❗️ Зиродей в Chrome используется в атаках на российских пользователей

Эксперты Kaspersky GReAT обнаружили целевую атаку на представителей СМИ, образовательных учреждений и правительственных организаций, в которой жертв заманивают на вредоносный сайт, эксплуатирующий ранее неизвестную уязвимость Chromium (дефект получил номер CVE-2025-2783). Пользователей Windows после посещения сайта заражали ВПО предположительно с целью шпионажа. Для привлечения жертв использовался целевой фишинг, приглашающий на научный форум «Примаковские чтения».

И уязвимость, и ВПО отличаются высокой степенью изощрённости, поэтому вероятно за атакой стоит APT-группировка, спонсируемая государством. Подробности об атаке и IoC можно прочитать на Securelist, а технический разбор самой уязвимости в Chrome мы опубликуем, когда большая часть пользователей установит обновления.

Мы сообщили об уязвимости в Google и сегодня вышла обновлённая версия Chrome 134.0.6998.177/.178, которую мы рекомендуем незамедлительно установить. На всех компьютерах должно быть установлено надёжное защитное ПО. Решения Kaspersky успешно детектируют эксплойты, использованные в данной атаке.

#APT #уязвимости @П2Т

👀 Patch Wednesday: накопилось

Кроме вчерашнего 0day в Chrome, ответственным за управление уязвимостями стоит мобилизовать ИТ-команды для оперативного устранения нескольких разношёрстных, но серьёзных дефектов в корпоративном ПО:

IngressNightmare: 4 CVE в контроллере Ingress-NGINX, который активирован на 41% кластеров Kubernetes, видимых из Интернета. Цепочка четырёх уязвимостей коллективно тянет на CVSS 9.8 и в итоге приводит к RCE без аутентификации. Атакующие могут утащить все секреты, сохранённые в кластере и захватить его в целом. Обычно admission endpoint не стоит выставлять в публичный интернет, доступ к нему нужен только API-серверу K8s, тем не менее, по оценкам Wiz более 6500 корпораций сделали именно это.

CVE-2025-22230 (CVSS 7.8), обход аутентификации в VMWare tools, позволяет выполнять высокопривелегированные операции в гостевой VM на Windows.

Дыра без CVE в CrushFTP 11, позволяющая без аутентификации получать доступ к данным через порты HTTP(S). Вендор стыдливо упомянул о дефекте только в клиентской рассылке, но оперативно устранил дефект и обещал номер CVE попозже.

#новости #уязвимости @П2Т

💻 ВПО с подписями Microsoft — уже в арсенале злоумышленников

В марте на Virustotal обнаружили многочисленные образцы ВПО, подписанные сертификатами, которые выпущены «Microsoft ID Verified CS EOC CA 01» со сроком действия всего трое суток. Такой сертификат можно получить, используя платформу Microsoft Trusted Signing для облачного подписания ПО.

Microsoft запустила Trusted Signing в прошлом году, видимо вдохновившись успехами Let's Encrypt. Цель — предоставить разработчикам недорогой, простой и безопасный способ подписывать свои программы. Подписание проводится в облаке, и разработчики никогда не распоряжаются самим сертификатом. При этом Редмонд подписывает не файл, а его хэш (digest signing), то есть не проверяет содержимое файла.
Короткоживущие сертификаты по задумке должны снизить масштаб проблемы в случае взлома. Когда сертификат истекает, ранее подписанные им приложения считаются легитимными и продолжают запускаться без всяких предупреждений. Но при обнаружении ВПО или иных проблем Microsoft отзывает сертификат-трёхдневку и всё, что разработчики подписали им за три дня, будет считаться недоверенным. Доступ к Trusted Signing стоит 10 долларов в месяц, и для злоумышленников это конечно гораздо лучше, чем хлопотать с кражей или покупкой полноценного EV-сертификата.

При этом сертификаты этого сервиса повышают репутацию подписанного файла для SmartScreen, наравне с EV-сертификатами. Неудивительно, что новыми сертификатами уже щеголяют образцы Lumma Stealer (VT) и других штаммов ВПО.

Microsoft заявила, что уже отозвала сертификаты у известных вредоносных кампаний, но внедрять более строгий фейс-контроль в своём УЦ, видимо, не планирует. Поэтому проверять и корректировать репутацию подписанных бинарников придётся на стороне SOC.

