📦Рекомендации практикам DevSecOps для защиты контейнерной инфраструктуры

Можно долго говорить про shift left и другие концепции безопасной разработки в современных ИТ-проектах, но как на практике защитить свои CRI и конвейер CI/CD?

Отвечает Максим Поташов Ксенофонтов в своей статье для журнала «Информационная безопасность»!

📌 В ней рекомендованы практические, выполнимые меры, которые нужно принять для защиты реестра и образов, процесса сборки, оркестратора и runtime-среды. На некоторых этапах достичь нужных целей можно при помощи open source-решений, но чтобы закрыть нужными мерами весь жизненный цикл проекта, удобнее и, как правило, эффективней коробочная вендорская система защиты, например Kaspersky Container Security.

Кстати, уже на следующей неделе мы проведём онлайн-стрим «Шедевры контейнеризма», на котором эксперты «Лаборатории Касперского» разберут подходы к контейнерной безопасности в разных индустриях и анонсируют новую версию Kaspersky Container Security 2.1. Практические вопросы можно задавать спикерам уже сейчас!

#события @П2Т

👌 Соскучились по отчётам TI категории EPIC?

Следующий выходит уже завтра! 🔥
Чтобы познакомиться с ним первыми, подключайтесь к нашему стриму в 11:00 в четверг.

Эксперты Kaspersky Cyber Threat Intelligence презентуют отчёт, детально разбирающий одну из ключевых угроз для российских организаций. Три кластера группировок, которые идентифицируют себя как «проукраинские», причудливо сочетают хактивизм, шпионские операции и обычное вымогательство. При этом они активно обмениваются знаниями и инструментами, что значительно увеличивает опасность и масштаб атак.

Кроме выводов отчёта, на стриме разберём инструментарий атакующих и дадим рекомендации по детектированию и защите.

Зарегистрируйтесь на стрим, получите 330-страничный отчёт первыми и задайте все вопросы авторам!

#события @П2Т

👻 Три кластера угроз в киберпространстве РФ

К рекордным количествам кибератак российские организации уже привыкли, но мало кто готов к растущей сложности этих угроз. По данным нового масштабного отчёта, выпущенного сегодня экспертами «Лаборатории Касперского», многие группировки, идентифицирующие себя как «проукраинские» и нацеленные на компании в РФ, активно обмениваются опытом и технологиями. В результате они эволюционируют от механистического применения массовых инструментов до эксплуатации экзотических и специализированных методов, знакомых только продвинутым red team.

Мотивация атакующих всё чаще оказывается смешанной — кроме деструктивных атак и хактивизма, те же группы могут вымогать деньги за расшифровку информации. Есть и группы, сочетающие сложные методики проникновения и закрепления в системе, характерные для шпионских APT, с периодическим использованием «коробочных» шифровальщиков вроде Babuk.

Для уточнения модели угроз ИБ-команда организации должна внимательно следить за развитием этого ландшафта и оперативно отражать новую информацию в своих стратегиях детектирования и митигации. Отчёт поможет специалистами SOC, DFIR, CTI и Threat Hunting в этой задаче. В нём вы найдёте:

🟢библиотеку актуальных на 2025 год группировок и связей между ними;
🟢детальные TTPs и описания инструментария каждой группы;
🟣портрет атакующего, включающий наиболее популярные и наиболее сложные тактики, используемые в атаках. Среди них, например, злоупотребление групповыми политиками, эксплуатация LAPS и атака ESC1 на инфраструктуру ADCS.

Запаситесь временем — в отчёте 330 страниц 🔥
➡️ Получить свою копию отчёта

#угрозы #SOC @П2Т

🔠🔠🔠 Хактивисты лютуют, атаки на отели и другие исследования APT и новости ИБ за неделю

▶️Мегаообзор TTPs трёх кластеров группировок, атакующих российские организации и сочетающих ransomware, шпионаж и хактивизм. Группы обмениваются информацией и используют всё более сложные методы атак.

🔵«Гибридный хактивизм» характерен не только для нашего региона. Например DDoS-группировка Mr Hamza, ответственная за 250 мощных атак в Q2, позиционирует себя как пропалестинская, но активно продаёт свой Abyssal DDoS V3 для коммерческих атак. Можно выбрать 32 метода атак на разных уровнях OSI.

