现已上线!2025 年 Telegram 研究 — 年度关键洞察 
Порвали два трояна
前往频道在 Telegram
Про ИБ в бизнесе, промышленности и многом другом 💼 Главный канал Kaspersky: @kasperskylab_ru Связь @KasperskyCrew
显示更多9 391
订阅者
-824 小时
-107 天
-1030 天
数据加载中...
标签云
进出提及
---
---
---
---
---
---
吸引订阅者
六月 '26
六月 '26
+46
在3个频道中
五月 '26
+82
在4个频道中
Get PRO
四月 '26
+79
在3个频道中
Get PRO
三月 '26
+116
在8个频道中
Get PRO
二月 '26
+136
在9个频道中
Get PRO
一月 '26
+191
在3个频道中
Get PRO
十二月 '25
+434
在15个频道中
Get PRO
十一月 '25
+89
在2个频道中
Get PRO
十月 '25
+161
在12个频道中
Get PRO
九月 '25
+96
在3个频道中
Get PRO
八月 '25
+129
在5个频道中
Get PRO
七月 '25
+287
在23个频道中
Get PRO
六月 '25
+62
在2个频道中
Get PRO
五月 '25
+337
在7个频道中
Get PRO
四月 '25
+368
在12个频道中
Get PRO
三月 '25
+136
在19个频道中
Get PRO
二月 '25
+106
在5个频道中
Get PRO
一月 '25
+136
在4个频道中
Get PRO
十二月 '24
+959
在13个频道中
Get PRO
十一月 '24
+573
在6个频道中
Get PRO
十月 '24
+287
在9个频道中
Get PRO
九月 '24
+1 009
在5个频道中
Get PRO
八月 '24
+151
在4个频道中
Get PRO
七月 '24
+180
在9个频道中
Get PRO
六月 '24
+150
在11个频道中
Get PRO
五月 '24
+125
在3个频道中
Get PRO
四月 '24
+655
在9个频道中
Get PRO
三月 '24
+1 061
在12个频道中
Get PRO
二月 '24
+126
在3个频道中
Get PRO
一月 '24
+111
在5个频道中
Get PRO
十二月 '23
+513
在17个频道中
Get PRO
十一月 '23
+734
在16个频道中
Get PRO
十月 '23
+577
在11个频道中
Get PRO
九月 '23
+159
在0个频道中
Get PRO
八月 '23
+84
在0个频道中
Get PRO
七月 '23
+71
在0个频道中
Get PRO
六月 '23
+380
在0个频道中
Get PRO
五月 '23
+114
在0个频道中
Get PRO
四月 '23
+60
在0个频道中
Get PRO
三月 '23
+68
在0个频道中
Get PRO
二月 '23
+50
在0个频道中
Get PRO
一月 '23
+36
在0个频道中
Get PRO
十二月 '22
+83
在0个频道中
Get PRO
十一月 '22
+1 536
在0个频道中
Get PRO
十月 '22
+603
在0个频道中
Get PRO
九月 '22
+45
在0个频道中
Get PRO
八月 '22
+43
在0个频道中
Get PRO
七月 '22
+387
在0个频道中
| 日期 | 订阅者增长 | 提及 | 频道 | |
| 23 六月 | +1 | |||
| 22 六月 | +1 | |||
| 21 六月 | 0 | |||
| 20 六月 | 0 | |||
| 19 六月 | +5 | |||
| 18 六月 | +1 | |||
| 17 六月 | +6 | |||
| 16 六月 | +2 | |||
| 15 六月 | +3 | |||
| 14 六月 | +2 | |||
| 13 六月 | +3 | |||
| 12 六月 | +2 | |||
| 11 六月 | +1 | |||
| 10 六月 | +3 | |||
| 09 六月 | +2 | |||
| 08 六月 | +2 | |||
| 07 六月 | +2 | |||
| 06 六月 | +1 | |||
| 05 六月 | +2 | |||
| 04 六月 | +1 | |||
| 03 六月 | 0 | |||
| 02 六月 | +4 | |||
| 01 六月 | +2 |
频道帖子
🤖 Автономный SOC: конечно, дело не только в ИИ
Многие команды SOC пытаются развернуть ИИ-агентов поверх того, что есть в организации: разношёрстной телеметрии, фрагментированных интеграций и недостаточной операционной дисциплины. В результате ИИ-система в принципе не может показать хорошие результаты из-за низкого качества исходных данных и отсутствия бизнес-контекста. Аналитики будут законно испытывать к выводам ИИ недоверие, а автоматизация лишь сделает существующие пробелы более явными.
Помимо этих фундаментальных организационных проблем, при внедрении ИИ нужно устранять и набор новых рисков. Недетерминированные ответы моделей, слабый audit trail, уязвимость к инъекциям (в том числе через логи) могут отпугнуть даже организацию со зрелым SOC. Впрочем, уже начинают вырисовываться модели контроля, способные закрыть именно эти проблемы: агенты с узкой зоной ответственности, детерминированное исполнение для критических действий, пайплайны контроля и многоуровневая автономность вместо режима «полного автопилота».
Такой подход показывает реальное направление серьёзной автоматизации SOC: речь идёт не столько о полной автономной замене аналитиков, сколько о контролируемых агентских рабочих процессах с явными ограничителями и чёткими процессами согласования.
