ch
Feedback
Порвали два трояна

Порвали два трояна

前往频道在 Telegram

Про ИБ в бизнесе, промышленности и многом другом 💼 Главный канал Kaspersky: @kasperskylab_ru Связь @KasperskyCrew

显示更多
9 403
订阅者
-324 小时
-37
无数据30
吸引订阅者
七月 '26
七月 '26
+43
在2个频道中
六月 '26
+61
在5个频道中
Get PRO
五月 '26
+82
在4个频道中
Get PRO
四月 '26
+79
在3个频道中
Get PRO
三月 '26
+116
在8个频道中
Get PRO
二月 '26
+136
在9个频道中
Get PRO
一月 '26
+191
在3个频道中
Get PRO
十二月 '25
+434
在15个频道中
Get PRO
十一月 '25
+89
在2个频道中
Get PRO
十月 '25
+161
在12个频道中
Get PRO
九月 '25
+96
在3个频道中
Get PRO
八月 '25
+129
在5个频道中
Get PRO
七月 '25
+287
在23个频道中
Get PRO
六月 '25
+62
在2个频道中
Get PRO
五月 '25
+337
在7个频道中
Get PRO
四月 '25
+368
在12个频道中
Get PRO
三月 '25
+136
在19个频道中
Get PRO
二月 '25
+106
在5个频道中
Get PRO
一月 '25
+136
在4个频道中
Get PRO
十二月 '24
+959
在13个频道中
Get PRO
十一月 '24
+573
在6个频道中
Get PRO
十月 '24
+287
在9个频道中
Get PRO
九月 '24
+1 009
在5个频道中
Get PRO
八月 '24
+151
在4个频道中
Get PRO
七月 '24
+180
在9个频道中
Get PRO
六月 '24
+150
在11个频道中
Get PRO
五月 '24
+125
在3个频道中
Get PRO
四月 '24
+655
在9个频道中
Get PRO
三月 '24
+1 061
在12个频道中
Get PRO
二月 '24
+126
在3个频道中
Get PRO
一月 '24
+111
在5个频道中
Get PRO
十二月 '23
+513
在17个频道中
Get PRO
十一月 '23
+734
在16个频道中
Get PRO
十月 '23
+577
在11个频道中
Get PRO
九月 '23
+159
在0个频道中
Get PRO
八月 '23
+84
在0个频道中
Get PRO
七月 '23
+71
在0个频道中
Get PRO
六月 '23
+380
在0个频道中
Get PRO
五月 '23
+114
在0个频道中
Get PRO
四月 '23
+60
在0个频道中
Get PRO
三月 '23
+68
在0个频道中
Get PRO
二月 '23
+50
在0个频道中
Get PRO
一月 '23
+36
在0个频道中
Get PRO
十二月 '22
+83
在0个频道中
Get PRO
十一月 '22
+1 536
在0个频道中
Get PRO
十月 '22
+603
在0个频道中
Get PRO
九月 '22
+45
在0个频道中
Get PRO
八月 '22
+43
在0个频道中
Get PRO
七月 '22
+387
在0个频道中
日期
订阅者增长
提及
频道
14 七月+4
13 七月+1
12 七月+2
11 七月+2
10 七月+1
09 七月+3
08 七月+4
07 七月+2
06 七月+3
05 七月+4
04 七月+3
03 七月+9
02 七月+2
01 七月+3
频道帖子
🤯 Цунами уже здесь: монструозный Path Tuesday Всё, о чём говорили с момента анонса Mythos, обретает конкретные очертания. В сегодняшнем Patch Tuesday закрыто 570 (!!!) уязвимостей в продуктах Microsoft, а если посчитать «платформенные», где всё патчится на стороне Microsoft, счёт возрастает до 620. И это ещё без 470 (!!!) дефектов в Chrome/Chromium, фиксы для которых вышли для Edge. С января в Редмонде уже закрыли больше багов, чем в любой предыдущий год. Примечательно не только количество багов, но и то, в каких продуктах они устранены. Во всех. Включая Age of Empires и Minecraft server, о которых редакция канала, признаться, давненько не слышала. Впрочем, есть и хорошие новости. Из этой пачки только 3 уязвимости классифицированы как зиродеи (ожидаемо), и «всего» 59 получили статус критических. Среди критических дефектов, 48 приводят к RCE, 9 — к повышению привилегий, одна — к обходу функций безопасности, и одна позволяет спуфинг. Уязвимости, эксплуатируемые в реальных атаках CVE-2026-56155 (CVSS 7.8) — повышение привилегий в Active Directory Federation Services. Этот дефект позволял локально повысить привилегии до администраторских. Подробности о том, в каких атаках использовалась уязвимость, не приводятся. CVE-2026-56164 (CVSS 5.3) — повышение привилегий через Microsoft SharePoint Server, сложность атаки низкая, аутентификации не требуется, но какие привилегии получает атакующий, не указано. За обнаружение дефекта благодарят Mandiant/Google, может подробности ещё и появятся. Третий зиродей — очередной (😏) обход шифрования BitLocker CVE-2026-50661 (CVSS 6.1), который был разглашён до устранения и мы примерно подозреваем кем. Критических багов много, поэтому отметим лишь наиболее срочные. У парочки из них CVSS 9.9, и нигде в этом списке цифра не опускается ниже 9.6. CVE-2026-57092 — EoP в VMSwitch, побег из изолировнной среды с полной компрометацией хоста. CVE-2026-56190 — RCE в RDP, без аутентификации, по сети, берегите ваши серверы. CVE-2026-50518 — RCE в сервере DHCP CVE-2026-50522 и -58644 — RCE в серверах SharePoint CVE-2026-56188 — RCE в WIndows Server network driver CVE-2026-55008 — спуфинг в Exchange Server (мы не знаем, почему это спуфинг, в описании черным по белому написано XSS). Если такие пакеты патчей станут нормой, без радикального пересмотра и автоматизации процессов VM команды ИБ и ИТ не будут заниматься ничем другим, одним только патчингом. #новости #Microsoft #уязвимости @П2Т

2
