🔥 Обновили Kaspersky NGFW до версии 1.1

Уже завтра расскажем о расширении функциональности и модельного ряда железа — узнайте все подробности на нашем стриме.

Всего за пару месяцев после релиза 1.0 мы добавили много важных функций по запросам клиентов: RBAC, расширенные сценарии интеграции, политики на базе Geo-IP, синхронизация сессий и маршрутов в кластере, антивирусная проверка архивов и миграция политик с популярных зарубежных NGFW.

Приходите задать свои вопросы, посмотреть демо интерфейса в прямом эфире и узнать про новые аппаратные платформы KX-1000 и KX-100-KB1.

Начинаем в 11:00 завтра, 14 октября.

Зарегистрироваться

#события @П2Т

🗣Реальное применение Offensive Security

Когда: 15 октября 2025 в 11:00 (МСК)

Наступательная безопасность, которая когда-то интересовала лишь крупные ИТ-компании, сегодня востребована любым бизнесом со зрелой ИБ. Но pentest, red team и bug bounty эффективны только тогда, когда они разумно интегрированы в общую стратегию ИБ и проведены правильно. Где такие практики помогли предотвратить инциденты, а где — не сработали? Обсудим примеры и дадим советы на онлайн-конференции AM-Live! Поговорим:

▶️ что лучше — закупка сервиса или собственная команда;
▶️ когда оправдано проведение red team, а когда достаточно пентестов и автоматизированного сканирования;
▶️ как вовлечь бизнес, ИТ и ИБ в один проект;
▶️ что госведомства и КИИ обязаны проверять по закону, что проверяют в реальности;
▶️ кейсы, в которых offensive security помогла предотвратить инцидент;
▶️ как результаты Red Team помогают строить культуру безопасности, а не искать виноватых.

👤От «Лаборатории Касперского» выступит Вячеслав Васин, руководитель центра компетенции по анализу защищенности.

Встречаемся в среду — 15 октября 2025
Нужна предварительная регистрация.

Узнать о конференции и зарегистрироваться ⟶

#события @П2Т

⏰ Y2K38 — это не баг, а рекордно масштабная уязвимость

Описание проблемы Epochalypse звучит очень знакомо для тех, кто достаточно стар, чтобы помнить проблему-2000. Переполнение 32-битных знаковых целых чисел, в которых *nix-системы хранят число секунд, прошедших с начала «юникс-эпохи» 1 января 1970 года, наступит 19 января 2038 года. Все не обновлённые системы окажутся в 1970 году, что непредсказуемо повлияет на их работу.

Ключевое отличие от 2000 года — масштаб. Число систем, которые надо обновить, на несколько порядков выше числа компьютеров в ХХ веке. Кажется, что запас времени огромен, больше 12 лет. Но этого скорее всего недостаточно, особенно с учётом того, что никаких правительственных и международных групп, централизованно решающих эту проблему, пока вроде бы нет.

Исследователи ИБ отмечают, что для эксплуатации эффектов переполнения не обязательно ждать 2038 года. Системы, временем в которых можно манипулировать либо напрямую, либо через подмену данных протокола NTP, либо GPS-спуфингом, будут уязвимы. Уже есть живые примеры в АСУ ТП: CVE-2025-55068 (CVSS4-B 8.8) в системах дистанционного управления заправкой топлива Dover ProGauge MagLink приводит к отказу в обслуживании. Ждём в ближайшие годы гораздо больше похожих CVE.

В том, чтобы думать о проблеме-2038, как об уязвимости, есть практическая польза — можно применять методологии, созданные для приоритизации и устранения уязвимостей. Это очень полезно, поскольку устранить Y2K38 вообще везде вряд ли получится. Начинаем с начала: инвентаризация активов с указанием версий *nix и ПО. Не забываем IoT и IIoT 🤗

Бонус-трек: аналогичная проблема-2036 основана на переполнении в ряде реализаций NTP. Y2K36 наступит 7 января 2036 г.

#угрозы @П2Т

😱 У F5 утащили исходники

F5 повинилась в отчётности для SEC и опубликовала информацию об инциденте, обнаруженном ещё в августе. Злоумышленники получили доступ к среде разработки и платформе управления знаниями, и извлекли оттуда части исходного кода систем BIG-IP. А заодно и информацию об уязвимостях, которые находились в процессе устранения и ещё не были опубликованы.

