Порвали два трояна

▶️ EPSS v5 Empirical официально анонсировали EPSS v5 — новую версию одной из наиболее популярных методик приоритизации уязвимостей на базе вероятности реальной эксплуатации. На сайте FIRST пока доступны только данные v4, но в GitHub уже можно посмотреть на данные v5. По методике авторов выходит, что точность предсказаний улучшилась на 23%. Этого удалось достичь не только калибровкой моделей на всех 318 тыс. ранее опубликованных CVE, но улучшением анализа сырых данных. Теперь глубже анализируют публичные источники вроде GitHub и точнее оценивают, насколько опасен код опубликованных эксплойтов. Для защитников, использующих EPSS в своих процессах управления уязвимостями, приятной новостью станет бОльшая стабильность V5. Гораздо реже происходят резкие смены рейтинга EPSS для одной и той же уязвимости с течением времени. #новости #уязвимости @П2Т

🪲 Где живёт инфостилер? Разбираем логи. Эксперты Kaspersky Digital Footprint Intelligence проанализировали более 5 млн файлов («логов»), которые операторы инфостилеров распространяют после извлечения данных с компьютеров своих жертв. Такой анализ позволяет узнать картину реальных заражений — от успешности разных штаммов до технических особенностей атак. Подавляющее большинство заражений — суммарно две трети — проходило, когда ВПО запускалось всего из двух групп каталогов: C:\Users\<User>\AppData\Local\Temp\* и C:\<Windows>\Microsoft.NET\Framework\<version>\ Большое количество записей, относящихся к каталогу Temp, может говорить о запуске вредоносного ПО без предварительного сохранения в какой-то конкретный каталог. В каталоги .NET обычно попадает ВПО, мимикрирующее под компоненты Microsoft или внедряющее себя в легитимный процесс для обхода средств защиты. Например, так делает Lumma Stealer. В отчёте подробно проанализирован сценарий, когда ВПО запускается из папок, куда его сохранил пользователь, считая свою загрузку безвредной: Documents, Desktop, Downloads. Под маской полезных утилит, активаторов лицензионного ПО или модов игр чаще всего распространяются Lumma, Vidar, Stealc stealer, Risepro и REDLINE. Примеры схем распространения ВПО, которые имеет смысл включить в ИБ-тренинги для сотрудников, приведены в полной версии отчёта. #статистика @П2Т

