Порвали два трояна
الذهاب إلى القناة على Telegram
Про ИБ в бизнесе, промышленности и многом другом 💼 Главный канал Kaspersky: @kasperskylab_ru Связь @KasperskyCrew
إظهار المزيد9 406
المشتركون
+224 ساعات
+147 أيام
+730 أيام
جاري تحميل البيانات...
القنوات المماثلة
سحابة العلامات
الإشارات الواردة والصادرة
---
---
---
---
---
---
جذب المشتركين
يوليو '26
يوليو '26
+30
في 2 قنوات
يونيو '26
+61
في 5 قنوات
Get PRO
مايو '26
+82
في 4 قنوات
Get PRO
أبريل '26
+79
في 3 قنوات
Get PRO
مارس '26
+116
في 8 قنوات
Get PRO
فبراير '26
+136
في 9 قنوات
Get PRO
يناير '26
+191
في 3 قنوات
Get PRO
ديسمبر '25
+434
في 15 قنوات
Get PRO
نوفمبر '25
+89
في 2 قنوات
Get PRO
أكتوبر '25
+161
في 12 قنوات
Get PRO
سبتمبر '25
+96
في 3 قنوات
Get PRO
أغسطس '25
+129
في 5 قنوات
Get PRO
يوليو '25
+287
في 23 قنوات
Get PRO
يونيو '25
+62
في 2 قنوات
Get PRO
مايو '25
+337
في 7 قنوات
Get PRO
أبريل '25
+368
في 12 قنوات
Get PRO
مارس '25
+136
في 19 قنوات
Get PRO
فبراير '25
+106
في 5 قنوات
Get PRO
يناير '25
+136
في 4 قنوات
Get PRO
ديسمبر '24
+959
في 13 قنوات
Get PRO
نوفمبر '24
+573
في 6 قنوات
Get PRO
أكتوبر '24
+287
في 9 قنوات
Get PRO
سبتمبر '24
+1 009
في 5 قنوات
Get PRO
أغسطس '24
+151
في 4 قنوات
Get PRO
يوليو '24
+180
في 9 قنوات
Get PRO
يونيو '24
+150
في 11 قنوات
Get PRO
مايو '24
+125
في 3 قنوات
Get PRO
أبريل '24
+655
في 9 قنوات
Get PRO
مارس '24
+1 061
في 12 قنوات
Get PRO
فبراير '24
+126
في 3 قنوات
Get PRO
يناير '24
+111
في 5 قنوات
Get PRO
ديسمبر '23
+513
في 17 قنوات
Get PRO
نوفمبر '23
+734
في 16 قنوات
Get PRO
أكتوبر '23
+577
في 11 قنوات
Get PRO
سبتمبر '23
+159
في 0 قنوات
Get PRO
أغسطس '23
+84
في 0 قنوات
Get PRO
يوليو '23
+71
في 0 قنوات
Get PRO
يونيو '23
+380
في 0 قنوات
Get PRO
مايو '23
+114
في 0 قنوات
Get PRO
أبريل '23
+60
في 0 قنوات
Get PRO
مارس '23
+68
في 0 قنوات
Get PRO
فبراير '23
+50
في 0 قنوات
Get PRO
يناير '23
+36
في 0 قنوات
Get PRO
ديسمبر '22
+83
في 0 قنوات
Get PRO
نوفمبر '22
+1 536
في 0 قنوات
Get PRO
أكتوبر '22
+603
في 0 قنوات
Get PRO
سبتمبر '22
+45
في 0 قنوات
Get PRO
أغسطس '22
+43
في 0 قنوات
Get PRO
يوليو '22
+387
في 0 قنوات
| التاريخ | نمو المشتركين | الإشارات | القنوات | |
| 08 يوليو | +4 | |||
| 07 يوليو | +2 | |||
| 06 يوليو | +3 | |||
| 05 يوليو | +4 | |||
| 04 يوليو | +3 | |||
| 03 يوليو | +9 | |||
| 02 يوليو | +2 | |||
| 01 يوليو | +3 |
منشورات القناة
📈 Сколько времени у вас уходит на закрытие уже эксплуатируемых уязвимостей?
Если на ваших дэшбордах ещё нет этой цифры, пора её посчитать — медианная скорость устранения или компенсации уязвимостей, которые уже эксплуатируются в реальных атаках. Для большинства организаций этот показатель сейчас составляет около 43 дней и продолжает расти, а полностью закрываются лишь примерно 26% уязвимостей из каталога KEV (против 38% год назад). Между тем, эксплуатация уязвимостей стала способом номер 1 для первоначального проникновения, как по нашей статистике, так и в Verizon DBIR, впервые за его 19-летнюю историю обогнав кражу учётных данных.
