PS.kz - SOC

🔒 Дайджест событий в области информационной безопасности с 1 июня по 7 июня 2026 года 📈 Анализ активности ботнетов: Общий уровень активности снизился на 19%, зато ботнеты усилились внутри РК — в 3.3 раза. Также существенно выросли разделы "Почтовые сервисы" (+90%), "Веб-сервисы" (+332%) и "DNS и NTP" (+214%) 💥 Взломы, атаки, киберпреступность: ☄️ Более 20 тысяч аккаунтов Instagram были угнаны за неделю. В новой ИИ-системе поддержки была уязвимость, позволяющая запросить обновление пароля на чужую почту. Сводка BleepingComputer ☄️ Неизвестные атакующие шпионили за высокопоставленным сотрудником некоей крупной финансовой биржи и эффективно скрывали факт заражения его компьютера 5 месяцев. Технический анализ Broadcom Threat Hunting Team ☄️ Преступная группировка Silent Ransom Group производит атаки в два этапа — сначала классическая схема с "техподдержкой", а потом личное посещение сообщниками под видом этой "техподдержки" для кражи данных и последующего вымогательства. Цифровую часть описала Mandiant, физическую — ФБР ☄️ Американские госорганы, связанные с киберзащитой, сообщают, что неизвестные злоумышленники атакуют системы контроля уровней топлива по всей стране 😈 Малварь: 1️⃣ Шпионский имплант WeedHack заражает в среднем от 2 до 3 тысяч клиентов игры Minecraft, уже 116 тысяч заражённых суммарно — его активно распространяют под видом модов. Анализ McAfee 2️⃣ Специалисты GoDaddy обнаружили трояна, который спамит комментариями в игровую платформу Steam. Комментарии выглядят безобидно, но в них есть невидимые Unicode-символы, которые используются для коммуникации с управляющими серверами "на виду у всех" 🔒 Уязвимости: ⚠️ Компания Calif раскрыла уязвимость HTTP/2 Bomb, которая позволяет истощить ресурсы у всех основных веб-серверов, включая NGINX, Apache Web Server, IIS и других ⚠️ Для Google Chrome вышло обновление на 429 уязвимостей, из которых 22 критические ⚠️ В Android закрыто 123 уязвимости, из которых одна уже была замечена в атаках ➕ Файл ниже содержит IoA/IoC из аналитических отчетов этого выпуска дайджеста. Вы можете использовать их для обнаружения вредоносной активности

Друзья, приглашаем вас на встречу с экспертами по облакам и кибербезопасности. За последний год мы реализовали десятки проектов по миграции сервисов в облако, сопровождению аудитов ИБ и выполнению требований регуляторов. И у нас накопилось много наблюдений и кейсов, которыми хочется поделиться. Поэтому 18 июня мы проведём CloudTalks — неформальную встречу для руководителей бизнеса и специалистов, отвечающих за развитие IT-инфраструктуры. Обсудим: 💬 Как подготовиться к испытаниям ИБ, и на что обращать внимание в процессе. 💬 Как закрывать требования по информационной безопасности с помощью внешней экспертизы и сервисов. 💬 По каким признакам можно определить, что инфраструктура ограничивает развитие бизнеса. Спикеры: ✔️ Александр Косенков, руководитель PS SOC ✔️ Болат Кажкенов, CPO PS Cloud ✔️ Александр Фролкин, директор по развитию Дата и место: 📅 18 июня 2026, четверг, 18:30 📍 Ресторан "Creatti", Астана, пр. Мангилик Ел, 59 📮 Регистрация на мероприятие Будем рады увидеться и открыто обсудить волнующие темы.

