Атаки в AWS, новые инструменты вымогателей и другие исследования APT за неделю

🟣Технический анализ атак на среды AWS, проводимых вымогательской группировкой Crimson Collective. Самой известной жертвой на сегодня является Red Hat.

🟣В атаках ransomware замечено использование Velociraptor — предназначенного для цифровой криминалистики ПО с открытым исходным кодом. Группа Storm-2603, ассоциирующая с шифровальщиками Warlock, LockBit и Babuk, использовала старую версию ПО, уязвимую к повышению привилегий, для захвата сети  и установки VSCode, в которой им, конечно, нужны были только туннели.

🔴А в атаках, компрометирующих веб-сервисы при помощи шелла China Chopper, на следующих этапах вторжения стали использовать китайский open source инструмент Nezha, в норме предназначенный для мониторинга серверов администраторами. 

🟢Разбор шпионских атак, проводимых группировкой UTA0388 на организации Европы, Азии и США. Целевой фишинг готовят предположительно с помощью LLM, поскольку письма рассылали на пяти языках. При этом в них есть странности, присущие ИИ-агентам, такие как спорадическая смена языка или попытки отправить письмо на явно несуществующий адрес. В случае успешного фишинга  у жертвы разворачивают ВПО GOVERSHELL.

🔵У МСБ выманивают деньги в качестве «залога», предлагая стать поставщиком крупных авиакомпаний. Схема целиком социоинженерная, ВПО не используется.

🟣Разбор обновлённого ботнета RondoDox, который теперь эксплуатирует почти 60 уязвимостей в 50 разных устройствах (в основном роутеры, веб-серверы, NAS и IP-камеры) для целей DDoS и майнинга.

🟠Новая интересная разновидность ClickFix — вредоносная веб-страница содержит ВПО под видом картинки,  а скрипт PowerShell активизирует его, сначала разыскав в кэше браузера. 

🔵Кстати, атаки ClickFix теперь интегрируют прямо в фишинг-киты.

🟢Технический анализ инфостилера Shuyal, который умеет красть данные из 19 браузеров.

🟠Крупная утечка паспортных данных пользователей Discord. Злоумышленники утащили из Zendesk не то 70 тысяч (версия Discord), не то 5,5 миллионов (версия хакеров) фото документов. Если вход на сайты по паспорту будет продолжать своё победное шествие по планете, таких инцидентов станет больше. 

🟢По оценкам Elliptic, кластер Lazarus в этом году украл более $2 млрд. крипты.

🟣Docker сделал свою программу Docker Hardened Images (DHI) доступной по подписке для МСБ. В DHI входят оперативно обновляемые образы с разумно ограниченным набором сервисов и прав, и конечно минимумом известных уязвимостей. 
Стоимость публично не называют, но она affordable, то есть доступная.

#дайджест #APT @П2Т

🔥 Обновили Kaspersky NGFW до версии 1.1

Уже завтра расскажем о расширении функциональности и модельного ряда железа — узнайте все подробности на нашем стриме.

Всего за пару месяцев после релиза 1.0 мы добавили много важных функций по запросам клиентов: RBAC, расширенные сценарии интеграции, политики на базе Geo-IP, синхронизация сессий и маршрутов в кластере, антивирусная проверка архивов и миграция политик с популярных зарубежных NGFW.

Приходите задать свои вопросы, посмотреть демо интерфейса в прямом эфире и узнать про новые аппаратные платформы KX-1000 и KX-100-KB1.

Начинаем в 11:00 завтра, 14 октября.

Зарегистрироваться

#события @П2Т

🗣Реальное применение Offensive Security

Когда: 15 октября 2025 в 11:00 (МСК)

Наступательная безопасность, которая когда-то интересовала лишь крупные ИТ-компании, сегодня востребована любым бизнесом со зрелой ИБ. Но pentest, red team и bug bounty эффективны только тогда, когда они разумно интегрированы в общую стратегию ИБ и проведены правильно. Где такие практики помогли предотвратить инциденты, а где — не сработали? Обсудим примеры и дадим советы на онлайн-конференции AM-Live! Поговорим:

▶️ что лучше — закупка сервиса или собственная команда;
▶️ когда оправдано проведение red team, а когда достаточно пентестов и автоматизированного сканирования;
▶️ как вовлечь бизнес, ИТ и ИБ в один проект;
▶️ что госведомства и КИИ обязаны проверять по закону, что проверяют в реальности;
▶️ кейсы, в которых offensive security помогла предотвратить инцидент;
▶️ как результаты Red Team помогают строить культуру безопасности, а не искать виноватых.