🟢Статистика IoT и десктопных угроз на Q2 2025. Майнеры живы и здоровы, среди вымогателей лидирует Qilin.

🟢И мобильные угрозы за тот же период. Треть атак относится к банковским троянцам, примечательны стилер OTP под видом VPN-сервиса и сложное ВПО SparkKitty, проникшее даже в App Store.

🟢Технический анализ трёх RAT, применяемых кластером угроз Lazarus. PondRAT5, ThemeForestRAT и RemotePE решают широкий спектр задач атакующих на Windows, Linux и macOS.

🔵Масштабная фишинговая кампания, нацеленная на сотрудников отелей. Цель — выманить учётные данные от систем управления бронированием и общения с постояльцами. Дальше, вероятно, последует волна мошеннических рассылок уже туристам и бизнес-путешественникам.

🔴Любопытная активность замечена в Бразилии, Вьетнаме и Таиланде. Новая группа GhostRedirector компрометирует Windows-серверы при помощи пассивного бэкдора Rungan и вредоносного модуля IIS Gamshen. Вероятная цель — создать коммерческую платформу онлайн-мошенничества, в том числе SEO-манипуляций.

🟢Анализ загрузчика и онлайн-инфраструктуры Tinyloader, ВПО, используемого для кражи криптоактивов.

🟢Новые группы ransomware: Obscura и Dire wolf.

🔵Масштабное чтение на вечер или выходные — индустрия коммерческого шпионского ПО и её эволюция за 10 лет. В практическом смысле наиболее полезна третья глава с TTPs и командной инфраструктурой.

И новости из категории забавных:
🔵Разбор колумбийской кампании, в которой ВПО распространяется через файлы Shockwave/Macromedia Flash. Да, .swf ничуть не мертвее Internet Explorer, как выясняется.

🟢Вы наверняка получали глупые письма-пугалки вида «я взломал вашу веб-камеру и снял с неё видео, когда вы ходили на порносайты». Кто-то напрягся и доработал open source инфостилер Stealerium, чтобы он делал именно это 🙈

#APT #дайджест

🤯 18 пакетов с миллиардами загрузок скомпрометированы в npm

Используемые во множестве веб-проектов npm-пакеты color, debug, ansi-regex, chalk, и другие были кратковременно скомпрометированы вечером 8 сентября. Злоумышленники провели фишинговую атаку на мейнтейнера этих пакетов и убедили его «обновить 2FA», заманив на сайт-копию npm. Пакеты, которые были троянизированы, имеют более 2 млрд еженедельных загрузок по подсчётам Aikido security. Это делает атаку самой масштабной в истории.

Во все пакеты был добавлен обфусцированный Javascript, который, действуя на уровне браузера, перехватывает на клиентском устройстве сетевой трафик и API-запросы и подменяет данные, связанные с криптокошельками Ethereum, Bitcoin, Solana, Litecoin, Bitcoin Cash и Tron. Таким образом, любые веб-приложения, собранные с применением троянизированных пакетов, превращаются в криптодрейнер.

Администрация npm начала реагировать спустя примерно 3 часа и удалила заражённые пакеты.
Поступают сообщения других разработчиков, что они получали аналогичное письмо, поэтому возможно список поражённых npm-пакетов будет расширяться. Полный список как обычно есть у GitHub.

Разработчикам рекомендовано провести аудит зависимостей в своих проектах и если в них используются один из скомпрометированных пакетов, закрепить (pin) безопасную версию с помощью фичи overrides в package.json.
Более подробная инструкция здесь.


Пользователи продуктов "Лаборатории Касперского" защищены от этой угрозы, даже если она проникла на какой-то из посещаемых ими сайтов.

#угрозы @П2Т

🎁 Шедевры контейнеризма

Контейнерные инфраструктуры эволюционируют и стали мейнстримом, наступает время оптимизации. Российские компании сосредотачиваются на улучшении опыта разработчиков и повышению операционной эффективности контейнерных платформ. При этом у них возникают и новые нужды, например переход на отечественные реестры образов и оркестраторы. Как в этих условиях должна совершенствоваться защита контейнеров?
Обо всём этом поговорим уже в четверг!

