На конференции BlackHat USA представили свежую технику постэксплуатации под названием Ghost Calls, которая позволяет злоумышленникам использовать инфраструктуру Zoom и Microsoft Teams в качестве командно-контрольных каналов (C2) — и всё это без единого взлома, с обходом большинства корпоративных защит.
Суть приёма в том, что атакующие используют TURN-серверы, предназначенные для видеозвонков и VoIP, чтобы создать скрытый канал WebRTC между заражённой машиной и управляющим сервером. Такой трафик визуально ничем не отличается от обычной онлайн-встречи и проходит сквозь корпоративные фаерволы и системы TLS-инспекции как легальный.
Вместо того чтобы использовать свои домены, злоумышленники прокладывают весь C2-трафик через доверенные IP-адреса Zoom и Teams. Благодаря шифрованию WebRTC, UDP/TCP по 443 порту и отсутствию подозрительных DNS-запросов, атака остаётся практически незаметной даже для опытных SOC-аналитиков.
Исследователь Адам Кроссер из компании Praetorian разработал для этого утилиту с открытым исходным кодом — TURNt, в которой реализована связка Controller (на стороне атакующего) и Relay (на скомпрометированной машине). В связке они создают полноценный SOCKS-прокси через TURN-серверы, позволяя не только туннелировать трафик, но и эксфильтровать данные, устраивать скрытый VNC-доступ и оборачивать любые команды в «безобидный звонок».
Хотя сама по себе техника не использует уязвимостей Zoom или Teams, она превращает их инфраструктуру в маскирующий слой для операций, в том числе APT-уровня. Вендоры пока не прокомментировали, собираются ли как-то закрыть такую возможность — но киберпреступники и Red Team уже взяли Ghost Calls на заметку.
В США к длительным срокам приговорили двух граждан страны, которые помогали северокорейским IT-специалистам устраиваться на удаленную работу под видом американских сотрудников.
В США в каталог Known Exploited Vulnerabilities добавили CVE-2009-0238 - старую, но все еще рабочую уязвимость Microsoft Excel, для которой уже зафиксирована эксплуатация в атаках.
Исследователи OX Security заявили о системной проблеме в архитектуре Model Context Protocol, созданного Anthropic для связи ИИ-приложений с внешними сервисами и инструментами.
Редакция Кибер Медиа отобрала для вас самые громкие новости из мира кибербезопасности.
Ко второму чтению пакета «Антифрод 2 0» обсуждаются поправки, которые запретят хостинг-провайдерам предоставлять вычислительные мощности сайтам и ИТ-системам, обеспечивающим доступ к заблокированной в России информации.
В ночь на 17 апреля у части пользователей в России Telegram снова начал открываться без VPN и прокси.
Сотрудники все чаще мешают корпоративному внедрению ИИ не по инерции, а осознанно.
В Москве прошла четвёртая ежегодная конференция R‑EVOlution Conference 2026, посвящённая цифровизации и кибербезопасности.
На фоне активного внедрения нейросетей в повседневную жизнь «Лаборатория Касперского» решила изучить, как пользователи применяют ИИ в сценариях, связанных с путешествиями.
Компания «Газинформсервис» приняла участие в VIII национальной научно-практической конференции «Трансформация бизнеса и общественных институтов в условиях цифровизации экономики», которая прошла 16–17 апреля в Санкт-Петербургском университете технологий управления и экономики (СПбУТУиЭ).