👤От «Лаборатории Касперского» выступит Вячеслав Васин, руководитель центра компетенции по анализу защищенности.

Встречаемся в среду — 15 октября 2025
Нужна предварительная регистрация.

Узнать о конференции и зарегистрироваться ⟶

#события @П2Т

⏰ Y2K38 — это не баг, а рекордно масштабная уязвимость

Описание проблемы Epochalypse звучит очень знакомо для тех, кто достаточно стар, чтобы помнить проблему-2000. Переполнение 32-битных знаковых целых чисел, в которых *nix-системы хранят число секунд, прошедших с начала «юникс-эпохи» 1 января 1970 года, наступит 19 января 2038 года. Все не обновлённые системы окажутся в 1970 году, что непредсказуемо повлияет на их работу.

Ключевое отличие от 2000 года — масштаб. Число систем, которые надо обновить, на несколько порядков выше числа компьютеров в ХХ веке. Кажется, что запас времени огромен, больше 12 лет. Но этого скорее всего недостаточно, особенно с учётом того, что никаких правительственных и международных групп, централизованно решающих эту проблему, пока вроде бы нет.

Исследователи ИБ отмечают, что для эксплуатации эффектов переполнения не обязательно ждать 2038 года. Системы, временем в которых можно манипулировать либо напрямую, либо через подмену данных протокола NTP, либо GPS-спуфингом, будут уязвимы. Уже есть живые примеры в АСУ ТП: CVE-2025-55068 (CVSS4-B 8.8) в системах дистанционного управления заправкой топлива Dover ProGauge MagLink приводит к отказу в обслуживании. Ждём в ближайшие годы гораздо больше похожих CVE.

В том, чтобы думать о проблеме-2038, как об уязвимости, есть практическая польза — можно применять методологии, созданные для приоритизации и устранения уязвимостей. Это очень полезно, поскольку устранить Y2K38 вообще везде вряд ли получится. Начинаем с начала: инвентаризация активов с указанием версий *nix и ПО. Не забываем IoT и IIoT 🤗

Бонус-трек: аналогичная проблема-2036 основана на переполнении в ряде реализаций NTP. Y2K36 наступит 7 января 2036 г.

#угрозы @П2Т

😱 У F5 утащили исходники

F5 повинилась в отчётности для SEC и опубликовала информацию об инциденте, обнаруженном ещё в августе. Злоумышленники получили доступ к среде разработки и платформе управления знаниями, и извлекли оттуда части исходного кода систем BIG-IP. А заодно и информацию об уязвимостях, которые находились в процессе устранения и ещё не были опубликованы.

Дальше F5 делает много успокоительных заявлений: среди этих дефектов не было критических уязвимостей и RCE, две внешние IR-команды не обнаружили несанкционированных модификаций исходного кода, нет признаков доступа к исходным кодам NGINX, нет признаков эксплуатации украденных дефектов.

Это всё конечно успокаивает, но не очень. Учитывая профиль предыдущих атак на устройства F5, вполне вероятно что новые CVE в их исходниках хорошо обеспеченные ресурсами атакующие ищут прямо сейчас. Судя по тону директивы CISA, там тоже не очень спокойны.

F5 выпустила обновления для BIG-IP, F5OS, BIG-IP Next for Kubernetes и BIG-IQ, чтобы закрыть все уязвимости, бывшие в работе на момент инцидента. Кроме очень срочной их установки, рекомендуют стримить события с BIG-IP в SIEM, вести проактивную охоту на угрозы и сильно бояться заниматься харденингом.