🔒 Дайджест событий в области информационной безопасности с 25 мая по 31 мая 2026 года 📈 Анализ активности ботнетов: Общий объём активности снижается - на 26% в сумме и на 70% ниже от источников в РК. Также существенно падают разделы "FTP и TFTP" (-54%) и "DNS и NTP" (-28%). Атаки на почтовые сервисы вернулись к привычным уровням (+21%) 💥 Взломы, атаки, киберпреступность: ☄️ Компании Crowdstrike, Google и организация Shadowserver Foundation нарушили функционирование червя Glassworm, оборвав ему контакты с управляющими серверами (больше про Glassworm в прошлом дайджесте) ☄️ Хакеры взламывают софт управления защитой FortiClient EMS, чтобы через него рассылать и запускать шпионскую программу EKZ. Анализ Arctic Wolf ☄️ ФБР сообщает, что скамеры создают поддельные сайты ФИФА, чтобы "продавать" билеты на Чемпионат мира по футболу ☄️ Согласно Push Security, неизвестные злоумышленники размещают в чатах с ChatGPT и Claude ложные оповещения, что сайт не работает, с предложением скачать вредоносный "клиент", и приводят к ним жертв через фишинг 😈 Малварь: 1️⃣ Банковский троян Grandoreiro пытается защищаться от анализа средствами безопасности инструкцией поделить на ноль, в попытке сломать анализаторы. Анализ WatchGuard 2️⃣ Поддельные пакеты, появившиеся на NPM в рамках вредоносной кампании Moika Tech (179 пакетов), в README указывают, что сбор информации это "телеметрия" и от неё можно отказаться. На самом деле опция не работает, обнаружили в SafeDep 🔒 Уязвимости: ⚠️ Серия уязвимостей повышения привилегий в ядре Linux, обнаруженных ИИ, расширяется — CIFSwitch позволяет получить права root во многих распространённых дистрибутивах и версиях. Хотя информация раскрыта до выпуска обновления, есть множество опций защиты, согласно анализу Asim Viladi Oglu Manizada ⚠️ Для Google Chrome вышло обновление, закрывающее 151 уязвимость, 22 из уязвимостей - критичные ⚠️ Oracle закрыла 31 уязвимость в своих продуктах, согласно новому бюллетеню ➕ Файл ниже содержит IoA/IoC из аналитических отчетов этого выпуска дайджеста. Вы можете использовать их для обнаружения вредоносной активности

🔒 Дайджест событий в области информационной безопасности с 18 мая по 24 мая 2026 года 📈 Анализ активности ботнетов: Общий уровень активности вырос на 76%, а активность внутри РК упала на 72%. Остальные разделы показывают рост, самые заметные - DNS и NTP (почти в 13.5 раз) и файловые протоколы ("FTP и TFTP", +137%) 💥 Взломы, атаки, киберпреступность: ☄️ Расширение nx-console для VS Code скомпрометировано — вместе с новой версией распространялось ВПО-шпион. StepSecurity считает, что именно через это расширение были взломаны внутренние репозитории GitHub ☄️ Сайт с фирменной продукцией директора ФБР Кэша Пателя был взломан и предлагал установить вирус, сообщает Straight Arrow News. Ранее уже взламывали его почту, см. прошлый дайджест ☄️ Интерпол провёл операцию Ramz, в результате которой было арестовано более 200 подозреваемых киберпреступников, занимающихся фишингом и распространением ВПО 😈 Малварь: 1️⃣ Компания Socket идентифицировала новую волну распространения червя Mini Shai-Hulud, скомпрометировавшего 300+ NPM-пакетов (ранние действия Mini Shai-Hulud — в прошлом дайджесте) 2️⃣ Эксперты ESET описывают червя Webworm, который использует S3-хранилища своих жертв для хранения украденной информации 3️⃣ ВПО SHub Reaper для macOS использует встроенный в систему редактор скриптов, чтобы обходить защиту от атак, встроенную в командный терминал. Анализ SentinelOne 🔒 Уязвимости: ⚠️ Microsoft выпустила внеочередное обновление Windows Defender, закрывающее уязвимости RedSun (CVE-2026-41091) и UnDefend (CVE-2026-45498). Они дают возможность обойти антивирус и уже используются в атаках. Сводка BleepingComputer ⚠️ Обновление Drupal закрывает критическую SQL-уязвимость CVE-2026-9082, при некоторых условиях позволяющую удалённое исполнение кода ⚠️ В СУБД ChromaDB, активно используемой в ИИ-проектах, обнаружена критическая уязвимость ChromaToast (CVE-2026-45829), позволяющая удалённое исполнение кода. Описание от HiddenLayer