🎯 Интересные исследования APT и новости ИБ за неделю 👮‍♀️Несколько конкурирующих APT параллельно вели атаки против правоохранительных органов Пакистана в 2024–2026 годах. В одном из случаев злоумышленники заразили публичный портал обращений в полицию, распространяя PlugX, ShadowPad, Cobalt Strike и Remcos под видом обновления портала. 🌐Кластер UAT-7810 строит сети маршрутизации прокси для другой группы — UAT-5918. Злоумышленники компрометируют роутеры и другие пограничные устройства через известные N-day уязвимости, разворачивая специализированные бэкдоры под разные архитектуры. 🟣Интересный гибрид нашли исследователи Microsoft. ВПО GigaWiperbackdoor/BLUERABBIT сочетает функции бэкдора с деструктивными возможностями. Зловред был собран из кода как минимум трёх отдельных семейств. 🔵Модульный C2-фреймворк от APT Cavern Manticore с начала 2026 года атакует государственные структуры Израиля и их ИТ-поставщиков. Он злоупотребляет функцией обновления SysAid для установки ВПО на .NET, после чего движется от скомпрометированных ИТ-поставщиков к более ценным целям. 🪲Фишинговая операция нацелена на производственные компании в России, Чехии, Малайзии и Египте. Атакующие выдают себя за потенциальных заказчиков, ведут переписку длиной в несколько писем, и лишь затем отправляют вредоносную ссылку, которая ведёт на поддельную страницу «облачного документооборота», крадущую корпоративные учётные данные. 🟢Кампания Kimsuky/APT43 использует вредоносный CHM-файл справки для запуска бесфайловой цепочки заражения. Кампания узко нацелена на исследователей, занимающихся северокорейской тематикой. 🔵Инструментарий для «живого» мошенничества под названием SCMBANKER нацелен на мексиканские банки, финтех-компании, платёжные процессинги и криптобиржи. Доставляемый через поддельные страницы CAPTCHA набор сценариев PowerShell отслеживает банковские сессии и показывает поддельные банковские предупреждения об ошибке, вынуждая жертв звонить мошенникам для «устранения проблемы». 🔵Операция Lurking Lizard как минимум с 2022 года превращает машины жертв в части сети домашних прокси. 🟣Владельцам Tenda приподнапрячься: недокументированная уязвимость обхода аутентификации CVE-2026-11405 даёт атакующим полный административный контроль над рядом моделей роутеров Tenda через заводской пароль. Производитель был уведомлён в мае 2026 года, но патч до сих пор не выпустил, поэтому единственная компенсирующая мера — отключение удалённого управления. 🟢В мутной истории про арест вымогателей Scattered Spider после отслеживания через уникальные идентификаторы Microsoft самое интересное — а что же это за идентификаторы GDID, как они хранятся, и в каких случаях передаются. Неплохую подборку информации по этой теме энтузиасты выложили на GitHub. #APT #дайджест @П2Т
542
3
🛒 Сэкономим на ИИ? Блокировки, ограничения, внезапные уменьшения лимитов в подписке и непредсказуемые расходы при использовании по API побуждают многие компании искать обходные пути для доступа к ведущим ИИ-моделям. Беглый поиск мгновенно обнаруживает десятки сервисов, через которые можно в режиме одного окна пользоваться сотнями ИИ-моделей, причём топовые (уровня Opus) обещают продать чуть не впятеро дешевле официальных цен. Разобрали все нюансы и подводные камни таких предложений в новой статье Kaspersky Daily. Если вкратце, то нужно разобраться, что именно предлагает конкретный провайдер — честную балансировку API и гарантии доступности, или доступ через ворованные учётки с попутным воровством всего вашего ИИ-трафика для обучения чужих моделей и даже криминальных нужд. Читать #советы #угрозы #ИИ @П2Т
829
4
📺 Фишинг через коды устройств Приглядываться к доменному имени в ссылках уже недостаточно, чтобы защитить пользователей от ф
📺 Фишинг через коды устройств Приглядываться к доменному имени в ссылках уже недостаточно, чтобы защитить пользователей от фишинга. Злоумышленники используют легитимные домены Microsoft для захвата корпоративных аккаунтов, заодно обходя стандартную MFA. В новой кампании атакующие эксплуатируют механизм Microsoft Device Authorization Grant, он же Device Code Flow — протокол, созданный для того, чтобы умные ТВ и IoT-устройства без клавиатуры могли входить в учётные записи. Вместо размещения поддельной формы аутентификации на тайпсквот-домене злоумышленники отправляют жертве документ или ссылку, которая перенаправляет её на легитимную страницу верификации Microsoft, например microsoft.com/devicelogin. Пользователя два раза переадресуют, показывают на стороннем домене одноразовый код, а затем снова переадресуют на легитимную страницу Microsoft, где предлагают ввести одноразовый код, предоставленный