Обсудим:
🟣подходы к разработке и её безопасности;
🟣особенности защиты контейнеров в разных индустриях;
🟣что нового появилось в Kaspersky Container Security 2.1;
🟣проведём демонстрацию нового решения.

Регистрируйтесь прямо сейчас, чтобы не пропустить стрим и демо продукта! На сайте можно заранее задать вопросы разработчикам.

Ждём вас в четверг, 11 сентября, в 11:00 (МСК). Приходите!

Забронировать себе место ⟶

#события@П2Т

🪟 Сентябрьский вторник патчей: 80:1:0

Microsoft, похоже, порадовала админов спокойным сентябрьским бюллетенем — за вычетом дефектов Azure, Dynamics 365 и подобных, устранено 80 уязвимостей, из которых для одной где-то существует PoC, но нет боевой эксплуатации.
38 CVE приводят к повышению привилегий, 22 — выполнению произвольного кода, 14 — разглашению информации, 3 — DoS, 2 — обходу функций безопасности. Всего 8 уязвимостей названы критическими.

Уязвимость с PoC — это CVE-2025-55234 (CVSS 8.8) в Windows SMB, приводящая к повышению привилегий. В некоторых конфигурациях сервера он может быть уязвим к relay-атакам и использован для дальнейших атак на пользователя. Злоумышленник может получить привилегии атакованного пользователя.
На самом деле сентябрьское обновление не устраняет никаких ошибок. Редмонд ранее выпускал рекомендации по харденингу SMB Server против подобных атак. Но обе защитные функции, EPA и Server signing, могут создавать проблемы совместимости, поэтому текущее обновление добавляет возможности аудирования, чтобы администраторы могли уточнить и устранить проблемы совместимости и включить-таки харденинг. Подробные инструкции здесь.

Среди опасных уязвимостей без публичного PoC, эксплуатацию которых Microsoft оценивает как более вероятную, выделим:

CVE-2025-54918 (CVSS 8.8) — EoP до System через дефект в NTLM, уязвимость несложно проэксплуатировать даже через Интернет.

CVE-2025-54916 (CVSS 7.8) — RCE в NTFS.

Кроме того, Microsoft опубликовала фикс для CVE-2024-21907, приводящей к DoS уязвимости в продукте Newtonsoft.Json, который входит в поставку SQL server. Об этой уязвимости известно уже год, но реальной эксплуатации так и не замечено.

#Microsoft #патчи @П2Т

🍪 — всё об атаках и защите

Identity-атаки всё чаще начинаются не с кражи паролей, а с угона пользовательских сессий. Злоумышленники либо собирают куки-файлы 🍪 с устройства жертвы, либо вмешиваются в процесс аутентификации, чтобы перехватить или повлиять на идентификатор сессии, передаваемый в куки.

Как полноценно защититься от этой угрозы? Придётся вникнуть в нюансы работы куки и обеспечить корректную настройку браузеров на рабочих компьютерах. А ещё — убедиться, что корпоративные веб-сервисы спроектированы на основе лучших практик защиты от CSRF, XSS и прочих веб-угроз.

🈁Начать можно с фундаментальной статьи наших экспертов, вышедшей на Securelist.
В ней разобраны:

▶️виды куки-файлов;
▶️основные методы кражи Session ID;
▶️рекомендации веб-разработчикам;
▶️рекомендации пользователям;
▶️регулирование куки в разных странах.

Читать

#советы @П2Т

📊 Учёт и приоритизация уязвимостей улучшаются, устранение — не очень

Посетив Black Hat, аналитики Forrester констатировали, что все вендоры предлагают всё более изощрённые способы учёта и приоритизации уязвимостей. Управление рисками и поверхностью атаки становится единым продуктом, в ход идут модные аббревиатуры вроде CTEM (Continuous threat exposure management), но при этом в management как-то не попадает самое важное — устранение уязвимостей.

