Фахівці з групи Google з аналізу загроз виявили новий набір експлойтів для iOS під назвою Coruna, який використовують у кібершпигунстві та фінансових атаках, повідомляє BleepingComputer. Комплект містить 23 експлойти, об’єднані у п’ять повних ланцюгів атак, здатних зламувати пристрої на базі iOS від версії 13.0 до 17.2.1.
Вперше активність, пов’язану з Coruna, зафіксували у лютому 2025 року. Тоді дослідники отримали JavaScript-фреймворк доставки експлойтів разом із кодом для вразливості CVE-2024-23222 у рушії WebKit, яка дозволяла виконувати віддалений код на пристроях із iOS 17.2.1. Компанія Apple усунула цю проблему в оновленні iOS 17.3 ще в січні 2024 року після того, як її використали в атаках нульового дня.
Того ж року експлойти повторно зафіксували влітку для зараження безпечних сайтів, щоб згодом отримати доступ до пристроїв всіх користувачів, які відвідували сервіси. За даними дослідників, імовірні російські кіберрозвідники, яких відстежують під позначенням UNC6353, використовували заражені українські сайти електронної комерції, сервісів і промислового обладнання, щоб атакувати користувачів iPhone.
Наприкінці 2025 року Coruna з’явився вже на фальшивих китайських сайтах, пов’язаних із криптовалютою та азартними іграми. Активність у цьому випадку приписують фінансово мотивованій групі UNC6691.
Комплект експлойтів включає механізми віддаленого виконання коду в WebKit, обходи захисту Pointer Authentication Code, втечі з “пісочниці”, підвищення привілеїв ядра та обходи системи захисту пам’яті. Дослідники зазначають, що код містить детальну документацію англійською мовою і використовує техніки експлуатації, які раніше не були публічно описані.
Після успішного зламу на пристрій встановлюється завантажувач PlasmaLoader, відомий як PlasmaGrid. Він впроваджується у системний процес iOS та завантажує додаткові модулі з сервера управління. Основною метою цих модулів є криптовалютні гаманці, зокрема MetaMask, Phantom, Exodus, BitKeep та Uniswap.
Шкідливе ПЗ шукає фрази відновлення гаманців, конфіденційні текстові дані, а також інформацію, що зберігається у додатку Apple Notes. Перед передачею викрадені дані шифруються алгоритмом AES і надсилаються на сервери керування.
Аналітики зазначають, що поки не зрозуміло, як інструмент, який імовірно створювали для державних шпигунських операцій, потрапив до рук кіберзлочинців. Однак це може свідчити про існування ринку “вторинних” експлойтів нульового дня.
Компанія Google уже додала виявлені домени та сайти до системи Safe Browsing і рекомендує користувачам iPhone оновити систему до останньої версії. Якщо це неможливо, експерти радять активувати режим підвищеного захисту Lockdown Mode.
Позначка: Хакери
Хакер за допомогою ШІ чат-бота зламав урядові сайти Мексики
Невідомий хакер застосував чат-бот із штучним інтелектом Claude від компанії Anthropic для серії атак на урядові установи Мексики. Про інцидент повідомляє Bloomberg. У результаті зламів було викрадено близько 150 гігабайтів конфіденційної інформації.
За даними дослідників, зловмисник надсилав чат-боту запити іспанською мовою, змушуючи його діяти як “елітний хакер”: знаходити вразливості в державних мережах, створювати скрипти для їх експлуатації та пропонувати способи викрадення даних. Серед скомпрометованих матеріалів – документи, що стосуються 195 мільйонів податкових декларацій, списки виборців, посвідчення держслужбовців і файли цивільного реєстру.
Повідомляється, що на початковому етапі Claude попереджав користувача про незаконний характер його намірів. Проте згодом чат-бот виконав запити та, за наявною інформацією, здійснив тисячі команд у державних комп’ютерних мережах.
Коли Claude стикався з труднощами або потребував уточнень, хакер звертався до ChatGPT, який надавав пояснення, що допомагали планувати подальші кроки кібератаки.
Особу зловмисника поки не встановлено. Атаки офіційно не пов’язують із жодним хакерським угрупованням, однак компанія Gambit Security припустила, що за інцидентом може стояти іноземна держава. Наразі також невідомо, яким чином хакер планує використати викрадені дані.