#ИИ #SOC @П2Т
| 2 | 🔥 FortiBleed — список жертв расширяется
Список хостов и фирм, затронутых кампанией по похищению и анализу учётных данных с устройств Fortinet, всё расширяется — теперь счёт дошёл уже до 86000 железок. Данные выборочно подтверждены как достоверные, более того, в ряде компаний сообщили о выявленной компрометации инфраструктуры. 86 тысяч — это примерно половина всех Фортиков, доступных из Интернета. У многих из этих устройств в сеть торчат и интерфейсы управления. 🤦♂️
Судя по анализу, проведённому независимыми исследователями, учётки были получены экспортом конфигурации устройств, поскольку база содержит данные, которые обычно встречаются только в конфигурационных файлах. Злоумышленники смогли подобрать пароли администраторов, используя взлом хэшей SHA-256, хранившихся в конфигурациях. В прошлом году Fortinet перешла на более безопасное хэширование, однако многие устройства до сих пор либо не обновлены, либо содержат неактивные учётные записи администраторов, владельцы которых не входили в систему с момента перехода с SHA-256 на PBKDF2.
Fortinet настаивает, что о новой уязвимости речи не идёт. Компания связывает сбор учётных данных с комбинацией повторного использования паролей после трёх ранее раскрытых уязвимостей обхода аутентификации (две были закрыты в декабре, ещё одна в январе) и атак на устройства со слабыми паролями и без включённой многофакторной аутентификации. Fortinet уже начала уведомлять затронутых клиентов и подключила правоохранительные органы.
Если вы (ещё) используете FortiGate, первоочередные шаги очевидны:
➡️ завершить все активные сессии администраторов и пользователей на устройстве;
➡️ обновиться до версий прошивки с поддержкой хэширования паролей PBKDF2;
➡️ выполнить ротацию всех учётных данных;
➡️ принудительно включить MFA для всех администраторских и пользовательских аккаунтов;
➡️ ограничить внешний доступ к интерфейсам управления только доверенными хостами.
Дополнительно рекомендуется проверить учётные записи на предмет несанкционированных изменений, просмотреть журналы доступа администраторов и при любых подозрительных находках запускать полноценное реагирование на инцидент, по необходимости — с привлечением внешних экспертов.
#новости @П2Т | 642 |
| 3 | Интересные исследования APT и новости ИБ за неделю
🧐 Подробный разбор вторжений APT UNC6508 в американские компании здравоохранения, предположительно с целью шпионажа. Атакующие компрометировали серверы REDCap, позднее устанавливали ВПО INFINITIRED и воровали учётные данные и переписку
😵💫 Крайне опасная история разворачивается с Fortibleed — в Интернете опубликованы админские учётные данные более 75 тыс. Фортиков, многие из которых по-прежнему действительны. Предполагается, что файлы конфигурации, включая хэшированные SHA-256 пароли, выкачали через уязвимость (возможно в Fortigate Management Interface), а затем восстановили пароли перебором.
😑 Очередная атака на npm проведена через компоненты популярного ИИ-фреймворка Mastra, пострадало минимум 140 пакетов. Примечательно, что это совершенно другое ВПО и вероятно другой актор, ничего общего с Шай-Хулудами.
😐 Технический анализ троянца Backdoor.Turn, применяемого группировкой Dragonforce. Он написан на Go, использует TURN-серверы MS Teams для маскировки трафика С2, а также использует экзотические уязвимые драйверы Huawei для отключения СЗИ.
🤨 Разбор новых атак APT-C-48, направленных на правительственные, научные, образовательные и медицинские организации в ЮВА. Атака начинается с вредоносных писем, маскирующихся под резюме.
🤔 Технический анализ нового ВПО, работающего целиком в памяти, и используемого APT Patchwork/Dropping Elephant.
😬 Шифровальщик Deadlock использует блокчейн Polygon не только в качестве С2, но и для хранения данных о жертвах, фактически это «сайт утечек» (DLS) вымогателей.
🤡 Подробный разбор сложного ВПО, распространяющегося через USB-носители, но ворующего в основном данные криптокошельков.
👾 Технический анализ ВПО, распространяемого через Steam Workshop и приложение Wallpaper Engine.
🌚 Интересный кейс: скомпрометированный терминальный сервер в организации использовался для рассылки фишинга, а вредоносные вложения размещались на скомпрометированном сайте, принадлежащем госструктуре в Боливии.
👀 Рекомендации по разбору eBPF-руткитов на примере Scales, инфостилера из недавней компрометации пакетов Arch Linux.
🍄 Анализ новых Windows-вариантов ВПО SprySOCKS, ранее замеченного только на Linux.
🗿 Технический анализ ботнета Arystinger, компрометирующего роутеры на базе чипа RTL819X для включения в сеть домашних прокси.
😈 Разбор троянца и инфостилера для MacOS, распространяющегося через кампании ClickFix и основанного на AppleScript.
👌 И немного приятных новостей: китайская полиция арестовала почти 70 подозреваемых в причастности APT Silver Fox.
#дайджест #APT @П2Т | 729 |
| 4 | Помаши рукой капче, блокировки в Anthropic, шпионы смарт-ТВ и другие важные новости конфиденциальности и личной ИБ
⚽️ Вокруг ЧМ-2026 по футболу развернулась традиционная сеть мошеннических кампаний: фальшивые сайты (платных) трансляций, угон аккаунтов, ставки и коллекционные предметы.
😎 Мощное обновление сервиса reCAPTCHA — чтобы доказать, что вы не робот, надо будет помахать рукой в веб-камеру. Google, конечно, мамой клянётся, что записывается только движение рук, без аудио, и потом сразу всё удаляется, но мы таких клятв уже видели сотни.