злоумышленниками. Поскольку вход выполняется на реальной платформе Microsoft, то жертва видит действительный сертификат, корректный корпоративный брендинг и защищённое соединение. Более того, она может пройти и стандартную MFA прямо на сайте Microsoft. Но в момент, когда пользователь нажимает approve, он фактически выдаёт разрешение фоновому приложению злоумышленника. Фишеры мгновенно перехватывают OAuth-токены активной сессии. Это даёт им устойчивый долгосрочный доступ к почтовому ящику Outlook, файлам в OneDrive и чатам Teams без какой-либо необходимости красть пароль. Чтобы противодействовать таким атакам: 🟢 оцените, нужен ли Device Code Flow внутри вашей организации. Если сотрудникам не требуется вход в сервисы Microsoft с устройств без клавиатуры, отключите этот механизм глобально через Entra ID Conditional Access; 🟢 настройте мониторинг событий DeviceCodeSignIn в журналах; 🟢 обучите сотрудников обращать внимание на подозрительные переадресации при переходе по ссылкам, когда легитимные корпоративные порталы чередуются со сторонними платформами. Детальный сценарий атаки и скриншоты опубликованы на Securelist. #угрозы #Microsoft @П2Т
878
5
🔥 Kaspersky NGFW получил крупнейшее обновление с момента запуска. Добавили в версию 1.2 много полезного: от поддержки виртуа+9
🔥 Kaspersky NGFW получил крупнейшее обновление с момента запуска. Добавили в версию 1.2 много полезного: от поддержки виртуальных контекстов до UX-улучшений в веб-интерфейсе. Подробности — в наших карточках ⬆️ Чтобы узнать больше про наш межсетевой экран нового поколения — включайте запись онлайн-конференции Kaspersky NGFW. В ней рассказываем об эволюции архитектуры и дизайна продукта, интеграционных возможностях, дорожной карте и планах развития. А если вы сейчас на выставке «ИННОПРОМ-2026», то приходите знакомиться с Kaspersky NGFW к нам на стенд: павильон 2, место 2А5.
776
6
📈 Сколько времени у вас уходит на закрытие уже эксплуатируемых уязвимостей? Если на ваших дэшбордах ещё нет этой цифры, пора её посчитать — медианная скорость устранения или компенсации уязвимостей, которые уже эксплуатируются в реальных атаках. Для большинства организаций этот показатель сейчас составляет около 43 дней и продолжает расти, а полностью закрываются лишь примерно 26% уязвимостей из каталога KEV (против 38% год назад). Между тем, эксплуатация уязвимостей стала способом номер 1 для первоначального проникновения, как по нашей статистике, так и в Verizon DBIR, впервые за его 19-летнюю историю обогнав кражу учётных данных. Проблема обычно не в дефиците информации, а в сложном и частично ручном процессе от обнаружения до устранения дефекта. Сканер находит проблему, но дальше она зависает в таблице, очереди тикетов и цепочке согласований. Тем временем риск только накапливается: 1️⃣ В 2025 году был установлен рекорд по числу CVE, а прогнозы на 2026 год находятся в диапазоне от примерно 50 000 до более чем 70 000; 2️⃣ ИИ-модели вроде Mythos автономно находят тысячи зиродеев во всех основных ОС и браузерах; 3️⃣ недавний Microsoft Patch Tuesday стал крупнейшим за всю историю, то же самое можно сказать и о последних ИБ-обновлениях в Chrome; 4️⃣ NIST признал, что больше не в состоянии обогащать каждую CVE дополнительным контекстом, и теперь тоже их приоритизирует, оставляя в работе лишь около 15–20%; 5️⃣ директива CISA от июня 2026 года исключила CVSS из числа обязательных входных параметров, предлагая взамен ранжирование по уровню экспозиции, факту активной эксплуатации, возможности автоматизации атаки и потенциальному ущербу. Максимальный риск требует реакции в течение трёх дней. Инструменты vulnerability management в вашем стеке теперь должны поддерживать созданную в организации правильную операционную модель: ✔️ детектирование, которое автоматически передаёт находки в ITSM, с чётким владельцем и жёстко заданными SLA; ✔️ приоритизацию, завязанную на данные об эксплуатации и экспозиции, а не только на CVSS; ☑️ автоматизированный патч-менеджмент там, где это безопасно, плюс компенсирующие меры на тот промежуток времени, пока патча ещё нет; ☑️ связность VM с другими инструментами ИБ, инвентаризацией активов и менеджером заданий, чтобы на вопрос «какие наши ресурсы под угрозой?» существовал один готовый ответ, а не отдельное упражнение по сверке данных. Подробнее о правильных подходах к приоритизации и сокращении дистанции между «обнаружено» и «исправлено». #VM #уязвимости #CISO @П2Т