Проблема обычно не в дефиците информации, а в сложном и частично ручном процессе от обнаружения до устранения дефекта. Сканер находит проблему, но дальше она зависает в таблице, очереди тикетов и цепочке согласований. Тем временем риск только накапливается:
1️⃣ В 2025 году был установлен рекорд по числу CVE, а прогнозы на 2026 год находятся в диапазоне от примерно 50 000 до более чем 70 000;
2️⃣ ИИ-модели вроде Mythos автономно находят тысячи зиродеев во всех основных ОС и браузерах;
3️⃣ недавний Microsoft Patch Tuesday стал крупнейшим за всю историю, то же самое можно сказать и о последних ИБ-обновлениях в Chrome;
4️⃣ NIST признал, что больше не в состоянии обогащать каждую CVE дополнительным контекстом, и теперь тоже их приоритизирует, оставляя в работе лишь около 15–20%;
5️⃣ директива CISA от июня 2026 года исключила CVSS из числа обязательных входных параметров, предлагая взамен ранжирование по уровню экспозиции, факту активной эксплуатации, возможности автоматизации атаки и потенциальному ущербу. Максимальный риск требует реакции в течение трёх дней.
Инструменты vulnerability management в вашем стеке теперь должны поддерживать созданную в организации правильную операционную модель:
✔️ детектирование, которое автоматически передаёт находки в ITSM, с чётким владельцем и жёстко заданными SLA;
✔️ приоритизацию, завязанную на данные об эксплуатации и экспозиции, а не только на CVSS;
☑️ автоматизированный патч-менеджмент там, где это безопасно, плюс компенсирующие меры на тот промежуток времени, пока патча ещё нет;
☑️ связность VM с другими инструментами ИБ, инвентаризацией активов и менеджером заданий, чтобы на вопрос «какие наши ресурсы под угрозой?» существовал один готовый ответ, а не отдельное упражнение по сверке данных.
Подробнее о правильных подходах к приоритизации и сокращении дистанции между «обнаружено» и «исправлено».
#VM #уязвимости #CISO @П2Т
| 2 | 🗿 Настоящая пропасть между «локализовали инцидент» и полноценным реагированием
Эксперты сервиса Kaspersky Compromise Assessment, выявляющего признаки компрометации в сетях организаций, поделились своими наблюдениями и статистикой по итогам 2025 года. К этой услуге обращаются по разным причинам: от проведения регулярного аудита или оценки ИБ перед покупкой компании до аудита после инцидента безопасности.
Около 41% инцидентов в компаниях, заметивших признаки компрометации, были критическими. Впрочем, при плановых аудитах доля выявленных критических инцидентов тоже не маленькая, 28%.
Почти в трети случаев выявленный инцидент начался более чем три месяца назад. Самый давний инцидент оставался незамеченным на протяжении четырёх лет.
Около 60% угроз не были замечены организациями из-за отсутствия надёжных оповещений от существующих средств защиты. Простого наличия EDR и SIEM недостаточно — решающую роль играет зрелость операционных процессов. Решения для мониторинга нужно настраивать и адаптировать с учётом меняющегося ландшафта угроз, а оповещения с низким уровнем достоверности всё равно должны рассматривать аналитики.
Когда инцидент всё же выявляют, реагирование на него часто неполное. Меры реагирования сосредоточены на локализации последствий инцидента и не дают полного представления о состоянии инфраструктуры. Как следствие, угрозы могут оставаться незамеченными после таких мероприятий. Часто вредоносные файлы сохраняются в резервных копиях и восстанавливаются оттуда после реагирования. Так, 40% обнаруженных веб-шеллов находились в резервных копиях и оставались незамеченными.
Рекомендуем изучить полную версию отчёта на Securelist — там приведены:
➡️ подробная статистика по наиболее часто встречающимся артефактам и IoA;
➡️ распределение инцидентов по географиям и индустриям;
➡️ конкретные примеры из практики расследования.
#советы #статистика #IR @П2Т | 763 |
| 3 | Интересные исследования APT и новости ИБ за неделю
🧙♂️ Анализ кампании APT Armored Likho по доставки BusySnake — нового стилера на Python, который крадёт учётные данные, разворачивает RustDesk и создаёт обратные SSH-туннели. Атака нацелена на государственные организации и предприятия электроэнергетики в России, Бразилии и Казахстане.
🐼 Две шпионские кампании APT Mustang Panda затронули госструктуры Индии и сектор гидроэнергетики. Тематические приманки использовались для доставки загрузчика SHARDLOADER и двух новых имплантов, MINIRECON и ZOHOMURK.
🎩 RaaS The Gentlemen вошла в число самых активных в 2026 году, используя уязвимые драйверы и групповые политики для шифрования целых доменов. Жертвами становились организации из производственного сектора, ИТ, здравоохранения, финансов, строительства и логистики, преимущественно в Бразилии, Китае, Индонезии, на Тайване и в Таиланде.