🆔 Apple перенесёт адреса email своего приватного сервиса hide my email на отдельный поддомен private.icloud.com, который немедленно начнут блокировать те, кто хочет собирать данные о пользователях. 🤦♂️
👀 Anthropic заблокировала модель Fable 5 для всего мира, поскольку не может соблюдать ограничения экспортного контроля и предоставлять сервис только гражданам США. Мы заглянули в хрустальный шарик и вангуем, что новые модели будут подключать клиентам буквально по паспорту. Некоторым приходится предъявлять документики уже сейчас, но у этой практики есть все шансы радикально расшириться.
👾 В Roblox появились специальные типы аккаунтов для детей до 8 лет и до 15 лет, с дополнительными ограничениями и возможностями родительского контроля.
🔄 В Chrome 150 окончательно отключат Manifest v2, поэтому мощные блокировщики рекламы станут менее мощными. То же самое будет в Opera и Edge, так что пора смотреть на альтернативы (об этом у нас есть материал).
🟣Разбор безопасности нового и якобы приватного мессенджера Xchat от одного известного в узких кругах триллионера.
🟣В запрещённой соцсети на букву F производства экстремистской META нынче невесело — по статистике, с начала 2025 года там взрывными темпами растёт деструктивный контент: призывы к насилию, унизительные и провокационные комментарии и тому подобное. Основная причина по словам исследователей — снижение активности модераторов в два раза (их штат резко сократили).
📱 Вероятность невольно присоединиться к сети домашних прокси всё растёт: к новым кампаниям вокруг хорошо известных Android-приставок добавились истории про смарт-ТВ на базе Tizen и WebOS.
🟢Впрочем, даже если не ставить подозрительные приложения, смарт-ТВ как минимум сольёт ваши данные. В Великобритании начали серьёзное расследование незаконных практик сбора данных и выпустили руководство для производителей умных устройств, которому производителям придётся соответствовать.
🍏 В iOS 27 можно будет автоматически менять пароли в онлайн-сервисах, если они оказались скомпрометированы. Якобы, с помощью ИИ, хотя что он там должен делать, не очевидно.
🟢Microsoft идёт по следам Google и Mozilla и тоже переводит Edge на выпуск новых релизов раз в две недели. Обещают быстрее закрывать уязвимости, которые в последние месяцы появляются сотнями.
#дайджест @П2Т | 1 025 |
| 5 | Наши эксперты заметили, что с начала 2026 года группировка VasyGrek (Fluffy Wolf) расширила географию своих жертв — теперь она атакует не только российские организации. Обновился и арсенал: в новых атаках засветились .vbs-дроппер и .com-стилер, написанный на Rust.
Атака VasyGrek обычно начинается с письма, содержащего вредоносный файл либо ссылку. Дальше реализуется цепочка заражения в двух вариантах:
1) Обфусцированный .vbs/.bat-дроппер проверяет имя хоста, а затем скрытно запускает закодированный в Base64 вредоносный PowerShell-скрипт. Тот скачивает нагрузку с легитимных хостингов (pastefy.app, yaso.su, Supabase Storage), загружает .NET-сборку в память и внедряет её в доверенный системный процесс RegAsm.exe — без записи на диск.
2) Написанный на Rust .scr/.com-дроппер бэкдора PureRAT. При установке копирует себя в каталоги %APPDATA% либо %LOCALAPPDATA% и закрепляется в автозагрузке через реестр посредством модификации ветки HKCU\..\Run\ либо через планировщик задач (с использованием утилиты schtasks.exe либо командлета PowerShell Register-ScheduledTask). После закрепления бэкдор связывается с C2 для получения дальнейших инструкций (например, сбор конфиденциальных данных).
Как ловить атаку
Рекомендуем использовать индикаторы компрометации, которые перечислены ниже.
Архивы:
f681a2e311d2a0063a76c6af38082d01 doc_10022026_buh_1c.rar
f1298bcd8a7537be8c9a63a0df264b5c doc_23012026_1c_scan.rar
8130ad8c9b9c1022c7e966d4bde76b4f doc_03_02_2026_buh.rar
11d7b50333c37b7d6e7ccf373ba77505 doc_1c_buh5gr6gss3s3fv.rar
1511effebb7df8a2e5b3a741b106b59a акт сверки.rar
96b685a02c9bdaac285db9fe2b53a2d6 akt_sverki_1c.rar
611522aec29be78d9dafa4b59bf05a20 doc_05032026.rar
.bat-дропперы:
ccff0d0751956a32a5a2fbf13d3aeca0 1C_Doc_kopiya_6rf56rwergsw3frefrsw3_PDF.bat
4af7f1f3cbbef1a1313077d336399245 akt_sverki_04022026_buh_5fegrf6dsfvsffwffs_pdf.bat
9c67e8b55cb0f31270201efdb253ca8f doc_28012026_buh_ff56fdfdf6dfdfd_pdf.bat
7b82065f2017d60e6bfc1f0ed17cd2f9 doc_23012026_skrinshot_1C.bat
f228557b220276a5970246192991b315 aktsverki_1c_buh_pdf.bat
.vbs-дропперы:
11d7b50333c37b7d6e7ccf373ba77505 doc_1c_buh5gr6gss3s3f
.scr-дропперы на RUST:
c1d5a11476ccfeb6a6c2a8de41241d4c buh_1c_10022026_akt_sverki_ferr6rr66fe6efe6fef.scr