#уязвимости @П2Т

🤖🔃🎃  Что появляется быстрее вайбкода? Только ошибки в вайбкоде

Этот пост в блоге пришлось дописывать три раза, потому что всё время появлялись новые материалы по теме. Уж очень она горячая — уязвимости и ошибки в программном коде, сгенерированном с помощью ИИ-ассистентов, а также риски для разработчиков, применяющих ИИ-инструменты.

По этой теме уже есть всё: реальные (увы, успешные) атаки, PoC уязвимостей,  даже научные работы с систематическим анализом.  И разработчикам, и командам ИБ нужно ознакомиться с темой подробно, но несколько моментов для затравки дадим здесь:

😱 ИИ-код всё чаще успешно компилируется, но уязвимостей в нём столько же, сколько и два года назад — 45% кода с CVE;
😱 в вайбкоде опасны не только уязвимый код, но и мисконфигурации приложения. Самая типичная на сегодня — внутреннее приложение организации на самом деле доступно любым посторонним;
😱 при итеративной доработке число критических уязвимостей растёт на 37% после пяти раундов промптинга. А в жизни их бывает гораздо больше;
😱 через ИИ-ассистентов уже проводят и эксфильтрацию данных, и запуск вредоносного кода;
😱 уязвимости в MCP-серверах + промпт-инъекции — запомните этот рецепт. Очень вероятно, что это один из будущих фаворитов злоумышленников.

Читать

#советы #AI @П2Т

🫠 Принуждение к ИИ в Chrome и Windows, фундаментальная уязвимость в Android и и другие важные новости конфиденциальности и личной ИБ

🔄 Как мы и предсказывали, насильственное внедрение ИИ в популярные приложения и сервисы всё ускоряется. Google объявили о включении ассистента Gemini в Chrome на всех основных платформах, включая iOS. В будущем обещают агентские функции и вообще райские кущи, но уже сейчас собирают при веб-браузинге вдвое больше данных пользователя, чем даже другие браузеры с ИИ-функциями.

💻 Microsoft не отстаёт, планируя принудительно установить приложение Copilot всем пользователям, у которых есть десктопные приложения Office, или вернее Microsoft 365 desktop client apps, как теперь это называет Редмонд.

👀 Кроме рисков конфиденциальности, поспешная интеграция LLM в массовые приложения создаёт новые возможности мошенникам и киберпреступникам — как насчёт вредоносных инструкций ИИ-ассистенту прямо в календарном приглашении? Таких сценариев атак уже десятки.

🛡 Есть в Chrome и полезные новшества — у редко посещаемых сайтов будут автоматически отзывать разрешение на отправку уведомлений на десктоп. Схема обкатана на разрешениях приложений в Android, она вполне рабочая и удобная большинству пользователей.

🌐 Евросоюз остановил продвижение спорной инициативы о принудительном массовом сканировании переписки в мессенджерах, которую обычно называют Chatcontrol. Против высказались несколько крупных стран, включая Германию, поэтому инициативу можно считать мёртвой. Пишут, что такой волны гневных писем парламентариям не было уже давно.

🍏 Тем временем парижская прокуратура расследует деятельность Apple — поступила информация, что многочисленные записи разговоров с Siri прослушивали подрядчики Купертино в рамках программы улучшения качества ассистента.

👮‍♀️ Сюжет с утечкой паспортных данных пользователей Discord развивается — хакеры утверждают, что у них есть данные 5,5 млн. пользователей.

🆔 Google запустили-таки сквозное шифрование в Gmail. Правда, только для корпоративных пользователей. Если у получателя нет Gmail, ему предложат создать «гостевой» аккаунт, чтобы прочитать сообщение.

📱 Крупная кампания по распространению шпионского ПО ClayRAT для Android имитирует магазины приложений и предлагает установить популярное ПО наподобие TikTok. Одной из приоритетных целей является Россия, вредоносные ссылки распространяются в Telegram.

🐥 Не успели фанаты Windows 10 отгоревать о прекращении поддержки этой ОС 14 октября, как Microsoft напомнила, что Windows 11 23H2 тоже перестанет получать обновления 11 ноября. Ей богу, они всех пересадят на Linux.

