Порвали два трояна
الذهاب إلى القناة على Telegram
Про ИБ в бизнесе, промышленности и многом другом 💼 Главный канал Kaspersky: @kasperskylab_ru Связь @KasperskyCrew
إظهار المزيد9 392
المشتركون
-124 ساعات
+27 أيام
-1230 أيام
جاري تحميل البيانات...
القنوات المماثلة
سحابة العلامات
الإشارات الواردة والصادرة
---
---
---
---
---
---
جذب المشتركين
يوليو '26
يوليو '260
في 0 قنوات
يونيو '26
+61
في 5 قنوات
Get PRO
مايو '26
+82
في 4 قنوات
Get PRO
أبريل '26
+79
في 3 قنوات
Get PRO
مارس '26
+116
في 8 قنوات
Get PRO
فبراير '26
+136
في 9 قنوات
Get PRO
يناير '26
+191
في 3 قنوات
Get PRO
ديسمبر '25
+434
في 15 قنوات
Get PRO
نوفمبر '25
+89
في 2 قنوات
Get PRO
أكتوبر '25
+161
في 12 قنوات
Get PRO
سبتمبر '25
+96
في 3 قنوات
Get PRO
أغسطس '25
+129
في 5 قنوات
Get PRO
يوليو '25
+287
في 23 قنوات
Get PRO
يونيو '25
+62
في 2 قنوات
Get PRO
مايو '25
+337
في 7 قنوات
Get PRO
أبريل '25
+368
في 12 قنوات
Get PRO
مارس '25
+136
في 19 قنوات
Get PRO
فبراير '25
+106
في 5 قنوات
Get PRO
يناير '25
+136
في 4 قنوات
Get PRO
ديسمبر '24
+959
في 13 قنوات
Get PRO
نوفمبر '24
+573
في 6 قنوات
Get PRO
أكتوبر '24
+287
في 9 قنوات
Get PRO
سبتمبر '24
+1 009
في 5 قنوات
Get PRO
أغسطس '24
+151
في 4 قنوات
Get PRO
يوليو '24
+180
في 9 قنوات
Get PRO
يونيو '24
+150
في 11 قنوات
Get PRO
مايو '24
+125
في 3 قنوات
Get PRO
أبريل '24
+655
في 9 قنوات
Get PRO
مارس '24
+1 061
في 12 قنوات
Get PRO
فبراير '24
+126
في 3 قنوات
Get PRO
يناير '24
+111
في 5 قنوات
Get PRO
ديسمبر '23
+513
في 17 قنوات
Get PRO
نوفمبر '23
+734
في 16 قنوات
Get PRO
أكتوبر '23
+577
في 11 قنوات
Get PRO
سبتمبر '23
+159
في 0 قنوات
Get PRO
أغسطس '23
+84
في 0 قنوات
Get PRO
يوليو '23
+71
في 0 قنوات
Get PRO
يونيو '23
+380
في 0 قنوات
Get PRO
مايو '23
+114
في 0 قنوات
Get PRO
أبريل '23
+60
في 0 قنوات
Get PRO
مارس '23
+68
في 0 قنوات
Get PRO
فبراير '23
+50
في 0 قنوات
Get PRO
يناير '23
+36
في 0 قنوات
Get PRO
ديسمبر '22
+83
في 0 قنوات
Get PRO
نوفمبر '22
+1 536
في 0 قنوات
Get PRO
أكتوبر '22
+603
في 0 قنوات
Get PRO
سبتمبر '22
+45
في 0 قنوات
Get PRO
أغسطس '22
+43
في 0 قنوات
Get PRO
يوليو '22
+387
في 0 قنوات
| التاريخ | نمو المشتركين | الإشارات | القنوات | |
| 01 يوليو | 0 |
منشورات القناة
〰️ Угрозы МСБ в 2026 году
Небольшие бизнесы остаются привлекательной мишенью злоумышленников. Участились случаи, когда МСБ атакуют ради проникновения в более крупную компанию, куда жертва поставляет товары или услуги.
В проанализированных даркнет-публикациях около 40% брокеров первоначального доступа описывают жертву как компанию малого бизнеса и 20% — среднего.
Методы проникновения в компании не претерпели существенных изменений, но популярность идей про внедрение ИИ в малом бизнесе отразились на структуре приманок. За год впятеро увеличилось число атак, где ВПО было замаскировано под клиенты популярных ИИ-сервисов, в первую очередь ChatGPT и Claude. Несмотря на это, львиную долю ВПО по-прежнему маскируют под мессенджеры и клиенты видеоконференций. Остаются в топе приманок и популярные офисные приложения.
Более подробная статистика ВПО и фишинга, нацеленных на малый бизнес, а также детальные рекомендации по защите опубликованы в отчёте на Securelist.
#статистика #МСБ @П2Т
| 2 | 🗣 ИИ в ИБ: как эволюционируют атака и защита
Когда: 1 июля 2026 в 11:00 и 15:00 (МСК)
В информационном шуме вокруг ИИ бывает сложно поймать момент, когда хайп и фантазии превращаются в важные тенденции. Именно этим займутся эксперты ведущих ИБ-компаний на онлайн-конференции AM Live. Тема огромная, поэтому мероприятие пройдёт в двух частях. Первая будет посвящена использованию ИИ в реальных атаках, а вторая — реалистичным и опробованным способам, в которых автоматизация помогает защитникам.