3d8fc69b17562108653a6d479cdc0278 doc_23012026_1c_scan.scr
d5732efd1103b6d3990a0bd865d7580d 17.03.2026_doc_pdf.scr
4d8e11ce449a8f51a7007da24f9c5eea doc_05032026_1C_buhrg56svr6v2r66sfsf3sf_PDF.scr
.com-дропперы на RUST:
c9e1f8b2d3e61bbda7d514a38f668c72 платежное поручение от 19.03.2026_pdf.com
48e6c3762469c0111a246c8d88b9b9b8 doc_buh_1C_akt_sverki_06032026_PDF.com
02baba775abf19be98776a86cb746eb2 doc_05032026_1C_akt_sverki_PDF.com
.com-стилер на RUST:
c0d909ecd9fdd83c14e4067654c42d8b akt_sverki_1c_buh_ef4ef6r6gege5gsfeergerge.com`
Domains:
supabase[.]co
modaaura[.]store
URLs:
pastefy[.]app/RoBl0TEe/raw
pastefy[.]app/3ocDEoXR/raw
pastefy[.]app/sLC7Jpkp/raw
yaso[.]su/raw/NNLwEwCU
modaaura[.]store/image.jpg?12711343
pixeldrain[.]com/api/file/Wm3ZnAJr
tzqfbgbyyatqtmhbqbzw.supabase[.]co/storage/v1/object/public/17032026/VC17032026upload.txt
wkhayejmdnobpaoaeim.supabase[.]co/storage/1/object/public/hfgfjjj/image.jpg?12711343
qruqdtwlkhwaztnfrkbq.supabase[.]co/storage/v1/object/public/26012026/stl26012026upload.txt
firebasestorage.googleapis[.]com/v0/b/remasd-6c702.firebasestorage.app/o/image.jpg?al=media&token=20664d8b-9f51-4fc0-8439-3cca14ea7fc4
firebasestorage.googleapis[.]com/v0/b/remasd-6c702.firebasestorage.app/o/image.jpg?alt=media&token=b9d8bf3e-b1eb-4c56-9434-d4af570d4a91
raw.githubusercontent[.]com/sergo20261/proxihost/refs/heads/main/stl28012026upload.txt
au72nuxzv2.ufs[.]sh/f/4LhV5B1sDCwIrgzpCwYKXE4gwWVSzU8Dck1rs5tJYqhnmpx6
raw.githubusercontent[.]com/novichkova0976/buhgalteriya/refs/heads/main/akt_sverki_06032026.rar | 992 |
| 6 |  ▶️ EPSS v5
Empirical официально анонсировали EPSS v5 — новую версию одной из наиболее популярных методик приоритизации уязвимостей на базе вероятности реальной эксплуатации. На сайте FIRST пока доступны только данные v4, но в GitHub уже можно посмотреть на данные v5.
По методике авторов выходит, что точность предсказаний улучшилась на 23%. Этого удалось достичь не только калибровкой моделей на всех 318 тыс. ранее опубликованных CVE, но улучшением анализа сырых данных. Теперь глубже анализируют публичные источники вроде GitHub и точнее оценивают, насколько опасен код опубликованных эксплойтов.
Для защитников, использующих EPSS в своих процессах управления уязвимостями, приятной новостью станет бОльшая стабильность V5. Гораздо реже происходят резкие смены рейтинга EPSS для одной и той же уязвимости с течением времени.
#новости #уязвимости @П2Т | 1 326 |
| 7 | 🪲 Где живёт инфостилер? Разбираем логи.
Эксперты Kaspersky Digital Footprint Intelligence проанализировали более 5 млн файлов («логов»), которые операторы инфостилеров распространяют после извлечения данных с компьютеров своих жертв. Такой анализ позволяет узнать картину реальных заражений — от успешности разных штаммов до технических особенностей атак.
Подавляющее большинство заражений — суммарно две трети — проходило, когда ВПО запускалось всего из двух групп каталогов:
C:\Users\<User>\AppData\Local\Temp\* и
C:\<Windows>\Microsoft.NET\Framework\<version>\
Большое количество записей, относящихся к каталогу Temp, может говорить о запуске вредоносного ПО без предварительного сохранения в какой-то конкретный каталог. В каталоги .NET обычно попадает ВПО, мимикрирующее под компоненты Microsoft или внедряющее себя в легитимный процесс для обхода средств защиты. Например, так делает Lumma Stealer.
В отчёте подробно проанализирован сценарий, когда ВПО запускается из папок, куда его сохранил пользователь, считая свою загрузку безвредной: Documents, Desktop, Downloads. Под маской полезных утилит, активаторов лицензионного ПО или модов игр чаще всего распространяются Lumma, Vidar, Stealc stealer, Risepro и REDLINE.
Примеры схем распространения ВПО, которые имеет смысл включить в ИБ-тренинги для сотрудников, приведены в полной версии отчёта.
#статистика @П2Т | 3 987 |
| 8 | 🔵 Новые APT и важные новости ИБ
👮♀️ Хактивистские группы, изначально позиционировавшие свою деятельность как атаки против России и Белоруссии, расширили географию и теперь атакуют организации в Казахстане, ОАЭ, Сирии и Египте, затрагивая государственный сектор, здравоохранение и авиацию. Известные вторжения обычно начинались с эксплуатации ProxyShell и установки веб-шеллов, после чего атакующие разворачивали инструменты RMM и C2-фреймворки вроде Sliver, Havoc и Mythic. Заканчивались атаки шифрованием, в том числе с применением нового ВПО ClearWater. Один из участников 4BID прямо заявил, что атаки на Россию больше не приносят прибыли, что указывает на усиливающуюся финансовую мотивацию.