Румунія заявила про масштабну кібероперацію РФ проти критичної інфраструктури – ЦПД
Голова Нацуправління кібербезпеки Румунії Дан Чимпян заявив про масштабну кібероперацію РФ проти критичної інфраструктури країни. Про це 25 лютого повідомляє Центр протидії дезінформації при РНБО України.
“Голова Національного управління кібербезпеки Румунії Дан Чимпян заявив, що нещодавні атаки були частиною гібридної операції Москви, спрямованої на дестабілізацію ситуації всередині держави. Протягом останніх місяців хакери атакували національне агентство водних ресурсів, оператора нафтопроводів та великий енергетичний комплекс. Використовувалися програми-вимагачі (ransomware). Характерно, що атаки збігалися з піковими зимовими навантаженнями та важливими політичними рішеннями щодо підтримки України”, – йдеться у повідомленні.
Зазначається, що відповідальність брали на себе російськомовні хакерські угруповання Quilin і Gentlemen. Така тактика дозволяє Кремлю діяти через кримінальні мережі, зберігаючи формальну “непричетність”.
Як заявили у ЦПД, метою цих атак є перевірка стійкості енергосистеми, створення соціальної напруги й тиск на країну-члена НАТО. Це черговий прояв гібридної агресії РФ проти Європи, що потребує посилення кіберзахисту та координації союзників.
Хакери зламали нумізматичний магазин Нацбанку
Інтернет-магазин нумізматичної продукції Національного банку України тимчасово недоступний унаслідок кібератаки на компанію-підрядника. Про це повідомила пресслужба НБУ в четвер, 19 лютого.
“Інтернет-магазин нумізматичної продукції тимчасово недоступний унаслідок кібератаки на компанію-підрядника. Потенційно зловмисники могли отримати доступ до персональної інформації користувачів інтернет-магазину, а саме: ім’я/прізвище, номер телефону, e-mail, адреса доставки нумізматичної продукції. Водночас жодні ваші фінансові дані – реквізити платіжних карток, інша конфіденційна інформація, пов’язана з банківськими операціями, не скомпрометовані”, – йдеться у повідомленні.
Зазначається, що системи захисту даних та інформаційні системи Нацбанку працюють у штатному режимі. Наразі вживаються необхідні заходи для з’ясування обставин інциденту та оцінки його можливих наслідків. НБУ спільно з постачальником послуг працює над усуненням наслідків інциденту.
В Іспанії хакер бронював елітні готелі за один євроцент
У Мадриді затримали 20-річного хакера, який резервував номери у люксових готелях за мінімальними цінами і надурив заклади приблизно на 20 тисяч євро. Про це повідомляє Europa Press у середу, 18 лютого.
Розслідування почалось на початку лютого після скарги туристичного агентства, яке помітило численні дивні замовлення через свою платформу.
Правоохоронці встановили особу підозрюваного та знайшли його в елітному готелі Мадрида, де юнак забронював на чотири доби номер вартістю близько 1000 євро за ніч.
Хакер знайшов спосіб втрутитися в операцію валідації платежу, і замість реальної вартості заброньованого номера система визнала оплату дійсною із символічним одним євроцентом. Юнак також користувався мінібарами у готелях і не платив за послугу.
Скільки всього закладів постраждали від його хитрощів, не уточнюють.
Нагадаємо, британський банкір та мільйонер 740 разів проїхав поїздом без квитка. Суд засудив його до 10 місяців позбавлення волі умовно, 80 годин громадських робіт та заборони користуватися послугами залізниці протягом року. Гачки шахраїв: про що слід пам’ятати, щоб не стати жертвою зловмисників
МО: Українські хакери обдурили росіян зі Starlink
Міноборони України у четвер, 12 лютого, повідомило про успішну операцію із виявлення та блокування російських терміналів Starlink. Завдяки спільним зусиллям вітчизняних кіберфахівців вдалося отримати дані про майже 2,5 тисячі пристроїв, що використовувалися ворогом, і заблокувати їх.
Як інформує МО, операцію проводили 256-та кіберштурмова дивізія, волонтерська спільнота InformNapalm та активіст Сергій Стерненко.