Темы первой части (в 11:00):
▶️ почему ИИ-фишинг всё сложнее отличить от реальной деловой переписки;
▶️ как ИИ усиливает атаки на учётные записи, пароли, токены и сервисные аккаунты;
▶️ может ли ИИ искать уязвимости и проводить разведку в инфраструктуре;
▶️ какой бизнес-процесс сегодня проще всего обмануть с помощью искусственного интеллекта;
▶️ какие три шага стоит сделать уже сейчас, чтобы подготовиться к новому поколению ИИ-атак.
Темы второй части (в 15:00):
▶️ семь ключевых сценариев использования ИИ — от SOC до управления уязвимостями;
▶️ как ИИ помогает выявлять фишинг, дипфейки и социальную инженерию;
▶️ можно ли заранее обнаружить подготовку к утечке или подозрительное поведение сотрудника;
▶️ как ИИ помогает в цифровой криминалистике;
▶️ может ли ИИ прогнозировать вероятность эксплуатации уязвимости с учётом контекста компании;
▶️ какие действия можно доверить ИИ уже сейчас.
👤 От «Лаборатории Касперского» выступят Георгий Кучерин и Андрей Гунькин.
Встречаемся уже завтра: 1 июля 2026
Нужна предварительная регистрация.
Узнать о конференции и зарегистрироваться ⟶
#события @П2Т | 649 |
| 3 | 📊 Переводим эффективность кибербеза на понятный для CEO язык цифр
Анна Кулашова, вице-президент «Лаборатории Касперского» по развитию бизнеса в России и СНГ, в интервью «Коммерсанту» рассказала о ROI-калькуляторе — инструменте для оценки эффективности инвестиций в ИБ. Его бета-версию мы представили на ПМЭФ 2026.
В интервью обсудили:
🟢как работает ROI-калькулятор и какая методология лежит в его основе;
🟢кому этот инструмент будет полезен в первую очередь;
🟢какие данные и метрики получает пользователь;
🟢можно ли с ним работать без опыта в ИБ.
▶️ Читайте по ссылке | 721 |
| 4 | FortiBleed ещё хуже, шифровальщики для мейнфреймов и другие важные исследования APT и новости ИБ
🟢Технический анализ ВПО SharkLoader, применявшегося в атаках на организации в Индонезии, Гонконге, Колумбии, Сербии, Ливане, Тайване и других регионах. Среди жертв доминируют госорганизации и разработчики ПО. Компрометация происходит через эксплуатацию публично доступных приложений и пограничных устройств, а в итоге жертвам устанавливают имплант Cobal Strike. В некоторых случаях атакующие также используют дропперы, замаскированные под легитимное ПО, применяемое в бизнесе. В известных атаках не наблюдалась постэксплуатационная активность, кроме закрепления в системе, поэтому цели атакующих пока не ясны.
🟢Разбор любопытного троянца и инфостилера GasLight для macOS, который предположительно создан кластером Lazarus и содержит в своих текстовых строках целый набор промпт-инъекций, призванных сбить с толку набирающие популярность ИИ-помощники для анализа ВПО.
🟢Анализ кампании FortiBleed привёл к обнаружению ВПО FortigateSniffer, способного использовать диагностические возможности FortiOS для перехвата проходящих через устройство пакетов и извлечения данных аутентификации двух десятков популярных протоколов.
🔵Новый бэкдор Mistic (MLTBackdoor) предположительно создан брокерами первоначального доступа Woodgnat/KongTuke и используется на начальных стадиях вымогательских операций, в основном Qilin. Запускается в системе с помощью DLL sideloading и в дальнейшем работает как бесфайловое ВПО.
🔵Интересный обзор атак на системы очистки и подачи воды по всему миру за период с 2024 по 2026 г.
🟣Новая вредоносная кампания распространяет вредоносные сценарии VBScript через сообщения в мессенджере. Жертвы кампании обнаружены в США, России, Бразилии, Мексике, Индии, Великобритании, и других странах, но больше всего их в Малайзии. В конечном счёте жертвам устанавливают легитимное ПО удалённого управления (RMM) ManageEngine.
🟣Новая платформа PhaaS под названием Bluekit обходит алгоритмы антифрода с помощью изощрённой тактики «браузер посередине». Вход в учётную запись жертвы происходит в браузере, запущенном на сервере атакующих, а фишинговый сайт в реальном времени транслирует жертве эту сессию с помощью легитимного инструмента rrweb.
🟣Технический анализ новой версии Millenium RAT 4.0 и профиль операторов, предлагающих это ВПО по модели MaaS.
🔵Новая тактика ClickFix на macOS — выполнение команды монтирует вредоносный образ DMG и запускает инфостилер.
🔵На одном из серверов INC Ransomware обнаружены сборки ВПО для экзотических архитектур целевых серверов, включая мейнфреймы IBM Z. Правда, авторы исследования не уверены в работоспособности и эффективности этих образцов.
🟣Технический анализ бэкдора STOCKSTAY, написанного на .NET и используемого APT Turla.
🟣Разбор вредоносной кампании, использующей уязвимость в Langflow (CVE-2026-33017) для запуска криптомайнинга на мощных серверах, предназначенных для ИИ-задач.
🟣Технический анализ Linux-ВПО MYRA, распространявшегося через npm. Исследователи предполагают, что это может быть инструментом редтиминга.
🔴В США обязали госучреждения перевести критические ИТ-системы на постквантовые алгоритмы согласования ключей до конца 2030 года, и на постквантовые цифровые подписи до конца 2031.