🟢Разбор масштабной операции по установке ScreenConnect и AsyncRAT. Злоумышленники развернули сеть из 90+ доменов на 10 языках для SEO-продвижения сайтов с поддельными установщиками утилит вроде OBS Studio и DS4Windows.
🟣Кампания «agentic ransomware» Jadepuffer зашифровала более 1300 жертв. LLM делают массовую эксплуатацию всего исторического каталога уязвимостей практически бесплатной.
🔵Кампания, приписываемая APT-C-20/APT28, атакует госорганы а с помощью документов-приманок с макросами, которые используют COM hijacking и процесс Проводника Windows для загрузки вредоносной DLL. Шелл-код скрывается в изображениях через LSB-стеганографию, а облачный сервис Filen-io применяется как C2.
🟣Анонимный исследователь опубликовал PoC-эксплойты для 30+ зиродеев в широко используемых проектах open source, включая ядро Linux, FFmpeg, 7-Zip, PHP, OpenVPN и VLC. На данный момент назначено 12 CVE.
🟣Многомесячная кампания chocopocs была нацелена на исследователей уязвимостей. GitHub-репозитории содержали фальшивые PoC для резонансных CVE в продуктах вроде FortiWeb и Joomla. Установка этих PoC приводила к инсталляции инфостилера.
🔵Анализ PamStealer, macOS-инфостилера, написанного на Rust и проверяющего пароль входа жертвы через macOS Pluggable Authentication Modules.
🔵Кластер Clubfoot Wolf в мае и июне 2026 года массово атаковал российские организации, прежде всего оптовых поставщиков химической продукции. Для C2 использовался NetSupport Manager, адаптированный под вредоносные задачи.
🟢Фишинговая кампания для сотрудников японских отелей, сотрудничающих с Booking.com: злоумышленники рассылали письма с «жалобами гостей» и приложенным ВПО TONResolver, использующим блокчейн The Open Network как dead drop resolver.
🟣Бразильский банковский троянец Ousaban расширил операции на Испанию и Португалию.
🟣 Анализ .NET-инструмента Umbrij группы ToddyCat, который крадёт OAuth-токены у корпоративных пользователей.
🟠Обзор Blacksite — коммерческого фишкита AitM. Примечателен сервисом маскировки, который прячет трафик от сканеров, а предполагаемым аналитикам отдаёт сгенерированные ИИ страницы-приманки.
#дайджест #APT @П2Т | 773 |
| 4 | Раз уж начал сегодня день с историй, то вот еще одна.
18 лет прошло с момента релиза эпического хип-хопа Packin' the K! , получившего Pwnie Awards на BlackHat 2008.
Новое поколение вряд ли это слышало 😁
@gostev_future | 906 |
| 5 | Вам, новоиспечённые разработчики!
#ИБ_мем @П2Т | 1 158 |
| 6 | Злоумышленники, атакующие Linux-системы, часто используют "бесфайловое" выполнение, чтобы избежать загрузки вредоносного ПО на диск. Это помогает обойти традиционные системы детектирования и механизмы безопасности, а также оставляет значительно меньше следов для форензики.
Системный вызов memfd_create() играет важную роль в таких атаках. Этот механизм, появившийся в ядре Linux 3.17, предназначен для создания анонимных файлов, которые существуют только в оперативной памяти. Согласно руководству memfd_create(2), эти файлы ведут себя как обычные файлы — у них есть размер и отображение в памяти, их можно изменять — но они не сохраняются на физическом носителе. Вызов memfd_create() возвращает файловый дескриптор, который может быть использован вызовом fexecve(3) — это позволяет процессу выполнять бинарный файл через файловый дескриптор (FD), в отличие от вызова execve(2), где в качестве аргумента требуется путь в реальной файловой системе.
Типичная цепочка эксплуатации этого механизма состоит из трёх этапов:
1. Загрузчик вызывает memfd_create(name, flags), этот вызов возвращает файловый дескриптор. Имя (name) здесь нужно только для отладки, оно не появляется в дереве каталогов.
2. Загрузчик записывает вредоносную нагрузку (часто полученную по сети) в этот FD.
3. Загрузчик вызывает fexecve(fd, argv, envp). Ядро заменяет текущий образ процесса бинарным файлом, хранящимся в анонимном сегменте памяти.
Такой подход гарантирует, что вредоносная нагрузка не попадает на диск, и таким образом она обходит:
— системы детектирования на основе сигнатур, которые сканируют диск;
— запрет на выполнение: во многих системах каталоги с правами на запись для всех (такие, как /tmp или /dev/shm) монтируют с флагом noexec, поскольку такие каталоги часто используются злоумышленниками для выполнения вредоносного ПО.