#советы #Microsoft @П2Т

🗣 SOC-битва: коммерческий против гибридного

Когда: 2 апреля 2025 в 11:00 (МСК)

Лёгкое масштабирование или глубокое знание защищаемой инфраструктуры? Зависимость от поставщика или бесконечная погоня за компетентными кадрами? Что дешевле, а что лучше соответствует регуляторным нормам? Все аспекты выбора между стопроцентно сервисной моделью SOC (MSSP) или гибридным вариантом, когда часть функций выполняет внутренняя команда, обсудят руководители ведущих SOC на онлайн-конференции AM-Live!
Детально разберёмся:

▶️ в отличиях гибридной схемы оказания услуг и полностью сервисного MSSP-подхода;
▶️ какой вариант SOC более востребован в РФ, и почему;
▶️ как влияют на выбор отраслевые и законодательные требования;
▶️ в обязательных условиях ответственности и SLA в контракте;
▶️ в затратах на запуск и поддержание SOC в обеих моделях;
▶️ как измерить эффективность гибридного и коммерческого SOC? Будут ли отличия в критериях?


👤 От «Лаборатории Касперского» выступит Сергей Солдатов, руководитель центра мониторинга кибербезопасности

Встречаемся в среду: 2 апреля 2025
Нужна предварительная регистрация.

Узнать о конференции и зарегистрироваться ⟶
#события @П2Т

🎚 Демо NFGW, краденые и бездарно слитые учётные данные, и другие полезные посты марта

Собрали самое ценное и интересное за месяц — эти материалы помогут выстроить эффективные процессы и системы в ИБ. Если вы пропустили их в спешке, самое время почитать! 🤗

🟣Видео-демонстрация особенностей и возможностей нашего NGFW;
🟣любимые TTPs атакующих по статистике экспертов сервиса IR;
🟣сколько секретов на самом деле хранится в GitHub (а в Slack ещё больше);
🟣подробный, с 🔥 разбор деятельности Lazarus — от атак на ЦБ Бангладеш до кражи из Bybit;
🟣сколько корпоративных учёток нашлось в логах инфостилеров;
🟣где в разработке ПО копится техдолг, опасный для ИБ, и что с этим делать;
🟣откуда взялось свежее ВПО с цифровой подписью Microsoft;
🟣какими практически полезными ИИ-функциями можно воспользоваться в KUMA уже сейчас
🟣как оптимизировать сканирование огромных хранилищ файлов;
🟣прощание с uBlock и Skype, новая слежка Google и другие новости личной ИБ.

Бонус-трек: вредные opsec-советы по обсуждению секретных сведений в мессенджере Signal от редакции The Atlantic (часть 1, часть 2). А если серьёзно, в Signal есть удобная функция приватных псевдонимов, позволяющая пользователям не путать, кого из нескольких JG надо добавлять в чат.

#советы #дайджест @П2Т

⏩ Интересные исследования APT и новости ИБ за неделю

🟢Новая волна вредоносных рассылок российским организациям от группировки HeadMare: злоумышленники рассылают ВПО PhantomPyramid. Примечательно, что вложение является «полиглотом» — это склеенные вместе бинарный файл и небольшой ZIP.

🟢Финансовые киберугрозы по итогам 24 года: аэрокосмический рост (89%) попыток фишинга в сфере криптовалют, но первенство среди приманок всё равно держат сообщения от банков (42%).

🟡Поучительное чтение: разбор инцидента с проникновением APT WeaverAnt в сеть азиатского телеком-провайдера. Их неоднократно обнаруживали и пытались выгнать, но «муравьи» возвращались — и так четыре (!) года.

🟣Угрозы для open source всё усложняются — обнаружены два npm-пакета, которые при установке патчат другие установленные пакеты, добавляя обратный шелл.

🔵Промышленные организации во многих странах Азии стали жертвой операции SalmonSlalom — в результате целевого фишинга им установили FatalRAT. В качестве С2 применялись местные сервисы myqcloud и Youdao Cloud Notes.

🟣Ransomware-группировка Dragonforce продолжает атаковать конкурентов: следом за Mamona дефейсу подверглись BlackLock. Возможно, за кулисами более мудрёная история вроде перепродажи активов или exit scam.

🟢Технический анализ инструмента, применяемого вымогательскими группами Medusa, RansomHub, BianLian и Play для отключения СЗИ. Разобраны связи между этими группами.

🟣Новая RaaS: VanHelsing.

🔵Обзор PaaS-платформы Lucid, примечательной тем, что спам можно рассылать как через SMS, так и нативные для смартфонов iMessage и RCS.