#дайджест #APT @П2Т | 744 |
| 5 | 🌎🚀29 лет бережем мир от киберугроз и не планируем останавливаться!
Мидори уже защищает другие планеты — в нашем новом праздничном ролике. Смотрим! | 901 |
| 6 | 🔥 Как ИИ изменил индустрию ИБ в 2026 году?
Именно этой широкой теме посвящён первый выпуск нового сезона подкаста «Смени пароль».
🟣Что опаснее — ИИ, который пишет уязвимости, или ИИ, случайно стирающий важные данные?
🔵Почему традиционный подход к патчингу терпит крах?
🟣Зачем нужен AI firewall и что такое ML SecOps?
🔵Нужно ли бороться с ИИ-ботами, которые тащат контент с веб-сайтов, и как это происходит уже сегодня?
🟣Почему защита «human in the loop» плохо работает на практике?
Обсуждаем проблемы слишком самостоятельного искусственного интеллекта с Владиславом Тушкановым, руководителем группы исследований технологий машинного обучения в «Лаборатории Касперского».
🟢 Слушать подкаст
#ИИ @П2Т | 1 110 |
| 7 | 🏭 Крупные инциденты в промышленной кибербезопасности становятся опасной нормой
Три инцидента из отчёта Kaspersky ICS CERT за первый квартал 2026 года хорошо показывают, как атаки на АСУ ТП изменились не только по уровню сложности, но также по масштабу и последствиям.
Инцидент с Intoxalock продолжался шесть дней и оставил водителей по всей территории США без возможности пользоваться автомобилями. Их «алкозамки» с блокировкой зажигания требовали серверной калибровки, но не могли подключиться из-за отказа систем поставщика. До восстановления сервиса автомобили было невозможно завести.
В порту Виго в конце марта атака вымогателей затронула серверы управления грузопотоком. Грузовые операции пришлось перевести в ручной режим, при этом сроки восстановления не назывались.
Инцидент у Hazeldenes затронул переработчика куриного мяса, который не смог выполнять заказы, поскольку лишился возможности упаковывать продукцию. Сбой привёл к дефициту курятины по всему штату в пабах и магазинах, а сама компания не могла вернуться к штатному производству в течение пяти недель.
Однако самая опасная и потенциально наиболее разрушительная атака была предотвращена. В Польше по заявлению местных властей APT атаковала автоматизированные системы управления ТЭЦ и инфраструктуру управления объектами возобновляемой энергетики с использованием вайпера.
Всего в первом квартале был публично подтверждён 131 инцидент, причём крупнейшей целью оказался производственный сектор, на который пришлось более 36% всех случаев.
🌐 Полный разбор и описания ключевых инцидентов доступны на сайте Kaspersky ICS CERT.
#ICS #статистика @П2Т | 1 163 |
| 8 | 📈 Оценка LLM в пентестинге
Эксперты Лаборатории Касперского и Сбера опубликовали научную работу, в которой предложили новую методику оценки языковых моделей для задач тестирования на проникновение (пентеста). Самое интересное — бенчмарк имеет два измерения: отдельно оцениваются планирование атак и их исполнение. Это позволяет понять сильные и слабые места различных моделей и по необходимости строить эффективные ансамбли LLM в агентских системах.
Среди протестированных моделей, лучшие результаты в планировании показали Sonnet 4.5, GPT-5 и Gemini 2.5 Pro, а лидерами в исполнении стали GPT-5, Qwen3 Max, GLM 4.6. Успешность у обеих групп чемпионов — от 72% до 78%.
Среди наиболее частых ошибок, допущенных моделями в эксперименте: синтаксические ошибки при запуске инструментов, дрифт (частичная или полная смена долгосрочной цели), галлюцинации и потеря контекста. Ожидаемая и часто встречающаяся проблема отказов выполнять задачу (refusals) отдельно не посчитана.
Исследование доступно по лицензии CC BY 4.0, поэтому бенчмарк можно использовать для оценки других моделей, используемых в организации.
#советы #ИИ @П2Т | 1 516 |
| 9 | 🤖 Автономный SOC: конечно, дело не только в ИИ
Многие команды SOC пытаются развернуть ИИ-агентов поверх того, что есть в организации: разношёрстной телеметрии, фрагментированных интеграций и недостаточной операционной дисциплины. В результате ИИ-система в принципе не может показать хорошие результаты из-за низкого качества исходных данных и отсутствия бизнес-контекста. Аналитики будут законно испытывать к выводам ИИ недоверие, а автоматизация лишь сделает существующие пробелы более явными.
Помимо этих фундаментальных организационных проблем, при внедрении ИИ нужно устранять и набор новых рисков. Недетерминированные ответы моделей, слабый audit trail, уязвимость к инъекциям (в том числе через логи) могут отпугнуть даже организацию со зрелым SOC. Впрочем, уже начинают вырисовываться модели контроля, способные закрыть именно эти проблемы: агенты с узкой зоной ответственности, детерминированное исполнение для критических действий, пайплайны контроля и многоуровневая автономность вместо режима «полного автопилота».
Такой подход показывает реальное направление серьёзной автоматизации SOC: речь идёт не столько о полной автономной замене аналитиков, сколько о контролируемых агентских рабочих процессах с явными ограничителями и чёткими процессами согласования.