Устранение уязвимостей — целый процесс при участии ИБ, ИТ и бизнес-владельцев уязвимого актива, поэтому автоматизировать его значительно сложнее, чем сканирование.  На практике даже организации, внедряющие целостное решение по управлению уязвимостями, ограничиваются тем, что эта система создаёт тикеты в ITSM и следит за их движением, а не устраняет уязвимости автоматически. Forrester призывает аккуратно экспериментировать с автоматическим устранением, переносом отслеживания «ручных» работ из ITSM в специализированное решение, и конечно внедрением ИИ.

На данном этапе «ИИ-устранение» не означает, что ИИ-агент сам принимает и воплощает решение. Но появляющиеся сейчас решения оказывают важную точечную помощь: разработать плейбуки по устранению уязвимостей, провести анализ данных о дефекте и предложить оптимальный план реагирования — от тактических митигаций до патчей, сходить за одобрением к нужному бизнес-владельцу системы.

Чтобы найти деньги на всю эту красоту, в Forrester простодушно рекомендуют переименовать бюджетную позицию «управление уязвимостями» в «проактивную безопасность», включив туда ASM, CNAPP, red team и UVM. Это позволит гибко выбирать продукты и сервисы в будущих закупках, какие бы модные слова не были в их описаниях.

#советы #уязвимости @П2Т

🚘 Компьютер на 4 колёсах

На подходе выходные, которые можно посвятить отдыху, например самообразованию в сфере ИБ 😇
Тем, кто интересуется телематикой и автомобилями можем рекомендовать фундаментальную статью про ИБ-тренды в автопроме. Эксперты Kaspersky ICS CERT подробно объяснили, чем отличаются подходы к сетевой безопасности (да, в авто уже есть и она) у старых и современных автомобилей, как меняется во времени баланс сложности, риска и выгоды кибератаки на автомобиль, как влияют на ситуацию современные телематические решения наподобие каршеринга и какие автомобили наиболее интересны киберпреступникам.

Тем, кто ещё совсем не знаком с темой, статья тоже будет полезна. Её вводная часть статьи, подробно объясняет архитектуру цифровых систем автомобиля и их взаимодействие.

Читать
@П2Т

➡️ Три бэкдора Head Mare, редтим-фреймворк Adaptix C2 в реальных атаках и другие важные новости APT за неделю

🐴 В новых атаках APT Head Mare на российские организации злоумышленники устанавливают аж три бэкдора и создают SSH-тунель для более надёжного закрепления в системе. Начальное проникновение осуществляется через целевой фишинг с использованием файлов-«полиглотов».

🥚Технический анализ сложного шпионского фреймворка EggStreme. ВПО загружается в несколько этапов и состоит из модулей, подгружаемых через инъекции памяти — всего поддерживается 58 команд. И жертва, и предположительные атакующие находятся в Юго-Восточной Азии.

🎯 Относительно новый пентестерский фреймворк Adaptix C2 уже замечен в реальных атаках. В посте разобраны возможности фреймворка, их стоит изучить даже вне контекста конкретного инцидента.

🖥 Примечательная кампания GPUgate: вредоносная реклама, нацеленная на ИТ-специалистов, приводит к загрузке большого MSI-инсталлятора, нагрузка из которого может быть расшифрована только на компьютере с настоящим GPU. Таким образом злоумышленники обходят песочницы и людей с офисными компьютерами 🤪. ВПО является загрузчиком и инфостилером. Судя по тому, что с той же серверной инфраструктуры раздают AMOS, операция проводится одним из брокеров первоначального доступа.

⚙️ Другая APT-экзотика: злоумышленники разворачивают инструменты VNC при помощи промежуточного ВПО, написанного на популярном в Китае языке Easy Programming Language (EPL).

👮‍♀️ Детальный разбор TTPs новой Gentleman ransomware. Группировка примечательна тем, что использует сложные методики при развитии атаки: эксплуатация групповых политик, адаптированные к среде жертвы обходы СЗИ и конечно BYOVD.

☠️ Новое, пока экспериментальное ВПО HybridPetya явно вдохновлено и Petya, и NotPetya, но оснащено свежим UEFI-буткитом.