⚠️ Новая уязвимость под названием Pixnapping позволяет Android-приложениям попиксельно считывать содержимое экрана, вообще не требуя особых разрешений. Google пыталась устранить дефект CVE-2025-48561 в сентябрьских патчах, но исследователи сразу же нашли обходной путь — следующая попытка патчинга ожидается в декабре.

👍 Чтение на выходные: подробное руководство по удалению лишней цифровой информации о себе в сети.

#дайджест @П2Т

▶️ Кражи из WhatsApp, новые Linux-руткиты и другие интересные исследования APT за неделю

🐘 Эволюция APT Mysterious Elephant, систематически проводящей шпионские атаки на дипломатические структуры и госорганы в АТР. Группа обновила свой арсенал, перейдя от известного ВПО к комбинации PowerShell-скриптов и модифицированных инструментов open source, чтобы извлекать документы с компьютеров жертв. Особое внимание уделяется похищению файлов и переписки из WhatsApp desktop и Chrome (в том числе WhatsApp web). Для этого применяются инструменты UpIo exfiltrator, Storm exfiltrator и ChromeStealer.  Прослеживается активный обмен ресурсами и кодом с группами Origami Elephant, Confucius и SideWinder.

👾 Досталось десктопному WhatsApp и в Латинской Америке — там эксперты GReAT обнаружили банковский троянец Maverick, использующий open source код WPPConnect для массовой рассылки WhatsApp-контактам жертвы. Ограничения в коде узко нацеливают найденную версию на жертв в Бразилии, но дальше вероятен экспорт угрозы злоумышленникам в других странах.

🔥 Новые подробности про мощный взлом F5 продолжают поступать, повышая уровень кортизола в крови ИБ-специалистов. Атакующие провели в сети F5 не менее года, поэтому клиентам компании нужно искать угрозы за довольно продолжительный период. Рекомендации по threat hunting нацелены на известное ВПО Brickstorm, о котором Google/Mandiant писали в сентябре.  Тем временем GreyNoise отмечает резкий всплеск попыток сканирования устройств F5.

🔵 APT Jewelbug/REF7707/Earth Alux расширяет географию своих атак, теперь под прицелом и российские организации. Согласно отчету, после компрометации крупного поставщика ИТ-услуг злоумышленники пытаются атаковать его клиентов. Эксфильтрация данных ведётся в облако Яндекса. Среди других примечательных жертв — госорганы в Южной Америке и тайваньские производители ПО.

🟢Постэксплуатационный фреймворк AdaptixC2 появился только в начале года, но уже весной он использовался злоумышленниками. А в октябре обнаружен поддельный пакет в реестре npm, доставляющий агента AdaptixC2 жертвам.

🟢 Технический анализ сложного ВПО LinkPro, использующего два модуля eBPF для скрытия своего присутствия в Linux-системах и активации при получении «волшебного» пакета по сети. Среди функций ВПО — прямой и обратный шелл и доступ к файлам. Руткит был обнаружен при расследовании инцидента и жил в инфраструктуре жертвы в Amazon EKS. В цепочке заражения используется загрузчик vShell, указывая на возможную причастность APT UNC5174 к инциденту.

🔎 Подробный отчёт о деятельности хактивистских группировок на Ближнем Востоке и в Северной Африке, которые впрочем атакуют жертв по всему земному шару. Отчёт основан на анализе их общения на различных онлайн-площадках. Основным профилем хактивистов остаётся DDoS, а львиная доля угроз, хвастовства и попыток координировать действия происходит в Telegram, а не в даркнете.

👽 Детальный технический анализ мультиплатформенного бэкдора StealthServer, используемого группировкой APT36/Transparent Tribe.

🤦‍♂️Пользователям VSCode приготовиться: более 500 расширений VSCode с 150000 загрузок содержали в файлах конфигурации токены доступа Open VSX/VS  marketplace, с помощью которых посторонние могут публиковать троянизированные обновления этих расширений.

