ТОП-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — эксплуатация zero-day в Cisco ISE и Citrix в продвинутой APT-кампании, атака российских компаний злоумышленниками под видом писем от ФСБ и МЧС, позволяющая обойти аутентификацию и установить RAT критическая уязвимость, раскрытие инструментов и целей киберопераций Китая, новые кампании APT BlueNoroff против криптоиндустрии.

Эксплуатация zero-day в Cisco ISE и Citrix в продвинутой APT-кампании

Amazon Threat Intelligence зафиксировала APT-кампанию, в которой злоумышленники использовали две zero-day уязвимости: «Citrix Bleed Two» (CVE-2025-5777, CVSS 9.3) — утечка памяти в NetScaler ADC/Gateway (версии до 14.1-43.56 и 13.1-58.32), позволяющая удалённое выполнение кода без аутентификации, и CVE-2025-20337 (CVSS 10.0) — критическая ошибка десериализации в Cisco ISE (версии 3.3–3.4), дающая root-доступ.

Атаки велись до публикации исправлений, что указывает на высокую подготовленность группы. После проникновения злоумышленники разворачивали веб-шелл IdentityAuditAction, маскирующийся под легитимный компонент Cisco ISE. Вредонос работал в памяти Java-процессов Tomcat, использовал DES-шифрование с фиксированным ключом и модифицированное Base64, не оставляя следов на диске.

Рекомендуется немедленно обновить Citrix NetScaler до 14.1-43.56 или 13.1-58.32 и выше, Cisco ISE — до 3.3 Patch 7, Cisco ISE-PIC — до 3.4 Patch 2 и выше, ограничить доступ к административным интерфейсам и эндпоинту /p/u/doAuthentication.do, а также включить мониторинг аномального поведения в Java-процессах и API-запросах.

Злоумышленники из группы CapFIX атакуют российские компании под видом писем от ФСБ и МЧС

Аналитики F6 обнаружили фишинговую кампанию, в которой злоумышленники маскируются под официальные уведомления с темами «инструкции при