Пример атаки:
Рассмотрим каталог, который смонтирован с флагом noexec. Попытка выполнить бинарный файл id из этой точки монтирования не сработает, даже если он запускается с высшими привилегиями и сам бинарный файл является исполняемым (см. верхний скриншот).
Это ограничение можно обойти, если бинарный файл загружен в оперативную память и выполнен напрямую из памяти. Для демонстрации мы создали веб-сервер, который хостит бинарный файл id (он может быть вредоносным в реальных атаках), и написали простой скрипт на Python, который скачивает этот бинарный файл, загружает его в память и выполняет его в памяти, обходя все защиты.
Результат можно увидеть на скриншоте (нижняя часть). Обратите внимание, что системный вызов 319 — это и есть memfd_create().
Детектирование:
Хотя файла нет на диске, ядро Linux показывает метаданные о запущенных процессах. Нужно смотреть:
— Пути в файловой системе /proc. Даже анонимные файлы отслеживаются в таких метаданных. /proc/[PID]/exe обычно указывает на путь бинарного файла, такой как /usr/bin/python3. Процесс memfd будет указывать на виртуальный путь, часто помеченный как memfd: (deleted).
— Карты памяти (memory maps). Анализ /proc/[PID]/maps или smaps показывает следы атаки. Ищите сегменты памяти с правами на выполнение (r-xp), которые сопоставлены с объектом memfd, а не с общедоступной библиотекой или известным бинарным файлом на диске. | 1 085 |
| 7 | 🔎 Уязвимость в SharePoint Server уже эксплуатируется
По данным CISA KEV, атакующие активно эксплуатируют опасную уязвимость десериализации в SharePoint, отслеживаемую как CVE-2026-45659 (CVSS 8.8). Для полного захвата on-premises серверов SharePoint злоумышленникам достаточно скомпрометировать учётную запись обычного сотрудника с низкими привилегиями.
Дефект позволяет любому пользователю с правами уровня Site Member и выше удалённо выполнять произвольный код на сервере. Атаки на SharePoint часто приводят к развёртыванию веб-шеллов с последующим созданием административных учётных записей и атакой на остальную инфраструктуру компании. Ни CISA, ни Microsoft не раскрыли детали текущей эксплуатации, однако с ней может быть связан недавний блог Microsoft о «параллельной активности злоумышленников». Там упоминается группа Storm-2603 (также известная как Warlock ransomware), которая «с середины 2025 года атакует on-premises серверы SharePoint, эксплуатируя известные уязвимости».
Microsoft закрыла эту уязвимость в мае 2026 года, выпустив внеплановый патч для SharePoint Server Subscription Edition, SharePoint Server 2019 и SharePoint Enterprise Server 2016. Эти патчи нужно ставить в приоритетном порядке, а также проверить журналы активности пользователей SharePoint на любые аномалии. Та же CISA дала госорганам всего три дня на устранение дефекта, что намекает на масштаб риска.
#Microsoft #уязвимости @П2Т | 1 266 |
| 8 | 📌 Новый приём для кражи данных через OAuth
Если сотрудники оставляют на своих компьютерах активные сессии в Google Workspace (или другом сервисе, предоставляющем широкие возможности интеграции с доступом по OAuth), злоумышленники могут выкачивать корпоративную почту напрямую через собственные API Google.
APT ToddyCat использует недавно обнаруженный нашими исследователями инструмент Umbrij для автоматизации техники атаки, которую мы назвали Shadow Token via Remote Debug, или STRD.
Вместо кражи учётных данных ВПО нацеливается на активные аутентифицированные браузерные сессии в Google Chrome или Microsoft Edge. Зловред копирует данные активной сессии пользователя в другую папку, запускает в фоне headless-экземпляр браузера (без видимого интерфейса) и подключается к порту удалённой отладки.
После установления сессии инструмент запрашивает OAuth-разрешения к Google Workspace (Gmail, Drive и Contacts), маскируясь под легитимный инструмент миграции Google, GWSMO. Затем с помощью фонового JavaScript ВПО автоматически нажимает Allow на экране согласия, похищает OAuth-токен и отправляет его атакующим.
Получив этот OAuth-токен, злоумышленники могут читать корпоративную переписку и скачивать файлы напрямую через API Google. Для сохранения доступа им больше не нужно ни делать что-либо на хосте, ни оставаться внутри вашей сети.
Подробнее техника и IOC описаны на Securelist.
📌 Чтобы защитить системы:
1️⃣ Ограничьте инструменты разработчика: используйте политику 'DeveloperToolsAvailability', чтобы отключить их для сотрудников, не связанных с созданием и отладкой ПО. Это блокирует невидимое управление через порт отладки.
2️⃣ Контролируйте запуск браузеров: настройте мониторинг на хостах, чтобы фиксировать подозрительные режимы выполнения, например с флагами командной строки --remote-debugging-port и --headless.