#ИИ #SOC @П2Т | 1 236 |
| 10 | 🔥 FortiBleed — список жертв расширяется
Список хостов и фирм, затронутых кампанией по похищению и анализу учётных данных с устройств Fortinet, всё расширяется — теперь счёт дошёл уже до 86000 железок. Данные выборочно подтверждены как достоверные, более того, в ряде компаний сообщили о выявленной компрометации инфраструктуры. 86 тысяч — это примерно половина всех Фортиков, доступных из Интернета. У многих из этих устройств в сеть торчат и интерфейсы управления. 🤦♂️
Судя по анализу, проведённому независимыми исследователями, учётки были получены экспортом конфигурации устройств, поскольку база содержит данные, которые обычно встречаются только в конфигурационных файлах. Злоумышленники смогли подобрать пароли администраторов, используя взлом хэшей SHA-256, хранившихся в конфигурациях. В прошлом году Fortinet перешла на более безопасное хэширование, однако многие устройства до сих пор либо не обновлены, либо содержат неактивные учётные записи администраторов, владельцы которых не входили в систему с момента перехода с SHA-256 на PBKDF2.
Fortinet настаивает, что о новой уязвимости речи не идёт. Компания связывает сбор учётных данных с комбинацией повторного использования паролей после трёх ранее раскрытых уязвимостей обхода аутентификации (две были закрыты в декабре, ещё одна в январе) и атак на устройства со слабыми паролями и без включённой многофакторной аутентификации. Fortinet уже начала уведомлять затронутых клиентов и подключила правоохранительные органы.
Если вы (ещё) используете FortiGate, первоочередные шаги очевидны:
➡️ завершить все активные сессии администраторов и пользователей на устройстве;
➡️ обновиться до версий прошивки с поддержкой хэширования паролей PBKDF2;
➡️ выполнить ротацию всех учётных данных;
➡️ принудительно включить MFA для всех администраторских и пользовательских аккаунтов;
➡️ ограничить внешний доступ к интерфейсам управления только доверенными хостами.
Дополнительно рекомендуется проверить учётные записи на предмет несанкционированных изменений, просмотреть журналы доступа администраторов и при любых подозрительных находках запускать полноценное реагирование на инцидент, по необходимости — с привлечением внешних экспертов.
#новости @П2Т | 1 152 |
| 11 | Интересные исследования APT и новости ИБ за неделю
🧐 Подробный разбор вторжений APT UNC6508 в американские компании здравоохранения, предположительно с целью шпионажа. Атакующие компрометировали серверы REDCap, позднее устанавливали ВПО INFINITIRED и воровали учётные данные и переписку
😵💫 Крайне опасная история разворачивается с Fortibleed — в Интернете опубликованы админские учётные данные более 75 тыс. Фортиков, многие из которых по-прежнему действительны. Предполагается, что файлы конфигурации, включая хэшированные SHA-256 пароли, выкачали через уязвимость (возможно в Fortigate Management Interface), а затем восстановили пароли перебором.
😑 Очередная атака на npm проведена через компоненты популярного ИИ-фреймворка Mastra, пострадало минимум 140 пакетов. Примечательно, что это совершенно другое ВПО и вероятно другой актор, ничего общего с Шай-Хулудами.
😐 Технический анализ троянца Backdoor.Turn, применяемого группировкой Dragonforce. Он написан на Go, использует TURN-серверы MS Teams для маскировки трафика С2, а также использует экзотические уязвимые драйверы Huawei для отключения СЗИ.
🤨 Разбор новых атак APT-C-48, направленных на правительственные, научные, образовательные и медицинские организации в ЮВА. Атака начинается с вредоносных писем, маскирующихся под резюме.
🤔 Технический анализ нового ВПО, работающего целиком в памяти, и используемого APT Patchwork/Dropping Elephant.
😬 Шифровальщик Deadlock использует блокчейн Polygon не только в качестве С2, но и для хранения данных о жертвах, фактически это «сайт утечек» (DLS) вымогателей.
🤡 Подробный разбор сложного ВПО, распространяющегося через USB-носители, но ворующего в основном данные криптокошельков.
👾 Технический анализ ВПО, распространяемого через Steam Workshop и приложение Wallpaper Engine.
🌚 Интересный кейс: скомпрометированный терминальный сервер в организации использовался для рассылки фишинга, а вредоносные вложения размещались на скомпрометированном сайте, принадлежащем госструктуре в Боливии.
👀 Рекомендации по разбору eBPF-руткитов на примере Scales, инфостилера из недавней компрометации пакетов Arch Linux.
🍄 Анализ новых Windows-вариантов ВПО SprySOCKS, ранее замеченного только на Linux.
🗿 Технический анализ ботнета Arystinger, компрометирующего роутеры на базе чипа RTL819X для включения в сеть домашних прокси.
😈 Разбор троянца и инфостилера для MacOS, распространяющегося через кампании ClickFix и основанного на AppleScript.
👌 И немного приятных новостей: китайская полиция арестовала почти 70 подозреваемых в причастности APT Silver Fox.
#дайджест #APT @П2Т | 1 068 |
| 12 | Помаши рукой капче, блокировки в Anthropic, шпионы смарт-ТВ и другие важные новости конфиденциальности и личной ИБ
⚽️ Вокруг ЧМ-2026 по футболу развернулась традиционная сеть мошеннических кампаний: фальшивые сайты (платных) трансляций, угон аккаунтов, ставки и коллекционные предметы.