878
7
🗿 Настоящая пропасть между «локализовали инцидент» и полноценным реагированием Эксперты сервиса Kaspersky Compromise Assessment, выявляющего признаки компрометации в сетях организаций, поделились своими наблюдениями и статистикой по итогам 2025 года. К этой услуге обращаются по разным причинам: от проведения регулярного аудита или оценки ИБ перед покупкой компании до аудита после инцидента безопасности. Около 41% инцидентов в компаниях, заметивших признаки компрометации, были критическими. Впрочем, при плановых аудитах доля выявленных критических инцидентов тоже не маленькая, 28%. Почти в трети случаев выявленный инцидент начался более чем три месяца назад. Самый давний инцидент оставался незамеченным на протяжении четырёх лет. Около 60% угроз не были замечены организациями из-за отсутствия надёжных оповещений от существующих средств защиты. Простого наличия EDR и SIEM недостаточно — решающую роль играет зрелость операционных процессов. Решения для мониторинга нужно настраивать и адаптировать с учётом меняющегося ландшафта угроз, а оповещения с низким уровнем достоверности всё равно должны рассматривать аналитики. Когда инцидент всё же выявляют, реагирование на него часто неполное. Меры реагирования сосредоточены на локализации последствий инцидента и не дают полного представления о состоянии инфраструктуры. Как следствие, угрозы могут оставаться незамеченными после таких мероприятий. Часто вредоносные файлы сохраняются в резервных копиях и восстанавливаются оттуда после реагирования. Так, 40% обнаруженных веб-шеллов находились в резервных копиях и оставались незамеченными. Рекомендуем изучить полную версию отчёта на Securelist — там приведены: ➡️ подробная статистика по наиболее часто встречающимся артефактам и IoA; ➡️ распределение инцидентов по географиям и индустриям; ➡️ конкретные примеры из практики расследования. #советы #статистика #IR @П2Т
942
8
Интересные исследования APT и новости ИБ за неделю 🧙‍♂️ Анализ кампании APT Armored Likho по доставки BusySnake — нового стилера на Python, который крадёт учётные данные, разворачивает RustDesk и создаёт обратные SSH-туннели. Атака нацелена на государственные организации и предприятия электроэнергетики в России, Бразилии и Казахстане. 🐼 Две шпионские кампании APT Mustang Panda затронули госструктуры Индии и сектор гидроэнергетики. Тематические приманки использовались для доставки загрузчика SHARDLOADER и двух новых имплантов, MINIRECON и ZOHOMURK. 🎩 RaaS The Gentlemen вошла в число самых активных в 2026 году, используя уязвимые драйверы и групповые политики для шифрования целых доменов. Жертвами становились организации из производственного сектора, ИТ, здравоохранения, финансов, строительства и логистики, преимущественно в Бразилии, Китае, Индонезии, на Тайване и в Таиланде. 🟢Разбор масштабной операции по установке ScreenConnect и AsyncRAT. Злоумышленники развернули сеть из 90+ доменов на 10 языках для SEO-продвижения сайтов с поддельными установщиками утилит вроде OBS Studio и DS4Windows. 🟣Кампания «agentic ransomware» Jadepuffer зашифровала более 1300 жертв. LLM делают массовую эксплуатацию всего исторического каталога уязвимостей практически бесплатной. 🔵Кампания, приписываемая APT-C-20/APT28, атакует госорганы а с помощью документов-приманок с макросами, которые используют COM hijacking и процесс Проводника Windows для загрузки вредоносной DLL. Шелл-код скрывается в изображениях через LSB-стеганографию, а облачный сервис Filen-io применяется как C2. 🟣Анонимный исследователь опубликовал PoC-эксплойты для 30+ зиродеев в широко используемых проектах open source, включая ядро Linux, FFmpeg, 7-Zip, PHP, OpenVPN и VLC. На данный момент назначено 12 CVE. 🟣Многомесячная кампания chocopocs была нацелена на исследователей уязвимостей. GitHub-репозитории содержали фальшивые PoC для резонансных CVE в продуктах вроде FortiWeb и Joomla. Установка этих PoC приводила к инсталляции инфостилера. 🔵Анализ PamStealer, macOS-инфостилера, написанного на Rust и проверяющего пароль входа жертвы через macOS Pluggable Authentication Modules. 🔵Кластер Clubfoot Wolf в мае и июне 2026 года массово атаковал российские организации, прежде всего оптовых поставщиков химической продукции. Для C2 использовался NetSupport Manager, адаптированный под вредоносные задачи. 🟢Фишинговая кампания для сотрудников японских отелей, сотрудничающих с Booking.com: злоумышленники рассылали письма с «жалобами гостей» и приложенным ВПО TONResolver, использующим блокчейн The Open Network как dead drop resolver. 🟣Бразильский банковский троянец Ousaban расширил операции на Испанию и Португалию. 🟣 Анализ .NET-инструмента Umbrij группы ToddyCat, который крадёт OAuth-токены у корпоративных пользователей. 🟠Обзор Blacksite — коммерческого фишкита AitM. Примечателен сервисом маскировки, который прячет трафик от сканеров, а предполагаемым аналитикам отдаёт сгенерированные ИИ страницы-приманки. #дайджест #APT @П2Т