🔒 Дайджест событий в области информационной безопасности с 11 мая по 17 мая 2026 года 📈 Анализ активности ботнетов: Общий объём активности вырос на 14%, а активность внутри РК - почти в 2.5 раза. Также выросло количество атак по протоколам управления ("SSH и Telnet", +12%) и файловым протоколам ("FTP и TFTP", +28%). При этом активность по разделу "Веб-сервисы" упала в 2 раза, а "DNS и NTP" на низшем уровне с начала года (-98%) 💥 Взломы, атаки, киберпреступность: ☄️ Распространённый NPM-пакет node-ipc скомпрометирован — его последние версии имеют в своём составе ВПО, крадущее пароли, ключи, токены и другие аутентификационные данные. Сводка BleepingComputer ☄️ Группировка Mr_Rot13 взламывает хостинговые панели cPanel и WHM через уязвимость CVE-2026-41940, чтобы устанавливать бэкдоры, согласно QAX XLab (см. прошлый дайджест с информацией об уязвимости) 😈 Малварь: 1️⃣ Эксперты Socket обнаружили вредоносную кампанию GemStuffer — инфицированные системы выкладывают персональные данные в открытый доступ в виде RubyGem-пакетов 2️⃣ Киберразведка Microsoft описывает ботнет Kazuar, который, предположительно, управляется российской государственной группировкой Secret Blizzard, и имеет более 150 настроек 🔒 Уязвимости: ⚠️ Выложены в открытый доступ эксплоиты для Linux-уязвимостей Fragnesia (CVE-2026-46300) и DirtyDecrypt (нет CVE), которые позволяют повышать привилегии до root. Они продолжают серию эксплоитов, начавшуюся с Copy Fail (см. прошлый дайджест) ⚠️ Microsoft выпустила пакет обновлений, закрывающий 120 уязвимостей, из них 17 критических, 31 удалённого исполнения кода, и 13 помечены как "эксплуатация более вероятна" ⚠️ В NGINX обнаружена критическая уязвимость CVE-2026-42945, позволяющая принудительно перезагрузить служебные процессы, или, если выключена защита ASLR, исполнять удалённый код. Согласно Patrick Garrity (Vulncheck), уязвимость уже эксплуатируется ⚠️ Пользователь под ником Chaotic Eclipse обнаружил, что старая уязвимость CVE-2020-17103 снова присутствует в Windows с последним пакетом патчей (включая упомянутый выше) ⚠️ Cyera раскрыли в OpenClaw серию уязвимостей Claw Chain, позволяющую захватить контроль над сервером ➕ Файл ниже содержит IoA/IoC из аналитических отчетов этого выпуска дайджеста. Вы можете использовать их для обнаружения вредоносной активности