3️⃣ Аудируйте подключённые приложения: регулярно проверяйте сторонние подключения в Google Workspace и других важных сервисах с OAuth. При обнаружении несанкционированных интеграций немедленно отзывайте им доступ.
#APT #SOC #MDR #советы @П2Т | 1 157 |
| 9 | ⚡️ Оценка ИИ-зрелости, EPSS v5, типовые атаки на контейнеры и другие полезные посты июня
В июньском потоке новостей могли затеряться полезные и не сиюминутные материалы нашего канала. Поэтому мы подобрали статьи, которые помогут выстроить эффективные процессы и системы в ИБ. Если вы что-то пропустили, самое время наверстать упущенное!
🟣анализ логов инфостилеров: где и как они отрабатывают в успешных атаках;
🔵реальное использование Claude злоумышленниками: статистика Anthropic, разложенная по ATT&CK;
🟣оценка ИИ-зрелости в ИБ по методике SANS;
🔵что нового в EPSS v5;
⚪️какие «подарочки» встречаются в популярных образа Docker: анализируем вместе с KIRA;
🟢советы по интеграции Kaspersky Scan Engine со сторонними продуктами;
🟣оценка зрелости SOC, и что изменилось за год;
🟢как найти, ограничить и отключить нежелательные ИИ-сервисы в организации (баллада в трёх частях);
🟣типовые векторы атак на контейнерную инфраструктуру;
⚪️подводные камни автономного SOC.
#дайджест @П2Т | 1 079 |
| 10 | 〰️ Угрозы МСБ в 2026 году
Небольшие бизнесы остаются привлекательной мишенью злоумышленников. Участились случаи, когда МСБ атакуют ради проникновения в более крупную компанию, куда жертва поставляет товары или услуги.
В проанализированных даркнет-публикациях около 40% брокеров первоначального доступа описывают жертву как компанию малого бизнеса и 20% — среднего.
Методы проникновения в компании не претерпели существенных изменений, но популярность идей про внедрение ИИ в малом бизнесе отразились на структуре приманок. За год впятеро увеличилось число атак, где ВПО было замаскировано под клиенты популярных ИИ-сервисов, в первую очередь ChatGPT и Claude. Несмотря на это, львиную долю ВПО по-прежнему маскируют под мессенджеры и клиенты видеоконференций. Остаются в топе приманок и популярные офисные приложения.
Более подробная статистика ВПО и фишинга, нацеленных на малый бизнес, а также детальные рекомендации по защите опубликованы в отчёте на Securelist.
#статистика #МСБ @П2Т | 1 158 |
| 11 | 🗣 ИИ в ИБ: как эволюционируют атака и защита
Когда: 1 июля 2026 в 11:00 и 15:00 (МСК)
В информационном шуме вокруг ИИ бывает сложно поймать момент, когда хайп и фантазии превращаются в важные тенденции. Именно этим займутся эксперты ведущих ИБ-компаний на онлайн-конференции AM Live. Тема огромная, поэтому мероприятие пройдёт в двух частях. Первая будет посвящена использованию ИИ в реальных атаках, а вторая — реалистичным и опробованным способам, в которых автоматизация помогает защитникам.
Темы первой части (в 11:00):
▶️ почему ИИ-фишинг всё сложнее отличить от реальной деловой переписки;
▶️ как ИИ усиливает атаки на учётные записи, пароли, токены и сервисные аккаунты;
▶️ может ли ИИ искать уязвимости и проводить разведку в инфраструктуре;
▶️ какой бизнес-процесс сегодня проще всего обмануть с помощью искусственного интеллекта;
▶️ какие три шага стоит сделать уже сейчас, чтобы подготовиться к новому поколению ИИ-атак.
Темы второй части (в 15:00):
▶️ семь ключевых сценариев использования ИИ — от SOC до управления уязвимостями;
▶️ как ИИ помогает выявлять фишинг, дипфейки и социальную инженерию;
▶️ можно ли заранее обнаружить подготовку к утечке или подозрительное поведение сотрудника;
▶️ как ИИ помогает в цифровой криминалистике;
▶️ может ли ИИ прогнозировать вероятность эксплуатации уязвимости с учётом контекста компании;
▶️ какие действия можно доверить ИИ уже сейчас.
👤 От «Лаборатории Касперского» выступят Георгий Кучерин и Андрей Гунькин.
Встречаемся уже завтра: 1 июля 2026
Нужна предварительная регистрация.
Узнать о конференции и зарегистрироваться ⟶
#события @П2Т | 1 062 |
| 12 | 📊 Переводим эффективность кибербеза на понятный для CEO язык цифр
Анна Кулашова, вице-президент «Лаборатории Касперского» по развитию бизнеса в России и СНГ, в интервью «Коммерсанту» рассказала о ROI-калькуляторе — инструменте для оценки эффективности инвестиций в ИБ. Его бета-версию мы представили на ПМЭФ 2026.