🔵 Новые APT и важные новости ИБ 👮‍♀️ Хактивистские группы, изначально позиционировавшие свою деятельность как атаки против России и Белоруссии, расширили географию и теперь атакуют организации в Казахстане, ОАЭ, Сирии и Египте, затрагивая государственный сектор, здравоохранение и авиацию. Известные вторжения обычно начинались с эксплуатации ProxyShell и установки веб-шеллов, после чего атакующие разворачивали инструменты RMM и C2-фреймворки вроде Sliver, Havoc и Mythic. Заканчивались атаки шифрованием, в том числе с применением нового ВПО ClearWater. Один из участников 4BID прямо заявил, что атаки на Россию больше не приносят прибыли, что указывает на усиливающуюся финансовую мотивацию. ⚙️ В ходе IR было выявлено вторжение, продолжавшееся почти 10 лет. APT Velvet Ant закрепилась внутри изолированной сети на объекте КИ без прямого доступа в интернет. Атакующий проник в изолированную среду через многоступенчатую цепочку с эксплуатацией доступных из Интернета Linux-систем и дальнейшим распространением через SSH. Механизм закрепления был основан на стеке аутентификации, включая девять модифицированных вариантов pam_unix.so с бэкдором и троянизированные файлы OpenSSH, которые перехватывали учётные данные и нажатия клавиш. 🔵 OceanLotus/APT32 переключилась с разведки на инвесторов фондового рынка и компанию, работающую в сфере инфраструктурного и транспортного строительства во Вьетнаме, в период с 2024 года по начало 2026. В одном из случаев первичный доступ был получен через компрометацию цепочки поставок сервера обновлений платформы для биржевой торговли, откуда вместе с легитимными обновлениями доставлялись вредоносные загрузчики. В операциях использовался бэкдор SPECTRALVIPER. 🔵Разведывательный ботнет JDY, связанный с кластером Volt Typhoon, пережил предыдущие попытки нейтрализации и вырос более чем вдвое, превысив отметку в 1500 скомпрометированных пограничных устройств. Среди затронутого оборудования — почти 500 устройств Cisco, а также техника Araknis, DrayTek, Hikvision и Linksys. 🟣Две шпионские кампании Khmer Shadow были направлены против государственных структур Камбоджи в оборонном секторе и сфере общественных работ. Доставка шла через письма с вредоносными архивами. 🔵Шестинедельная кампания APT UNK_DeadDrop затронула почти 100 организаций в финансах, криптовалютной сфере, образовании и технологиях. Злоумышленники использовали предложения работы для разработчиков и запросы на code review, чтобы убедить жертв клонировать вредоносные репозитории GitHub. Открытие такого репозитория в VS Code или Cursor запускало заранее настроенную задачу, которая выполняла кроссплатформенное ВПО для Windows, macOS и Linux, включая Go-бэкдор на базе фреймворка Overlord. 🔵Технический анализ BlueRabbit — бэкдора на Go, совмещающего удалённый доступ, профилирование системы, шифрование файлов и деструктивное затирание диска в одном инструменте. Он использует RabbitMQ для управления задачами, Redis для хранения состояния и MinIO для эксфильтрации, а закрепляется через запланированные задачи. 🟣Более 400 пакетов в Arch User Repository были скомпрометированы для распространения инфостилера в связке с eBPF-руткитом уровня ядра. 🍿 Anthropic приостановила глобальный доступ к моделям Fable 5 и Mythos 5, которые находились в публичном доступе всего 4 дня, после того как власти США задействовали полномочия в сфере национальной безопасности и потребовали от компании заблокировать доступ для всех иностранных граждан, включая сотрудников Anthropic и пользователей, находящихся в США. Основанием стали переданные правительством доказательства существования узкого, не универсального джейлбрейка к Fable 5. Поскольку выборочно ограничить доступ не удалось, Anthropic отключила эти модели для всех клиентов по всему миру и откатила пользователей на Claude Opus 4.8. Думаем, теперь такие приключения будут случаться чаще. #дайджест #APT @П2Т

🔎 Реальное использование LLM в атаках Антропики выпустили матрицу покрытия ATT&CK, правда на свой лад — в ней цветами помечено, какие тактики и техники чаще всего пытаются автоматизировать с помощью Claude. Чем гуще красный — тем больше аккаунтов было заблокировано за попытку использовать ИИ на этом этапе атаки. Авторы оговариваются, что исследование проводилось на относительно небольшой выборке заблокированных аккаунтов, по которым было достаточно информации, чтобы спроецировать запросы злоумышленников на матрицу. Число злоумышленников, проводящих атаки средней и высокой степени сложности, выросло за год с 33% до 56%, демонстрируя, что входной порог в эту сферу деятельности снижается. При этом значительно выросло число атакующих, чьи операции охватывают полную цепочку kill chain, чем раньше могли похвастаться только продвинутые группы злоумышленников. Чаще всего у Claude просят помощи в изготовлении ВПО и обфускации вредоносного кода, но значительно участились автономно или полуавтономно проводимые разведка, закрепление и извлечение данных в сети жертвы. Немудрено, что в Fable 5 заблокированы все виды применения, даже отдалённо напоминающие задачи ИБ. Более подробно нюансы автоматизации этих TTPs описаны в посте Anthropic RED. #ИИ #статистика @П2Т

Защита конечных устройств — одна из основ кибербеза в компании. И одного антивируса для этого уже недостаточно. Поэтому многие вендоры предлагают платформы для защиты рабочих мест (EPP). Но какие возможности подобных решений действительно важны? Собрали чек-лист с критериями выбора, который поможет оценить и выбрать платформу, готовую к современным киберугрозам. Главное — в карточках ⬆️ А ещё — узнайте больше о наших решениях для защиты малого, среднего и крупного бизнеса. 💙 Kaspersky в ВК 💬 Kaspersky в Max 💬 Порвали два трояна в Max