😎 Мощное обновление сервиса reCAPTCHA — чтобы доказать, что вы не робот, надо будет помахать рукой в веб-камеру. Google, конечно, мамой клянётся, что записывается только движение рук, без аудио, и потом сразу всё удаляется, но мы таких клятв уже видели сотни.
🆔 Apple перенесёт адреса email своего приватного сервиса hide my email на отдельный поддомен private.icloud.com, который немедленно начнут блокировать те, кто хочет собирать данные о пользователях. 🤦♂️
👀 Anthropic заблокировала модель Fable 5 для всего мира, поскольку не может соблюдать ограничения экспортного контроля и предоставлять сервис только гражданам США. Мы заглянули в хрустальный шарик и вангуем, что новые модели будут подключать клиентам буквально по паспорту. Некоторым приходится предъявлять документики уже сейчас, но у этой практики есть все шансы радикально расшириться.
👾 В Roblox появились специальные типы аккаунтов для детей до 8 лет и до 15 лет, с дополнительными ограничениями и возможностями родительского контроля.
🔄 В Chrome 150 окончательно отключат Manifest v2, поэтому мощные блокировщики рекламы станут менее мощными. То же самое будет в Opera и Edge, так что пора смотреть на альтернативы (об этом у нас есть материал).
🟣Разбор безопасности нового и якобы приватного мессенджера Xchat от одного известного в узких кругах триллионера.
🟣В запрещённой соцсети на букву F производства экстремистской META нынче невесело — по статистике, с начала 2025 года там взрывными темпами растёт деструктивный контент: призывы к насилию, унизительные и провокационные комментарии и тому подобное. Основная причина по словам исследователей — снижение активности модераторов в два раза (их штат резко сократили).
📱 Вероятность невольно присоединиться к сети домашних прокси всё растёт: к новым кампаниям вокруг хорошо известных Android-приставок добавились истории про смарт-ТВ на базе Tizen и WebOS.
🟢Впрочем, даже если не ставить подозрительные приложения, смарт-ТВ как минимум сольёт ваши данные. В Великобритании начали серьёзное расследование незаконных практик сбора данных и выпустили руководство для производителей умных устройств, которому производителям придётся соответствовать.
🍏 В iOS 27 можно будет автоматически менять пароли в онлайн-сервисах, если они оказались скомпрометированы. Якобы, с помощью ИИ, хотя что он там должен делать, не очевидно.
🟢Microsoft идёт по следам Google и Mozilla и тоже переводит Edge на выпуск новых релизов раз в две недели. Обещают быстрее закрывать уязвимости, которые в последние месяцы появляются сотнями.
#дайджест @П2Т | 1 251 |
| 13 | Наши эксперты заметили, что с начала 2026 года группировка VasyGrek (Fluffy Wolf) расширила географию своих жертв — теперь она атакует не только российские организации. Обновился и арсенал: в новых атаках засветились .vbs-дроппер и .com-стилер, написанный на Rust.
Атака VasyGrek обычно начинается с письма, содержащего вредоносный файл либо ссылку. Дальше реализуется цепочка заражения в двух вариантах:
1) Обфусцированный .vbs/.bat-дроппер проверяет имя хоста, а затем скрытно запускает закодированный в Base64 вредоносный PowerShell-скрипт. Тот скачивает нагрузку с легитимных хостингов (pastefy.app, yaso.su, Supabase Storage), загружает .NET-сборку в память и внедряет её в доверенный системный процесс RegAsm.exe — без записи на диск.
2) Написанный на Rust .scr/.com-дроппер бэкдора PureRAT. При установке копирует себя в каталоги %APPDATA% либо %LOCALAPPDATA% и закрепляется в автозагрузке через реестр посредством модификации ветки HKCU\..\Run\ либо через планировщик задач (с использованием утилиты schtasks.exe либо командлета PowerShell Register-ScheduledTask). После закрепления бэкдор связывается с C2 для получения дальнейших инструкций (например, сбор конфиденциальных данных).
Как ловить атаку
Рекомендуем использовать индикаторы компрометации, которые перечислены ниже.