Дальше F5 делает много успокоительных заявлений: среди этих дефектов не было критических уязвимостей и RCE, две внешние IR-команды не обнаружили несанкционированных модификаций исходного кода, нет признаков доступа к исходным кодам NGINX, нет признаков эксплуатации украденных дефектов.

Это всё конечно успокаивает, но не очень. Учитывая профиль предыдущих атак на устройства F5, вполне вероятно что новые CVE в их исходниках хорошо обеспеченные ресурсами атакующие ищут прямо сейчас. Судя по тону директивы CISA, там тоже не очень спокойны.

F5 выпустила обновления для BIG-IP, F5OS, BIG-IP Next for Kubernetes и BIG-IQ, чтобы закрыть все уязвимости, бывшие в работе на момент инцидента. Кроме очень срочной их установки, рекомендуют стримить события с BIG-IP в SIEM, вести проактивную охоту на угрозы и сильно бояться заниматься харденингом.

#уязвимости @П2Т

🤖🔃🎃  Что появляется быстрее вайбкода? Только ошибки в вайбкоде

Этот пост в блоге пришлось дописывать три раза, потому что всё время появлялись новые материалы по теме. Уж очень она горячая — уязвимости и ошибки в программном коде, сгенерированном с помощью ИИ-ассистентов, а также риски для разработчиков, применяющих ИИ-инструменты.

По этой теме уже есть всё: реальные (увы, успешные) атаки, PoC уязвимостей,  даже научные работы с систематическим анализом.  И разработчикам, и командам ИБ нужно ознакомиться с темой подробно, но несколько моментов для затравки дадим здесь:

😱 ИИ-код всё чаще успешно компилируется, но уязвимостей в нём столько же, сколько и два года назад — 45% кода с CVE;
😱 в вайбкоде опасны не только уязвимый код, но и мисконфигурации приложения. Самая типичная на сегодня — внутреннее приложение организации на самом деле доступно любым посторонним;
😱 при итеративной доработке число критических уязвимостей растёт на 37% после пяти раундов промптинга. А в жизни их бывает гораздо больше;
😱 через ИИ-ассистентов уже проводят и эксфильтрацию данных, и запуск вредоносного кода;
😱 уязвимости в MCP-серверах + промпт-инъекции — запомните этот рецепт. Очень вероятно, что это один из будущих фаворитов злоумышленников.

Читать

#советы #AI @П2Т

🫠 Принуждение к ИИ в Chrome и Windows, фундаментальная уязвимость в Android и и другие важные новости конфиденциальности и личной ИБ

🔄 Как мы и предсказывали, насильственное внедрение ИИ в популярные приложения и сервисы всё ускоряется. Google объявили о включении ассистента Gemini в Chrome на всех основных платформах, включая iOS. В будущем обещают агентские функции и вообще райские кущи, но уже сейчас собирают при веб-браузинге вдвое больше данных пользователя, чем даже другие браузеры с ИИ-функциями.

💻 Microsoft не отстаёт, планируя принудительно установить приложение Copilot всем пользователям, у которых есть десктопные приложения Office, или вернее Microsoft 365 desktop client apps, как теперь это называет Редмонд.

👀 Кроме рисков конфиденциальности, поспешная интеграция LLM в массовые приложения создаёт новые возможности мошенникам и киберпреступникам — как насчёт вредоносных инструкций ИИ-ассистенту прямо в календарном приглашении? Таких сценариев атак уже десятки.

🛡 Есть в Chrome и полезные новшества — у редко посещаемых сайтов будут автоматически отзывать разрешение на отправку уведомлений на десктоп. Схема обкатана на разрешениях приложений в Android, она вполне рабочая и удобная большинству пользователей.

🌐 Евросоюз остановил продвижение спорной инициативы о принудительном массовом сканировании переписки в мессенджерах, которую обычно называют Chatcontrol. Против высказались несколько крупных стран, включая Германию, поэтому инициативу можно считать мёртвой. Пишут, что такой волны гневных писем парламентариям не было уже давно.

🍏 Тем временем парижская прокуратура расследует деятельность Apple — поступила информация, что многочисленные записи разговоров с Siri прослушивали подрядчики Купертино в рамках программы улучшения качества ассистента.