👾 SANS: модель ИИ-зрелости Расширяя ранее выпущенный «чертёж безопасного ИИ» (Secure AI Blueprint), эксперты SANS выпустили удобное руководство по самооценке ИИ-зрелости — AI Security Maturity Model. Оно позволяет оценить, на какой стадии сейчас находится организация, а затем сделать шаги, наиболее логичные для конкретной компании в конкретной индустрии, чтобы эту зрелость повысить, правильно оценить риски и расставить приоритеты. Модель использует три измерения: protect, utilize, govern, то есть защита сценариев применения ИИ, использование ИИ-инструментов для задач кибербезопасности, а также управление инновациями, связанными рисками и ответственным использованием ИИ. Уровень зрелости по этим трём измерениям у компаний обычно отличается, и именно эту асимметрию должна обнажить корректно проведённая самооценка. При этом и требования к зрелости не у всех одинаковы — у объекта КИИ и у стартапа на рынке электронной коммерции приоритеты будут разными. Уровней зрелости определяют пять: от Unaware/Ad-hoc (полное отсутствие управления ИИ и политик), через reactive и defined (появляются базовые, а потом и полноценные политики и контролируемое развёртывание) вплоть до полумифических Adaptive (ИИ-агенты самостоятельно улучшают защиту организации). Для каждого уровня даны индикаторы в разрезе процессов, технологий и персонала — на что смотреть, чтобы сказать «да это же мы». И сразу же перечислены основные шаги, которые нужно сделать для перехода на следующий уровень. Поскольку документ писали практики, они хорошо знают разницу между красивыми отчётами и реальностью в компаниях. Поэтому методика оценки чётко описывает, какие доказательства должны существовать, чтобы принять результаты по каждому из измерений. Уровней качества шесть — от «нет никаких свидетельств того, что данная возможность или технология есть в организации», до «документированы политики, метрики, доказано итеративное улучшение метрик». Компания с доказанной зрелостью второго уровня скорее всего находится в лучшем положении, чем те, у кого уровень третий, но с низким качеством документации и свидетельств. Авторы стремятся, чтобы методику использовали в организациях любого размера. Поэтому явно указывают в начале документа, как стоит трактовать те или иные рекомендации в зависимости от масштаба бизнеса. #советы #ИИ @П2Т

👀 Рекордный Patch Tuesday, 3 зиродея, долгожданные фиксы Microsoft разразился обновлением, закрывающим 200 (!) уязвимостей в своих продуктах. Это для тех, кому не хватило в начале июня 360 (!!) закрытых дыр в Edge/Chromium. Вопрос, который нас остро интересует — это теперь так будет каждый месяц, или горшочек имени Mythos/MDASH/XBOW всё же перестанет варить с такой скоростью? Впрочем, ИТ-админам не до философии. Нужно срочно закрывать целую пачку приоритетных уязвимостей, включая три, разглашённые до устранения. Всего в релизе 32 критические уязвимости, из которых 28 приводят к RCE. Всего в обновлении 65 дефектов приводят к повышению привилегий, 54 — к исполнению произвольного кода, 27 — спуфингу, 26 — утечке информации, 18 — обходу функций безопасности и 7 — DoS. Среди трёх зиродеев самый интересный для нас — CVE-2026-50507, получивший скромный CVSS 6.8. Это фикс для обхода BitLocker под названием YellowKey, о котором мы писали ранее. Интересно, что в мае под этот дефект завели CVE-2026-45585, поэтому остаётся только гадать, зачем в Редмонде решили задублировать CVE. Microsoft благодарит за обнаружение уязвимости некоего анонимного исследователя. Возможно, это устранён обход майского патча, опубликованный неделю назад. Другой дефект из того же источника, GreenPlasma, тоже устранён и получил идентификатор CVE-2026-45586. Это повышение привилегий через CTFMON. Последним зиродеем в июне стала CVE-2026-49160, уязвимость из исследования HTTP/2 Bomb, приводящая к отказу в обслуживании HTTP.sys. К патчу в подарок прилагается бюллетень, объясняющий как пользоваться новыми настройками по ограничению числа заголовков HTTP/2 и HTTP/3. Среди 200 багов нашлось место для трёх весьма неприятных «червеобразных» уязвимостей, каждая из которых приводит к исполнению произвольного кода на хосте после получения сетевого обращения без аутентификации. Каждая оценена в CVSS 9.8. Самая сложная — CVE-2026-47291 в HTTP.sys, поскольку эксплуатация оценена как вероятная, а перед применением патча нужно скорректировать в реестре параметр MaxRequestBytes у сервиса HTTP. Для двух других эксплуатация оценена как менее вероятная, но это уж как повезёт. CVE-2026-44815 затрагивает клиент DHCP, а CVE-2026-45657 — само ядро Windows. #новости #уязвимости #Microsoft @П2Т

