Пока вы работали в Office, хакеры тихо взламывали вашу систему.
Согласно Лаборатории Касперского, во втором квартале 2025 года активность вокруг уязвимостей заметно усилилась: под ударом оказались практически все подсистемы современных компьютеров — от UEFI и драйверов до браузеров, операционных систем и приложений. Как и ранее, злоумышленники продолжают использовать такие уязвимости в реальных атаках для получения доступа к пользовательским устройствам, а также активно комбинируют их с C2-фреймворками в рамках сложных целенаправленных операций.
Анализ статистики по за последние 5 лет показывает устойчивый рост общего числа зарегистрированных уязвимостей. Если в начале 2024 года их было около 2600, то уже в январе 2025 эта цифра превысила 4000. Исключением стал только май, в остальном динамика продолжала набирать обороты. При этом часть CVE может быть зарегистрирована с идентификаторами прошлых лет, но опубликована только в 2025 году. Что особенно тревожно — в первом полугодии 2025-го также существенно выросло число критических уязвимостей с баллом выше 8.9. Хотя не все уязвимости получают оценку по этой шкале, наблюдается положительная тенденция: критические баги чаще сопровождаются подробными описаниями и становятся предметом публичного разбора, что может способствовать более оперативному устранению рисков.
Наиболее активно эксплуатируемыми уязвимостями в Windows во втором квартале снова стали старые проблемы Microsoft Office — , и , затрагивающие компонент Equation Editor. За ними следуют эксплойты для WinRAR ( ), уязвимость в Проводнике Windows ( ), позволяющая похищать NetNTLM-хэши, и баг в драйвере ks.sys ( ), дающий злоумышленнику возможность выполнить произвольный код. Все эти уязвимости применяются как для первичного доступа, так и для эскалации привилегий.
Что касается Linux, то самыми распространёнными эксплойтами стали ( ), , связанная с унаследованными привилегиями, и — heap- в подсистеме Netfilter, использующая технику Use-After-Free через манипуляции с msg_msg. Это подтверждает продолжающийся рост интереса атакующих к Linux-системам — прежде всего из-за расширяющейся пользовательской базы.
В публичных источниках по-прежнему доминируют эксплойты для операционных систем, в то время как новых публикаций об уязвимостях Microsoft Office в этом квартале не появилось. Что касается целевых атак, то в APT-операциях чаще всего эксплуатировались уязвимости в средствах удалённого доступа, редакторах документов и подсистемах логирования. На первом месте — инструменты low-code/no-code и даже фреймворки для приложений с ИИ, что говорит о росте интереса атакующих к современным средствам разработки. Интересно, что найденные баги касались не сгенерированного кода, а самого инфраструктурного ПО.
Среди C2-фреймворков в первом полугодии 2025 года лидировали Sliver, , Havoc и Brute Ratel C4 — они напрямую поддерживают работу с эксплойтами и дают атакующим богатые возможности для закрепления, удалённого управления и дальнейшей автоматизации. Остальные инструменты, как правило, адаптировались вручную для конкретных атак.
По результатам анализа сэмплов с эксплойтами и C2-агентами были выявлены следующие ключевые уязвимости, использовавшиеся в APT-операциях: в SAP NetWeaver Visual Composer Metadata Uploader (удалённое выполнение кода, CVSS 10.0), в ConnectWise ScreenConnect (обход аутентификации, CVSS 10.0), и в CHAOS v5.0.1 (XSS и RCE), а также в Windows, позволяющая выполнить произвольный код через некорректную обработку путей к ярлыкам.
Эти эксплойты позволяли как моментально внедрить вредоносный код, так и действовать поэтапно, начиная со сбора учётных данных.
Особого внимания заслуживают также недавно опубликованные уязвимости. — это RCE-баг в SSH-сервере фреймворка Erlang/OTP, допускающий удалённое выполнение команд без проверки даже от неавторизованных пользователей. — очередная directory traversal-уязвимость в , схожая с : позволяет изменить путь распаковки архива и выполнить код при старте ОС или приложений. в UEFI позволяет обойти через небезопасную работу с переменными NVRAM. Уязвимость в Roundcube Webmail представляет собой классическую проблему небезопасной десериализации и требует авторизованного доступа. Наконец, в драйвере AsIO3.sys вызывает крах системы при работе с путями длиннее 256 символов — разработчики не учли, что современный лимит в NTFS составляет 32 767 символов.
Итог очевиден: число уязвимостей продолжает расти, особенно критических. Поэтому важно не только своевременно устанавливать обновления, но и следить за наличием C2-агентов на скомпрометированных системах, уделять внимание защите конечных устройств и выстраивать гибкую политику управления патчами. Только так можно эффективно снизить риски эксплуатации и обеспечить устойчивость инфраструктуры.