👮‍♀️ Сюжет с утечкой паспортных данных пользователей Discord развивается — хакеры утверждают, что у них есть данные 5,5 млн. пользователей.

🆔 Google запустили-таки сквозное шифрование в Gmail. Правда, только для корпоративных пользователей. Если у получателя нет Gmail, ему предложат создать «гостевой» аккаунт, чтобы прочитать сообщение.

📱 Крупная кампания по распространению шпионского ПО ClayRAT для Android имитирует магазины приложений и предлагает установить популярное ПО наподобие TikTok. Одной из приоритетных целей является Россия, вредоносные ссылки распространяются в Telegram.

🐥 Не успели фанаты Windows 10 отгоревать о прекращении поддержки этой ОС 14 октября, как Microsoft напомнила, что Windows 11 23H2 тоже перестанет получать обновления 11 ноября. Ей богу, они всех пересадят на Linux.

⚠️ Новая уязвимость под названием Pixnapping позволяет Android-приложениям попиксельно считывать содержимое экрана, вообще не требуя особых разрешений. Google пыталась устранить дефект CVE-2025-48561 в сентябрьских патчах, но исследователи сразу же нашли обходной путь — следующая попытка патчинга ожидается в декабре.

👍 Чтение на выходные: подробное руководство по удалению лишней цифровой информации о себе в сети.

#дайджест @П2Т

▶️ Кражи из WhatsApp, новые Linux-руткиты и другие интересные исследования APT за неделю

🐘 Эволюция APT Mysterious Elephant, систематически проводящей шпионские атаки на дипломатические структуры и госорганы в АТР. Группа обновила свой арсенал, перейдя от известного ВПО к комбинации PowerShell-скриптов и модифицированных инструментов open source, чтобы извлекать документы с компьютеров жертв. Особое внимание уделяется похищению файлов и переписки из WhatsApp desktop и Chrome (в том числе WhatsApp web). Для этого применяются инструменты UpIo exfiltrator, Storm exfiltrator и ChromeStealer.  Прослеживается активный обмен ресурсами и кодом с группами Origami Elephant, Confucius и SideWinder.

👾 Досталось десктопному WhatsApp и в Латинской Америке — там эксперты GReAT обнаружили банковский троянец Maverick, использующий open source код WPPConnect для массовой рассылки WhatsApp-контактам жертвы. Ограничения в коде узко нацеливают найденную версию на жертв в Бразилии, но дальше вероятен экспорт угрозы злоумышленникам в других странах.

🔥 Новые подробности про мощный взлом F5 продолжают поступать, повышая уровень кортизола в крови ИБ-специалистов. Атакующие провели в сети F5 не менее года, поэтому клиентам компании нужно искать угрозы за довольно продолжительный период. Рекомендации по threat hunting нацелены на известное ВПО Brickstorm, о котором Google/Mandiant писали в сентябре.  Тем временем GreyNoise отмечает резкий всплеск попыток сканирования устройств F5.

🔵 APT Jewelbug/REF7707/Earth Alux расширяет географию своих атак, теперь под прицелом и российские организации. Согласно отчету, после компрометации крупного поставщика ИТ-услуг злоумышленники пытаются атаковать его клиентов. Эксфильтрация данных ведётся в облако Яндекса. Среди других примечательных жертв — госорганы в Южной Америке и тайваньские производители ПО.

🟢Постэксплуатационный фреймворк AdaptixC2 появился только в начале года, но уже весной он использовался злоумышленниками. А в октябре обнаружен поддельный пакет в реестре npm, доставляющий агента AdaptixC2 жертвам.

🟢 Технический анализ сложного ВПО LinkPro, использующего два модуля eBPF для скрытия своего присутствия в Linux-системах и активации при получении «волшебного» пакета по сети. Среди функций ВПО — прямой и обратный шелл и доступ к файлам. Руткит был обнаружен при расследовании инцидента и жил в инфраструктуре жертвы в Amazon EKS. В цепочке заражения используется загрузчик vShell, указывая на возможную причастность APT UNC5174 к инциденту.

🔎 Подробный отчёт о деятельности хактивистских группировок на Ближнем Востоке и в Северной Африке, которые впрочем атакуют жертв по всему земному шару. Отчёт основан на анализе их общения на различных онлайн-площадках. Основным профилем хактивистов остаётся DDoS, а львиная доля угроз, хвастовства и попыток координировать действия происходит в Telegram, а не в даркнете.