В интервью обсудили:
🟢как работает ROI-калькулятор и какая методология лежит в его основе;
🟢кому этот инструмент будет полезен в первую очередь;
🟢какие данные и метрики получает пользователь;
🟢можно ли с ним работать без опыта в ИБ.
▶️ Читайте по ссылке | 1 003 |
| 13 | FortiBleed ещё хуже, шифровальщики для мейнфреймов и другие важные исследования APT и новости ИБ
🟢Технический анализ ВПО SharkLoader, применявшегося в атаках на организации в Индонезии, Гонконге, Колумбии, Сербии, Ливане, Тайване и других регионах. Среди жертв доминируют госорганизации и разработчики ПО. Компрометация происходит через эксплуатацию публично доступных приложений и пограничных устройств, а в итоге жертвам устанавливают имплант Cobal Strike. В некоторых случаях атакующие также используют дропперы, замаскированные под легитимное ПО, применяемое в бизнесе. В известных атаках не наблюдалась постэксплуатационная активность, кроме закрепления в системе, поэтому цели атакующих пока не ясны.
🟢Разбор любопытного троянца и инфостилера GasLight для macOS, который предположительно создан кластером Lazarus и содержит в своих текстовых строках целый набор промпт-инъекций, призванных сбить с толку набирающие популярность ИИ-помощники для анализа ВПО.
🟢Анализ кампании FortiBleed привёл к обнаружению ВПО FortigateSniffer, способного использовать диагностические возможности FortiOS для перехвата проходящих через устройство пакетов и извлечения данных аутентификации двух десятков популярных протоколов.
🔵Новый бэкдор Mistic (MLTBackdoor) предположительно создан брокерами первоначального доступа Woodgnat/KongTuke и используется на начальных стадиях вымогательских операций, в основном Qilin. Запускается в системе с помощью DLL sideloading и в дальнейшем работает как бесфайловое ВПО.
🔵Интересный обзор атак на системы очистки и подачи воды по всему миру за период с 2024 по 2026 г.
🟣Новая вредоносная кампания распространяет вредоносные сценарии VBScript через сообщения в мессенджере. Жертвы кампании обнаружены в США, России, Бразилии, Мексике, Индии, Великобритании, и других странах, но больше всего их в Малайзии. В конечном счёте жертвам устанавливают легитимное ПО удалённого управления (RMM) ManageEngine.
🟣Новая платформа PhaaS под названием Bluekit обходит алгоритмы антифрода с помощью изощрённой тактики «браузер посередине». Вход в учётную запись жертвы происходит в браузере, запущенном на сервере атакующих, а фишинговый сайт в реальном времени транслирует жертве эту сессию с помощью легитимного инструмента rrweb.
🟣Технический анализ новой версии Millenium RAT 4.0 и профиль операторов, предлагающих это ВПО по модели MaaS.
🔵Новая тактика ClickFix на macOS — выполнение команды монтирует вредоносный образ DMG и запускает инфостилер.
🔵На одном из серверов INC Ransomware обнаружены сборки ВПО для экзотических архитектур целевых серверов, включая мейнфреймы IBM Z. Правда, авторы исследования не уверены в работоспособности и эффективности этих образцов.
🟣Технический анализ бэкдора STOCKSTAY, написанного на .NET и используемого APT Turla.
🟣Разбор вредоносной кампании, использующей уязвимость в Langflow (CVE-2026-33017) для запуска криптомайнинга на мощных серверах, предназначенных для ИИ-задач.
🟣Технический анализ Linux-ВПО MYRA, распространявшегося через npm. Исследователи предполагают, что это может быть инструментом редтиминга.
🔴В США обязали госучреждения перевести критические ИТ-системы на постквантовые алгоритмы согласования ключей до конца 2030 года, и на постквантовые цифровые подписи до конца 2031.
#дайджест #APT @П2Т | 1 129 |
| 14 | 🌎🚀29 лет бережем мир от киберугроз и не планируем останавливаться!
Мидори уже защищает другие планеты — в нашем новом праздничном ролике. Смотрим! | 1 184 |
| 15 | 🔥 Как ИИ изменил индустрию ИБ в 2026 году?
Именно этой широкой теме посвящён первый выпуск нового сезона подкаста «Смени пароль».
🟣Что опаснее — ИИ, который пишет уязвимости, или ИИ, случайно стирающий важные данные?
🔵Почему традиционный подход к патчингу терпит крах?
🟣Зачем нужен AI firewall и что такое ML SecOps?
🔵Нужно ли бороться с ИИ-ботами, которые тащат контент с веб-сайтов, и как это происходит уже сегодня?
