За последние две недели кибербезопасность столкнулась с серией значимых инцидентов. Сначала обнаружили взломанный плагин Gravity Forms для WordPress, затем исследователи выявили новый метод скрытия вредоносов в DNS-записях. А на этой неделе ситуация обострилась — массовые атаки через уязвимость в SharePoint затронули сотни организаций по всему миру, включая госструктуры. Разбираемся, что произошло и что можно сделать, чтобы себя обезопасить.
Взлом плагина Gravity Forms: зараженные версии содержали бэкдор
Популярный WordPress-плагин Gravity Forms, используемый для создания онлайн-форм, оказался заражен бэкдором после атаки на цепочку поставок. Вредоносный код попал в ручные установщики с официального сайта.
По данным PatchStack, плагин отправлял POST-запросы на подозрительный домен gravityapi[.]org, собирая метаданные сайтов, включая данные о темах, плагинах и версиях WordPress/PHP. Полученный в ответ вредоносный скрипт сохранялся на сервере и позволял выполнять произвольный код без аутентификации.
Разработчик RocketGenius подтвердил, что затронуты только версии 2.9.11.1 и 2.9.12, загруженные 10–11 июля 2025 года. Вредоносный код блокировал обновления, создавал скрытую учётную запись администратора и связывался с сервером злоумышленников.
Рекомендации:
- Переустановите плагин, если загружали его в указанные даты.
- Проверьте сайт на признаки взлома.
Служба Gravity API, отвечающая за автоматические обновления, не была скомпрометирована.
Хакеры научились скрывать вредоносное ПО в DNS-записях
Эксперты DomainTools обнаружили новый метод заражения, при котором вредоносный код маскируется в DNS-записях типа TXT. Этот способ позволяет обходить системы защиты, так как DNS-трафик обычно считается безопасным.
Злоумышленники разбивают вредоносное ПО на фрагменты и распределяют их по поддоменам. При загрузке эти части автоматически собираются в полноценную вредоносную программу. Уже найдены примеры такого кода, включая Joke Screenmate (имитирует сбои системы) и PowerShell Stager (загружает дополнительные угрозы).
Пока реальных атак не зафиксировано, но специалисты предупреждают, что метод крайне опасен из-за своей скрытности. Для защиты рекомендуется:
- мониторить DNS-трафик на аномальные запросы,
- анализировать TXT-записи, выходящие за рамки стандартных функций,
- использовать системы анализа угроз для выявления подозрительных доменов.
Эксперты считают, что массовые атаки с использованием этой техники — лишь вопрос времени.
Крупнейшая кибератака 2025 года: хакеры взломали 400 организаций через уязвимость в SharePoint
Все началось с предупреждения Microsoft о критической уязвимости в SharePoint, которую хакеры начали активно эксплуатировать. Если неделю назад речь шла о 100 скомпрометированных организациях, то теперь их число превысило 400. Среди пострадавших - правительственные учреждения США, включая Национальное управление ядерной безопасности, а также организации в Европе, Азии и Африке.
Нидерландская компания Eye Security, первой обнаружившая атаки, отмечает, что злоумышленники действуют методично: сначала проводят разведку, затем массово атакуют уязвимые системы. Особую тревогу вызывает возможная причастность китайских хакерских группировок, хотя официальный Пекин эти обвинения отвергает.
Microsoft оперативно выпустила патч, но многие серверы уже были скомпрометированы до его выхода. Эксперты предупреждают: реальный масштаб ущерба может быть значительно больше, так как хакеры используют методы, не оставляющие явных следов.
При этом хакеры могли получить доступ к данным о ядерных технологиях, хотя наиболее секретные системы США изолированы. Атаки продолжаются — другие группировки начали использовать ту же уязвимость. Национальная казначейская служба ЮАР уже подтвердила наличие вредоносного ПО в своих сетях, другие организации продолжают проверки.
ФБР и британские киберслужбы расследуют инцидент. По данным Shodan, под угрозой находятся более 8000 серверов, подключенных к интернету. Эта атака может войти в историю как одна из самых масштабных в 2025 году, подчеркивая необходимость срочного обновления SharePoint и усиленного мониторинга сетей.
Возможно, вам будет интересно