“Вдалося зібрати дані про 2420 ворожих терміналів та їх точні місця знаходження. Крім того, росіяни, які скористалися ботом, ще й накидали донатів на 5870 доларів, які Сергій спрямує на закупівлю додаткових дронів. Термінали Starlink заблоковані, а координати передані для опрацювання”, – сказано у повідомленні Міноборони.
Міністр оборони України Михайло Федоров на пресконференції після засідання Рамштайну підтвердив факт блокування доступу Росії до супутникового зв’язку через Starlink і зазначив, що ця операція є лише початком масштабних дій у цьому напрямку.
Нагадаємо, операція з блокування російських Starlink стартувала після численних повідомлень про використання цієї технології у військових дронах ворога. Українська сторона негайно звернулася до компанії SpaceX для вирішення проблеми. Міноборони у взаємодії з інженерами компанії Space X вдалося відключити нелегальні термінали Starlink. Пізніше стало відомо, що ворог намагається нелегально активувати термінали Starlink.
Альтернатива Starlink: що придумали росіяни
Кілька державних органів зазнали кібератак – Держспецзв’язку
Національна команда реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA фіксує нову хвилю цілеспрямованих кібератак із використанням свіжої вразливості у Microsoft Office. Вони спрямовані на державні органи України та організації в країнах ЄС. Про це повідомляє Державна служба спеціального зв’язку та захисту інформації України в понеділок.
“26 січня 2026 року Microsoft повідомила про небезпечну вразливість у програмах Office (CVE-2026-21509). Вже наступного дня зловмисники створили шкідливий документ на тему консультацій ЄС щодо України, у якому було використано цю вразливість, та розпочали масову атаку на українські органи влади.
Під виглядом розсилки від Укргідрометцентру вони надіслали на понад 60 адрес міністерств та відомств шкідливі листи з файлом “BULLETEN_H.doc”, який при відкритті давав хакерам доступ до комп’ютера жертви”, – йдеться в повідомленні.
На сайті CERT-UA сказано, що відкриття цього документу за допомогою програми Microsoft Office призводить до встановлення мережевого з’єднання із зовнішнім ресурсом з використанням протоколу WebDAV.
“Успішний запуск останнього призведе до створення на комп’ютері DLL-файлу “EhStoreShell.dll” (маскується під файл бібліотеки “Enhanced Storage Shell Extension”), файлу-зображення з шелкодом “SplashScreen.png”, зміни значення шляху в реєстрі Windows для CLSID {D9144DCD-E998-4ECA-AB6A-DCD83CCBA16D} (реалізація COM hijacking) та створення запланованої задачі OneDriveHealth”, – йдеться в повідомленні.
Фахівці рекомендують встановити оновлення від Microsoft та/або виконати налаштування реєстру Windows, як вказано в офіційних інструкціях, а також обмежити або ретельно перевіряти зв’язок із хмарним сховищем Filen (filen.іо).
На сайті CERT-UA повідомляється, що хакери з угруповання UAC-0001 (APT28) здійснюють кібератаки проти України та країн ЄС з використанням експлойту CVE-2026-21509 (CERT-UA#19542).
Польща звинуватила спецслужби РФ у кібератаках на енергетику
Представники польської влади заявили, що серія кібератак, здійснених наприкінці грудня, ймовірно, була організована російськими розвідувальними службами. Удару зазнали близько 30 об’єктів відновлюваної енергетики, промислове підприємство та теплоелектростанція, яка забезпечує опаленням майже пів мільйона мешканців. Про це повідомляє Reuters у п’ятницю, 30 січня.
За даними агентства, цей інцидент став найсерйознішим за останні роки, згідно із заявою польської команди реагування на комп’ютерні надзвичайні ситуації. Експерти охарактеризували атаки як повністю руйнівні, порівнявши їх із цілеспрямованим підпалом. Особливе занепокоєння викликає те, що хакерські дії були здійснені під час сильних морозів і снігових бур, безпосередньо перед новорічними святами.