🟣Почему защита «human in the loop» плохо работает на практике?
Обсуждаем проблемы слишком самостоятельного искусственного интеллекта с Владиславом Тушкановым, руководителем группы исследований технологий машинного обучения в «Лаборатории Касперского».
🟢 Слушать подкаст
#ИИ @П2Т | 1 440 |
| 16 | 🏭 Крупные инциденты в промышленной кибербезопасности становятся опасной нормой
Три инцидента из отчёта Kaspersky ICS CERT за первый квартал 2026 года хорошо показывают, как атаки на АСУ ТП изменились не только по уровню сложности, но также по масштабу и последствиям.
Инцидент с Intoxalock продолжался шесть дней и оставил водителей по всей территории США без возможности пользоваться автомобилями. Их «алкозамки» с блокировкой зажигания требовали серверной калибровки, но не могли подключиться из-за отказа систем поставщика. До восстановления сервиса автомобили было невозможно завести.
В порту Виго в конце марта атака вымогателей затронула серверы управления грузопотоком. Грузовые операции пришлось перевести в ручной режим, при этом сроки восстановления не назывались.
Инцидент у Hazeldenes затронул переработчика куриного мяса, который не смог выполнять заказы, поскольку лишился возможности упаковывать продукцию. Сбой привёл к дефициту курятины по всему штату в пабах и магазинах, а сама компания не могла вернуться к штатному производству в течение пяти недель.
Однако самая опасная и потенциально наиболее разрушительная атака была предотвращена. В Польше по заявлению местных властей APT атаковала автоматизированные системы управления ТЭЦ и инфраструктуру управления объектами возобновляемой энергетики с использованием вайпера.
Всего в первом квартале был публично подтверждён 131 инцидент, причём крупнейшей целью оказался производственный сектор, на который пришлось более 36% всех случаев.
🌐 Полный разбор и описания ключевых инцидентов доступны на сайте Kaspersky ICS CERT.
#ICS #статистика @П2Т | 1 518 |
| 17 | 📈 Оценка LLM в пентестинге
Эксперты Лаборатории Касперского и Сбера опубликовали научную работу, в которой предложили новую методику оценки языковых моделей для задач тестирования на проникновение (пентеста). Самое интересное — бенчмарк имеет два измерения: отдельно оцениваются планирование атак и их исполнение. Это позволяет понять сильные и слабые места различных моделей и по необходимости строить эффективные ансамбли LLM в агентских системах.
Среди протестированных моделей, лучшие результаты в планировании показали Sonnet 4.5, GPT-5 и Gemini 2.5 Pro, а лидерами в исполнении стали GPT-5, Qwen3 Max, GLM 4.6. Успешность у обеих групп чемпионов — от 72% до 78%.
Среди наиболее частых ошибок, допущенных моделями в эксперименте: синтаксические ошибки при запуске инструментов, дрифт (частичная или полная смена долгосрочной цели), галлюцинации и потеря контекста. Ожидаемая и часто встречающаяся проблема отказов выполнять задачу (refusals) отдельно не посчитана.
Исследование доступно по лицензии CC BY 4.0, поэтому бенчмарк можно использовать для оценки других моделей, используемых в организации.
#советы #ИИ @П2Т | 1 868 |
| 18 | 🤖 Автономный SOC: конечно, дело не только в ИИ
Многие команды SOC пытаются развернуть ИИ-агентов поверх того, что есть в организации: разношёрстной телеметрии, фрагментированных интеграций и недостаточной операционной дисциплины. В результате ИИ-система в принципе не может показать хорошие результаты из-за низкого качества исходных данных и отсутствия бизнес-контекста. Аналитики будут законно испытывать к выводам ИИ недоверие, а автоматизация лишь сделает существующие пробелы более явными.
Помимо этих фундаментальных организационных проблем, при внедрении ИИ нужно устранять и набор новых рисков. Недетерминированные ответы моделей, слабый audit trail, уязвимость к инъекциям (в том числе через логи) могут отпугнуть даже организацию со зрелым SOC. Впрочем, уже начинают вырисовываться модели контроля, способные закрыть именно эти проблемы: агенты с узкой зоной ответственности, детерминированное исполнение для критических действий, пайплайны контроля и многоуровневая автономность вместо режима «полного автопилота».
Такой подход показывает реальное направление серьёзной автоматизации SOC: речь идёт не столько о полной автономной замене аналитиков, сколько о контролируемых агентских рабочих процессах с явными ограничителями и чёткими процессами согласования.