🟠Анализ инструментария APT FamousSparrow (возможно, пересекающейся с Salt Typhoon и Earth Estries, но это не точно), включая две новые версии фирменного ВПО SparrowDoor

🔴Логический дефект песочницы, являющийся зиродеем и закрытый на неделе в Chrome, оказался применим и в Firefox. Для обоих браузеров доступны обновления.

🔴Разбор GorillaBot, относительно нового IoT-ботнета, применяемого в крупных DDoS-атаках.

🟣Целевые атаки на азиатских пользователей (Индия и Тайвань) с помощью Android-импланта PJobRAT.

🔵Редкая, но приятная новость: арестованы создатели Android-банкера Mamont, ставшего одним из лидеров в топе мобильных зловредов.

🪲Редкая, но неприятная новость: создателя HaveIbeenPwned Троя Ханта успешно скомпрометировали при помощи целевого фишинга и скачали список его почтовой рассылки на Mailchimp.

#дайджест #APT @П2Т

☀️ Полсотни уязвимостей в... солнечных батареях

Исследовательское подразделение Forescout выкатило монументальный отчёт об уязвимостях в инфраструктуре солнечной энергетики. Поскольку почти все солнечные панели — от стоящих на крыше частного дома до крупных ферм на пару мегаватт — подключены к инструментам телеметрии и управления нагрузкой, они подвержены всем типичным атакам, знакомым по другим дырявым устройствам IoT. В отчёте упомянуто минимум три крупных инцидента прошлого года, исходящих от всех групп атакующих: от хактивистов до шпионских APT.

Неприятно, когда ваша солнечная батарея подрабатывает в Mirai на полставки, но основной угрозой конечно является нарушение стабильности энергосистемы. Компрометация инверторов может привести к целенаправленному нарушению выработки электроэнергии и даже к массовым отключениям, достижимым при помощи класса атак load altering. Это может быть актуально для регионов с динамично растущей долей солнечной генерации, будь то Нидерланды или Забайкалье.

🔥 В отчёте упоминаются 93 ранее раскрытые уязвимости, которые в разной мере приводят к компрометации устройств, связанного с ними облачного сервиса и других компонентов, 80% имеют уровень серьёзности high и critical. Но исследователи не удовлетворились обзором литературы и занялись изучением панелей ведущих производителей, включая Huawei, Sungrow, Ginlong Solis, Growatt, GoodWe и SMA.
У Sungrow, Growatt и SMA было выявлено 46 новых уязвимостей, включая жёстко заданные учётные данные, слабое шифрование, возможность перебора пользователей, и даже XSS и классическое переполнение буфера с RCE.

Основные выводы для тех, кто эксплуатирует любые солнечные батареи (крупнее калькуляторов и садовых фонарей):
🟢 относитесь к инверторам как критической инфраструктуре;
🟢 размещайте их в изолированных подсетях и обеспечьте постоянный мониторинг трафика и событий;
🟢 проводите аудит безопасности солнечных установок по аналогии с другой IT/OT-инфраструктурой;
🟢 выбирайте поставщиков с учётом соблюдения ими принципов безопасной разработки, прохождения регулярных пентестов и соответствия международным стандартам безопасности.

Для этого класса устройств есть подробные руководства по ИБ от NIST и американского Минэнерго.

#советы #угрозы @П2Т

🗣 Практика MDR из первых рук

Критические инциденты, которые в прошлом году обработало наше решение MDR, в среднем требовали на 48% больше времени, чтобы их детектировать и полноценно описать. Сложность атак повышается, поэтому важно знать, как меняется фокус злоумышленников и их инструментарий. Уникальный шанс узнать об этом из первых рук — уже в этот четверг.

Сергей Солдатов, руководитель центра мониторинга кибербезопасности «Лаборатории Касперского», расскажет:

▶️ каков портрет злоумышленника и как атаки сгруппированы по типу и целям;
▶️ какие TTPs хакеры стали использовать чаще;
▶️ что и как сделать, чтобы своевременно выявить угрозу и защитить бизнес.

Встречаемся в четверг: 3 апреля 2025 в 11:00 (МСК).
Нужна предварительная регистрация.

Зарезервировать место на стриме ⟶
#события @П2Т

📌 CISO mindmap 2025

Популярный постер о работе CISO обновился до свежей версии 2025 (блог, постер в PDF).