👀 ИИ: найти и отключить Практически каждая организация сталкивается с «нашествием нежданного ИИ» — от несанкционированной установки кодинг-агента разработчиками до появления навязчивых и опасных ИИ-функций в привычных офисных приложениях. Даже в компаниях с хорошо настроенным мониторингом ИБ и зрелой системой инвентаризации активов, эти ИИ-шалости могут пройти незамеченными. Обычные правила ИБ-систем не приспособлены обнаруживать внезапное появление кнопки Copilot в интерфейсе браузера. Поэтому на несанкционированный ИИ приходится вести специально организованную охоту, а по мотивам инвентаризации принимать оргвыводы: разрешить, ограничить, заблокировать. В новом посте Kaspersky Daily даём общие рекомендации по детектированию разных видов ИИ-помощников и агентов в организации, а также указываем на не очень очевидный, но очень мощный «рубильник», останавливающий бесконтрольное распространение ИИ. Вторая часть материала включает конкретные советы по отключению различных разновидностей платформенного ИИ (Gemini, Copilot, и т.п.) на двух уровнях — с помощью политик платформы и с помощью внешних инструментов наподобие NGFW. #советы #ИИ @П2Т

🏰 Выстраиваем эшелонированную защиту АСУ ТП 16 июня в 11:00 (МСК) на совместном вебинаре «Лаборатории Касперского» и «АйТи Бастиона» поговорим о том, как организовать безопасный обмен данными между промышленной и корпоративной сетями. Разберём: 🟢как выстроить защищённый автоматизированный обмен данными и файлами между изолированными сегментами; 🟢как PAM и мониторинг трафика помогают выявлять нарушения; 🟢как автоматическая проверка файлов снижает риски кибератак; 🟢как использовать SIEM для быстрого реагирования; 🟢какие преимущества даёт совместное использование решений обеих компаний. Также покажем реальные сценарии и практические подходы, которые помогут выстроить надёжный и контролируемый обмен данными. Спикеры: 🟢Ольга Синотова, инженер предпродажной поддержки «Лаборатории Касперского». 🟢Александра Гончарова, менеджер продукта в «АйТи Бастион». ▶️ Зарегистрируйтесь по ссылке ◀️

⏭ Интересные исследования APT и новости ИБ за неделю 👎 Скучали по Mini Shai-Hulud? Некоторые npm-пакеты Red Hat поражены новым вариантом этой заразы, Miasma. 🔴 APT HazyBeacon/CL-STA-1020 атакует правительственные организации в ЮВА, используя в качестве малозаметных С2 серверные функции AWS Lambda. 📌 Подробное руководство по обнаружению эксплуатации уязвимости MiniPlasma (LPE в Windows), для которой пока нет патча. ✈️ Увлекательное описание целевой атаки на руководителя биржи, единственной целью атакующих были данные в почтовом ящике. Чтобы обойти средства мониторинга, данные понемногу тащили 5 месяцев. 👮‍♀️ Тактики и техники ShinyHunters, успешно применявшиеся для взлома и шифрования крупнейших британских и американских компаний, похоже успешно пересадили на азиатскую и европейскую почву злоумышленники из TA4922. Группа комбинирует социальную инженерию с применением ВПО (Atlas, Winos 4.0, RomulusLoader). 🟢Технический анализ ВПО FlutterShell, это бэкдор для macOS. 🔎 CVE-2026-41089 в службе Windows Netlogon (CVSS 9.8), устранённый в майском Patch Tuesday, уже используется в кибератаках. 🟢Новые функции фишинговой платформы (PhaaS) Kali365, которая вдобавок к известным возможностям похищения рабочих учёток M365 обзавелась широким арсеналом, нацеленным на российские мессенджеры и соцсети. 🧌 Масштабная кампания по распространению инфостилеров RemusStealer, AnimateClipper и SessionGate маскируется под сайты легитимного ПО с открытым исходным кодом, включая популярные инструменты ИБ Ghidra и dnSpy. 🟢Технический анализ троянского ВПО Argamal, распространяющегося в основном в составе игр. 🔵Среди доменов, зарегистрированных в 2025 году, 10% были вредоносными. Больше всего новых вредоносных доменов в зонах .mobi и .top. 🔵Более 5000 фальшивых интернет-магазинов, имитирующих популярные марки, используют веб-скиммер medusa.js для похищения платёжных данных. 🔴Злоумышленники научились обманывать ИИ-бота техподдержки экстремистсткой Meta и угонять учётные записи Instagram, просто вежливо попросив привязать другой email. 🤯 🤖 Бот-трафик в интернете уверенно превысил человеческий, если верить Cloudflare. Всё из-за ИИ, конечно. #дайджест #APT @П2Т