⚙️ В ходе IR было выявлено вторжение, продолжавшееся почти 10 лет. APT Velvet Ant закрепилась внутри изолированной сети на объекте КИ без прямого доступа в интернет. Атакующий проник в изолированную среду через многоступенчатую цепочку с эксплуатацией доступных из Интернета Linux-систем и дальнейшим распространением через SSH. Механизм закрепления был основан на стеке аутентификации, включая девять модифицированных вариантов pam_unix.so с бэкдором и троянизированные файлы OpenSSH, которые перехватывали учётные данные и нажатия клавиш.
🔵 OceanLotus/APT32 переключилась с разведки на инвесторов фондового рынка и компанию, работающую в сфере инфраструктурного и транспортного строительства во Вьетнаме, в период с 2024 года по начало 2026. В одном из случаев первичный доступ был получен через компрометацию цепочки поставок сервера обновлений платформы для биржевой торговли, откуда вместе с легитимными обновлениями доставлялись вредоносные загрузчики. В операциях использовался бэкдор SPECTRALVIPER.
🔵Разведывательный ботнет JDY, связанный с кластером Volt Typhoon, пережил предыдущие попытки нейтрализации и вырос более чем вдвое, превысив отметку в 1500 скомпрометированных пограничных устройств. Среди затронутого оборудования — почти 500 устройств Cisco, а также техника Araknis, DrayTek, Hikvision и Linksys.
🟣Две шпионские кампании Khmer Shadow были направлены против государственных структур Камбоджи в оборонном секторе и сфере общественных работ. Доставка шла через письма с вредоносными архивами.
🔵Шестинедельная кампания APT UNK_DeadDrop затронула почти 100 организаций в финансах, криптовалютной сфере, образовании и технологиях. Злоумышленники использовали предложения работы для разработчиков и запросы на code review, чтобы убедить жертв клонировать вредоносные репозитории GitHub. Открытие такого репозитория в VS Code или Cursor запускало заранее настроенную задачу, которая выполняла кроссплатформенное ВПО для Windows, macOS и Linux, включая Go-бэкдор на базе фреймворка Overlord.
🔵Технический анализ BlueRabbit — бэкдора на Go, совмещающего удалённый доступ, профилирование системы, шифрование файлов и деструктивное затирание диска в одном инструменте. Он использует RabbitMQ для управления задачами, Redis для хранения состояния и MinIO для эксфильтрации, а закрепляется через запланированные задачи.
🟣Более 400 пакетов в Arch User Repository были скомпрометированы для распространения инфостилера в связке с eBPF-руткитом уровня ядра.
🍿 Anthropic приостановила глобальный доступ к моделям Fable 5 и Mythos 5, которые находились в публичном доступе всего 4 дня, после того как власти США задействовали полномочия в сфере национальной безопасности и потребовали от компании заблокировать доступ для всех иностранных граждан, включая сотрудников Anthropic и пользователей, находящихся в США. Основанием стали переданные правительством доказательства существования узкого, не универсального джейлбрейка к Fable 5. Поскольку выборочно ограничить доступ не удалось, Anthropic отключила эти модели для всех клиентов по всему миру и откатила пользователей на Claude Opus 4.8. Думаем, теперь такие приключения будут случаться чаще.
#дайджест #APT @П2Т | 1 218 |
| 9 | 🔎 Реальное использование LLM в атаках
Антропики выпустили матрицу покрытия ATT&CK, правда на свой лад — в ней цветами помечено, какие тактики и техники чаще всего пытаются автоматизировать с помощью Claude. Чем гуще красный — тем больше аккаунтов было заблокировано за попытку использовать ИИ на этом этапе атаки.
Авторы оговариваются, что исследование проводилось на относительно небольшой выборке заблокированных аккаунтов, по которым было достаточно информации, чтобы спроецировать запросы злоумышленников на матрицу.
Число злоумышленников, проводящих атаки средней и высокой степени сложности, выросло за год с 33% до 56%, демонстрируя, что входной порог в эту сферу деятельности снижается. При этом значительно выросло число атакующих, чьи операции охватывают полную цепочку kill chain, чем раньше могли похвастаться только продвинутые группы злоумышленников.
Чаще всего у Claude просят помощи в изготовлении ВПО и обфускации вредоносного кода, но значительно участились автономно или полуавтономно проводимые разведка, закрепление и извлечение данных в сети жертвы.
Немудрено, что в Fable 5 заблокированы все виды применения, даже отдалённо напоминающие задачи ИБ.
Более подробно нюансы автоматизации этих TTPs описаны в посте Anthropic RED.
#ИИ #статистика @П2Т | 1 488 |
| 10 | Защита конечных устройств — одна из основ кибербеза в компании. И одного антивируса для этого уже недостаточно. Поэтому многие вендоры предлагают платформы для защиты рабочих мест (EPP). Но какие возможности подобных решений действительно важны?
Собрали чек-лист с критериями выбора, который поможет оценить и выбрать платформу, готовую к современным киберугрозам. Главное — в карточках ⬆️
А ещё — узнайте больше о наших решениях для защиты малого, среднего и крупного бизнеса.
💙 Kaspersky в ВК
💬 Kaspersky в Max
💬 Порвали два трояна в Max | 1 430 |
| 11 | 👾 SANS: модель ИИ-зрелости
Расширяя ранее выпущенный «чертёж безопасного ИИ» (Secure AI Blueprint), эксперты SANS выпустили удобное руководство по самооценке ИИ-зрелости — AI Security Maturity Model. Оно позволяет оценить, на какой стадии сейчас находится организация, а затем сделать шаги, наиболее логичные для конкретной компании в конкретной индустрии, чтобы эту зрелость повысить, правильно оценить риски и расставить приоритеты.