924
9
Раз уж начал сегодня день с историй, то вот еще одна. 18 лет прошло с момента релиза эпического хип-хопа Packin' the K! , пол
Раз уж начал сегодня день с историй, то вот еще одна. 18 лет прошло с момента релиза эпического хип-хопа Packin' the K! , получившего Pwnie Awards на BlackHat 2008. Новое поколение вряд ли это слышало 😁 @gostev_future
1 014
10
Вам, новоиспечённые разработчики! #ИБ_мем @П2Т
Вам, новоиспечённые разработчики! #ИБ_мем @П2Т
1 256
11
Злоумышленники, атакующие Linux-системы, часто используют "бесфайловое" выполнение, чтобы избежать загрузки вредоносного ПО н
Злоумышленники, атакующие Linux-системы, часто используют "бесфайловое" выполнение, чтобы избежать загрузки вредоносного ПО на диск. Это помогает обойти традиционные системы детектирования и механизмы безопасности, а также оставляет значительно меньше следов для форензики. Системный вызов memfd_create() играет важную роль в таких атаках. Этот механизм, появившийся в ядре Linux 3.17, предназначен для создания анонимных файлов, которые существуют только в оперативной памяти. Согласно руководству memfd_create(2), эти файлы ведут себя как обычные файлы — у них есть размер и отображение в памяти, их можно изменять — но они не сохраняются на физическом носителе. Вызов memfd_create() возвращает файловый дескриптор, который может быть использован вызовом fexecve(3) — это позволяет процессу выполнять бинарный файл через файловый дескриптор (FD), в отличие от вызова execve(2), где в качестве аргумента требуется путь в реальной файловой системе. Типичная цепочка эксплуатации этого механизма состоит из трёх этапов: 1. Загрузчик вызывает memfd_create(name, flags), этот вызов возвращает файловый дескриптор. Имя (name) здесь нужно только для отладки, оно не появляется в дереве каталогов. 2. Загрузчик записывает вредоносную нагрузку (часто полученную по сети) в этот FD. 3. Загрузчик вызывает fexecve(fd, argv, envp). Ядро заменяет текущий образ процесса бинарным файлом, хранящимся в анонимном сегменте памяти. Такой подход гарантирует, что вредоносная нагрузка не попадает на диск, и таким образом она обходит: — системы детектирования на основе сигнатур, которые сканируют диск; — запрет на выполнение: во многих системах каталоги с правами на запись для всех (такие, как /tmp или /dev/shm) монтируют с флагом noexec, поскольку такие каталоги часто используются злоумышленниками для выполнения вредоносного ПО. Пример атаки: Рассмотрим каталог, который смонтирован с флагом noexec. Попытка выполнить бинарный файл id из этой точки монтирования не сработает, даже если он запускается с высшими привилегиями и сам бинарный файл является исполняемым (см. верхний скриншот). Это ограничение можно обойти, если бинарный файл загружен в оперативную память и выполнен напрямую из памяти. Для демонстрации мы создали веб-сервер, который хостит бинарный файл id (он может быть вредоносным в реальных атаках), и написали простой скрипт на Python, который скачивает этот бинарный файл, загружает его в память и выполняет его в памяти, обходя все защиты. Результат можно увидеть на скриншоте (нижняя часть). Обратите внимание, что системный вызов 319 — это и есть memfd_create(). Детектирование: Хотя файла нет на диске, ядро Linux показывает метаданные о запущенных процессах. Нужно смотреть: — Пути в файловой системе /proc. Даже анонимные файлы отслеживаются в таких метаданных. /proc/[PID]/exe обычно указывает на путь бинарного файла, такой как /usr/bin/python3. Процесс memfd будет указывать на виртуальный путь, часто помеченный как memfd: (deleted). — Карты памяти (memory maps). Анализ /proc/[PID]/maps или smaps показывает следы атаки. Ищите сегменты памяти с правами на выполнение (r-xp), которые сопоставлены с объектом memfd, а не с общедоступной библиотекой или известным бинарным файлом на диске.