📦 Снова о контейнерах: критические проблемы в 100 популярных образах Docker Hub Наша команда исследователей изучила 100 популярных образов Docker Hub с числом загрузок от 10 тысяч до миллиона, используя платформу Kaspersky Container Security. Для тех кто с ней (ещё) не знаком, KCS в числе прочего анализирует слои образов, команды Dockerfile и runtime-конфигурации. KIRA, опциональный ИИ-ассистент, добавляет контекст и информацию по обнаруженным проблемам, объясняя цепочки повышения привилегий, пути утечки учётных данных и риски для цепочки поставок. Ключевые выводы: ➡️ Уязвимости: 64% образов содержали критические уязвимости. Полностью обновлены были только 10%. Среди наиболее заметных дефектов: CVE-2025-49844 в Redis (RCE через эксплуатацию парсера Lua), CVE-2026-24061 в nginx (RCE), а также CVE-2025-32463 в sudo и CVE-2023-4911 в glibc, обе позволяют повышать привилегии. ➡️ Ошибки конфигурации: с помощью статического анализа и LLM-сканирования KIRA выявила зашитые пароли в Dockerfile, конфигурации sudo с NOPASSWD:ALL, права 777 на системные директории, загрузки по HTTP без проверки целостности и отключённую верификацию TLS-сертификатов. ➡️ Риски ВПО: популярные образы теперь сами становятся целью для злоумышленников. В марте 2026 года контейнерные образы Trivy и LiteLLM были скомпрометированы — вредоносные файлы внедрили напрямую в официальные репозитории. Этот вектор атак на цепочку поставок уже активно эксплуатируется. Исследование наглядно показывает, почему отсутствие комплексной защиты контейнерных инфраструктур становится высоким риском для любой организации. Полный разбор и скриншоты. #советы @П2Т

📌 Советы по интеграции Kaspersky Scan Engine Наши клиенты регулярно спрашивают, как встроить проверку файлов или ссылок на наличие киберугроз в те или иные сервисы, используемые в организации. Для этого и создан Kaspersky Scan Engine. Вместе с клиентами собрали рекомендации по его интеграции в дюжину популярных продуктов и платформ — от ownCloud до FortiGate. Подчеркнём, что эти рекомендации не являются официальными инструкциями технической поддержки, поскольку полного цикла тестирования они не проходили. Мы даём их в ознакомительном режиме и настоятельно рекомендуем проводить тесты в конкретной инфраструктуре. В посте пошаговые рекомендации для: - FortiGate - F5 BIG IP LTM - eXpress messenger - Nextcloud - ownCloud - Hitachi NAS Platform - Blue Coat ProxySG - MOVEit Transfer - McAfee Web Gateway - Nutanix Files - Rspamd - ARA JAGUAR 5000 Изучить #советы @П2Т

