ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — возвращение OldGremlin, критическая уязвимость в SAP S/4HANA, критические уязвимости TP-Link, сентябрьский патч Android и Zero-Day уязвимость в Sitecore.

1. Возвращение OldGremlin: кибергруппа вымогателей снова атакует российские компании

Группа злоумышленников OldGremlin, известная с 2020 года, возобновила атаки на российские компании, применяя фишинговые письма с вредоносными вложениями и самописный шифровальщик TinyCrypt. Это вредоносное ПО написано на .NET и использует гибридное шифрование (AES и RSA). Злоумышленники имитируют переписку от имени крупных банков и сервисных организаций, а после заражения активно используют легитимные админ-инструменты для закрепления и скрытного перемещения в сети. Характерная особенность OldGremlin — длительная скрытность: между первичным проникновением и запуском TinyCrypt может пройти несколько месяцев. Рекомендуется усиливать почтовую фильтрацию, обучать сотрудников фишинг-гигиене и контролировать аномальное применение легитимных утилит администратора.

2. Критическая уязвимость в SAP S/4HANA позволяет выполнить произвольный код

Исследователи из SAP Security Research обнаружили критическую уязвимость CVE-2025-42957 (CVSS: 9.9) в SAP S/4HANA, которая связана с небезопасной обработкой RFC-вызовов и позволяет внедрять произвольный ABAP-код. Эксплуатация ошибки даёт атакующему возможность выполнять произвольные команды, создавать суперпользователей, изменять бизнес-логику и внедрять бэкдоры для долгосрочного доступа. В реальных атаках злоумышленники используют этот вектор для компрометации финансовых модулей и получения данных о транзакциях. Масштаб риска особенно высок для компаний, где RFC-интерфейсы доступны извне. Администраторам рекомендуется срочно установить