🔒 Дайджест событий в области информационной безопасности с 4 мая по 10 мая 2026 года 📈 Анализ активности ботнетов: Общий объём активности упал почти в 7 раз, а активность от источников в РК выросла чуть более чем в 2 раза. Заметно выросли разделы "Веб-сервисы" (в 3 раза) и "DNS и NTP" (в 1.5 раза) и вернулась к ранним значениям активность по файловым протоколам ("FTP и TFTP", -93%) 💥 Взломы, атаки, киберпреступность: ☄️ Группировка ShinyHunters атаковала образовательное ПО (LMS) Canvas и сотни американских образовательных учреждений потеряли к нему доступ на несколько часов (Reuters) ☄️ Разработчик ПО для эмуляции DAEMON Tools скомпрометирован — на протяжении примерно месяца на сайте была троянизированная версия, согласно Лаборатории Касперского ☄️ Студент тайваньского университета взломал систему управления высокоскоростными поездами с помощью специально запрограммированного радио — особый сигнал "тревога" привёл к остановке 4 поездов. Сводка у BleepingComputer 😈 Малварь: 1️⃣ Вредонос CloudZ RAT заражает Windows и может перехватывать СМС и другие коды безопасности с телефонов — он подключается к ним через встроенный в систему Microsoft Phone Link, согласно Cisco Talos 2️⃣ Червь PCPJack распространяется через краденые ключи и уязвимости в конфигурациях контейнерных систем и СУБД. Если он обнаруживает конкурентов из TeamPCP (см. прошлый дайджест) — он "выбивает" их из системы. Анализ SentinelLABS 3️⃣ Под видом новой ИИ-модели OpenAI Privacy Filter распространяется вредоносное ПО на Rust, сообщает HiddenLayer 🔒 Уязвимости: ⚠️ Исследователь Hyunwoo Kim обнаружил уязвимости, коллективно названные Dirty Frag, в нескольких модулях Linux. Эти уязвимости (CVE-2026-43284, CVE-2026-43500) похожи на ранее обнаруженную Copy Fail (см. прошлый дайджест) и позволяют повысить привилегии до root ⚠️ В локальной ИИ-платформе Ollama обнаружена критическая уязвимость Bleeding Llama, через которую можно вывести всю память ИИ (CVE-2026-7482). Анализ Cyera ⚠️ В Apache HTTP Server закрыто несколько уязвимостей, самая серьёзная из которых позволяет удалённое исполнение кода через HTTP/2 (CVE-2026-23918) ➕ Файл ниже содержит IoA/IoC из аналитических отчетов этого выпуска дайджеста. Вы можете использовать их для обнаружения вредоносной активности

🔒 Дайджест событий в области информационной безопасности с 27 апреля по 3 мая 2026 года 📈 Анализ активности ботнетов: Общий объём атак увеличился чуть более чем в 7.5 раз, почти 90% событий приходится на файловые протоколы ("FTP и TFTP", рост в 15.8 раз). Также выросли разделы "SSH и Telnet" (+120%) и "Почтовые сервисы" (+73%). При этом активность внутри РК упала на 82%, а по "DNS и NTP" практически прекратилась (-96%, самый низкий показатель за год) 💥 Взломы, атаки, киберпреступность: ☄️ Сервера Canonical, разработчика Ubuntu Linux, подверглись DDoS-атаке проиранскими хактивистами, что привело к нескольким периодам недоступности инфраструктуры. Сводка TechCrunch ☄️ ФБР выпустило бюллетень о кибератаках на логистические системы — через фишинговые письма злоумышленники заражают брокеров и перенаправляют грузовики с товарами посредникам, таким образом воруя грузы 😈 Малварь: 1️⃣ Червь Mini Shai-Hulud самораспространяется по пакетам NPM и PyPI, используя украденные ключи, повторяя и улучшая уже известные тактики (см. прошлый дайджест). Уже заражены популярные пакеты Lightning, Intercom и несколько пакетов компании SAP. Страница отслеживания кампании у Socket 2️⃣ Вредонос DEEP#DOOR стирает из памяти свои собственные команды запуска и портит свой исполняемый файл, чтобы затруднить анализ командами безопасности, согласно Securonix 3️⃣ Бэкдор в WordPress-плагине Quick Page/Post Redirect Plugin после активации наполняет сайт рекламой, но прячет её от пользователей сайта — её видят только неавторизованные пользователи и поиск Google. Разбор Anchor 🔒 Уязвимости: ⚠️ В ядре Linux обнаружена уязвимость Copy Fail (CVE-2026-31431), которая позволяет злоумышленнику повысить привилегии до root. Эксплоит выложен компанией Theori, которая обнаружила уязвимость, и атаки уже начались. Сводка BleepingComputer ⚠️ В GitHub Enterprise Server закрыта уязвимость CVE-2026-3854, которая позволяла исполнение произвольных команд через git push ⚠️ Для хостинговых веб-панелей cPanel и WHM вышли обновления, закрывающие критическую уязвимость CVE-2026-41940, позволяющую обходить аутентификацию, и уже активно используемую в атаках. Сводка BleepingComputer ⚠️ В Gemini CLI обнаружена уязвимость максимальной критичности - в headless-режиме он всегда доверял своей рабочей папке, а значит выполнил бы любые инструкции в ней, включая внешние (например, в pull-request). Анализ Novee ➕ Файл ниже содержит IoA/IoC из аналитических отчетов этого выпуска дайджеста. Вы можете использовать их для обнаружения вредоносной активности

🔒 Дайджест событий в области информационной безопасности с 20 апреля по 26 апреля 2026 года 📈 Анализ активности ботнетов: Общий объём активности упал на 18%, а активность внутри РК на 7%. Также заметны падение количества атак на веб-сервисы (-70%) и рост по почтовым сервисам (+89%) 💥 Взломы, атаки, киберпреступность: ☄️ Кто-то несанкционированно получил доступ к Mythos — закрытой версии ИИ Anthropic Claude, которая сейчас доступна только исследователям безопасности. Разработчики ранее заявляли, что модель слишком опасна для открытого доступа. Сводка от TechCrunch ☄️ Телефон председателя немецкого парламента взломали, это часть кампании против чиновников Европейского Союза, согласно Politico ☄️ Офис генерального инспектора NASA, американского космического агентства, сообщил, что раскрыл фишинговую схему, в результате которой сотрудники несколько лет передавали в Китай программное обеспечение, не зная этого ☄️ Группировка UNC6692 устанавливает жертвам вредоносное расширение SNOWBELT для Microsoft Edge в headless-режиме — пользователь не видит в интерфейсе операционной системы, что браузер запущен. Анализ Google TIG 😈 Малварь: 1️⃣ Лаборатория Касперского проанализировала ВПО Lotus Wiper, которое нарушало работу инфраструктурных объектов Венесуэлы. Оно предназначено для полного уничтожения данных без требований выкупа и пытается помешать восстановить компьютер многими способами - меняет пароли, отключает сетевой доступ, стирает учётные записи 2️⃣ Червь CanisterSprawl является продолжателем Shai-Hulud (см. предыдущий дайджест из серии), но он инфицирует все репозитории, для которых нашлись ключи, самостоятельно, с компьютера жертвы. Анализ StepSecurity 3️⃣ Check Point Research описывает ВПО SystemBC — оно не только открывает компьютер для скачивания шифровальщика по внутренней сети с других компьютеров, но и перенастраивает файловую систему, чтобы шифрование проходило быстрее 🔒 Уязвимости: ⚠️ В ASP.NET обнаружена критическая уязвимость повышения привилегий CVE-2026-40372 ⚠️ Согласно бюллетени CERT/CC, в ИИ-фреймворке SGLang обнаружена уязвимость CVE-2026-5760, позволяющая загрузить туда вредоносную модель ➕ Файл ниже содержит IoA/IoC из аналитических отчетов этого выпуска дайджеста. Вы можете использовать их для обнаружения вредоносной активности

🔒 Дайджест событий в области информационной безопасности с 13 апреля по 19 апреля 2026 года 📈 Анализ активности ботнетов: Общий объём активности почти не изменился, зато за счёт большого всплеска выросла активность по РК (+367%), также существенно выросли разделы "FTP и TFTP" (+77%) и "Почтовые сервисы" (+122%). Заметно упала активность по протоколам управления ("SSH и Telnet", -45%) 💥 Взломы, атаки, киберпреступность: ☄️ Согласно корейской газете Maeil Business, КНБ совместно с полицией Республики Корея задержал в Алматы лидера преступной группировки, ответственной за кибератаки шифровальщиками на больницы ☄️ Облачный хостинг Vercel сообщил, что его скомпрометировали через сотрудника и могли получить доступ к секретам. Пользователям рекомендуется пересоздать переменные среды ☄️ Группировка Hazy Hawk использовала недостатки конфигурации DNS 34 американских учебных заведений, чтобы взять под контроль некоторые поддомены официальных сайтов. Хакеры предпочли разместить там порноспам, пользуясь высокой репутацией сайтов для накрутки трафика, сообщает SH Consulting 😈 Малварь: 1️⃣ Эксперты Darktrace описывают ZionSiphon, специализированное ВПО, направленное против израильских инфраструктурных объектов и игнорирующее цели вне Израиля. По факту из-за ошибки в логике оно не считает никакие цели верными 2️⃣ В Sophos обнаружили шифровальщик PayoutsKing, который прячется от защиты внутри виртуальных машин QEMU 3️⃣ Группа из 54 троянских расширений забирает из браузера жертвы информацию о его Google-аккаунте для отслеживания. Анализ Socket 🔒 Уязвимости: ⚠️ Microsoft выпустила пакет обновлений для 165 уязвимостей, из которых 8 - критические и одна была использована в атаках (CVE-2026-32201 в SharePoint Server) ⚠️ В популярном NPM-пакете protobuf.js обнаружена критическая уязвимость удалённого исполнения кода (CVE-2026-41242) ⚠️ Cisco выпустила бюллетень безопасности о критической уязвимости в WebEx, позволяющей маскироваться под любого пользователя (CVE-2026-20184) ➕ Файл ниже содержит IoA/IoC из аналитических отчетов этого выпуска дайджеста. Вы можете использовать их для обнаружения вредоносной активности

Как пройти испытания ИБ и подключить ОЦИБ без сложностей Компании приходят к теме соответствия требованиям ИБ разными путями. Для одних это необходимое условие работы с данными из государственных информационных систем. Деятельность других признана критически значимой для страны — а значит, к их защите предъявляются повышенные требования. Третьи далеки от государственного контура, но вынуждены усиливать защиту: киберпреступники становятся всё более активными и всё чаще используют AI. При этом практики ИБ, закрепленные в государственных стандартах, полезны далеко за рамками формального регулирования. Это рабочая основа, которая помогает выстраивать зрелую и устойчивую защиту компаниям самого разного профиля. Дальше все упирается в реализацию: нужен партнер, способный привести инфраструктуру в соответствие требованиям быстро, качественно и без лишних затрат. О том, как это делает наша команда, и как в этом помогают решения Fortinet, рассказал наш CISO Александр Косенков на Fortinet Security Day. Смотрите его доклад на нашем Youtube-канале.

Поддерживаем и выступаем на Fortinet Security Day 2026 Завтра в Алматы пройдет конференция Fortinet про актуальные киберугрозы и рабочие решения по защите бизнеса. Наш директор по ИБ Александр Косенков выступит на с докладом «Как пройти испытания ИБ и подключить ОЦИБ без сложностей». Какие темы он поднимет: — почему исполнение требований ИБ становится обязательным условием для всё большего числа компаний; — как работает связка Fortinet + PS Cloud Services, и что она даёт бизнесу на практике; — как быстро запустить мониторинг и пройти испытания ИБ без большого бюджета. Александр руководит SOC PS Cloud Services и имеет практический опыт построения центров мониторинга для государственного и коммерческого секторов. Будет интересно, приходите послушать. 🖊 Регистрация по ссылке 🗓 15 апреля, 12:30 📍 Ritz Carlton Hotel Almaty