🌚 Анализ новых атак APT37/ScarCruft на азиатские организации. Кроме известного арсенала применяется новый бэкдор Rustonotto.

🟣Новая версия бэкдора ToneShell, применяемого APT TA416/Mustang Panda.

🟢Анализ шифровальщика и активностей группы CyberVolk, которая появилась как хактивистская и затем сместилась в RaaS.

🟠Технический анализ фирменного шифровальщика BlackNevas, применяемого с прошлого года в Азии, но постепенно распространяющегося на Европу и Америки.

🔵Разбор модульного бэкдора для macOS под названием ChillyHell. ВПО вероятно предназначено для шпионажа и гибко использует различные протоколы для С2. До недавнего времени вредоносные образцы были подписаны и нотаризованы у Apple.

🟢Вредоносная кампания эксплуатирует ошибки конфигурации Docker API, чтобы установить на уязвимые серверы ВПО. Оно ожидает новых команд и устраняет искомую ошибку конфигурации, чтобы не допустить конкурентов. Исследователи предполагают, что злоумышленники строят серверный ботнет, пока не оснащённый основной нагрузкой.

🔵Akira ransomware массово эксплуатирует прошлогоднюю уязвимость в SSLVPN файрволлов SonicWall для атак на организации. Рекомендации по митигации опубликованы и доступны уже больше месяца ¯\_(ツ)_/¯

🔴В пиратских версиях платных плагинов WordPress тоже бывает вредоносное ПО (сюрприз) — разбор свежей кампании.

🟢Android-банкер RatOn замечен в Центральной Европе. Кроме атак с ретрансляцией NFC, он умеет самостоятельно проводить денежные переводы через банковское приложение. 😳

🔥 Чтение на вечер или выходные: Ким Зеттер, автор прекрасной книги про обнаружение Stuxnet, написала длинную историю о появлении первого в индустрии «геополитического» отчёта — сенсационного по меркам 2013 года исследования Mandiant про APT1.

#APT #дайджест @П2Т

📢 Сеанс поиска уязвимостей в Wordpress с полным их разоблачением

Примерно 40% всех мировых веб-сайтов сделаны на WordPress, а на рынке CMS эта система доминирует с долей более 62%. При этом грамотно сопровождать WP успевают немногие администраторы, поэтому в любой момент времени можно обнаружить несколько массовых вредоносных кампаний по компрометации WP-сайтов. Злоумышленники хостят на взломанных сайтах ВПО и фишинговые страницы, добавляют «левую» рекламу и заражают веб-скиммерами онлайн-магазины.

Как избежать всего этого? Начните с прочтения нашей статьи. В ней разобраны свежие инциденты эксплуатации WP, названы наиболее привлекательные для злоумышленников плагины и даны рекомендации по защите.

#советы @П2Т

🤯 Ещё одна крупная атака на NPM — пока (!) около 150 пакетов

Популярные npm-пакеты с миллионами загрузок, включая @ctrl/tinycolor и целую пачку пакетов Crowdstrike были скомпрометированы червём-инфостилером. В заражённые пакеты добавляется вредоносный постинсталляционный скрипт, который сканирует заражённую среду на различные токены и секреты при помощи инструмента TruffleHog, соибрает все находки и публикует их от имени жертвы на GitHub в публичном репозитории Shai-Hulud. Также скрипт создаёт рабочий процесс .github/workflows/shai-hulud-workflow.yml, который отправляет секреты злоумышленникам на их С2 webhook[.]site.

Функция червя работает так: любые найденные токены npm используются, чтобы обновить пакеты, на которые у владельца токена есть права публикации. В них добавляется копия вредоносного постинсталляционного скрипта bundle.js. Также все репозитории жертвы переводятся в статус публичных.

Администрация npm откатывает заражённые пакеты к безопасным версиям, однако делает это вручную и по одному, поэтому не исключены новые заражения.

Тем, кто успел загрузить заражённые пакеты, рекомендован откат к безопасным версиям с заменой всех ключей и токенов NPM, GitHub, AWS, GCP, Azure. Более детальные инструкции и IoC доступны у Aikido security.