👽 Детальный технический анализ мультиплатформенного бэкдора StealthServer, используемого группировкой APT36/Transparent Tribe.

🤦‍♂️Пользователям VSCode приготовиться: более 500 расширений VSCode с 150000 загрузок содержали в файлах конфигурации токены доступа Open VSX/VS  marketplace, с помощью которых посторонние могут публиковать троянизированные обновления этих расширений.

👻 Новые инструменты APT Librarian Likho/Librarian ghouls. Группа отошла от 100% ориентации на LotL и написала себе ВПО на С#, вероятно с помощью ИИ.

🔵Разбор нового фишкита Whisper 2FA, нацеленного на сервисы MS 365.

🟡Предположительно северокорейская APT UNC5342 (Contagious interview) взяла на вооружение технику EtherHiding — фрагменты вредоносных нагрузок хранятся в смарт-контрактах Ethereum и BNB smart chain.

📱 На русскоговорящих форумах начали продавать доступ к новому Android-бэкдору HyperRat.

🚀 Впервые в нашем дайджесте (и возможно в истории TI): анализ эмодзи-паков Telegram! Это не шутка — коллекции логотипов компаний используются злоумышленниками при общении, чтобы не писать названия текстом, а также возможно в рамках фишинговых кампаний.

#APT #дайджест @П2Т

Про кибербезопасность из первых рук

Как справляются с современными проблемами ИБ в крупнейших компаниях, и чему можно научиться у их CISO? Чтобы ответить на эти вопросы, руководители различных подразделений «Лаборатории Касперского» примерили необычную роль телеведущих канала «ПРО БИЗНЕС» и побеседовали с лидерами ИБ, работающими в компаниях, наверняка вам известных — от Северстали и ВымпелКома до ОТП Банка и Газпром-медиа.

🎬 Проект «Уютные разговоры про кибербез» насчитывает уже два сезона, записи которых можно посмотреть на наших видеоплатформах:

1. О DDoS-атаках и трендах в кибербезопасности. Алексей Жуков, Газпром-Медиа Холдинг.
2. Про обучение ИБ для сотрудников и тренды ИИ. Дмитрий Балдин, РусГидро; Сергей Гусев, Северсталь Менеджмент.
3. О цифровой трансформации, ИИ в IT-найме. Всеслав Соленик, Сбербанк-Технологии.
4. О вызовах безопасности в банковском секторе и отечественных технологиях. Вячеслав Касимов, Московский Кредитный Банк.
5. О социальной инженерии и защите телефонов. Алексей Волков, ВымпелКом.
6. О совместной работе клиентов и вендоров и программе «Киберкультура». Алексей Мартынцев, Норникель.
7. О киберугрозах в образовании и атаках на цепочку поставок. Илья Яблоков, РАНХиГС.
8. О компетенциях ИБ-специалистов и реагировании на инциденты. Антон Замараев, ОТП Банк.
9. О динамике цифровой среды и подборе кадров. Александр Ковалевский, ИКС Холдинг.
10. О совмещении удобства и безопасности, внедрении ИИ и дефиците кадров. Андрей Заикин, К2 Кибербезопасность.

Ведущие проекта:
🔵Анна Кулашова, вице-президент «Лаборатории Касперского» по развитию бизнеса в России и странах СНГ;
🔵Марина Усова, директор по корпоративным продажам в России;
🔵Джабраил Матиев, директор по маркетингу в России и странах СНГ.

Смотрите все выпуски на любой удобной платформе!

Первый сезон: VK Видео | RuTube
Второй сезон: VK Видео | RuTube

🔎 Windows 11: что нового для DFIR?

Доля Windows 11 в корпоративных парках компьютеров всё ещё мала, но с прекращением поддержки W10 наверняка начнёт расти. Это повлияет на работу специалистов по реагированию — некоторые привычные криминалистические артефакты претерпели изменения, и появились совершенно новые источники информации.