SOC-CMM Maturity report SOC-CMM - прекрасный старт для [само]оценки зрелости SOC. Фреймворк вполне можно расширить, добавив собственных требований и критериев, и\или скорректировав предложенные автором. Начиная с прошлого года Роб стал публиковать любопытные отчеты о зрелости SOC по миру. За вычетом небольшого маркетингового налета и очевидных очевидностей, вроде "зрелость SOC растет только у тех, кто целенаправленно этим занимается" или "растет спрос на сертификацию SOC-CMM" (хотя, в Саудовской Аравии, например, это, действительно, нередко требуется), можно почерпнуть полезные знания, как будто, SOC-CMM неплохо дополняют отчеты SANS: если SANS в общем случае отвечает на вопрос: "Чем занимаются современные SOC", то SOC-CMM поможет с ответом на вопрос: "Как SOC должны развиваться", что для нас, SOCоразвивателей очень важно. Свежий отчет Что мне бросилось в глаза. 1. Большой бюджет не означает, что у SOC большая зрелость, а вот с ростом штата в SOC зрелость растет. Это удивительное наблюдение, к которому есть вопросы, особенно в условиях, что любой SOC - гибридный . 2. Как бы много не говорили про автономные SOC-и и ИИ , результативность ИИ пока крайне умеренная. 3. В условиях самооценки наблюдается тенденция к завышению уровня зрелости, а при внешней оценке картина более объективна. По-хорошему, исходя из принципа, что "сам себя я знаю лучше, чем кто-либо другой", должно быть ровно наоборот, что подтверждается высокой эффективностью внутренних команд безопасности. 4. Европа - проблемный регион. Европа имеет самое долгое время найма аналитиков, и самую низкую продолжительность работы в SOC. 5. Governance - главная проблема, а не ложные срабатывания, и не "алерт фатиг", хотя эти, общепринятые, проблемы SOC также указаны, но помимо этого перечислены: нечеткое распределение ответственности, отсутствие формальных циклов анализа результативности и улучшений, слабая связь с бизнесом и рисками. в MAX #MDR

🔥 Kaspersky NGFW почти исполнился год. Подводим итоги и делимся планами на будущее С момента запуска нашего межсетевого экрана нового поколения в августе 2025 года прошло не так много времени,а результаты уже впечатляют: успешно проведены пилоты, стартовали продажи и постоянно улучшается функционал продукта. Впереди — ещё много всего интересного. 9 июня в 11:00 (МСК) проведём не классическую трансляцию или вебинар, а целую онлайн-конференцию про Kaspersky NGFW с участием экспертов «Лаборатории Касперского», которые расскажут, как устроено решение изнутри и какие возможности оно открывает для защиты ИТ-инфраструктуры. Что в программе: 🟢статистика и тренды сетевых угроз в 2025–2026 годах; 🟢эволюция архитектуры и дизайна Kaspersky NGFW; 🟢интеграционные возможности решения; 🟢дорожная карта Kaspersky NGFW; 🟢презентация версии 1.2; 🟢Q&A-сессия с экспертами «Лаборатории Касперского». ▶️ Зарегистрируйтесь по ссылке ◀️ 💙 Kaspersky в ВК 💬 Kaspersky в Max 💬 Порвали два трояна в Max

👻 Как атакуют вашу контейнерную инфраструктуру Целые группы злоумышленников специализируются на атаке контейнерных инфраструктур, преследуя цели от шифрования данных до кражи вычислительных ресурсов. В новой статье систематизируем основные векторы атак, которые отмечены в реальных инцидентах: 🟢 эксплуатация ошибок конфигурации и небезопасного использования API для контейнеризации и оркестрации; 🟢 эксплуатация уязвимостей хостовой системы и компонентов среды выполнения контейнера; 🟢 вредоносные действия внутри скомпрометированного контейнера; 🟢 побег из контейнера с последующей компрометацией узла; 🟢 атаки на цепочку поставок, включая заражение образов контейнеров и компрометацию CI/CD-процессов. Контейнеры не являются самоцелью атакующих. Часто они используются как промежуточная среда для закрепления внутри системы — затем злоумышленники стремятся либо выйти на уровень хостовой ОС, либо получить доступ к управлению инфраструктурой через API оркестрации. Для противодействия атакам необходимо выстроить многоуровневую систему, включающую защиту хоста, строгий контроль прав в оркестраторе, минимизацию привилегий контейнеров и проверку компонентов во всей цепочке поставки. Подробно каждый вектор атак с конкретными примерами и настройками разобран в статье на Securelist. #советы @П2Т