Решения «Лаборатории Касперского» детектируют эту угрозу (вердикт Worm.Script.Shulud).

#новости @П2Т

📌 ИБ для гендира

От CISO ожидают, что он будет обучать свой совет директоров вопросам безопасности и при этом говорить на языке бизнеса — переводить ИБ в понятные метрики и ставить вопросы в привычном руководству ключе. Но к этому обсуждению можно подойти и с другой стороны. Как руководство должно общаться со своим CISO и о чём его спрашивать?

Нидерландский Cyber Security Council, состоящий из экспертов-практиков, научных работников и тех самых директоров, выпустил для руководителей и владельцев бизнеса полезную методичку, целиком посвященную высокоуровневым, вообще не техническим вопросам ИБ. Она охватывает вопросы от построения киберустойчивости и управления киберрисками до личной ответственности менеджмента и полезных, информативных для C-level метрик безопасности.

Небольшой спойлер из оглавления:
🟢почему это вообще важно (и как связано с общими бизнес-рисками);
🟢чем отличаются кибербезопасность и киберустойчивость, и почему нельзя ограничиваться вопросами комплаенса;
🟢какие вопросы должен задавать руководитель компании;
🟢как приоритизировать работы по снижению рисков;
🟢эффективная организация управления ИБ;
🟢юридические и регуляторные аспекты;
🟢киберриски за пределами вашей организации (подрядчики, клиенты, партнеры);
🟢особая программа ИБ-тренингов для высшего руководства.

Важные «но» — руководство есть только на английском и голландском, а весь регуляторный ландшафт описан для ЕС и Нидерландов. Тем не менее, все общие принципы полностью применимы и в России.

#советы #CISO @П2Т

🔥 NGFW против реальных киберугроз

Хактивисты и рансомварщики всё чаще вооружаются инструментами продвинутых red team и APT. Это резко повысило планку минимально необходимой защиты для большинства российских организаций. Многие возможности ИБ, которые пару лет назад можно было назвать nice to have, стали жизненно важны.

В новом посте детально разобрали реальные случаи, в которых защитникам нужны расшифровка и глубокая инспекция трафика, сопоставление трафика с учётными записями, от имени которых он инициирован, анализ трафика на лету при помощи IDS и антивируса и другие защитные технологии.

Отдельная тема — интеграция средств защиты. Только сопоставляя сетевую и endpoint-телеметрию, данные почтовой защиты и песочницы, можно составить целостную картину происходящего. О том, по каким правилам играет этот оркестр, написали подробную статью на Хабре — в ней разобраны интеграционные сценарии на примере Kaspersky OSMP, NGFW, EDR и других наших решений.

Кстати, на Хабре также опубликован подробный рассказ коллег из департамента ИБ о том, как они тестировали Kaspersky NGFW.

Полезного вам чтения!

#советы #NGFW @П2Т

Бэкапы Signal, Apple защищается от зиродеев, ИИ в каждом утюге браузере и другие важные новости конфиденциальности и личной ИБ

🍏 В тени анонса iPhone17 прошло важное архитектурное улучшение чипов Apple и iOS. Технология Memory Integrity Enforcement, основанная на доработанной спецификации ARM EMTE, значительно усложняет эксплуатацию уязвимостей, приводящих к повреждению памяти. Это означает, что всякие 0-click эксплойты для iOS станут гораздо сложнее и дороже в разработке (а они уже сейчас стоят миллионы долларов). Apple скромно называет это самым мощным апгрейдом защиты памяти в потребительских ОС. Мы с ними согласны.

📱 Впрочем, у атакующих всегда остаётся опция атаковать менее защищённого собеседника в интересном им чате — вот в Samsung тоже устранили зиродей, который обнаружила ИБ-команда WhatsApp.

😎 Signal анонсировал приватные зашифрованные бэкапы. Резервные копии чатов и переписок можно восстановить из облака при утере смартфона или переезде на новое устройство. Обещают, что копии хранятся без связи с аккаунтом Signal и платёжным средством. Бесплатно можно хранить тексты, а также картинки за 45 дней. Большее хранилище — 2$/мес.