Изменения выделены цветом, но если вкратце, то основные направления, в которых ИБ-лидерам нужно совершенствовать безопасность организации таковы:

🟣полный цикл мер по защите применения генеративного ИИ: стандарты и политики, отбор допустимых моделей и провайдеров ИИ для различных департаментов и задач, включение в программы управления уязвимостями, обучение персонала;
🟣консолидация инструментов ИБ — либо в рамках моновендорного подхода, либо в философии best of the breed с упором на инструменты с хорошей API-интеграцией;
🟣запуск программы по идентификации и устранению ИБ-долга:
🟣конкретные меры подготовки к атакам ransomware — от учений по восстановлению резервных копий до программ повышения киберустойчивости и покупки кибер-страховки;
🟣выработка и переход к осмысленным метрикам ИБ, которые полезны в управлении рисками и понятны высшему руководству;
🟣кибер-гигиена: улучшение безопасности API, управление рисками в цепочке поставок, сокращение поверхности атаки, чистка зубов перед сном.

#советы #CISO @П2Т

🎯Ребята, мы?
#ИБ_мем @П2Т

⭐️ Интересные исследования APT и новости ИБ за неделю

▶️Новые вредоносные кампании с применением загрузчика TookPS. Ранее мы обнаружили поддельные сайты DeepSeek, но теперь распространители также мимикрируют под официальные сайты ПО для 3D-моделирования, удалённого доступа, и др.

▶️Вообще новых и обновлённых загрузчиков подвезли много: IDATloader/HijackLoader, Emmenthal/Smokeloader, Gootloader.

▶️Operation HoloQuill атакует российские исследовательские и промышленные компании при помощи целевого фишинга и вредоносных архивов с многоступенчатым ВПО, в конечном счете разворачивающим имплант Cobalt Strike.

▶️Детальный разбор механизмов защиты MS-NRPC и их особенностей, которые позволяют вызывать многие функции без аутентификации, даже если политика RPC аутентифицироваться требует.

▶️Обзор APT Earth Alux и её основного ВПО, бэкдора Vargeit. Атакующие, предположительно из Азии, отдают приоритет длительным и скрытным заражениям, мишени преимущественно расположены в Азии и Латинской Америке.

▶️Технология маскировки С2 под названием Fast flux неожиданно удостоилась бюллетеня безопасности от CISA, АНБ, ФБР и прочих англоязычных агентств.

▶️Небезызвестная Hunters International объявила о переименовании в World Leaks — планируют перейти от шифрования к чистой эксфильтрации информации и хвалятся специальным ПО для детального анализа украденных данных.

▶️В арсенал фишеров прочно вошёл новый инструмент — редиректы при помощи SVG-файлов.

▶️Свежую CVE-2025-24813 в Apache Tomcat уже взяли на вооружение криптомайнеры.

▶️А группировка Jinx-0126 использует новое ВПО CPU_HU для компрометации БД PostgresSQL.

▶️Вы не поверите, но Ivanti снова закрыла критические уязвимости в своих изделиях, которыми снова воспользовались атакующие из UNC5521.

▶️Ещё один обзор трендов «квишинга», то есть фишинга с применением QR-кодов. Многие ИБ-компании отмечают резкий рост применения этой тактики.

▶️Разбор относительно нового бэкдора для Linux, Autocolor.

▶️На российском рынке участились случаи появления смартфонов, уже с завода заражённых Android-троянцем Triada. Зловред крадёт криптовалюту, учётки в мессенджерах, и многое другое.

#APT #дайджест #новости @П2Т

🗣 Не пишите мне больше

Целевой фишинг, атаки класса BEC (компрометация деловой переписки) и изобретательные рассылки ВПО сохраняют лидерство в печальном хит-параде эффективных методик злоумышленников. Только за прошлый год наша система «Антифишинг» заблокировала 8 миллионов попыток перехода по фишинговым ссылкам. Как усовершенствовать защиту корпоративной почты? Обсудим на онлайн-стриме 10 апреля!

В программе:

▶️ статистика и тренды фишинга и скама;
▶️ комплексный подход к защите электронной почты;
▶️ новые возможности Kaspersky Security Mail Gateway — от дополнительных методов проверки подлинности отправителей до интеграции с SIEM и журнала аудита событий, незаменимого в IR;
▶️ ответы на самые интересные вопросы.

Встречаемся в четверг: 10 апреля 2025 в 11:00 (МСК).

Зарезервировать место на стриме⟶
#события @П2Т

🤖 Защита данных в ИИ-системах: а что в договорах?