Архивы:
f681a2e311d2a0063a76c6af38082d01 doc_10022026_buh_1c.rar
f1298bcd8a7537be8c9a63a0df264b5c doc_23012026_1c_scan.rar
8130ad8c9b9c1022c7e966d4bde76b4f doc_03_02_2026_buh.rar
11d7b50333c37b7d6e7ccf373ba77505 doc_1c_buh5gr6gss3s3fv.rar
1511effebb7df8a2e5b3a741b106b59a акт сверки.rar
96b685a02c9bdaac285db9fe2b53a2d6 akt_sverki_1c.rar
611522aec29be78d9dafa4b59bf05a20 doc_05032026.rar
.bat-дропперы:
ccff0d0751956a32a5a2fbf13d3aeca0 1C_Doc_kopiya_6rf56rwergsw3frefrsw3_PDF.bat
4af7f1f3cbbef1a1313077d336399245 akt_sverki_04022026_buh_5fegrf6dsfvsffwffs_pdf.bat
9c67e8b55cb0f31270201efdb253ca8f doc_28012026_buh_ff56fdfdf6dfdfd_pdf.bat
7b82065f2017d60e6bfc1f0ed17cd2f9 doc_23012026_skrinshot_1C.bat
f228557b220276a5970246192991b315 aktsverki_1c_buh_pdf.bat
.vbs-дропперы:
11d7b50333c37b7d6e7ccf373ba77505 doc_1c_buh5gr6gss3s3f
.scr-дропперы на RUST:
c1d5a11476ccfeb6a6c2a8de41241d4c buh_1c_10022026_akt_sverki_ferr6rr66fe6efe6fef.scr
3d8fc69b17562108653a6d479cdc0278 doc_23012026_1c_scan.scr
d5732efd1103b6d3990a0bd865d7580d 17.03.2026_doc_pdf.scr
4d8e11ce449a8f51a7007da24f9c5eea doc_05032026_1C_buhrg56svr6v2r66sfsf3sf_PDF.scr
.com-дропперы на RUST:
c9e1f8b2d3e61bbda7d514a38f668c72 платежное поручение от 19.03.2026_pdf.com
48e6c3762469c0111a246c8d88b9b9b8 doc_buh_1C_akt_sverki_06032026_PDF.com
02baba775abf19be98776a86cb746eb2 doc_05032026_1C_akt_sverki_PDF.com
.com-стилер на RUST:
c0d909ecd9fdd83c14e4067654c42d8b akt_sverki_1c_buh_ef4ef6r6gege5gsfeergerge.com`
Domains:
supabase[.]co
modaaura[.]store
URLs:
pastefy[.]app/RoBl0TEe/raw
pastefy[.]app/3ocDEoXR/raw
pastefy[.]app/sLC7Jpkp/raw
yaso[.]su/raw/NNLwEwCU
modaaura[.]store/image.jpg?12711343
pixeldrain[.]com/api/file/Wm3ZnAJr
tzqfbgbyyatqtmhbqbzw.supabase[.]co/storage/v1/object/public/17032026/VC17032026upload.txt
wkhayejmdnobpaoaeim.supabase[.]co/storage/1/object/public/hfgfjjj/image.jpg?12711343
qruqdtwlkhwaztnfrkbq.supabase[.]co/storage/v1/object/public/26012026/stl26012026upload.txt
firebasestorage.googleapis[.]com/v0/b/remasd-6c702.firebasestorage.app/o/image.jpg?al=media&token=20664d8b-9f51-4fc0-8439-3cca14ea7fc4
firebasestorage.googleapis[.]com/v0/b/remasd-6c702.firebasestorage.app/o/image.jpg?alt=media&token=b9d8bf3e-b1eb-4c56-9434-d4af570d4a91
raw.githubusercontent[.]com/sergo20261/proxihost/refs/heads/main/stl28012026upload.txt
au72nuxzv2.ufs[.]sh/f/4LhV5B1sDCwIrgzpCwYKXE4gwWVSzU8Dck1rs5tJYqhnmpx6
raw.githubusercontent[.]com/novichkova0976/buhgalteriya/refs/heads/main/akt_sverki_06032026.rar | 1 240 |
| 14 | ▶️ EPSS v5
Empirical официально анонсировали EPSS v5 — новую версию одной из наиболее популярных методик приоритизации уязвимостей на базе вероятности реальной эксплуатации. На сайте FIRST пока доступны только данные v4, но в GitHub уже можно посмотреть на данные v5.
По методике авторов выходит, что точность предсказаний улучшилась на 23%. Этого удалось достичь не только калибровкой моделей на всех 318 тыс. ранее опубликованных CVE, но улучшением анализа сырых данных. Теперь глубже анализируют публичные источники вроде GitHub и точнее оценивают, насколько опасен код опубликованных эксплойтов.
Для защитников, использующих EPSS в своих процессах управления уязвимостями, приятной новостью станет бОльшая стабильность V5. Гораздо реже происходят резкие смены рейтинга EPSS для одной и той же уязвимости с течением времени.
#новости #уязвимости @П2Т | 1 669 |
| 15 | 🪲 Где живёт инфостилер? Разбираем логи.
Эксперты Kaspersky Digital Footprint Intelligence проанализировали более 5 млн файлов («логов»), которые операторы инфостилеров распространяют после извлечения данных с компьютеров своих жертв. Такой анализ позволяет узнать картину реальных заражений — от успешности разных штаммов до технических особенностей атак.
Подавляющее большинство заражений — суммарно две трети — проходило, когда ВПО запускалось всего из двух групп каталогов:
C:\Users\<User>\AppData\Local\Temp\* и
C:\<Windows>\Microsoft.NET\Framework\<version>\
Большое количество записей, относящихся к каталогу Temp, может говорить о запуске вредоносного ПО без предварительного сохранения в какой-то конкретный каталог. В каталоги .NET обычно попадает ВПО, мимикрирующее под компоненты Microsoft или внедряющее себя в легитимный процесс для обхода средств защиты. Например, так делает Lumma Stealer.
В отчёте подробно проанализирован сценарий, когда ВПО запускается из папок, куда его сохранил пользователь, считая свою загрузку безвредной: Documents, Desktop, Downloads. Под маской полезных утилит, активаторов лицензионного ПО или модов игр чаще всего распространяются Lumma, Vidar, Stealc stealer, Risepro и REDLINE.
Примеры схем распространения ВПО, которые имеет смысл включить в ИБ-тренинги для сотрудников, приведены в полной версии отчёта.