👽 Roblox раскатывает проверку возраста на всех пользователей. Обещают комбинировать проверки документов с оценкой возраста по селфи и другим надёжным индикаторам.

👾 Тем временем учёные и исследователи из 36 стран Европы написали открытое письмо, протестующее против текущей версии законопроекта Chat Control. Ради защиты от CSAM (детского порно, проще говоря) законопроектом предлагается сканировать весь контент во всех чатах, включая защищённые сквозным шифрованием.

💲 Google избежал самых серьёзных антимонопольных санкций, компанию не разделят и не заберут у неё Chrome. Впрочем, на скорость появления браузеров со встроенным ИИ-ассистентом это не повлияет — они растут, как грибы после дождя.

💻 Впрочем, если вы отключите ИИ в браузере, его засунут вам на компьютер откуда-нибудь ещё: Microsoft анонсирует «ИИ-действия» прямо в Проводнике, а также обещает установить приложение CoPilot всем, у кого установлен MS Office 🗿

🪟 Те, кто всё ещё сидит на Windows 7 и 8 пока защищены от этих ИИ-радостей.
Мы не рекомендуем пользоваться устаревшими ОС из-за киберрисков, но если в этом есть какая-то производственная необходимость, Mozilla радует новостью о продолжении поддержки Firefox 115 ESR до марта 2026 года.

И, продолжая ретро-тему, Microsoft выложила в открытый доступ исходные коды языка BASIC для чипа 6502. 🖥

🟢Новые модели Google Pixel будут подписывать фотографии тегом C2PA. Мы писали об этой технологии — она позволяет убедиться в происхождении фото и отличать снятое камерой от сгенерированного ИИ или поправленного в Photoshop.

🟣Популярный медиасервер Plex не уберёг данные пользователей. Всем рекомендуется сменить пароль, сбросить активные сессии и наконец включить 2FA.

🔵Появляются первые атаки на сети 5G, пока их проводят исследователи, а не киберпреступники.

#дайджест @П2Т

🤨 Интересные исследования APT и много уязвимостей за неделю

🔵Новая волна атак на отельеров от группы RevengeHotels/TA558. Атаки усложнились, теперь в них используется VenomRAT. Мишенями являются отели в Бразилии и испаноязычных странах, но ранее эта группа также атаковала РФ, Беларусь, Турцию и многие другие страны.

🟢Развивается ситуация с npm-атакой Shai-Hulud. Как мы и предсказывали, полностью остановить распространения червя не удалось и счёт троянизированных репозиториев перевалил за 500. Правда, выяснилось, что под Windows ВПО всё же не может отработать целиком. Список компаний, разработчики которых могли быть поражены в этой атаке, есть у Upguard.

🟣24 вредоносных расширения VSCode обнаружены в OpenVSX Marketplace и  официальном VS Marketplace. Исследователи смогли добыть операционные документы группировки WhiteCobra, стоящей за атакой — познавательное чтение.

🟡APT41/TA415 использует туннели VSCode для управления ВПО в скомпрометированных организациях. Атаки отмечены преимущественно в США.

⚪️Новая вымогательская группировка Storm-2603/Gold Salem/Warlock group использует ToolShell для инфицирования организаций, а затем комбинирует вебшеллы, BYOVD и опять-таки туннели VSCode для захвата сети и шифрования жертв.

🟢APT Mustang Panda/Hive0154 продолжает атаковать организации в Азии — кроме новых версий бэкдора ToneShell, в свежих атаках обнаружено ВПО SnakeDisk, автоматически заражающее USB-носители для проникновения в изолированные подсети.

🟢Ландшафт ICS-угроз во втором квартале. В целом по миру замечено небольшое падение, но в Северной Европе и Австралии рост.

🔵Разбор целевых фишинговых кампаний группировки ComicForm, атакующей организации стран СНГ и разворачивающей стилер FormBook.

🟣Анализ загрузчика CountLoader, который является промежуточным шагом к вымогательским инфекциям  BlackBasta и Qilin.

🔵Неожиданное перерождение ботнета SystemBC, который отключили в новом году — теперь он захватывает VPS, а не Микротики. Скомпрометированные устройства становятся прокси для всех видов атак, включая целевые.