Крупная швейцарская юридическая фирма Vischer уже больше года выпускает бесплатные материалы по различным правовым аспектам применения ИИ. Они затрагивают не только вопросы чистого комплаенса, но и практические аспекты: что есть, а чего нет в стандартных договорах с ИИ-провайдером, какие системы применимы в специфических нишах (врачебная тайна, адвокатская тайна) и так далее.

Например, чтобы обрабатывать в подобных системах профессиональную тайну, подойдут только пара API-сервисов, да и то потребуется подписать DPA, а затем при помощи допсоглашения отключить выборочную модерацию запросов живыми людьми, а также возможность веб-поиска.

📌 Хорошая сводная таблица по всем сортам Copilot, Gemini и ChatGPT, включающая варианты использования по API и запуска в Azure опубликована здесь. К сожалению, не оценены такие популярные варианты, как DeepSeek и модели на HuggingFace, но всё равно интересно.

Главный вывод, который мы сделали — нельзя ориентироваться ни на имя облачного провайдера, ни на название модели, потому что условия использования и DPA для, например, Gemini API в Google AI Studio и Gemini API в Vertex AI существенно отличаются. Краткий обзор этих увлекательных документов есть в блоге Vischer.

#CISO #советы #AI @П2Т

🔬 Апрельский Patch Tuesday: лучшее, конечно, впереди!

Microsoft опубликовала крупный пакет обновлений, устранив 134 дефекта (из них 10 — в сторонних компонентах). Одна из уязвимостей является зиродеем, эксплуатируемым в атаках ransomware, остальные дефекты ранее не были известны. Неприятной новинкой этого вторника стала доступность обновлений только для Windows 11, для многих критических дефектов указано, что обновления Windows 10 будут доступны «позже». Кроме того, Microsoft дала для многих дефектов оценку критичности, которая отличается от рейтинга CVSS3.1. Вероятно, больше чем в предыдущих вторниках сделана поправка на вероятность эксплуатации.
В результате лишь 11 дефектов получили оценку critical, 2 — low, остальные — important. 49 дефектов приводят к повышению привилегий, 31 — к RCE, 17 — разглашению информации, 14 — отказу в обслуживании, 9 — обходу функций безопасности, 3 — spoofing.


Зиродей на службе RansomEXX
CVE-2025-29824 (7.8) является очередной use after free в драйвере CLFS и используется для повышения привилегий до system.
Дефектом по словам самой Microsoft пользовались вымогатели RansomEXX/Storm-2460, разворачивая на поражённых системах бэкдор PipeMagic и повышая его привилегии с помощью этой уязвимости. Впрочем, компания сообщает, что видит немногочисленные целевые атаки. Мы писали об этом ВПО в прошлом году, атаки с его использованием имели несколько волн в разных странах. Сама эксплуатация CLFS именно в атаках вымогателей — хорошо документированный нами феномен, мы обнаружили 5 подобных уязвимостей и сообщили о них в Microsoft.

Примечательные уязвимости
Хотя у многих опасно выглядящих дефектов Редмонд оценил эксплуатацию как менее вероятную из-за необходимости победить в гонке (race condition), количество уязвимостей, затрагивающих популярные приложения и сервисы или не требующих взаимодействия с пользователем, значительно.
CVE-2025-26663/CVE-2025-26670 — RCE в Windows LDAP, доступно неаутентифицированному атакующему.
CVE-2025-29809 — утечка учётных данных Kerberos в обход Windows Defender Credential Guard. Кроме применения патча надо обновлять и заново применять политики VBS.
CVE-2025-27480/CVE-2025-27482 — RCE в Remote Desktop Services, атакующий должен подключиться к системе в роли шлюза Remote Desktop.
CVE-2025-27740 — повышение привилегий в Active Directory Certificate Services, аутентифицированный атакующий может получить доменного админа.
CVE-2025-26686 — RCE TCP/IP. Жертва должна отправить запрос на соединение DHCPv6, чтобы получить вредоносный пакет в ответ.
CVE-2025-27752 / CVE-2025-29791 — RCE в Excel, работающие через панель предварительного просмотра. Бонусом — CVE-2025-27745, -27748, -27749, все в Office без указания компонентов, тоже работающие через предварительный просмотр.