👻 Новые инструменты APT Librarian Likho/Librarian ghouls. Группа отошла от 100% ориентации на LotL и написала себе ВПО на С#, вероятно с помощью ИИ.

🔵Разбор нового фишкита Whisper 2FA, нацеленного на сервисы MS 365.

🟡Предположительно северокорейская APT UNC5342 (Contagious interview) взяла на вооружение технику EtherHiding — фрагменты вредоносных нагрузок хранятся в смарт-контрактах Ethereum и BNB smart chain.

📱 На русскоговорящих форумах начали продавать доступ к новому Android-бэкдору HyperRat.

🚀 Впервые в нашем дайджесте (и возможно в истории TI): анализ эмодзи-паков Telegram! Это не шутка — коллекции логотипов компаний используются злоумышленниками при общении, чтобы не писать названия текстом, а также возможно в рамках фишинговых кампаний.

#APT #дайджест @П2Т

Про кибербезопасность из первых рук

Как справляются с современными проблемами ИБ в крупнейших компаниях, и чему можно научиться у их CISO? Чтобы ответить на эти вопросы, руководители различных подразделений «Лаборатории Касперского» примерили необычную роль телеведущих канала «ПРО БИЗНЕС» и побеседовали с лидерами ИБ, работающими в компаниях, наверняка вам известных — от Северстали и ВымпелКома до ОТП Банка и Газпром-медиа.

🎬 Проект «Уютные разговоры про кибербез» насчитывает уже два сезона, записи которых можно посмотреть на наших видеоплатформах:

1. О DDoS-атаках и трендах в кибербезопасности. Алексей Жуков, Газпром-Медиа Холдинг.
2. Про обучение ИБ для сотрудников и тренды ИИ. Дмитрий Балдин, РусГидро; Сергей Гусев, Северсталь Менеджмент.
3. О цифровой трансформации, ИИ в IT-найме. Всеслав Соленик, Сбербанк-Технологии.
4. О вызовах безопасности в банковском секторе и отечественных технологиях. Вячеслав Касимов, Московский Кредитный Банк.
5. О социальной инженерии и защите телефонов. Алексей Волков, ВымпелКом.
6. О совместной работе клиентов и вендоров и программе «Киберкультура». Алексей Мартынцев, Норникель.
7. О киберугрозах в образовании и атаках на цепочку поставок. Илья Яблоков, РАНХиГС.
8. О компетенциях ИБ-специалистов и реагировании на инциденты. Антон Замараев, ОТП Банк.
9. О динамике цифровой среды и подборе кадров. Александр Ковалевский, ИКС Холдинг.
10. О совмещении удобства и безопасности, внедрении ИИ и дефиците кадров. Андрей Заикин, К2 Кибербезопасность.

Ведущие проекта:
🔵Анна Кулашова, вице-президент «Лаборатории Касперского» по развитию бизнеса в России и странах СНГ;
🔵Марина Усова, директор по корпоративным продажам в России;
🔵Джабраил Матиев, директор по маркетингу в России и странах СНГ.

Смотрите все выпуски на любой удобной платформе!

Первый сезон: VK Видео | RuTube
Второй сезон: VK Видео | RuTube

🔎 Windows 11: что нового для DFIR?

Доля Windows 11 в корпоративных парках компьютеров всё ещё мала, но с прекращением поддержки W10 наверняка начнёт расти. Это повлияет на работу специалистов по реагированию — некоторые привычные криминалистические артефакты претерпели изменения, и появились совершенно новые источники информации.

🔵Блокнот, Проводник и Командная строка обзавелись вкладками, причём Блокнот сохраняет данные между перезагрузками.
🟣Поиск Windows переехал на SQLite, и БД из одного файла превратилась в три.
🟣Помощник совместимости приложений (PCA) создаёт больше файлов, по которым можно изучить историю запуска программ.
🟣Спорная функция Recall по умолчанию отключена на корпоративных компьютерах, но нужно быть готовым к тому, что злоумышленники включат её для сбора данных в своих интересах, и знать, как эти данные хранятся.

Подробный обзор изменений с описанием всех новых и изменённых структур данных читайте в обзоре на Securelist.