1 166
12
🔎 Уязвимость в SharePoint Server уже эксплуатируется По данным CISA KEV, атакующие активно эксплуатируют опасную уязвимость десериализации в SharePoint, отслеживаемую как CVE-2026-45659 (CVSS 8.8). Для полного захвата on-premises серверов SharePoint злоумышленникам достаточно скомпрометировать учётную запись обычного сотрудника с низкими привилегиями. Дефект позволяет любому пользователю с правами уровня Site Member и выше удалённо выполнять произвольный код на сервере. Атаки на SharePoint часто приводят к развёртыванию веб-шеллов с последующим созданием административных учётных записей и атакой на остальную инфраструктуру компании. Ни CISA, ни Microsoft не раскрыли детали текущей эксплуатации, однако с ней может быть связан недавний блог Microsoft о «параллельной активности злоумышленников». Там упоминается группа Storm-2603 (также известная как Warlock ransomware), которая «с середины 2025 года атакует on-premises серверы SharePoint, эксплуатируя известные уязвимости». Microsoft закрыла эту уязвимость в мае 2026 года, выпустив внеплановый патч для SharePoint Server Subscription Edition, SharePoint Server 2019 и SharePoint Enterprise Server 2016. Эти патчи нужно ставить в приоритетном порядке, а также проверить журналы активности пользователей SharePoint на любые аномалии. Та же CISA дала госорганам всего три дня на устранение дефекта, что намекает на масштаб риска. #Microsoft #уязвимости @П2Т
1 377
13
📌 Новый приём для кражи данных через OAuth Если сотрудники оставляют на своих компьютерах активные сессии в Google Workspace
📌 Новый приём для кражи данных через OAuth Если сотрудники оставляют на своих компьютерах активные сессии в Google Workspace (или другом сервисе, предоставляющем широкие возможности интеграции с доступом по OAuth), злоумышленники могут выкачивать корпоративную почту напрямую через собственные API Google. APT ToddyCat использует недавно обнаруженный нашими исследователями инструмент Umbrij для автоматизации техники атаки, которую мы назвали Shadow Token via Remote Debug, или STRD. Вместо кражи учётных данных ВПО нацеливается на активные аутентифицированные браузерные сессии в Google Chrome или Microsoft Edge. Зловред копирует данные активной сессии пользователя в другую папку, запускает в фоне headless-экземпляр браузера (без видимого интерфейса) и подключается к порту удалённой отладки. После установления сессии инструмент запрашивает OAuth-разрешения к Google Workspace (Gmail, Drive и Contacts), маскируясь под легитимный инструмент миграции Google, GWSMO. Затем с помощью фонового JavaScript ВПО автоматически нажимает Allow на экране согласия, похищает OAuth-токен и отправляет его атакующим. Получив этот OAuth-токен, злоумышленники могут читать корпоративную переписку и скачивать файлы напрямую через API Google. Для сохранения доступа им больше не нужно ни делать что-либо на хосте, ни оставаться внутри вашей сети. Подробнее техника и IOC описаны на Securelist. 📌 Чтобы защитить системы: 1️⃣ Ограничьте инструменты разработчика: используйте политику 'DeveloperToolsAvailability', чтобы отключить их для сотрудников, не связанных с созданием и отладкой ПО. Это блокирует невидимое управление через порт отладки. 2️⃣ Контролируйте запуск браузеров: настройте мониторинг на хостах, чтобы фиксировать подозрительные режимы выполнения, например с флагами командной строки --remote-debugging-port и --headless. 3️⃣ Аудируйте подключённые приложения: регулярно проверяйте сторонние подключения в Google Workspace и других важных сервисах с OAuth. При обнаружении несанкционированных интеграций немедленно отзывайте им доступ. #APT #SOC #MDR #советы @П2Т
1 238
14
⚡️ Оценка ИИ-зрелости, EPSS v5, типовые атаки на контейнеры и другие полезные посты июня В июньском потоке новостей могли зат