#патчи #уязвимости #Microsoft @П2Т

🌐 Атакующие, рождённые в облаках

Кто-то из маркетологов западных ИБ-компаний придумал термин cloud-native threats, и он действительно хорошо подходит для описания атак, возможных только в облачной инфраструктуре: зловредные serverless-функции, скачивание образов облачных данных (snapshots), и тому подобное. Судя по новой статистике в отчёте Cloud Security Alert Trends, число таких атак растёт бодрыми темпами.

Системы мониторинга учёток и доступа (IAM) показывают 60% рост API-вызовов к вычислительным ресурсам из регионов, откуда к ним не должны обращаться, а также 116% прирост «невозможных путешествий», когда попытки аутентификации быстро приходят из двух и более географически отдалённых регионов. Подозрительные массовые загрузки облачных объектов, ужасно похожие на эксфильтрацию данных, выросли вчетверо.

Топ оповещений высокой и средней критичности приведён на иллюстрации.

Чтобы эффективно защищаться от подобных угроз, авторы настойчиво рекомендуют сочетать инструменты класса CSPM и мониторинг запущенных облачных нагрузок и действующих сред с помощью CDR.
На облачных хостах обязательно должны работать агенты защитного решения, с облачных провайдеров обязательно требовать расширенное протоколирование событий (включая SaaS), а в настройках облачных платформ рекомендовано ограничивать регионы, в которых разрешено запускать вычислительные нагрузки, включая serverless.

#CISO #облака #советы @П2Т

⛴ ИБ на море (и на суше)

🔍 В новом выпуске подкаста ОБИБЭ обсуждаем информационную безопасность в судоходстве. Несмотря на немного экзотический контекст, проблемы на повестке дня стоят привычные: стоимость простоя (десятки тысяч долларов в час), модель нарушителя (кто сказал «экипаж»?), особенности ОТ-сетей в этой индустрии, и другое.

О том, как проверяется и обеспечивается безопасность судовых систем и к чему может привести кибератака на пароход, к Владимиру Дащенко, эксперту Kaspersky ICS CERT и ведущему подкаста пришли поговорить:

🎙Владимир Окунев, руководитель проекта ФАУ «Российский морской регистр судоходства»;
🎙Евгений Корянов, технический директор NAVX;
🎙Александр Николаев, аналитик по информационной безопасности «Лаборатории Касперского».

Смотрим на всех платформах: VK, RT, YT

#подкаст #видео @П2Т

👀 Интересные исследования APT и новости ИБ за неделю

Очередная волна атак APT GOFFEE на российские организации использует целевой фишинг, распространяющий новый имплант PowerModul, а затем бинарный агент Mythic при горизонтальном перемещении по сети.

APT MirrorFace применяет в атаках Windows Sandbox. Они активируют эту функцию на компьютере жертвы, а затем запускают в песочнице своё ВПО (Anel). В песочнице не работает Defender, при этом в зависимости от настроек могут быть доступны файлы хоста, буфер обмена, и многое другое. Технику, вероятно, возьмут на вооружение и другие атакующие.

Новые тактики обхода защиты в атаках APT ToddyCat.

Fortinet отчитались, что ранее взломанные FortiGate могут быть доступны атакующим в режиме read only даже после того, как уязвимость устранена. Техника, основанная на размещении символических ссылок, применима к устройствам, на которых был включён SSL-VPN и эксплуатировались CVE-2022-42475, CVE-2023-27997, CVE-2024-21762 и возможно другие CVE.

APT Sidecopy сменила свои фишинговые тактики и распространяет ВПО в пакета MSI вместо излюбленного HTA.

Разбор атак APT-Q-2/Kimsuky на южнокорейские компании.

Краткий обзор инцидентов индустриальной ИБ за Q4/2024.

Глубокий разбор ВПО и эволюции HelloKitty ransomware.

Спустя всего 4 часа после публикации данных о критической уязвимости в плагине WordPress OttoKit/Suretriggers её начали эксплуатировать злоумышленники.

Ещё один пример промышленного применения LLM в спаме и SEO: Akirabot применяет API OpenAI для контекстного заполнения форм поддержки, обращений в чат и других подобных инструментов взаимодействия с посетителями веб-сайтов. Существенные усилия приложены для обхода капчи и других защитных механизмов.

Интересные новости для любителей вайбкодинга: 20% ИИ-кода ссылается на несуществующие зависимости. Исследователи ожидают появления атак slopsquatting — злоумышленники будут регистрировать пакеты с наиболее вероятными именами, по аналогии с typosquatting.

Отмечается рост атак password spraying по всему миру — под прицелом любые публично доступные системы без MFA.

#APT #дайджест #новости @П2Т