▶️ Интересные исследования APT и новости ИБ за неделю 🪲 Подробный разбор атак скрытной APT на российскую энергетику, финансовые компании и ВУЗы, особенно университеты морского и речного транспорта. Активность прослеживается как минимум с июля 2024 года, но она нерегулярная и успешно сливалась с рядовыми криминальными угрозами. В свежих атаках применяется фреймворк постэксплуатации Ravage C2, ранее в арсенале засветились ВПО RedLine и PureRAT, а также Cobalt Strike. Началом атаки были фишинговые письма с внедрёнными XLL-надстройками Excel. 💾 Разбор нового троянца в арсенале Lazarus, RemotePE, который полностью работает в памяти. 👮‍♀️ Банковский троянец Grandoreiro и не думал умирать — выходят новые версии ВПО с приличным арсеналом свежих трюков: С2 через протокол ICE, Binance API и клиент Amazon MQTT. Атаки проводятся в Европе и Латинской Америке. 🔵Группировка Nimbus Manticore/UNC1549, преимущественно атакующая организации в оборонной, аэрокосмической и телеком-индустрии, в дополнение к своему обычному целевому фишингу взяла на вооружение отравление SEO-выдачи. Новое ВПО, распространяемое на вредоносных сайтах, по словам исследователей разработано с помощью ИИ. 🔵Технический анализ ВПО от группы Void Dokkaebi/Famous Chollima, которая пересобрала свой инфостилер InvisibleFerret и теперь распространяет его в виде скомпилированных файлов Cython, чтобы усложнить детектирование. 🟣Разбор ВПО LegionRelay, изготовленного ранее неизвестной русскоязычной группировкой GREYVIBE, сочетающей разведывательные и коммерческие интересы. Группа получила своё название за активное применение LLM во всех фазах своих операций, включая разработку ПО. 🟣Слияние обычной и киберпреступности продолжается. ФБР предупредило, что группа Silent Ransom Group, давно атакующая юридические фирмы, теперь отправляет своих операторов лично, чтобы получить физический доступ к компьютерам жертв. 🟣Несколько ИБ-компаний совместно демонтировали C2-инфраструктуру операции Glassworm — самораспространяющегося ВПО, которое с сентября 2025 года поражало репозитории npm, PyPI и маркетплейс VS Code. 🔵Глубокий разбор PhaaS-платформы Tycoon 2FA подробно описывает её механизмы противодействия анализу и ротацию инфраструктуры. 🔵Китаеязычные фишинговые платформы PhaaS теперь сопоставимы по уровню изощрённости с русскоязычными аналогами, хотя по-прежнему атакуют исключительно зарубежные сервисы, а не внутренних пользователей. 🟣Злоумышленники скомпрометировали пакеты Laravel Lang и внедрили инфостилер в релизы. Более 100 затронутых старых версий до сих пор опубликованы и доступны через реестр. 🟣Криптомайнинг живее всех живых, и не только на вычислительных кластерах крупных компаний. Вот свежий анализ кампании, которая с 2022 года распространяет майнеры и ВПО удалённого доступа через пиратские сайты с видео и электронными книгами. 🟣Подробный технический анализ операции, в которой SuperBOX, популярные Android-приставки для ТВ, параллельно служили узлами сети домашних прокси SuperProxy. 🔎Три уязвимости в устройствах Ubiquiti UniFi (CVSS 10), позволяющие полностью захватить устройство. 🔵 Anthropic отчитались, что в рамках инициативы Project Glasswing их модель Mythos за шесть недель выявила более 23000 потенциальных багов в более чем 1000 проектах open source. Из них 6202 классифицированы как high или critical, а 1 500 уже подтверждены как реальные проблемы. Мейнтейнеры волнуются, что объём раскрытий уже опережает их возможности по выпуску патчей. 🔵Censys обнаружили, что более 12500 серверов Model Context Protocol доступны из публичного интернета, причём на многих из них включены потенциально опасные возможности. #APT #дайджест @П2Т