Польська сторона вважає, що за атаками стоїть хакерський підрозділ Федеральної служби безпеки Росії (ФСБ), а саме структура, відома як “Центр 16”. Групи хакерів, пов’язані з цією службою, ідентифікуються під назвами Berserk Bear та Dragonfly. Метою зловмисників було повне знищення інформації в системах теплоелектростанції, однак завдяки ефективним кіберзахисту вдалося запобігти реалізації цього плану.
Російська влада традиційно заперечує будь-яку причетність до кібератак у Європі, а представники російського посольства утрималися від коментарів на запити медіа, повідомляють в агентстві.
Водночас словацька компанія ESET провела власний аналіз ситуації і припустила участь іншого угруповання – Sandworm, яке пов’язують із військовою розвідкою РФ. Експерти наголошують на подібності шкідливого програмного забезпечення до попередніх атак Росії і не виключають одночасної діяльності кількох хакерських груп у межах цієї операції.
Варто зазначити, що міністр цифровізації Польщі Кшиштоф Гавковський раніше заявляв про масштабну кібератаку Росії в кінці 2025 року, через яку країна була на межі енергетичного колапсу.
Крім того, прем’єр-міністр Польщі Дональд Туск підтвердив існування ознак можливої причетності російських спецслужб до підготовки атак на енергетичну інфраструктуру країни.
В Україні викрили найнебезпечнішу останнім часом міжнародну хакерську групу
Українські правоохоронці разом із колегами з інших країн розкрили діяльність міжнародного хакерського угруповання, яке вчиняло атаки на компанії по всьому світу. За попередніми оцінками, завдані збитки становлять близько 1,5 мільйона доларів США. Група складалася з понад 20 осіб, із них семеро перебувають в Україні. Їхні дії включали злам паролів, створення шкідливого коду та вимагання викупу у криптовалюті за відновлення доступу до систем. Один з підозрюваних також підозрюється у поширенні шкідливого програмного забезпечення BlackBasta, що розслідується в Німеччині. Українські та німецькі слідчі провели обшуки, вилучивши комп’ютери, телефони та інші докази. Ця операція стала можливою завдяки співпраці між країнами та Europol. Група спеціалізувалася на кібератаках на компанії та урядові установи, особливо в розвинених країнах. Підозрюваного лідера розшукує Interpol. Вважається, що це одне з найнебезпечніших хакерських угруповань останніх років.
Розвідка КНР отримала доступ до листування співробітників Конгресу США – ЗМІ
Доступ до електронних скриньок співробітників комітетів Конгресу США отримали хакери, які працюють на китайську розвідку. Про це повідомляє Financial Times.
Зазначається, що китайська розвідка в рамках SaltTypho onотримала доступ до систем електронної пошти, якими користуються деякі співробітники комітету Палати представників з питань Китаю, а також помічники комітетів у закордонних справах, комітеті з розвідки та комітеті з питань збройних сил.
Міністерство державної безпеки Китаю вже кілька років керує системою SaltTyphoon. Вона дозволяє Китаю отримувати доступ до незашифрованих телефонних дзвінків, текстових повідомлень та голосової пошти майже кожного американця.
За словами людей, знайомих з кампанією, Salt Typhoon також перехоплював дзвінки високопосадовців США протягом останніх кількох років.
Як зазначив Джейк Салліван, ексрадник з національної безпеки колишнього президента Джо Байдена,американські телекомунікаційні компанії “дуже вразливі” до Salt Typhoon.
Посольство Китаю в США зі свого боку заперечило звинувачення щодо Salt Typhoon. Так, речник посольства Лю Пен’юй заявив, що Пекін рішуче виступає проти необґрунтованих спекуляцій та звинувачень з боку США.
Нова інформкампанія є однією з багатьох кібершпигунських зусиль китайської розвідки, спрямованих на інфраструктуру США.
У 2024 році ФБР та інші американські агентства заявили, що спонсорована китайською державою хакерська група проникла в енергетичні, транспортні та комунікаційні системи США таким чином, що це допомогло б Китаю у разі конфлікту з Штатами.
Раніше Міністерство фінансів США планувало запровадити санкції проти суб’єктів мобільних служб зв’язку через , Salt Typhoon, але змінило курс через побоювання, що це зірве розрядку, досягнуту президентом Дональдом Трампом і лідером Китаю Сі Цзіньпіном.