⚡️ Оценка ИИ-зрелости, EPSS v5, типовые атаки на контейнеры и другие полезные посты июня В июньском потоке новостей могли затеряться полезные и не сиюминутные материалы нашего канала. Поэтому мы подобрали статьи, которые помогут выстроить эффективные процессы и системы в ИБ. Если вы что-то пропустили, самое время наверстать упущенное! 🟣анализ логов инфостилеров: где и как они отрабатывают в успешных атаках; 🔵реальное использование Claude злоумышленниками: статистика Anthropic, разложенная по ATT&CK; 🟣оценка ИИ-зрелости в ИБ по методике SANS; 🔵что нового в EPSS v5; ⚪️какие «подарочки» встречаются в популярных образа Docker: анализируем вместе с KIRA; 🟢советы по интеграции Kaspersky Scan Engine со сторонними продуктами; 🟣оценка зрелости SOC, и что изменилось за год; 🟢как найти, ограничить и отключить нежелательные ИИ-сервисы в организации (баллада в трёх частях); 🟣типовые векторы атак на контейнерную инфраструктуру; ⚪️подводные камни автономного SOC. #дайджест @П2Т
1 124
15
〰️ Угрозы МСБ в 2026 году Небольшие бизнесы остаются привлекательной мишенью злоумышленников. Участились случаи, когда МСБ ат
〰️ Угрозы МСБ в 2026 году Небольшие бизнесы остаются привлекательной мишенью злоумышленников. Участились случаи, когда МСБ атакуют ради проникновения в более крупную компанию, куда жертва поставляет товары или услуги. В проанализированных даркнет-публикациях около 40% брокеров первоначального доступа описывают жертву как компанию малого бизнеса и 20% — среднего. Методы проникновения в компании не претерпели существенных изменений, но популярность идей про внедрение ИИ в малом бизнесе отразились на структуре приманок. За год впятеро увеличилось число атак, где ВПО было замаскировано под клиенты популярных ИИ-сервисов, в первую очередь ChatGPT и Claude. Несмотря на это, львиную долю ВПО по-прежнему маскируют под мессенджеры и клиенты видеоконференций. Остаются в топе приманок и популярные офисные приложения. Более подробная статистика ВПО и фишинга, нацеленных на малый бизнес, а также детальные рекомендации по защите опубликованы в отчёте на Securelist. #статистика #МСБ @П2Т
1 220
16
🗣 ИИ в ИБ: как эволюционируют атака и защита Когда: 1 июля 2026 в 11:00 и 15:00 (МСК) В информационном шуме вокруг ИИ бывает
🗣 ИИ в ИБ: как эволюционируют атака и защита Когда: 1 июля 2026 в 11:00 и 15:00 (МСК) В информационном шуме вокруг ИИ бывает сложно поймать момент, когда хайп и фантазии превращаются в важные тенденции. Именно этим займутся эксперты ведущих ИБ-компаний на онлайн-конференции AM Live. Тема огромная, поэтому мероприятие пройдёт в двух частях. Первая будет посвящена использованию ИИ в реальных атаках, а вторая — реалистичным и опробованным способам, в которых автоматизация помогает защитникам. Темы первой части (в 11:00): ▶️ почему ИИ-фишинг всё сложнее отличить от реальной деловой переписки; ▶️ как ИИ усиливает атаки на учётные записи, пароли, токены и сервисные аккаунты; ▶️ может ли ИИ искать уязвимости и проводить разведку в инфраструктуре; ▶️ какой бизнес-процесс сегодня проще всего обмануть с помощью искусственного интеллекта; ▶️ какие три шага стоит сделать уже сейчас, чтобы подготовиться к новому поколению ИИ-атак. Темы второй части (в 15:00): ▶️ семь ключевых сценариев использования ИИ — от SOC до управления уязвимостями; ▶️ как ИИ помогает выявлять фишинг, дипфейки и социальную инженерию; ▶️ можно ли заранее обнаружить подготовку к утечке или подозрительное поведение сотрудника; ▶️ как ИИ помогает в цифровой криминалистике; ▶️ может ли ИИ прогнозировать вероятность эксплуатации уязвимости с учётом контекста компании; ▶️ какие действия можно доверить ИИ уже сейчас. 👤 От «Лаборатории Касперского» выступят Георгий Кучерин и Андрей Гунькин. Встречаемся уже завтра: 1 июля 2026 Нужна предварительная регистрация. Узнать о конференции и зарегистрироваться ⟶ #события @П2Т
1 108
17
📊 Переводим эффективность кибербеза на понятный для CEO язык цифр Анна Кулашова, вице-президент «Лаборатории Касперского» по
📊 Переводим эффективность кибербеза на понятный для CEO язык цифр Анна Кулашова, вице-президент «Лаборатории Касперского» по развитию бизнеса в России и СНГ, в интервью «Коммерсанту» рассказала о ROI-калькуляторе — инструменте для оценки эффективности инвестиций в ИБ. Его бета-версию мы представили на ПМЭФ 2026. В интервью обсудили: 🟢как работает ROI-калькулятор и какая методология лежит в его основе; 🟢кому этот инструмент будет полезен в первую очередь; 🟢какие данные и метрики получает пользователь; 🟢можно ли с ним работать без опыта в ИБ. ▶️ Читайте по ссылке
1 157
18