🔵Блокнот, Проводник и Командная строка обзавелись вкладками, причём Блокнот сохраняет данные между перезагрузками.
🟣Поиск Windows переехал на SQLite, и БД из одного файла превратилась в три.
🟣Помощник совместимости приложений (PCA) создаёт больше файлов, по которым можно изучить историю запуска программ.
🟣Спорная функция Recall по умолчанию отключена на корпоративных компьютерах, но нужно быть готовым к тому, что злоумышленники включат её для сбора данных в своих интересах, и знать, как эти данные хранятся.

Подробный обзор изменений с описанием всех новых и изменённых структур данных читайте в обзоре на Securelist.

#советы @П2Т

🔎 И снова он, безопасный ИИ в каждый дом каждую организацию

IBM и Anthropic выпустили руководство под названием «Проектирование безопасных корпоративных AI-агентов с использованием MCP». Оно определяет жизненный цикл разработки агентов (ADLC) на основе привычных принципов DevSecOps и эталонную архитектуру для создания, управления и эксплуатации безопасных, соответствующих регуляторным требованиям ИИ-агентов в корпоративных масштабах с использованием протокола (MCP).

Ключевые моменты:

🔵 Переход от «is it up» к «is it right». Агенты — это вероятностные, адаптивные системы, способные давать разные ответы на один и тот же запрос. Поэтому в разработке нужно явно определять границы полномочий, давать человеку удобные инструменты отслеживания решений и действий ИИ-агента. В дополнение к стандартному DevSecOps, жизненный цикл включает экспериментирование и оптимизацию во время работы, тестирование поведения (галлюцинации, предвзятость, дрейф), песочницы и защитные механизмы, а также постоянный мониторинг использования моделью инструментов.

🔵 Принципы проектирования для предприятий: Допустимый уровень автономности, конструктивная безопасность (security by design), интероперабельность через открытые стандарты, сильные наблюдаемость и управление (observability and governance).

🔵 Модель безопасности для агентов: Новые риски включают отравление памяти, промпт-инъекции, неправильное использование инструментов/API, повышение привилегий, дрейф поведения агентов. Эти риски снижаются за счёт внедрения идентификации и ролевой модели прав агентов, глубокой фильтрации на уровне MCP-шлюза, постоянного контроля рисков и регуляторного соответствия.

🔵 Управление и сертификация: Корпоративные каталоги содержат описание целей, владельцев, инструментов, политик и других данных по каждому ИИ-агенту. Также необходимы подпись артефактов, SBOM, отслеживание и версионирование, которые обеспечивают возможность аудита и отката изменений.

🔵 Серверы MCP представлены как ключевой инструмент для контроля над агентами и их доступом к ИТ-ресурсам организации. На уровне MCP-шлюза должны быть реализованы принцип наименьших привилегий, управляемые и аудируемые вызовы инструментов. Основные функции MCP-шлюза: управление идентификацией и доступами агента, маршрутизация запросов и проверки состояния модели, ограничения скорости и квоты, обеспечение соблюдения политик, аудит, а также аварийное отключение ИИ.

В документе приведена эталонная архитектура и требования для платформы агентского ИИ, учитывающие вопросы безопасности, наблюдаемости, управления, устойчивости и переносимости, а также возможности для хранения памяти/состояний, планирования/выполнения, интероперабельности, управления знаниями (RAG), взаимодействия человека и агента.

IBM и Anthropic утверждают, что компании могут безопасно расширять использование AI-агентов, внедряя ADLC на всех этапах — от создания агента до управления им. При этом обязательно обеспечить многослойную защиту, управление агентами и серверами MCP через каталоги, сертификационные механизмы, подписанные артефакты и так далее. Принятие MCP в качестве стандартного интерфейса инструментов, строгий контроль за рисками и наблюдаемость позволяют применять ИИ-агентов в соответствии с бизнес-целями и регуляторными требованиями.

#AI @П2Т

🟢 Новые приключения итальянцев Hacking Team в России

Эксперты GReAT реконструировали цепочку заражения, применённую в атаках ForumTroll на российские организации. Короткоживущие веб-страницы, эксплуатировавшие 0day CVE-2025-2783 в Chrome, запускали на компьютере жертвы вредоносное ПО LeetAgent, примечательное тем, что все команды с С2 поступают в виде leetspeak. Поиски других атак, в которых использовался LeetAgent, позволили обнаружить случаи применения другого, гораздо более сложного вредоносное ПО Dante. Оно имеет преемственность с последними известными версиями коммерческого шпионского ПО RCS, созданного печально известной итальянской компанией Memento Labs (в девичестве Hacking Team).