Модель использует три измерения: protect, utilize, govern, то есть защита сценариев применения ИИ, использование ИИ-инструментов для задач кибербезопасности, а также управление инновациями, связанными рисками и ответственным использованием ИИ.
Уровень зрелости по этим трём измерениям у компаний обычно отличается, и именно эту асимметрию должна обнажить корректно проведённая самооценка. При этом и требования к зрелости не у всех одинаковы — у объекта КИИ и у стартапа на рынке электронной коммерции приоритеты будут разными.
Уровней зрелости определяют пять: от Unaware/Ad-hoc (полное отсутствие управления ИИ и политик), через reactive и defined (появляются базовые, а потом и полноценные политики и контролируемое развёртывание) вплоть до полумифических Adaptive (ИИ-агенты самостоятельно улучшают защиту организации).
Для каждого уровня даны индикаторы в разрезе процессов, технологий и персонала — на что смотреть, чтобы сказать «да это же мы». И сразу же перечислены основные шаги, которые нужно сделать для перехода на следующий уровень.
Поскольку документ писали практики, они хорошо знают разницу между красивыми отчётами и реальностью в компаниях. Поэтому методика оценки чётко описывает, какие доказательства должны существовать, чтобы принять результаты по каждому из измерений. Уровней качества шесть — от «нет никаких свидетельств того, что данная возможность или технология есть в организации», до «документированы политики, метрики, доказано итеративное улучшение метрик». Компания с доказанной зрелостью второго уровня скорее всего находится в лучшем положении, чем те, у кого уровень третий, но с низким качеством документации и свидетельств.
Авторы стремятся, чтобы методику использовали в организациях любого размера. Поэтому явно указывают в начале документа, как стоит трактовать те или иные рекомендации в зависимости от масштаба бизнеса.
#советы #ИИ @П2Т | 1 457 |
| 12 | 👀 Рекордный Patch Tuesday, 3 зиродея, долгожданные фиксы
Microsoft разразился обновлением, закрывающим 200 (!) уязвимостей в своих продуктах. Это для тех, кому не хватило в начале июня 360 (!!) закрытых дыр в Edge/Chromium. Вопрос, который нас остро интересует — это теперь так будет каждый месяц, или горшочек имени Mythos/MDASH/XBOW всё же перестанет варить с такой скоростью?
Впрочем, ИТ-админам не до философии. Нужно срочно закрывать целую пачку приоритетных уязвимостей, включая три, разглашённые до устранения. Всего в релизе 32 критические уязвимости, из которых 28 приводят к RCE. Всего в обновлении 65 дефектов приводят к повышению привилегий, 54 — к исполнению произвольного кода, 27 — спуфингу, 26 — утечке информации, 18 — обходу функций безопасности и 7 — DoS.
Среди трёх зиродеев самый интересный для нас — CVE-2026-50507, получивший скромный CVSS 6.8. Это фикс для обхода BitLocker под названием YellowKey, о котором мы писали ранее. Интересно, что в мае под этот дефект завели CVE-2026-45585, поэтому остаётся только гадать, зачем в Редмонде решили задублировать CVE. Microsoft благодарит за обнаружение уязвимости некоего анонимного исследователя. Возможно, это устранён обход майского патча, опубликованный неделю назад.
Другой дефект из того же источника, GreenPlasma, тоже устранён и получил идентификатор CVE-2026-45586. Это повышение привилегий через CTFMON.
Последним зиродеем в июне стала CVE-2026-49160, уязвимость из исследования HTTP/2 Bomb, приводящая к отказу в обслуживании HTTP.sys. К патчу в подарок прилагается бюллетень, объясняющий как пользоваться новыми настройками по ограничению числа заголовков HTTP/2 и HTTP/3.
Среди 200 багов нашлось место для трёх весьма неприятных «червеобразных» уязвимостей, каждая из которых приводит к исполнению произвольного кода на хосте после получения сетевого обращения без аутентификации. Каждая оценена в CVSS 9.8.
Самая сложная — CVE-2026-47291 в HTTP.sys, поскольку эксплуатация оценена как вероятная, а перед применением патча нужно скорректировать в реестре параметр MaxRequestBytes у сервиса HTTP.
Для двух других эксплуатация оценена как менее вероятная, но это уж как повезёт. CVE-2026-44815 затрагивает клиент DHCP, а CVE-2026-45657 — само ядро Windows.
#новости #уязвимости #Microsoft @П2Т | 1 573 |
| 13 | 👀 ИИ: найти и отключить
Практически каждая организация сталкивается с «нашествием нежданного ИИ» — от несанкционированной установки кодинг-агента разработчиками до появления навязчивых и опасных ИИ-функций в привычных офисных приложениях.
Даже в компаниях с хорошо настроенным мониторингом ИБ и зрелой системой инвентаризации активов, эти ИИ-шалости могут пройти незамеченными. Обычные правила ИБ-систем не приспособлены обнаруживать внезапное появление кнопки Copilot в интерфейсе браузера. Поэтому на несанкционированный ИИ приходится вести специально организованную охоту, а по мотивам инвентаризации принимать оргвыводы: разрешить, ограничить, заблокировать.
В новом посте Kaspersky Daily даём общие рекомендации по детектированию разных видов ИИ-помощников и агентов в организации, а также указываем на не очень очевидный, но очень мощный «рубильник», останавливающий бесконтрольное распространение ИИ.
Вторая часть материала включает конкретные советы по отключению различных разновидностей платформенного ИИ (Gemini, Copilot, и т.п.) на двух уровнях — с помощью политик платформы и с помощью внешних инструментов наподобие NGFW.