FortiBleed ещё хуже, шифровальщики для мейнфреймов и другие важные исследования APT и новости ИБ 🟢Технический анализ ВПО SharkLoader, применявшегося в атаках на организации в Индонезии, Гонконге, Колумбии, Сербии, Ливане, Тайване и других регионах. Среди жертв доминируют госорганизации и разработчики ПО. Компрометация происходит через эксплуатацию публично доступных приложений и пограничных устройств, а в итоге жертвам устанавливают имплант Cobal Strike. В некоторых случаях атакующие также используют дропперы, замаскированные под легитимное ПО, применяемое в бизнесе. В известных атаках не наблюдалась постэксплуатационная активность, кроме закрепления в системе, поэтому цели атакующих пока не ясны. 🟢Разбор любопытного троянца и инфостилера GasLight для macOS, который предположительно создан кластером Lazarus и содержит в своих текстовых строках целый набор промпт-инъекций, призванных сбить с толку набирающие популярность ИИ-помощники для анализа ВПО. 🟢Анализ кампании FortiBleed привёл к обнаружению ВПО FortigateSniffer, способного использовать диагностические возможности FortiOS для перехвата проходящих через устройство пакетов и извлечения данных аутентификации двух десятков популярных протоколов. 🔵Новый бэкдор Mistic (MLTBackdoor) предположительно создан брокерами первоначального доступа Woodgnat/KongTuke и используется на начальных стадиях вымогательских операций, в основном Qilin. Запускается в системе с помощью DLL sideloading и в дальнейшем работает как бесфайловое ВПО. 🔵Интересный обзор атак на системы очистки и подачи воды по всему миру за период с 2024 по 2026 г. 🟣Новая вредоносная кампания распространяет вредоносные сценарии VBScript через сообщения в мессенджере. Жертвы кампании обнаружены в США, России, Бразилии, Мексике, Индии, Великобритании, и других странах, но больше всего их в Малайзии. В конечном счёте жертвам устанавливают легитимное ПО удалённого управления (RMM) ManageEngine. 🟣Новая платформа PhaaS под названием Bluekit обходит алгоритмы антифрода с помощью изощрённой тактики «браузер посередине». Вход в учётную запись жертвы происходит в браузере, запущенном на сервере атакующих, а фишинговый сайт в реальном времени транслирует жертве эту сессию с помощью легитимного инструмента rrweb. 🟣Технический анализ новой версии Millenium RAT 4.0 и профиль операторов, предлагающих это ВПО по модели MaaS. 🔵Новая тактика ClickFix на macOS — выполнение команды монтирует вредоносный образ DMG и запускает инфостилер. 🔵На одном из серверов INC Ransomware обнаружены сборки ВПО для экзотических архитектур целевых серверов, включая мейнфреймы IBM Z. Правда, авторы исследования не уверены в работоспособности и эффективности этих образцов. 🟣Технический анализ бэкдора STOCKSTAY, написанного на .NET и используемого APT Turla. 🟣Разбор вредоносной кампании, использующей уязвимость в Langflow (CVE-2026-33017) для запуска криптомайнинга на мощных серверах, предназначенных для ИИ-задач. 🟣Технический анализ Linux-ВПО MYRA, распространявшегося через npm. Исследователи предполагают, что это может быть инструментом редтиминга. 🔴В США обязали госучреждения перевести критические ИТ-системы на постквантовые алгоритмы согласования ключей до конца 2030 года, и на постквантовые цифровые подписи до конца 2031. #дайджест #APT @П2Т
1 216
19
🌎🚀29 лет бережем мир от киберугроз и не планируем останавливаться! Мидори уже защищает другие планеты — в нашем новом празд
🌎🚀29 лет бережем мир от киберугроз и не планируем останавливаться! Мидори уже защищает другие планеты — в нашем новом праздничном ролике. Смотрим!
1 208
20
🔥 Как ИИ изменил индустрию ИБ в 2026 году? Именно этой широкой теме посвящён первый выпуск нового сезона подкаста «Смени пар
🔥 Как ИИ изменил индустрию ИБ в 2026 году? Именно этой широкой теме посвящён первый выпуск нового сезона подкаста «Смени пароль». 🟣Что опаснее — ИИ, который пишет уязвимости, или ИИ, случайно стирающий важные данные? 🔵Почему традиционный подход к патчингу терпит крах? 🟣Зачем нужен AI firewall и что такое ML SecOps? 🔵Нужно ли бороться с ИИ-ботами, которые тащат контент с веб-сайтов, и как это происходит уже сегодня? 🟣Почему защита «human in the loop» плохо работает на практике? Обсуждаем проблемы слишком самостоятельного искусственного интеллекта с Владиславом Тушкановым, руководителем группы исследований технологий машинного обучения в «Лаборатории Касперского». 🟢 Слушать подкаст #ИИ @П2Т
1 465