Ты не пройдёшь: наглядно объясняем, как работает самый суровый кибербез-фэйсконтроль Kaspersky NGFW в связке с Kaspersky Symphony XDR ⬆️ Что даёт такая интеграция: 🟢передачу информации об угрозах в SIEM и обогащение картины кибербезопасности компании; 🟢реагирование с помощью продуктов экосистемы Kaspersky Symphony XDR. Наш межсетевой экран нового поколения поддерживает работу с другими решениями «Лаборатории Касперского». И это возможность для организации ещё серьёзнее усилить защиту ИТ-инфраструктуры, сделать её более комплексной и эффективной. Подробнее об интеграционных возможностях Kaspersky NGFW — в документе по ссылке. 💙 Kaspersky в ВК 💬 Kaspersky в Max 💬 Порвали два трояна в Max

Окупаемость в ИБ, фреймворки для защиты LLM, обход Bitlocker и другие полезные посты мая В майском потоке новостей могли затеряться полезные и не сиюминутные материалы нашего канала. Поэтому мы подобрали статьи, которые помогут выстроить эффективные процессы и системы в ИБ. Если вы что-то пропустили, самое время наверстать упущенное! 🟣 метрики CSIRT для оценки эффективности команд реагирования; 🟣 как снизить риски вайбкодинга; 🟣 ROI инструментов ИБ — какие цифры помогут подготовиться к защите бюджета; 🟣 приглашение докладчиков на конференцию ИБ-экспертов SAS и игроков на SAS CTF! 🟣 Новые повороты в эпидемии mini Shai-Hulud и что будет дальше; 🟣 разбор уязвимости CopyFail; 🟣 как детектировать BloodHound и других «гончих» в сети; 🟣 приложения CIS controls для LLM, MCP и агентов. 🟣 советы кибер-агентств по осторожному внедрению агентского ИИ; 🟣 драма вокруг эксплойта YellowKey для полного обхода BitLocker. #дайджест @П2Т

📦 Защита контейнеров: взгляд из команды безопасности продукта Как современные решения для защиты процесса разработки и конвейера CI/CD встраиваются в сложившиеся инженерные сценарии и стек решений? Чего, кроме сканирования образов, стоит ожидать от «контейнерной безопасности»? В чём сильные стороны таких продуктов, а каких чудес ждать не стоит? Наше решение Kaspersky Container Security разобрали практики — те, кто пользуются им в своей повседневной работе в команде продуктовой безопасности (PSIRT). Ключевой вывод: реальная ценность появляется, когда продукт встроен сразу в несколько точек процесса: 🔵в регулярную сборку продукта; 🟢в проверку артефакта перед релизом или деплоем; 🟢в контроль уже запущенного контейнера в кластере. Все подробности — в статье Kaspersky Daily. #советы @П2Т

📦 Kaspersky Container Security + ИИ = более эффективная защита контейнерных сред и меньше рутинной работы Теперь у пользователей нашего защитного решения для контейнеров появился ИИ-ассистент. Например, он может быстро «разложить по полочкам» информацию о конкретном образе: объяснить, для чего тот создан, какие приложения в нём используются и что за функции они выполняют. На стриме 28 мая в 11:00 (МСК) подробно расскажем про эту и другие особенности обновления Kaspersky Container Security (KCS). А ещё — обсудим новые угрозы, поговорим о дилемме KESL vs. KCS в контейнерах и покажем решение в действии. Вебинар проведут: 🟢Алексей Рыбалко, эксперт по контейнерной безопасности «Лаборатории Касперского»; 🟢Антон Русаков-Руденко, старший менеджер по маркетингу Kaspersky Container Security; 🟢Специальный гость: Владимир Утратенко, руководитель продукта «Штурвал». ▶️ Зарегистрируйтесь по ссылке ◀️ А скоротать время до вебинара помогут наше видео про ИИ-возможности для углублённого анализа образов (и да — не забудьте посчитать количество уток в ролике) и материал на Kaspersky Daily, где мы подробно разбираем механизм работы новой функции. 💙 Kaspersky в ВК 💬 Kaspersky в Max 💬 Порвали два трояна в Max