#советы @П2Т

🔎 И снова он, безопасный ИИ в каждый дом каждую организацию

IBM и Anthropic выпустили руководство под названием «Проектирование безопасных корпоративных AI-агентов с использованием MCP». Оно определяет жизненный цикл разработки агентов (ADLC) на основе привычных принципов DevSecOps и эталонную архитектуру для создания, управления и эксплуатации безопасных, соответствующих регуляторным требованиям ИИ-агентов в корпоративных масштабах с использованием протокола (MCP).

Ключевые моменты:

🔵 Переход от «is it up» к «is it right». Агенты — это вероятностные, адаптивные системы, способные давать разные ответы на один и тот же запрос. Поэтому в разработке нужно явно определять границы полномочий, давать человеку удобные инструменты отслеживания решений и действий ИИ-агента. В дополнение к стандартному DevSecOps, жизненный цикл включает экспериментирование и оптимизацию во время работы, тестирование поведения (галлюцинации, предвзятость, дрейф), песочницы и защитные механизмы, а также постоянный мониторинг использования моделью инструментов.

🔵 Принципы проектирования для предприятий: Допустимый уровень автономности, конструктивная безопасность (security by design), интероперабельность через открытые стандарты, сильные наблюдаемость и управление (observability and governance).

🔵 Модель безопасности для агентов: Новые риски включают отравление памяти, промпт-инъекции, неправильное использование инструментов/API, повышение привилегий, дрейф поведения агентов. Эти риски снижаются за счёт внедрения идентификации и ролевой модели прав агентов, глубокой фильтрации на уровне MCP-шлюза, постоянного контроля рисков и регуляторного соответствия.

🔵 Управление и сертификация: Корпоративные каталоги содержат описание целей, владельцев, инструментов, политик и других данных по каждому ИИ-агенту. Также необходимы подпись артефактов, SBOM, отслеживание и версионирование, которые обеспечивают возможность аудита и отката изменений.

🔵 Серверы MCP представлены как ключевой инструмент для контроля над агентами и их доступом к ИТ-ресурсам организации. На уровне MCP-шлюза должны быть реализованы принцип наименьших привилегий, управляемые и аудируемые вызовы инструментов. Основные функции MCP-шлюза: управление идентификацией и доступами агента, маршрутизация запросов и проверки состояния модели, ограничения скорости и квоты, обеспечение соблюдения политик, аудит, а также аварийное отключение ИИ.

В документе приведена эталонная архитектура и требования для платформы агентского ИИ, учитывающие вопросы безопасности, наблюдаемости, управления, устойчивости и переносимости, а также возможности для хранения памяти/состояний, планирования/выполнения, интероперабельности, управления знаниями (RAG), взаимодействия человека и агента.

IBM и Anthropic утверждают, что компании могут безопасно расширять использование AI-агентов, внедряя ADLC на всех этапах — от создания агента до управления им. При этом обязательно обеспечить многослойную защиту, управление агентами и серверами MCP через каталоги, сертификационные механизмы, подписанные артефакты и так далее. Принятие MCP в качестве стандартного интерфейса инструментов, строгий контроль за рисками и наблюдаемость позволяют применять ИИ-агентов в соответствии с бизнес-целями и регуляторными требованиями.

#AI @П2Т

🟢 Новые приключения итальянцев Hacking Team в России

Эксперты GReAT реконструировали цепочку заражения, применённую в атаках ForumTroll на российские организации. Короткоживущие веб-страницы, эксплуатировавшие 0day CVE-2025-2783 в Chrome, запускали на компьютере жертвы вредоносное ПО LeetAgent, примечательное тем, что все команды с С2 поступают в виде leetspeak. Поиски других атак, в которых использовался LeetAgent, позволили обнаружить случаи применения другого, гораздо более сложного вредоносное ПО Dante. Оно имеет преемственность с последними известными версиями коммерческого шпионского ПО RCS, созданного печально известной итальянской компанией Memento Labs (в девичестве Hacking Team).