Подробнее:
Согласно Лаборатории Касперского, во втором квартале 2025 года активность вокруг уязвимостей заметно усилилась: под ударом оказались практически все подсистемы современных компьютеров — от UEFI и драйверов до браузеров, операционных систем и приложений. Как и ранее, злоумышленники продолжают использовать такие уязвимости в реальных атаках для получения доступа к пользовательским устройствам, а также активно комбинируют их с C2-фреймворками в рамках сложных целенаправленных операций.
Анализ статистики по за последние 5 лет показывает устойчивый рост общего числа зарегистрированных уязвимостей. Если в начале 2024 года их было около 2600, то уже в январе 2025 эта цифра превысила 4000. Исключением стал только май, в остальном динамика продолжала набирать обороты. При этом часть CVE может быть зарегистрирована с идентификаторами прошлых лет, но опубликована только в 2025 году. Что особенно тревожно — в первом полугодии 2025-го также существенно выросло число критических уязвимостей с баллом выше 8.9. Хотя не все уязвимости получают оценку по этой шкале, наблюдается положительная тенденция: критические баги чаще сопровождаются подробными описаниями и становятся предметом публичного разбора, что может способствовать более оперативному устранению рисков.
Наиболее активно эксплуатируемыми уязвимостями в Windows во втором квартале снова стали старые проблемы Microsoft Office — , и , затрагивающие компонент Equation Editor. За ними следуют эксплойты для WinRAR ( ), уязвимость в Проводнике Windows ( ), позволяющая похищать NetNTLM-хэши, и баг в драйвере ks.sys ( ), дающий злоумышленнику возможность выполнить произвольный код. Все эти уязвимости применяются как для первичного доступа, так и для эскалации привилегий.
Что касается Linux, то самыми распространёнными эксплойтами стали ( ), , связанная с унаследованными привилегиями, и — heap- в подсистеме Netfilter, использующая технику Use-After-Free через манипуляции с msg_msg. Это подтверждает продолжающийся рост интереса атакующих к Linux-системам — прежде всего из-за расширяющейся пользовательской базы.
В публичных источниках по-прежнему доминируют эксплойты для операционных систем, в то время как новых публикаций об уязвимостях Microsoft Office в этом квартале не появилось. Что касается целевых атак, то в APT-операциях чаще всего эксплуатировались уязвимости в средствах удалённого доступа, редакторах документов и подсистемах логирования. На первом месте — инструменты low-code/no-code и даже фреймворки для приложений с ИИ, что говорит о росте интереса атакующих к современным средствам разработки. Интересно, что найденные баги касались не сгенерированного кода, а самого инфраструктурного ПО.
Среди C2-фреймворков в первом полугодии 2025 года лидировали Sliver, , Havoc и Brute Ratel C4 — они напрямую поддерживают работу с эксплойтами и дают атакующим богатые возможности для закрепления, удалённого управления и дальнейшей автоматизации. Остальные инструменты, как правило, адаптировались вручную для конкретных атак.
По результатам анализа сэмплов с эксплойтами и C2-агентами были выявлены следующие ключевые уязвимости, использовавшиеся в APT-операциях: в SAP NetWeaver Visual Composer Metadata Uploader (удалённое выполнение кода, CVSS 10.0), в ConnectWise ScreenConnect (обход аутентификации, CVSS 10.0), и в CHAOS v5.0.1 (XSS и RCE), а также в Windows, позволяющая выполнить произвольный код через некорректную обработку путей к ярлыкам.
Эти эксплойты позволяли как моментально внедрить вредоносный код, так и действовать поэтапно, начиная со сбора учётных данных.
Особого внимания заслуживают также недавно опубликованные уязвимости. — это RCE-баг в SSH-сервере фреймворка Erlang/OTP, допускающий удалённое выполнение команд без проверки даже от неавторизованных пользователей. — очередная directory traversal-уязвимость в , схожая с : позволяет изменить путь распаковки архива и выполнить код при старте ОС или приложений. в UEFI позволяет обойти через небезопасную работу с переменными NVRAM. Уязвимость в Roundcube Webmail представляет собой классическую проблему небезопасной десериализации и требует авторизованного доступа. Наконец, в драйвере AsIO3.sys вызывает крах системы при работе с путями длиннее 256 символов — разработчики не учли, что современный лимит в NTFS составляет 32 767 символов.
Итог очевиден: число уязвимостей продолжает расти, особенно критических. Поэтому важно не только своевременно устанавливать обновления, но и следить за наличием C2-агентов на скомпрометированных системах, уделять внимание защите конечных устройств и выстраивать гибкую политику управления патчами. Только так можно эффективно снизить риски эксплуатации и обеспечить устойчивость инфраструктуры.
Подробнее:
