✅ Правила SIEM для детектирования атак на Fortinet

С декабря на устройства Fortinet ведутся систематические автоматизированные атаки, направленные на обход аутентификации, извлечение конфигурации устройства, создание административных и VPN-аккаунтов для закрепления в сети. Декабрьская волна эксплуатировала CVE-2025-59718 и -59719 (CVSS 9.8), позволяющие атакующему, имеющему учётку в FortiCloud, войти в чужое устройство на базе FortiOS/ FortiManager/ FortiAnalyzer/ FortiProxy/ FortiWeb, если у цели активирована функция SSO.

В конце января началась вторая волна атак — атакующие обошли патчи и вооружились зиродеем, впоследствии получившим идентификатор CVE-2026-24858 (CVSS 9.4). В Fortinet даже вынуждены были глобально отключить FortiCloud SSO на пару дней, пока они разбирались, что происходит и выпускали новые патчи.

Хотя производитель на букву F с 2022 года встречается в РФ всё реже, в ряде организаций его решения остаются в строю, и  детектировать систематические попытки эксплуатации очень важно. Пограничные устройства остаются в топе приоритетов атакующих, и Fortinet у них на особом счету. Поэтому мы выпустили пакет правил FortiCloud SSO abuse package для нашей  SIEM-системы KUMA, состоящий из трёх групп:

🔵IOCs известных атак;
🔵опасные действия администраторов;
🔵подозрительная активность.

Все детали правил и дополнительные рекомендации — в посте в блоге.

#советы #угрозы #SIEM @П2Т

🔥 Интересные исследования APT и новости ИБ за неделю

🟣APT Head Mare в начале года вооружилась новыми версиями бэкдора PhantomHeart и прокси-инструмента PhantomProxyLite, переписанными на PowerShell. Это отражает стремление группы активнее использовать LotL. Для первоначального проникновения эксплуатируют  BDU:2025-10114 в  TrueConf Server и рассылают целевой фишинг.

🟢Поминутный разбор TTPs группы Scattered Spider/Muddled Libra, основанный на анализе образа вредоносной виртуалки, созданной после компрометации VMware vSphere  в инфраструктуре жертвы.

🟣Новые штрихи в историю с компрометацией Notepad++ — разбор долгосрочных паттернов в TTPs атакующих. Атаку приписывают APT  Lotus Blossom/G0030.

🟢Группа Storm-2603 эксплуатирует критическую CVE-2026-23760 в  SmarterMail чтобы разворачивать шифровальщик Warlock на поражённых системах.

🟣Новая информация о свежих найденных версиях бэкдора BRICKSTORM (конечно на устройствах Ivanti).

🟣Тенденции спама и фишинга за 2025 год. Кроме статистики, интерес вызывают оригинальные приманки, замеченные за год.

🟢Технический анализ ВПО Lockbit 5.0, работающего на Windows, Linux и ESXi.

🟡Обзор замеченных Google методов применения Gemini злоумышленниками. Многие группы поставили применение ИИ на поток к концу года для исследований уязвимостей, автоматизации разведки, анализа украденных дампов почты и генерации убедительных фишинговых приманок.

🟣Разбор вредоносных кампаний, в которых загрузчик RenEngine доставляет на компьютеры ACR Stealer. Источником заражения преимущественно являются пиратские игры.

🟢После почти годичного затишья возобновилось активное распространение LummaStealer.

🔵Около 80% корпоративных ИТ-инфраструктур содержат уязвимую версию WinRAR. Дефектом CVE-2025-8088 активно пользуются злоумышленники.

🟢Мода писать всё подряд на Node.js добралась до ВПО — встречайте LTX stealer.

🟣Обзор ZerodayRAT, продаваемого через Telegram шпионского ПО для Android и iOS. Способы заражения iOS и технические особенности в исследовании толком не описаны, зато есть много скриншотов админки зловреда.

🔵Juniper research и Revolut оценивают объём платной рекламы в соцсетях, которую дали мошенники в 2025 году в одной Европе, в скромные 3,8 млрд. фунтов.

🔴Вот они, простые повседневные ужасы цепочки поставок. Одна утёкшая учётка небольшой фирмы-поставщика, которая обслуживала поставщика покрупнее, давала доступ к ИТ-инфраструктуре 200 (!) аэропортов. Для тех, кто связан с аэропортами, это был учётка к порталу NGOSS (Next Generation Operations Support System).

#дайджест @П2Т

💼 Применяем атрибуцию угроз в работе SOC

Зачем знать, чью вредоносную активность блокирует служба ИБ, если опасные файлы уже заблокированы и удалены?
Это знание критически важно, чтобы снизить вероятность развития атаки и «повторных визитов». Ведь нельзя исключать:

🟢что обнаруженный файл уже сыграл свою роль, и злоумышленники закрепились в сети, например, получив админскую учётку;
🟢что атакующий вернётся завтра с другой версией своего ВПО;
🟢что вредоносных имплантов было два-три, а задетектировали только один.

Чтобы полноценно устранить угрозу, необходимо выявить всю цепь атаки и нейтрализовать её.

Атрибуция киберугроз помогает понять контекст атаки, понять, кто вас атакует и какие TTPs обычно использует. Изучив информацию об атакующем, например на портале Kaspersky Threat Intelligence, можно:

🔵закрыть уязвимости, используемые в атаках этой APT;
🔵добавить в SIEM правила для детектирования известных IOCs, например имён хостов С2;
🔵провести дополнительный поиск угроз с помощью готовых правил Yara;
🔵применить точечные меры харденинга, например заблокировав исполнение конкретных LOLBAS.

Пример с пошаговыми действиями при обнаружении атак APT Mystery Snail, а также описание способов, которыми вредоносную активность атрибутируют конкретному кластеру угроз, читайте в блоге.

#советы #TI #SIEM @П2Т

👽 Управление уязвимостями на третьей космической

Sonatype выпустили гигантский отчёт State of the software supply chain, покрывающий темы от перегрузки публичных реестров зависимостей и закладок Lazarus в проектах open source до современных требований к прозрачности цепочек поставок и состояния управления уязвимостями. Последняя тема наиболее важна для организаций, поэтому мы сосредоточились на ней.

Авторы утверждают, что систематическая проблема уязвимого ПО обостряется на трёх фундаментальных уровнях:
1️⃣Уровень данных. CVE получают не все дефекты, 65% присвоенных CVE не получают CVSS от NVD, при этом почти половина из них при ручной оценке тянет на High и Critical (все цифры только для open source). При этом оценка критичности может расходиться в разных источниках на 3 единицы (не 0,3 а именно 3). Медианное время оценки — 41 день. При этом описания дефектов часто не содержат достаточных данных, чтобы верно и автоматически классифицировать дефект и правильно приоритизировать его устранение.
2️⃣Уровень потребления. ИИ и автоматизированные системы интегрируют в проекты устаревшие версии компонентов даже годы спустя после выпуска исправленных версий. В 2025 (!) году, устаревшая, уязвимая сами знаете к чему версия Log4J была загружена 42 миллиона (!) раз. В 95% случаев, когда из репозитория загружается уязвимый компонент, рядом лежит новая, исправленная версия. Но — в сборке закрепили привычную, стабильную версию, или уязвимая версия скрыта во вложенных зависимостях, а потом ещё и отчёт сканера уязвимостей никто не обработал. Усиливает проблему и разработка с помощью ИИ, поскольку модели зачастую «предпочитают» популярную в прошлом версию пакета, часто встречавшуюся в обучающей выборке.
3️⃣Уровень экосистемы. Постепенно увеличивается число зависимостей и компонентов, которые больше не поддерживаются (EOL). Уязвимости в них сохраняются навечно, а процент таких зависимостей в типичном корпоративном проекте варьируется от 5% до 15%. Острота проблемы нарастает, поэтому появился даже рынок сопровождения устаревших решений open source, в которые разрабатывают или интегрируют патчи известных дефектов.

🎯 Устранять проблему предлагается, переходя от ускоренной борьбы с конкретными CVE к структурированному решению: обогащать данные об уязвимостях по разным источникам, настраивать в организации безопасный процесс интеграции зависимостей ПО, систематически искоренять зависимости EOL.
Особенно интересен второй компонент: авторы отчёта предлагают использовать "repository firewall", то есть правила и политики, блокирующие загрузку недоверенных и уязвимых версий компонентов. Для ИИ-агентов предлагается чётко инструктировать тех о доверенных источниках и разрешённых версиях программных компонентов.

Полную версию отчёта приложим в следующем сообщении ⬇️

#советы @П2Т

🦀 Автора OpenClaw взяли на работу в OpenAI, но плодить баги open source он не бросит

Если за что и благодарить ракообразное ПО, так это за наглядный урок по безопасности агентского ИИ. Пойти не так может примерно всё — от выжигания API-запросов на сотни долларов при выполнении примитивнейших задач до кражи конфиденциальных данных через инъекцию агента, общающегося в соцсети для ИИ-агентов. А ещё агент удобно складирует в своих папках ключевую информацию, которую так просто красть инфостилерам, не надо ничего искать. Это не гипотетический риск — уже обнаружены живые логи инфостилеров, содержащие данные из папок OpenClaw.

Новости по этой теме поступают ежедневно, но всё, что может быть полезно для оценки рисков и выработки защитных мер, мы собрали в двух постах:

▶️краткая история и риски Clawdbot/Moltbot/OpenClaw для тех, кто решил установить агента в личных целях;
▶️взгляд на OpenClaw с колокольни корпоративной ИБ, советы по детектированию и рекомендации по контролю «теневого агентского ИИ» для организаций.

#советы #ИИ @П2Т

🔥 Discord по паспорту, система разрешений в Windows и другие интересные новости личной ИБ и приватности

🟢Discord начинает проверку возраста пользователей глобально. Вопреки жёлтым заголовкам, у каждого пользователя НЕ будут требовать фото паспорта и анализ крови — в большинстве случаев платформа сможет оценить возраст пользователя без проверки документов, по особенностям общения. В спорных случаях попросят предъявить паспорт или живое фото лица, но клянутся, что сканы лица вообще проверяются прямо на устройстве, а после проверки паспорта сам Discord получает только число (возраст пользователя в годах). То есть в теории аккаунт не ассоциируется с паспортными данными. Как окажется на практике — узнаем. 🗿

🟣Мы обнаружили ещё один Android-троянец, который поступает к жертвам уже в заводской упаковке, в прошивке нового телефона. ВПО Keenadu явно имеет связи с другими похожими угрозами: Triada, BADBOX и Vo1d.

🟣Microsoft обещает внедрить в Windows систему разрешений, похожую на Android и iOS — перед тем, как выдать приложению доступ к файлам, геолокации или фотографиям на компьютере, Windows спросит, хочет ли этого пользователь.
Называется это User Transparency and Consent in Windows. Одновременно анонсировали Windows Baseline Security Mode — режим, в котором запускать можно лишь корректно подписанные приложения.

🟣Google выкатывает полезную фичу — если в поисковой выдаче есть «клубничные» изображения, опубликованные без согласия модели (на английском это политкорректно называется non-consensual explicit images), можно запросить их удаление и заблокировать индексирование новых схожих изображений.

🔴Новые тактики фишинга и спама — теперь его рассылают через Задачи (Google Tasks).

🟡В новой версии Chrome не только устранили зиродеи, но и выкатили новые 🤪. Шутим, про зиродеи пока ничего не известно, но вот появление функции Chrome Autobrowse на базе ИИ-модели Gemini не может не бодрить. Агентские функции заказывали? Нет? Ну всё равно получите.

🔵Также первый зиродей 2026 года устранили в iOS.

🟢287 расширений Chrome с 37 млн. установок зачем-то воруют историю веб-посещений. Авторы признают, что не все эти расширения вредоносны, но поведение разработчиков в любом случае спорное.

🟣Под видом исправленных и ускоренных версий Telegram в России распространяют Android-банкер Mamont.

🟡Блокировщики рекламы адаптировались к Manifest V3. Два немецких исследователя оценили, произошла ли ожидаемая деградация качества «адблокеров» после перехода Chrome и совместимых браузеров на более строгую версию взаимодействия между браузером и расширением. Как выяснилось, не произошла.

🟣 В ChatGPT появился lockdown mode, в котором ИИ ограничен в наборе инструментов и не взаимодействует с открытым интернетом.

🟣Всё, что вы (не) хотели знать про риски, уязвимости и методы защиты личного ИИ-агента Clawdbot/Moltbot/OpenClaw.

#дайджест @П2Т

🗿 Интересные исследования APT и новости ИИ ИБ за неделю

🔴Разбор инфостилера Arcanix, распространявшегося по модели MaaS в двух разных модификациях: С++ и Python, вторая отличается более гибкой конфигурацией.

🔵Технический анализ крупной кампании по распространению Winos 4.0 (ValleyRat) среди жертв в ЮВА, заражения зачастую перерастают в атаки ransomware.

🔵Разбор цепочки заражения, в которой через ClickFix распространяется «премиумный» загрузчик Matanbuchus 3.0, который в свою очередь устанавливает жертвам AstarionRAT. Высокая цена этих компонентов на чёрном рынке намекает на целевой характер кампании. Это подтверждается и тем, что после успешного заражения быстро последовали уже управляемые человеком атаки, дошедшие до контроллера домена менее чем за 40 минут.

🔵Массовая компрометация устройств Fortinet проводилась последние несколько месяцев. Атакующий — видимо брокер первоначального доступа, целился в устройства со слабыми паролями и небезопасными настройками. Таких нашлось более 600 штук. В атаках применялись ИИ-ассистенты (вероятно Claude и Deepseek) для написания скриптов при разведке и развитии атаки.

👻 Бэкдор Keenadu примечателен тем, что жертвы получают его прямо с новым смартфоном, в заводской прошивке. Наш анализ показывает, что новое ВПО имеет определённую связь с предыдущими угрозами такого же типа — Android-ботнетами Triada, BADBOX и Vo1d.

🟢Разбор новых версий RAT Remcos, в которых найденная информация выгружается на С2 почти в прямом эфире, а методы шпионажа включают трансляцию с веб-камеры и анализ геолокации.

🟣Новые IOCs в атаках, эксплуатирующих CVE-2026-1731 в BeyondTrust и разворачивающих у жертв VShell и SparkRAT. Изначально атаки были шпионскими, но сейчас к празднику жизни подключились и вымогатели.

🟣С пятницы в реестре npm распространяется новый червь SANDWORM_MODE, отличающийся большей скрытностью, комбинацией самораспространения с извлечением секретов CI и ключей LLM API через GitHub Action. Также червь запускает вредоносный MCP-сервер, который инструктирует ИИ-агенты разработки на машине жертвы собрать и отправить все секреты в файлах конфигурации.

🔴Эксперимент по использованию популярных ИИ-сервисов в качестве платформы С2. Работает не хуже чем с Discord и Telegram.

🟡В наших широтах Copilot 365 по понятным причинам не очень популярен, но мы уверены, что подобное ждёт любого ИИ-ассистента. В феврале пользователи замечали, что он обрабатывает письма с грифом «конфиденциально», которые ИИ-ассистенту должны быть категорически недоступны.

🔵Анализ новых кампаний Cloud Atlas. Группировка мало меняет свои TTPs, но остаётся эффективной — целевой фишинг по-прежнему работает.

🟢Разбор нового фишкита Starkiller, поддерживающего все современные технологии включая обратный прокси, ретрансляция кодов MFA и похищение куки.

🟢Нашумевшее ВПО для Android Promptspy использует запросы к ассистенту Gemini прямо на устройстве, чтобы сгенерировать подходящий набор команд и выполнить их через сервис accessibility, закрепив ВПО в списке недавних приложений и защитив его таким образом от диспетчеров задач. В остальном ВПО скучное, но тактика индивидуальной генерации скриптов прямо у жертвы наверняка будет широко использоваться в будущем.

🟢Российские организации атакует неизвестная группа, пытающаяся подделываться под Angry Likho/Sticky Werewolf.

🟣Microsoft подтверждает, что очевидную, но мало обсуждаемую тактику «отравления» ИИ-рекомендаций промпт-инъекциями на веб-страницах уже используют нечистоплотные компании разных калибров.

🟣Саму компанию Ivanti скомпрометировали ещё в 2021 году через дефект в её же продукте. В той же кампании были скомпрометированы военные подрядчики в Европе и США.

🔵CISA подтвердила эксплуатацию дефектов RoundCube CVE-2025-49113 и -68461 в атаках.

#дайджест #APT @П2Т

🏭 Практические рекомендации по защите промышленных предприятий

После каждой исследованной атаки на промышленные предприятия и системы промышленной автоматизации мы пишем рекомендации. Это меры и средства защиты, которые при верном применении могли бы остановить атаку или значительно снизить ущерб от неё. Со временем мы заметили, что рекомендации часто повторяются, потому что защитники допускают похожие ошибки, а атакующие стараются их эксплуатировать.

Поэтому мы решили составить основанный на практике список наиболее часто рекомендуемых мер ИБ. Он не претендует на полноту, не заменяет странового, отраслевого и международного регулирования, но им вполне можно пользоваться как самостоятельным справочником при выборе и планировании защитных мер.

Список разделён на две большие группы.
🏭 Базовые меры ИБ: сегментация и изоляция технологических сетей, развёртывание современных защитных решений для ОТ и ИТ-узлов, многофакторная аутентификация для административных консолей и критичных систем, требования к сложности паролей, строгие групповые политики домена, автономные неизменяемые резервные копии и так далее.

🏭 Специализированные меры, критически важные для противодействия отдельным типам угроз или TTP: целевым атакам, техникам BYOVD и DLL hijacking, вредоносному ПО для AutoCAD, атакам на гипервизоры, эксплуатации устаревших ОС.

Команда Kaspersky ICS CERT планирует регулярно уточнять список рекомендаций по мере изменения ландшафта угроз, поэтому сохраняйте в избранное!

#OT #советы @П2Т

🔵 А вы готовы к ста тысячам CVE?

В этом году количество уязвимостей побьёт все рекорды — по прогнозу FIRST, в 2026 году медианное значение составит около 59000 CVE, а в некоторых сценариях эта цифра может достичь 118000. Для сравнения, в 2025 году было зарегистрировано 48186 дефектов. Конечно, доля реально эксплуатируемых уязвимостей крайне мала — около 700 дефектов за 2025, а реестр CISA KEV пополнился лишь на 245 новых уязвимостей за год.

Но двукратный рост общего числа CVE (а ещё плюс BDU и EUVD!) безусловно будет вызовом для команд ИБ:

🟢объёмы растут потому, что всё больше CNAs, платформ баг баунти и исследовательских групп регистрируют уязвимости, в том числе древние ошибки и дефекты в open-source коде. Всплеск также связан с использованием ИИ для анализа крупных кодовых баз;
🟢 только небольшой процент (по оценкам FIRST, примерно 5%) уязвимостей создаёт серьёзные риски для бизнеса;
🟢 по мере абсолютного роста числа CVE сложнее становится выявлять действительно значимые баги — соотношение «сигнал/шум» ухудшается.

Командам ИБ придётся прокачать фокус и поставить приоритизацию на промышленные рельсы:

◾️ приоритизировать не по CVSS-баллам, а по реальным рискам: вероятность эксплуатации, наличие активных эксплойтов, критичность активов и влияние на бизнес;
◾️ автоматизировать первичный анализ (triage) в масштабах всей инфраструктуры. Алгоритмы могут справляться с объёмом в 50 или 100 тысяч CVE, человеку это не под силу. Человеческое время должно быть зарезервировано для небольшого подмножества уязвимостей с высоким реальным риском;
◾️ использовать ИИ «в обе стороны». Те же технологии искусственного интеллекта, которые ускоряют поиск багов для исследователей и злоумышленников, позволяют защитникам эффективнее коррелировать данные об эксплуатации и отсекать шум. Однако эффективность ИИ напрямую зависит от качества данных, поэтому обогащение и перекрёстная проверка метаданных уязвимостей критически важны;
◾️ быть готовыми к росту шума. Открытие новых уязвимостей сейчас опережает темпы их эксплуатации. Вся существующая экосистема (MITRE, NVD и региональные аналоги, CNAs) испытывает нагрузку и со временем может деградировать (очереди, неполные данные), но вряд ли станет неработоспособна.

Вывод прост: 2026 год — это не столько про «залатать побольше», сколько про качественное принятие решений. Успех CISO будет зависеть от того, смогут ли они выстроить управление уязвимостями вокруг автоматизации, контекста и грамотного распределения ресурсов, чтобы резкий рост числа CVE не приводил к потере контроля над рисками эксплуатации.

#CISO #уязвимости @П2Т

📌 Рекомендации по харденингу VMware от ФСТЭК

ФСТЭК продолжает публиковать практические рекомендации по безопасной настройке инфраструктуры, на сей раз по средам виртуализации на базе VMWare.

Никаких общих слов нет — с места в карьер выдают два десятка практических советов с конкретными именами флагов и настроек:

- подробное журналирование событий;
- отправка журналов на удалённый сервер;
- отправка конкретных журналов в SIEM и их мониторинг;
- список событий, которые обязательно должны создавать оповещение в SIEM;
- резервное копирование;
- многофакторная аутентификация;
- запрет привилегированного доступа по SSH или его харденинг, если запрет невозможен;
- ограничение VMware Network API;
- запрет установки VMware Installation Bundles;
- ограничение использования HTTPS, vSphere и vMotion;
- регулярные обновления ПО;
- минимизация привилегий;
- регулярная смена паролей;
- настроенные безопасная загрузка и безопасный режим ESXi;
- запрет запуска неподписанного кода (execInstalledOnly);
- корректная настройка политик безопасности Portgroup;
- сегментирование сети;
- ограничение сетевого доступа по чёрным и белым спискам.

Прямая ссылка на PDF.

#советы @П2Т

📌 Защита 1С, ужасы OpenClaw и другие полезные посты февраля

Вычистили из февральского новостного потока всё сиюминутное, и осталось самое ценное за месяц! 🎯
Эти статьи помогут выстроить эффективные процессы и системы в ИБ.
Если вы что-то пропустили, на выходных как раз можно наверстать упущенное!

▶️актуальные трюки злоумышленников в атаках на email и методы защиты;
▶️язык ИБ для совета директоров;
▶️правила SIEM для обнаружения компрометации устройств Fortinet;
▶️как (можно было) избежать компрометации систем на базе 1С;
▶️какие угрозы несут бизнесу онлайн-двойники бренда, почему это может быть началом целевой атаки, и как с этим бороться;
▶️как когнитивные искажения влияют на аналитиков SOC и что с этим делать;
▶️советы по защите промышленных предприятий и систем АСУ ТП;
▶️всё, что вы (не) хотели знать про угрозы ИИ-агента OpenClaw и способы его защиты.

#дайджест @П2Т

🌻 Интересные исследования продвинутых угроз (APT) и новости ИБ за неделю

📘 Хакерская группировка Librarian Likho перешла от целевых атак к массовым операциям, разослав более 1000 вредоносных писем в адрес госструктур, строительных и промышленных компаний РФ. В атаке используются установщики на базе программы Smart Install Maker, которые ставят жертве приложения для удалённого доступа AnyDesk. В дальнейшем «Лихо» ворует учётные данные и почту с помощью легитимных инструментов, таких как программа WebBrowserPassView.

📠 В новой кампании хакерской группы APT37 задействовано пять ранее неизвестных вредоносных инструментов, предназначенных для краж из изолированных сетей. Среди них — THUMBSBD, использующий устройства хранения данных как двусторонний скрытый канал связи, и RESTLEAF, создающий механику управления (C2) на базе облачного ПО Zoho WorkDrive.

🪟 Компания Google отключила инфраструктуру UNC2814 — шпионской угрозы, которая скомпрометировала как минимум 53 организации в 42 странах. Злоумышленники использовали ВПО GRIDTIDE, которое применяло онлайн-сервис для работы с Google Таблицами в качестве двустороннего скрытого канала связи: команды считывались из ячейки A1, а статусы записывались в соседние ячейки. В числе целей были телекоммуникационные компании и государственные органы.

🐎 Новая кампания от хакерской группировки Head Mare затрагивает российские организации в сфере логистики, финансов и промышленности. Приманкой являются защищённые паролем архивы, якобы содержащие договоры и счета. На самом деле там скрыт обновлённый зловред PhantomCore, дающий злоумышленникам возможность подключиться к сети жертвы и атаковать другие компьютеры через туннель.

🔻 Разбор новой вымогательской «партнёрской программы» C77L, авторы называют её персидской. 🧐

👽 Разбор новой модификации ВПО PlugX, распространяемой хакерской группой UNC6384, которая частично пересекается с другой группировкой злоумышленников — Mustang Panda. Кампания нацелена на государственные организации и дипломатов в Юго-Восточной Азии, для заражения используется техника «злоумышленник посередине» (AitM) и компрометация портала авторизации.

🚛 Группировка Diesel Vortex запустила платформу GlobalProfit, работающую по модели коммерческих фишинговых решений (phishing-as-a-service). Примечательная узкая специализация — фишинг ориентирован на грузовые и логистические компании США и ЕС. Преступники развернули 52 фишинговых домена и похищали учетные данные пользователей онлайн-порталов Truckstop, Teleroute и Penske Logistics.

👻 В новой фишинговой кампании GTFire онлайн-инструментарий для разработчиков Google Firebase используется для хостинга вредоносных страниц, а онлайн-переводчик Google Переводчик — для маскировки ссылок и обхода фильтров электронной почты. Анализ инфраструктуры управляющих серверов показал компрометацию учётных данных более чем тысячи организаций из сотни стран.

🔆 Любопытная атака на цепочку поставок в электронной коммерции c использованием техники typosquatting. Фальшивый пакет в галерее NuGet (.NET) имитирует легитимную библиотеку Stripe.net и похищает ключи программного интерфейса приложений (API) при инициализации. Злоумышленники искусственно раздули количество загрузок до 180 тысяч, чтобы вызвать доверие жертв.

🔵 Тем временем в хранилище пакетов npm всё стабильно — вредоносный пакет ambar-src был загружен 50 тысяч раз, хотя инфицированную версию удалили уже через пять часов. Аккуратный универсальный скрипт устанавливает жертвам ВПО на базе универсальной программной платформы MythicAgents или обратной оболочки.

#APT #дайджест @П2Т

🗣 Извлекаем пользу из киберразведки и встраиваем её в центр мониторинга кибербезопасности (SOC)

Когда: 4 марта 2026 в 11:00 (МСК)

Какие типы данных киберразведки (Threat Intelligence, TI) приносят реальную пользу, как оценить качество источников, и как собрать понятный набор данных под свою отрасль и актуальные профили угроз? Как измерять эффект TI и получить ощутимый результат уже за первые месяцы использования?
О практике использования TI поговорим на онлайн-конференции AM-Live! Обсудим:

▶️ какие данные киберразведки чаще всего приносят пользу;
▶️ как понять, что источник данных вам подходит, и можно ли начинать с бесплатных источников;
▶️ что TI должен отдавать в SOC;
▶️ как TI сокращает время реагирования;
▶️ с какого прикладного сценария лучше начать использовать данные TI, чтобы быстро увидеть эффект;
▶️ что делать с неструктурированными источниками;
▶️ какие изменения в атаках сильнее всего меняют требования к TI в 2026.

👤 От «Лаборатории Касперского» выступит Кирилл Митрофанов, руководитель команды аналитики разведки киберугроз.

Встречаемся уже завтра: 4 марта 2026
Нужна предварительная регистрация.

Узнать о конференции и зарегистрироваться ⟶

#события @П2Т

🔎 Старые ключи к сервисам компании Google могут приводить к утечкам из ИИ-помощника Gemini

Можно ли скачать чужие чаты и вложения из нейросети Gemini или воспользоваться ИИ-системой за чужой счёт? В ряде случаев ответ положительный. Попасть под удар могут пользователи, которые взяли уже имеющийся у них ключ API Google и вставили его в среде разработки Google AI Studio или в другой среде, требующей для работы с Gemini ключ.

Проблема в том, что многие годы разработчикам явно говорили, что API-ключи для облачной платформы для разработки Google Firebase или Google Карт не являются секретами, и их можно вставлять в код веб-страниц или в мобильные приложения в открытом виде. Пока эти ключи были просто идентификаторами опубликованного проекта, всё это было правдой. Но сегодня те же ключи принимают и API, которые отвечают за работу с нейросетями. А там информация уже совсем не публичная.

Исследователи просканировали миллионы сайтов и обнаружили около трёх тысяч ключей, с которыми можно зайти в Gemini, скачать предыдущие разговоры, или использовать ключ для генерации контента за чужой счёт. Учитывая цены на нейросети Nano Banana Pro или Gemini Pro, это может быть довольно дорогостоящей утечкой.

Ненароком вставить публично доступный ключ API в сервисы, работающие с LLM, помогает и то, что ключи Google выглядят совершенно одинаково, будь они публичными или секретными. Сами разработчики Google как минимум один раз сделали эту ошибку — ключ, доступный на публичном сайте Google, давал доступ к внутренней версии Gemini.

В ответ на утечку Google планирует модифицировать процесс выдачи ключей, чтобы новые ключи в AI Studio по умолчанию работали исключительно с Gemini, а также заблокировать известные «утекшие» ключи.

Это похвально, но недостаточно. Поэтому пользователям облачных сервисов Google Cloud (к ним относятся и AI Studio, и Карты, и многое другое) рекомендуется зайти в панель управления и проверить, для каких выписанных ключей активен доступ к интерфейсу программирования Generative Language API. Важно тщательно проверить ключи, отмеченные восклицательным знаком — доступ к ним не ограничен. Определив список потенциально уязвимых ключей, необходимо проверить свои веб-сайты, публично доступные приложения, репозитории исходного кода и другие места, где эти ключи могут быть видны и доступны посторонним.

При обнаружении ключей, которые были доступны публично, замените их или как минимум отключите для них какой-либо доступ к нейросетевым службам Google.

#угрозы #советы @П2Т

❗️ Кибератаки ClickFix в полном ассортименте

Атаки ClickFix эволюционировали — начавшись как экзотические фишинговые приёмы, они постепенно стали проработанной методикой, которая эффективно убеждает пользователей запускать вредоносные сценарии и команды «по просьбе» злоумышленника.

Суть осталась прежней: убедить человека скопировать и вставить команду вручную, чтобы средства защиты восприняли её как легитимные действия пользователя. А выросли креативность и техническое разнообразие этих команд.

Свежие сценарии, на которые стоит обратить внимание:

🪲 фейковые сайты бронирования гостиниц в комбинации с ПО mshta.exe. Фальшивые письма для партнёров отелей ведут на поддельную страницу, где жертве предлагают «подтвердить, что вы не робот». Пользователя просят открыть окно «Выполнить» и вставить команду. Вместо PowerShell используется легитимное ПО mshta.exe (хост для HTML-приложений), которое обращается к серверу злоумышленника и запускает вредоносный код;

🪲 видеоплатформа TikTok и «бесплатная активация». Видеоуроки обещают бесплатную активацию платных программ. Инструкция — запустить командную оболочку PowerShell с правами администратора и выполнить команду iex (irm). Эта однострочная команда скачивает и запускает скрипт атакующего, который затем загружает вредонос;

🪲 возрождение сетевого протокола Finger. Многие сайты с ClickFix по-прежнему требуют пройти «тест на человечность», но в качестве команды для копирования и вставки предлагают обращение к устаревшему протоколу Finger через сетевой порт TCP/79;

🪲 атака CrashFix через вредоносные расширения для браузера Chrome. Поддельное расширение для блокировки рекламы сначала недолго работает, а затем намеренно вызывает сбой в Chrome и выводит фальшивое предупреждение безопасности с предложением запустить «сканирование».

В общем, техника ClickFix по сути срастается с тактиками использования любого легитимного системного ПО (LotL), поэтому одних ограничений в PowerShell или блокировки окошка «Выполнить» недостаточно.

Современные средства защиты на хостах должны анализировать не только команды, но и их контекст, обеспечить контроль запуска приложений по спискам разрешённого ПО, а также усилить защиту на уровне браузера. К тому же критически важно обучать всех сотрудников. ClickFix — это социоинженерная атака с хорошо узнаваемыми признаками, которым можно обучить коллег.

В нашей статье на блоге собрали примеры новых атак ClickFix и подробные рекомендации по обнаружению и устранению.

#советы @П2Т