании Push Security анализует свежие тренды в атаках типа ClickFix — когда пользователю, как правило, под видом «капчи» предлагается самостоятельно скопировать и выполнить на своем устройстве вредоносный скрипт. В статье приводится пример крайне продвинутой атаки: поддельная «капча» определяет тип операционной системы и в зависимости от этого демонстрирует подходящий видеоролик, в котором потенциальной жертве подробно объясняют, как запустить вредоносный код в терминале. Атака поддерживает не только Windows и macOS, но и ОС семейства Linux.

Компания Socket исследует атаки на системы промышленной автоматизации с помощью вредоносных программ, распространяемых через NuGet — менеджер пакетов .NET. Вредоносный код нацелен на СУБД, используемые в специализированном управляющем ПО. Одной из особенностей данной атаки является закладка, нацеленная на саботаж работы промышленной системы в будущем. Принудительная остановка управляющего ПО не гарантирована на 100%. Вместо этого вредоносный код в диапазоне дат от 8 августа 2027 года до 29 ноября 2028 года генерирует случайное число и в зависимости от результата может закрывать нужный процесс.

В прошивке для NAS-устройств QNAP закрыты семь критических уязвимостей, обнаруженных в ходе мероприятия Pwn2Own, прошедшего в октябре 2025 года в Ирландии.