#советы #ИИ @П2Т | 1 345 |
| 14 | 🏰 Выстраиваем эшелонированную защиту АСУ ТП
16 июня в 11:00 (МСК) на совместном вебинаре «Лаборатории Касперского» и «АйТи Бастиона» поговорим о том, как организовать безопасный обмен данными между промышленной и корпоративной сетями.
Разберём:
🟢как выстроить защищённый автоматизированный обмен данными и файлами между изолированными сегментами;
🟢как PAM и мониторинг трафика помогают выявлять нарушения;
🟢как автоматическая проверка файлов снижает риски кибератак;
🟢как использовать SIEM для быстрого реагирования;
🟢какие преимущества даёт совместное использование решений обеих компаний.
Также покажем реальные сценарии и практические подходы, которые помогут выстроить надёжный и контролируемый обмен данными.
Спикеры:
🟢Ольга Синотова, инженер предпродажной поддержки «Лаборатории Касперского».
🟢Александра Гончарова, менеджер продукта в «АйТи Бастион».
▶️ Зарегистрируйтесь по ссылке ◀️ | 1 190 |
| 15 | ⏭ Интересные исследования APT и новости ИБ за неделю
👎 Скучали по Mini Shai-Hulud? Некоторые npm-пакеты Red Hat поражены новым вариантом этой заразы, Miasma.
🔴 APT HazyBeacon/CL-STA-1020 атакует правительственные организации в ЮВА, используя в качестве малозаметных С2 серверные функции AWS Lambda.
📌 Подробное руководство по обнаружению эксплуатации уязвимости MiniPlasma (LPE в Windows), для которой пока нет патча.
✈️ Увлекательное описание целевой атаки на руководителя биржи, единственной целью атакующих были данные в почтовом ящике. Чтобы обойти средства мониторинга, данные понемногу тащили 5 месяцев.
👮♀️ Тактики и техники ShinyHunters, успешно применявшиеся для взлома и шифрования крупнейших британских и американских компаний, похоже успешно пересадили на азиатскую и европейскую почву злоумышленники из TA4922. Группа комбинирует социальную инженерию с применением ВПО (Atlas, Winos 4.0, RomulusLoader).
🟢Технический анализ ВПО FlutterShell, это бэкдор для macOS.
🔎 CVE-2026-41089 в службе Windows Netlogon (CVSS 9.8), устранённый в майском Patch Tuesday, уже используется в кибератаках.
🟢Новые функции фишинговой платформы (PhaaS) Kali365, которая вдобавок к известным возможностям похищения рабочих учёток M365 обзавелась широким арсеналом, нацеленным на российские мессенджеры и соцсети.
🧌 Масштабная кампания по распространению инфостилеров RemusStealer, AnimateClipper и SessionGate маскируется под сайты легитимного ПО с открытым исходным кодом, включая популярные инструменты ИБ Ghidra и dnSpy.
🟢Технический анализ троянского ВПО Argamal, распространяющегося в основном в составе игр.
🔵Среди доменов, зарегистрированных в 2025 году, 10% были вредоносными. Больше всего новых вредоносных доменов в зонах .mobi и .top.
🔵Более 5000 фальшивых интернет-магазинов, имитирующих популярные марки, используют веб-скиммер medusa.js для похищения платёжных данных.
🔴Злоумышленники научились обманывать ИИ-бота техподдержки экстремистсткой Meta и угонять учётные записи Instagram, просто вежливо попросив привязать другой email. 🤯
🤖 Бот-трафик в интернете уверенно превысил человеческий, если верить Cloudflare. Всё из-за ИИ, конечно.
#дайджест #APT @П2Т | 1 225 |
| 16 |  📦 Снова о контейнерах: критические проблемы в 100 популярных образах Docker Hub
Наша команда исследователей изучила 100 популярных образов Docker Hub с числом загрузок от 10 тысяч до миллиона, используя платформу Kaspersky Container Security. Для тех кто с ней (ещё) не знаком, KCS в числе прочего анализирует слои образов, команды Dockerfile и runtime-конфигурации. KIRA, опциональный ИИ-ассистент, добавляет контекст и информацию по обнаруженным проблемам, объясняя цепочки повышения привилегий, пути утечки учётных данных и риски для цепочки поставок.
Ключевые выводы:
➡️ Уязвимости: 64% образов содержали критические уязвимости. Полностью обновлены были только 10%. Среди наиболее заметных дефектов: CVE-2025-49844 в Redis (RCE через эксплуатацию парсера Lua), CVE-2026-24061 в nginx (RCE), а также CVE-2025-32463 в sudo и CVE-2023-4911 в glibc, обе позволяют повышать привилегии.
➡️ Ошибки конфигурации: с помощью статического анализа и LLM-сканирования KIRA выявила зашитые пароли в Dockerfile, конфигурации sudo с NOPASSWD:ALL, права 777 на системные директории, загрузки по HTTP без проверки целостности и отключённую верификацию TLS-сертификатов.
➡️ Риски ВПО: популярные образы теперь сами становятся целью для злоумышленников. В марте 2026 года контейнерные образы Trivy и LiteLLM были скомпрометированы — вредоносные файлы внедрили напрямую в официальные репозитории. Этот вектор атак на цепочку поставок уже активно эксплуатируется.
Исследование наглядно показывает, почему отсутствие комплексной защиты контейнерных инфраструктур становится высоким риском для любой организации.
Полный разбор и скриншоты.