🟢Разбор вредоносного фреймворка Covenant и импланта Beardshell, используемых в атаках APT28. Вектором начального проникновения является вредоносный документ Office, присланный через Signal.

🟢Разбор инфостилера с открытым исходным кодом, написанного на Python — XillenStealer.

Неделя богата на серьёзные уязвимости и срочные патчи:
1️⃣ Confluence и Jira
2️⃣ Chrome
3️⃣ Gitlab
4️⃣  Jenkins
5️⃣ Watchguard Firebox

🟢У SonicWall не уязвимость, но тоже хорошо — хакеры утащили резервные копии  пользовательских настроек межсетевого экрана из сервиса MySonicWall, поэтому нужно сбросить все учётные данные от файрвола. Производитель заявляет, что это затрагивает менее 5% клиентов.

🔴Кстати, во взломанных ранее устройствах Ivanti выловили ещё один бэкдор, о нём пишет CISA.

#APT #дайджест @П2Т

🔎 В вашей компании есть «теневой ИИ» с вероятностью 90%

Нашумевшее исследование MIT показало, что «теневой ИИ» уверенно побеждает ИИ официальный. Всего 40% компаний оплачивают корпоративные подписки на чатботы, но в 90% фирм сотрудники отправляют рабочие задачи в чатбота, не спрашивая ни совета, ни разрешения. Победить эту «низовую революцию» проблематично, поэтому её нужно возглавить как-то сбалансировать.

Для этого придётся разделить все данные компании по категориям и разработать политики, позволяющие применять личных ИИ-чатботов для несекретных данных, внедрить какой-то прокси для данных чуть более важных, а потом объяснить коллегам, какие категории данных можно обрабатывать только в доверенной среде.

О трёх подходах к регулированию ИИ в компании и инструментах, помогающих ввести сбалансированные ограничения, подробно написали в руководстве на Kaspersky Daily.

#AI #советы @П2Т

🥹 Управимся с «человеческим фактором»?

В прошлом году количество переходов по фишинговым ссылкам утроилось, несмотря на инвестиции в security awareness и удлинение курсов LMS.
ИИ-дипфейки, вишинг и атаки, персонализованные при помощи LLM убедят кого угодно — на крючок иногда попадаются даже специалисты по ИБ. Группы вроде Scattered Spider наглядно доказывают, что одних тренингов ИБ-осведомлённости недостаточно для эффективной защиты.
Компаниям нужно использовать security awareness как фундамент, и внедрять на нём управление человеческими рисками (Human Risk Management, HRM) — когда человека за клавиатурой защищают так же, как ценные ИТ-активы: с мониторингом событий ИБ, и оценкой уязвимости сотрудника в реальном времени.

Из чего HRM состоит на практике:
🟢телеметрия, а не опросы. Оценка рисков должна основываться на реальных данных: частота отклонения push-уведомлений MFA, результаты фишинговых симуляций, обнаруженные через DLP/NGFW нарушения, паттерны взаимодействия с ИИ-чатботами. Плюс исторические данные и TI об активных кампаниях, нацеленных на роль сотрудника в организации. На основании всего этого каждый сотрудник получает динамически пересчитываемую оценку «рискованности»;
🟢адаптивные меры контроля. Сотрудникам из группы повышенного риска придётся проходить более строгие процессы аутентификации, ждать писем из полноценного карантина и, возможно, иметь ограниченные доступы к ИТ-активам (например, только из офиса). Сотрудникам из низкорисковых групп в случае единичных ошибок сразу прилетают короткие обучающие модули или применяются другие точечные меры сразу после инцидента;
🟢персонализированное обучение. Здесь ИИ особенно полезен службам ИБ и HR: он адаптирует обучение под ошибки и когнитивные особенности каждого сотрудника.

Как измерять эффективность HRM? Процент прошедших обучение не волнует руководство. Зато их могут заинтересовать: медианный риск пользователей, доля сотрудников с высоким риском и динамика показателей за 90 дней.

Подробнее об эволюции решений HRM пишет Forrester.

#CISO #советы @П2Т