Напомним, что Hacking Team были одними из пионеров коммерческого spyware и одними из первых в этой индустрии стали жертвами хактивизма — в 2015 году инфраструктура компании была взломана анонимными хакерами , а внутренняя переписка и исходные коды ВПО опубликованы. После этого компанию продали и переименовали в Memento Labs. Новые владельцы заявляли, что им придётся начинать работу компании с чистого листа.

Судя по всему, Dante и есть результат «начатого сначала». Имплант имеет модульную структуру, использует шифрование модулей с уникальными для каждой жертвы ключами и множество антиотладочных техник, при отсутствии команд со стороны С2 через некоторое время самоуничтожается.

О результатах исследования рассказал Борис Ларин в докладе на ИБ-конференции Security Analyst Summit. Полный технический анализ использованных уязвимостей и логических ошибок, анализ ВПО, а также IoC опубликованы на Securelist.

#APT #TheSAS2025 @П2Т

💠 Суета вокруг Китая, новые жертвы Triangulation и другие интересные исследования APT за неделю

🔵 Подробное исследование новых атак PassiveNeuron с применением фирменного импланта Neursite. Узко таргетированные атаки затронули правительственные, финансовые и промышленные организации в Азии, Африке и Латинской Америке. Атакующие компрометируют Windows-серверы и, судя по всему, относятся к кластеру китаеязычных группировок, частично пересекаясь с APT41 по инструментарию.

🔎 Интересная попытка классифицировать взаимодействие и совместную работу APT на примере китаеязычных групп, в которых отделить одну активность от другой наиболее сложно. Авторы придумали термин Premier Pass as a Service для ситуаций, когда одна APT выжала из жертвы достаточно интересной информации и устанавливает основное рабочее ВПО другой группы, пользуясь накопленными данными о сети.

🔵Продолжая китайскую тему, телеком-компании на Ближнем Востоке и госорганы в Африке и Южной Америке атакуют, эксплуатируя Toolshell, а затем разворачивая ShadowPad, Zingdoor и KrustyLoader.

🍏 Найденные нами iOS-импланты Triangulation применялись при атаке на китайский национальный сервис точного времени. Автором атаки в китайском CERT прямо называют АНБ, которое всё отрицает.

🆔 Обзор наиболее популярных техник фишинга, применяемых в атаках на организации в этом году. Среди них календарные приглашения, QR-коды в PDF-файлах и другие.

🔔 В атаках APT MuddyWater на организации по международному сотрудничеству замечена четвёртая версия фирменного бэкдора Phoenix. Целевой фишинг рассылают со взломанного легитимного ящика на рабочие и личные адреса жертв, демонстрируя глубокое знание целей.

⚪️Анализ новых имплантов Yesrobot, Norobot, Mayberobot, применяемых APT Coldriver.

🟡Технический анализ ВПО FoalShell и StallionRAT, используемого в атаках Cavalry Werewolf/Silent Lynx на российские промышленные компании и госорганизации. Метод доставки жертвам — целевой фишинг.

🚓 Звучит смешно, но это серьёзно — вымогатели Qilin иногда разворачивают Linux-версию своего шифровальщика на Windows-системах через инструмент Spashtop Remote. Расчёт на то, что исполнимые файлы Linux будут плохо отслеживаться некоторыми EDR-решениями.

🟣Два отчёта о вредоносной кампании Tollbooth / HijackServer, компрометирующей серверы IIS для целей чёрного SEO и вредоносного хостинга.

🤖 Эта музыка будет вечной: в IDE для ленивых продуктивных, то есть Windsurf и Cursor, используется сильно устаревшая версия Electron и Chromium, поэтому там есть 94 CVE разной степени критичности.

🔵 Идея червеобразного ВПО, инфицирующего разработчиков, понравилась злоумышленикам. В репозиториях расширений для VSCode распространяется GlassWorm, который кроме размножения пытается красть криптовалюту.

🟣Новая версия Vidar Stealer полностью переписана на С и способна обходить новые защитные механизмы браузеров.

📡 Starlink отключили более 2500 терминалов в Мьянме, расположенных поблизости от известных скам-ферм (их уже можно смело называть скам-городами).

@П2Т #дайджест