#статистика @П2Т | 4 445 |
| 16 | 🔵 Новые APT и важные новости ИБ
👮♀️ Хактивистские группы, изначально позиционировавшие свою деятельность как атаки против России и Белоруссии, расширили географию и теперь атакуют организации в Казахстане, ОАЭ, Сирии и Египте, затрагивая государственный сектор, здравоохранение и авиацию. Известные вторжения обычно начинались с эксплуатации ProxyShell и установки веб-шеллов, после чего атакующие разворачивали инструменты RMM и C2-фреймворки вроде Sliver, Havoc и Mythic. Заканчивались атаки шифрованием, в том числе с применением нового ВПО ClearWater. Один из участников 4BID прямо заявил, что атаки на Россию больше не приносят прибыли, что указывает на усиливающуюся финансовую мотивацию.
⚙️ В ходе IR было выявлено вторжение, продолжавшееся почти 10 лет. APT Velvet Ant закрепилась внутри изолированной сети на объекте КИ без прямого доступа в интернет. Атакующий проник в изолированную среду через многоступенчатую цепочку с эксплуатацией доступных из Интернета Linux-систем и дальнейшим распространением через SSH. Механизм закрепления был основан на стеке аутентификации, включая девять модифицированных вариантов pam_unix.so с бэкдором и троянизированные файлы OpenSSH, которые перехватывали учётные данные и нажатия клавиш.
🔵 OceanLotus/APT32 переключилась с разведки на инвесторов фондового рынка и компанию, работающую в сфере инфраструктурного и транспортного строительства во Вьетнаме, в период с 2024 года по начало 2026. В одном из случаев первичный доступ был получен через компрометацию цепочки поставок сервера обновлений платформы для биржевой торговли, откуда вместе с легитимными обновлениями доставлялись вредоносные загрузчики. В операциях использовался бэкдор SPECTRALVIPER.
🔵Разведывательный ботнет JDY, связанный с кластером Volt Typhoon, пережил предыдущие попытки нейтрализации и вырос более чем вдвое, превысив отметку в 1500 скомпрометированных пограничных устройств. Среди затронутого оборудования — почти 500 устройств Cisco, а также техника Araknis, DrayTek, Hikvision и Linksys.
🟣Две шпионские кампании Khmer Shadow были направлены против государственных структур Камбоджи в оборонном секторе и сфере общественных работ. Доставка шла через письма с вредоносными архивами.
🔵Шестинедельная кампания APT UNK_DeadDrop затронула почти 100 организаций в финансах, криптовалютной сфере, образовании и технологиях. Злоумышленники использовали предложения работы для разработчиков и запросы на code review, чтобы убедить жертв клонировать вредоносные репозитории GitHub. Открытие такого репозитория в VS Code или Cursor запускало заранее настроенную задачу, которая выполняла кроссплатформенное ВПО для Windows, macOS и Linux, включая Go-бэкдор на базе фреймворка Overlord.
🔵Технический анализ BlueRabbit — бэкдора на Go, совмещающего удалённый доступ, профилирование системы, шифрование файлов и деструктивное затирание диска в одном инструменте. Он использует RabbitMQ для управления задачами, Redis для хранения состояния и MinIO для эксфильтрации, а закрепляется через запланированные задачи.
🟣Более 400 пакетов в Arch User Repository были скомпрометированы для распространения инфостилера в связке с eBPF-руткитом уровня ядра.
🍿 Anthropic приостановила глобальный доступ к моделям Fable 5 и Mythos 5, которые находились в публичном доступе всего 4 дня, после того как власти США задействовали полномочия в сфере национальной безопасности и потребовали от компании заблокировать доступ для всех иностранных граждан, включая сотрудников Anthropic и пользователей, находящихся в США. Основанием стали переданные правительством доказательства существования узкого, не универсального джейлбрейка к Fable 5. Поскольку выборочно ограничить доступ не удалось, Anthropic отключила эти модели для всех клиентов по всему миру и откатила пользователей на Claude Opus 4.8. Думаем, теперь такие приключения будут случаться чаще.
#дайджест #APT @П2Т | 1 488 |
| 17 | 🔎 Реальное использование LLM в атаках
Антропики выпустили матрицу покрытия ATT&CK, правда на свой лад — в ней цветами помечено, какие тактики и техники чаще всего пытаются автоматизировать с помощью Claude. Чем гуще красный — тем больше аккаунтов было заблокировано за попытку использовать ИИ на этом этапе атаки.
Авторы оговариваются, что исследование проводилось на относительно небольшой выборке заблокированных аккаунтов, по которым было достаточно информации, чтобы спроецировать запросы злоумышленников на матрицу.
Число злоумышленников, проводящих атаки средней и высокой степени сложности, выросло за год с 33% до 56%, демонстрируя, что входной порог в эту сферу деятельности снижается. При этом значительно выросло число атакующих, чьи операции охватывают полную цепочку kill chain, чем раньше могли похвастаться только продвинутые группы злоумышленников.
Чаще всего у Claude просят помощи в изготовлении ВПО и обфускации вредоносного кода, но значительно участились автономно или полуавтономно проводимые разведка, закрепление и извлечение данных в сети жертвы.
Немудрено, что в Fable 5 заблокированы все виды применения, даже отдалённо напоминающие задачи ИБ.
Более подробно нюансы автоматизации этих TTPs описаны в посте Anthropic RED.
#ИИ #статистика @П2Т | 1 734 |
| 18 | Защита конечных устройств — одна из основ кибербеза в компании. И одного антивируса для этого уже недостаточно. Поэтому многие вендоры предлагают платформы для защиты рабочих мест (EPP). Но какие возможности подобных решений действительно важны?