Напомним, что Hacking Team были одними из пионеров коммерческого spyware и одними из первых в этой индустрии стали жертвами хактивизма — в 2015 году инфраструктура компании была взломана анонимными хакерами , а внутренняя переписка и исходные коды ВПО опубликованы. После этого компанию продали и переименовали в Memento Labs. Новые владельцы заявляли, что им придётся начинать работу компании с чистого листа.

Судя по всему, Dante и есть результат «начатого сначала». Имплант имеет модульную структуру, использует шифрование модулей с уникальными для каждой жертвы ключами и множество антиотладочных техник, при отсутствии команд со стороны С2 через некоторое время самоуничтожается.

О результатах исследования рассказал Борис Ларин в докладе на ИБ-конференции Security Analyst Summit. Полный технический анализ использованных уязвимостей и логических ошибок, анализ ВПО, а также IoC опубликованы на Securelist.

#APT #TheSAS2025 @П2Т

💠 Суета вокруг Китая, новые жертвы Triangulation и другие интересные исследования APT за неделю

🔵 Подробное исследование новых атак PassiveNeuron с применением фирменного импланта Neursite. Узко таргетированные атаки затронули правительственные, финансовые и промышленные организации в Азии, Африке и Латинской Америке. Атакующие компрометируют Windows-серверы и, судя по всему, относятся к кластеру китаеязычных группировок, частично пересекаясь с APT41 по инструментарию.

🔎 Интересная попытка классифицировать взаимодействие и совместную работу APT на примере китаеязычных групп, в которых отделить одну активность от другой наиболее сложно. Авторы придумали термин Premier Pass as a Service для ситуаций, когда одна APT выжала из жертвы достаточно интересной информации и устанавливает основное рабочее ВПО другой группы, пользуясь накопленными данными о сети.

🔵Продолжая китайскую тему, телеком-компании на Ближнем Востоке и госорганы в Африке и Южной Америке атакуют, эксплуатируя Toolshell, а затем разворачивая ShadowPad, Zingdoor и KrustyLoader.

🍏 Найденные нами iOS-импланты Triangulation применялись при атаке на китайский национальный сервис точного времени. Автором атаки в китайском CERT прямо называют АНБ, которое всё отрицает.

🆔 Обзор наиболее популярных техник фишинга, применяемых в атаках на организации в этом году. Среди них календарные приглашения, QR-коды в PDF-файлах и другие.

🔔 В атаках APT MuddyWater на организации по международному сотрудничеству замечена четвёртая версия фирменного бэкдора Phoenix. Целевой фишинг рассылают со взломанного легитимного ящика на рабочие и личные адреса жертв, демонстрируя глубокое знание целей.

⚪️Анализ новых имплантов Yesrobot, Norobot, Mayberobot, применяемых APT Coldriver.

🟡Технический анализ ВПО FoalShell и StallionRAT, используемого в атаках Cavalry Werewolf/Silent Lynx на российские промышленные компании и госорганизации. Метод доставки жертвам — целевой фишинг.

🚓 Звучит смешно, но это серьёзно — вымогатели Qilin иногда разворачивают Linux-версию своего шифровальщика на Windows-системах через инструмент Spashtop Remote. Расчёт на то, что исполнимые файлы Linux будут плохо отслеживаться некоторыми EDR-решениями.

🟣Два отчёта о вредоносной кампании Tollbooth / HijackServer, компрометирующей серверы IIS для целей чёрного SEO и вредоносного хостинга.

🤖 Эта музыка будет вечной: в IDE для ленивых продуктивных, то есть Windsurf и Cursor, используется сильно устаревшая версия Electron и Chromium, поэтому там есть 94 CVE разной степени критичности.

🔵 Идея червеобразного ВПО, инфицирующего разработчиков, понравилась злоумышленикам. В репозиториях расширений для VSCode распространяется GlassWorm, который кроме размножения пытается красть криптовалюту.

🟣Новая версия Vidar Stealer полностью переписана на С и способна обходить новые защитные механизмы браузеров.

📡 Starlink отключили более 2500 терминалов в Мьянме, расположенных поблизости от известных скам-ферм (их уже можно смело называть скам-городами).

@П2Т #дайджест