#ИИ #SOC @П2Т | 1 528 |
| 19 | 🔥 FortiBleed — список жертв расширяется
Список хостов и фирм, затронутых кампанией по похищению и анализу учётных данных с устройств Fortinet, всё расширяется — теперь счёт дошёл уже до 86000 железок. Данные выборочно подтверждены как достоверные, более того, в ряде компаний сообщили о выявленной компрометации инфраструктуры. 86 тысяч — это примерно половина всех Фортиков, доступных из Интернета. У многих из этих устройств в сеть торчат и интерфейсы управления. 🤦♂️
Судя по анализу, проведённому независимыми исследователями, учётки были получены экспортом конфигурации устройств, поскольку база содержит данные, которые обычно встречаются только в конфигурационных файлах. Злоумышленники смогли подобрать пароли администраторов, используя взлом хэшей SHA-256, хранившихся в конфигурациях. В прошлом году Fortinet перешла на более безопасное хэширование, однако многие устройства до сих пор либо не обновлены, либо содержат неактивные учётные записи администраторов, владельцы которых не входили в систему с момента перехода с SHA-256 на PBKDF2.
Fortinet настаивает, что о новой уязвимости речи не идёт. Компания связывает сбор учётных данных с комбинацией повторного использования паролей после трёх ранее раскрытых уязвимостей обхода аутентификации (две были закрыты в декабре, ещё одна в январе) и атак на устройства со слабыми паролями и без включённой многофакторной аутентификации. Fortinet уже начала уведомлять затронутых клиентов и подключила правоохранительные органы.
Если вы (ещё) используете FortiGate, первоочередные шаги очевидны:
➡️ завершить все активные сессии администраторов и пользователей на устройстве;
➡️ обновиться до версий прошивки с поддержкой хэширования паролей PBKDF2;
➡️ выполнить ротацию всех учётных данных;
➡️ принудительно включить MFA для всех администраторских и пользовательских аккаунтов;
➡️ ограничить внешний доступ к интерфейсам управления только доверенными хостами.
Дополнительно рекомендуется проверить учётные записи на предмет несанкционированных изменений, просмотреть журналы доступа администраторов и при любых подозрительных находках запускать полноценное реагирование на инцидент, по необходимости — с привлечением внешних экспертов.
#новости @П2Т | 1 411 |
| 20 | Интересные исследования APT и новости ИБ за неделю
🧐 Подробный разбор вторжений APT UNC6508 в американские компании здравоохранения, предположительно с целью шпионажа. Атакующие компрометировали серверы REDCap, позднее устанавливали ВПО INFINITIRED и воровали учётные данные и переписку
😵💫 Крайне опасная история разворачивается с Fortibleed — в Интернете опубликованы админские учётные данные более 75 тыс. Фортиков, многие из которых по-прежнему действительны. Предполагается, что файлы конфигурации, включая хэшированные SHA-256 пароли, выкачали через уязвимость (возможно в Fortigate Management Interface), а затем восстановили пароли перебором.
😑 Очередная атака на npm проведена через компоненты популярного ИИ-фреймворка Mastra, пострадало минимум 140 пакетов. Примечательно, что это совершенно другое ВПО и вероятно другой актор, ничего общего с Шай-Хулудами.
😐 Технический анализ троянца Backdoor.Turn, применяемого группировкой Dragonforce. Он написан на Go, использует TURN-серверы MS Teams для маскировки трафика С2, а также использует экзотические уязвимые драйверы Huawei для отключения СЗИ.
🤨 Разбор новых атак APT-C-48, направленных на правительственные, научные, образовательные и медицинские организации в ЮВА. Атака начинается с вредоносных писем, маскирующихся под резюме.
🤔 Технический анализ нового ВПО, работающего целиком в памяти, и используемого APT Patchwork/Dropping Elephant.
😬 Шифровальщик Deadlock использует блокчейн Polygon не только в качестве С2, но и для хранения данных о жертвах, фактически это «сайт утечек» (DLS) вымогателей.
🤡 Подробный разбор сложного ВПО, распространяющегося через USB-носители, но ворующего в основном данные криптокошельков.
👾 Технический анализ ВПО, распространяемого через Steam Workshop и приложение Wallpaper Engine.
🌚 Интересный кейс: скомпрометированный терминальный сервер в организации использовался для рассылки фишинга, а вредоносные вложения размещались на скомпрометированном сайте, принадлежащем госструктуре в Боливии.
👀 Рекомендации по разбору eBPF-руткитов на примере Scales, инфостилера из недавней компрометации пакетов Arch Linux.
🍄 Анализ новых Windows-вариантов ВПО SprySOCKS, ранее замеченного только на Linux.
🗿 Технический анализ ботнета Arystinger, компрометирующего роутеры на базе чипа RTL819X для включения в сеть домашних прокси.
😈 Разбор троянца и инфостилера для MacOS, распространяющегося через кампании ClickFix и основанного на AppleScript.
👌 И немного приятных новостей: китайская полиция арестовала почти 70 подозреваемых в причастности APT Silver Fox.
#дайджест #APT @П2Т | 1 313 |