Собрали чек-лист с критериями выбора, который поможет оценить и выбрать платформу, готовую к современным киберугрозам. Главное — в карточках ⬆️
А ещё — узнайте больше о наших решениях для защиты малого, среднего и крупного бизнеса.
💙 Kaspersky в ВК
💬 Kaspersky в Max
💬 Порвали два трояна в Max | 1 643 |
| 19 | 👾 SANS: модель ИИ-зрелости
Расширяя ранее выпущенный «чертёж безопасного ИИ» (Secure AI Blueprint), эксперты SANS выпустили удобное руководство по самооценке ИИ-зрелости — AI Security Maturity Model. Оно позволяет оценить, на какой стадии сейчас находится организация, а затем сделать шаги, наиболее логичные для конкретной компании в конкретной индустрии, чтобы эту зрелость повысить, правильно оценить риски и расставить приоритеты.
Модель использует три измерения: protect, utilize, govern, то есть защита сценариев применения ИИ, использование ИИ-инструментов для задач кибербезопасности, а также управление инновациями, связанными рисками и ответственным использованием ИИ.
Уровень зрелости по этим трём измерениям у компаний обычно отличается, и именно эту асимметрию должна обнажить корректно проведённая самооценка. При этом и требования к зрелости не у всех одинаковы — у объекта КИИ и у стартапа на рынке электронной коммерции приоритеты будут разными.
Уровней зрелости определяют пять: от Unaware/Ad-hoc (полное отсутствие управления ИИ и политик), через reactive и defined (появляются базовые, а потом и полноценные политики и контролируемое развёртывание) вплоть до полумифических Adaptive (ИИ-агенты самостоятельно улучшают защиту организации).
Для каждого уровня даны индикаторы в разрезе процессов, технологий и персонала — на что смотреть, чтобы сказать «да это же мы». И сразу же перечислены основные шаги, которые нужно сделать для перехода на следующий уровень.
Поскольку документ писали практики, они хорошо знают разницу между красивыми отчётами и реальностью в компаниях. Поэтому методика оценки чётко описывает, какие доказательства должны существовать, чтобы принять результаты по каждому из измерений. Уровней качества шесть — от «нет никаких свидетельств того, что данная возможность или технология есть в организации», до «документированы политики, метрики, доказано итеративное улучшение метрик». Компания с доказанной зрелостью второго уровня скорее всего находится в лучшем положении, чем те, у кого уровень третий, но с низким качеством документации и свидетельств.
Авторы стремятся, чтобы методику использовали в организациях любого размера. Поэтому явно указывают в начале документа, как стоит трактовать те или иные рекомендации в зависимости от масштаба бизнеса.
#советы #ИИ @П2Т | 1 501 |
| 20 | 👀 Рекордный Patch Tuesday, 3 зиродея, долгожданные фиксы
Microsoft разразился обновлением, закрывающим 200 (!) уязвимостей в своих продуктах. Это для тех, кому не хватило в начале июня 360 (!!) закрытых дыр в Edge/Chromium. Вопрос, который нас остро интересует — это теперь так будет каждый месяц, или горшочек имени Mythos/MDASH/XBOW всё же перестанет варить с такой скоростью?
Впрочем, ИТ-админам не до философии. Нужно срочно закрывать целую пачку приоритетных уязвимостей, включая три, разглашённые до устранения. Всего в релизе 32 критические уязвимости, из которых 28 приводят к RCE. Всего в обновлении 65 дефектов приводят к повышению привилегий, 54 — к исполнению произвольного кода, 27 — спуфингу, 26 — утечке информации, 18 — обходу функций безопасности и 7 — DoS.
Среди трёх зиродеев самый интересный для нас — CVE-2026-50507, получивший скромный CVSS 6.8. Это фикс для обхода BitLocker под названием YellowKey, о котором мы писали ранее. Интересно, что в мае под этот дефект завели CVE-2026-45585, поэтому остаётся только гадать, зачем в Редмонде решили задублировать CVE. Microsoft благодарит за обнаружение уязвимости некоего анонимного исследователя. Возможно, это устранён обход майского патча, опубликованный неделю назад.
Другой дефект из того же источника, GreenPlasma, тоже устранён и получил идентификатор CVE-2026-45586. Это повышение привилегий через CTFMON.
Последним зиродеем в июне стала CVE-2026-49160, уязвимость из исследования HTTP/2 Bomb, приводящая к отказу в обслуживании HTTP.sys. К патчу в подарок прилагается бюллетень, объясняющий как пользоваться новыми настройками по ограничению числа заголовков HTTP/2 и HTTP/3.
Среди 200 багов нашлось место для трёх весьма неприятных «червеобразных» уязвимостей, каждая из которых приводит к исполнению произвольного кода на хосте после получения сетевого обращения без аутентификации. Каждая оценена в CVSS 9.8.
Самая сложная — CVE-2026-47291 в HTTP.sys, поскольку эксплуатация оценена как вероятная, а перед применением патча нужно скорректировать в реестре параметр MaxRequestBytes у сервиса HTTP.
Для двух других эксплуатация оценена как менее вероятная, но это уж как повезёт. CVE-2026-44815 затрагивает клиент DHCP, а CVE-2026-45657 — само ядро Windows.
#новости #уязвимости #Microsoft @П2Т | 1 591 |
متاح الآن! بحث تيليغرام 2025 — أهم رؤى العام 