#советы @П2Т | 1 471 |
| 17 | 📌 Советы по интеграции Kaspersky Scan Engine
Наши клиенты регулярно спрашивают, как встроить проверку файлов или ссылок на наличие киберугроз в те или иные сервисы, используемые в организации. Для этого и создан Kaspersky Scan Engine. Вместе с клиентами собрали рекомендации по его интеграции в дюжину популярных продуктов и платформ — от ownCloud до FortiGate.
Подчеркнём, что эти рекомендации не являются официальными инструкциями технической поддержки, поскольку полного цикла тестирования они не проходили. Мы даём их в ознакомительном режиме и настоятельно рекомендуем проводить тесты в конкретной инфраструктуре.
В посте пошаговые рекомендации для:
- FortiGate
- F5 BIG IP LTM
- eXpress messenger
- Nextcloud
- ownCloud
- Hitachi NAS Platform
- Blue Coat ProxySG
- MOVEit Transfer
- McAfee Web Gateway
- Nutanix Files
- Rspamd
- ARA JAGUAR 5000
Изучить
#советы @П2Т | 1 376 |
| 18 | SOC-CMM Maturity report
SOC-CMM - прекрасный старт для [само]оценки зрелости SOC. Фреймворк вполне можно расширить, добавив собственных требований и критериев, и\или скорректировав предложенные автором.
Начиная с прошлого года Роб стал публиковать любопытные отчеты о зрелости SOC по миру. За вычетом небольшого маркетингового налета и очевидных очевидностей, вроде "зрелость SOC растет только у тех, кто целенаправленно этим занимается" или "растет спрос на сертификацию SOC-CMM" (хотя, в Саудовской Аравии, например, это, действительно, нередко требуется), можно почерпнуть полезные знания, как будто, SOC-CMM неплохо дополняют отчеты SANS: если SANS в общем случае отвечает на вопрос: "Чем занимаются современные SOC", то SOC-CMM поможет с ответом на вопрос: "Как SOC должны развиваться", что для нас, SOCоразвивателей очень важно.
Свежий отчет
Что мне бросилось в глаза.
1. Большой бюджет не означает, что у SOC большая зрелость, а вот с ростом штата в SOC зрелость растет. Это удивительное наблюдение, к которому есть вопросы, особенно в условиях, что любой SOC - гибридный .
2. Как бы много не говорили про автономные SOC-и и ИИ , результативность ИИ пока крайне умеренная.
3. В условиях самооценки наблюдается тенденция к завышению уровня зрелости, а при внешней оценке картина более объективна. По-хорошему, исходя из принципа, что "сам себя я знаю лучше, чем кто-либо другой", должно быть ровно наоборот, что подтверждается высокой эффективностью внутренних команд безопасности.
4. Европа - проблемный регион. Европа имеет самое долгое время найма аналитиков, и самую низкую продолжительность работы в SOC.
5. Governance - главная проблема, а не ложные срабатывания, и не "алерт фатиг", хотя эти, общепринятые, проблемы SOC также указаны, но помимо этого перечислены: нечеткое распределение ответственности, отсутствие формальных циклов анализа результативности и улучшений, слабая связь с бизнесом и рисками.
в MAX
#MDR | 1 268 |
| 19 | 🔥 Kaspersky NGFW почти исполнился год. Подводим итоги и делимся планами на будущее
С момента запуска нашего межсетевого экрана нового поколения в августе 2025 года прошло не так много времени,а результаты уже впечатляют: успешно проведены пилоты, стартовали продажи и постоянно улучшается функционал продукта. Впереди — ещё много всего интересного.
9 июня в 11:00 (МСК) проведём не классическую трансляцию или вебинар, а целую онлайн-конференцию про Kaspersky NGFW с участием экспертов «Лаборатории Касперского», которые расскажут, как устроено решение изнутри и какие возможности оно открывает для защиты ИТ-инфраструктуры.
Что в программе:
🟢статистика и тренды сетевых угроз в 2025–2026 годах;
🟢эволюция архитектуры и дизайна Kaspersky NGFW;
🟢интеграционные возможности решения;
🟢дорожная карта Kaspersky NGFW;
🟢презентация версии 1.2;
🟢Q&A-сессия с экспертами «Лаборатории Касперского».
▶️ Зарегистрируйтесь по ссылке ◀️
💙 Kaspersky в ВК
💬 Kaspersky в Max
💬 Порвали два трояна в Max | 1 005 |
| 20 | 👻 Как атакуют вашу контейнерную инфраструктуру
Целые группы злоумышленников специализируются на атаке контейнерных инфраструктур, преследуя цели от шифрования данных до кражи вычислительных ресурсов. В новой статье систематизируем основные векторы атак, которые отмечены в реальных инцидентах:
🟢 эксплуатация ошибок конфигурации и небезопасного использования API для контейнеризации и оркестрации;
🟢 эксплуатация уязвимостей хостовой системы и компонентов среды выполнения контейнера;
🟢 вредоносные действия внутри скомпрометированного контейнера;
🟢 побег из контейнера с последующей компрометацией узла;
🟢 атаки на цепочку поставок, включая заражение образов контейнеров и компрометацию CI/CD-процессов.
Контейнеры не являются самоцелью атакующих. Часто они используются как промежуточная среда для закрепления внутри системы — затем злоумышленники стремятся либо выйти на уровень хостовой ОС, либо получить доступ к управлению инфраструктурой через API оркестрации.
Для противодействия атакам необходимо выстроить многоуровневую систему, включающую защиту хоста, строгий контроль прав в оркестраторе, минимизацию привилегий контейнеров и проверку компонентов во всей цепочке поставки.
Подробно каждый вектор атак с конкретными примерами и настройками разобран в статье на Securelist.
#советы @П2Т | 1 278 |
