😶 CISA научит вас Cisco обновлять!

Два критических бага в устройствах Cisco ASA и Firepower, отслеживаемые как CVE-2025-20362 и CVE-2025-20333, продолжают активно эксплуатироваться, сообщает CISA в обновлённом предписании, настоятельно призывая организации немедленно установить исправления.

Во многих компаниях думают, что уже установили патч, устраняющий эти дефекты. Проблема в том, что это две разные версии обновления. Поэтому даже в некоторых организациях с устоявшимся патч-менеджментом устройства остаются уязвимыми. Согласно данным ShadowServer, в сети видны более 30000 уязвимых устройств.

Оба дефекта были устранены в октябре. Один позволяет обойти аутентификацию, а второй — выполнить произвольный код на устройстве, потенциально получая полный контроль над агрегатами Cisco. Пара уязвимостей эксплуатировалась до патчинга как 0day, нацеленный на устройства Cisco 5500-X Series с включёнными сервисами VPN. Cisco связывает атаки с кампанией ArcaneDoor.

Обновлённые рекомендации по установке патчей с минимально необходимыми номерами версий ASA и Firepower доступны здесь.

#Cisco #уязвимости @П2Т

🔔 Подборка видео докладов с ИБ-конференций

В конце лета и начале осени проходят крупные конференции, и сейчас наконец начинают публиковаться записи докладов. Просмотром легко занять все выходные:

🎬 USENIX Security '25 — 124 видео;

🎬 DEF CON 33 — 95 видео с основной сцены, но также много видео из тематических «деревень» разложено по плейлистам;

🎬 Black Hat USA 2025 — пока всего 17 видео, начали с публикации keynote;

🎬 Black Hat Asia 2025 — 57 видео.

Have fun!

#видео @П2Т

🗣 Инновации SD-WAN: репортаж с производства 👷

Организации переходят на SD-WAN, чтобы одновременно повысить отказоустойчивость, безопасность и экономическую эффективность своей сетевой инфраструктуры.

Но не стоит забывать про удобство и эффективность работы сетевых инженеров — то, что в итоге и даёт компании все эти преимущества. В свежей версии Kaspersky SD-WAN 2.5 внедрили целый пакет удобств и новшеств:

▶️диагностика BGP и OSPF через GUI оркестратора;
▶️выборочная переадресация DNS-запросов по заданным условиям;
▶️изменения в конфигурации CPE по расписанию (🔥!!!);
▶️замена CPE c сохранением настроек и многое другое.

А ещё у нас новый модельный ряд в составе ПАК с поддержкой ГОСТ-шифрования!

Хотите узнать подробности, план развития на 2026 год или задать практический вопрос?

Приходите на онлайн-стрим в следующий вторник, 18 ноября 2025 в 11:00 (МСК). Он будет необычным – вы увидите прямой репортаж от команды, разрабатывающий все эти функции для вас.

Зарезервировать место на стриме⟶

#события @П2Т

🔥 Программно-аппаратный комплекс Kaspersky NGFW получил сертификат ФСТЭК России (по новым правилам, установленным в 2023 году).

Решение соответствует требованиям к многофункциональным межсетевым экранам уровня сети по 4 классу защиты.

Также Kaspersky NGFW присвоен четвёртый уровень доверия, а значит он может использоваться для защиты значимых объектов КИИ, государственных информационных систем, АСУ ТП и информационных систем персональных данных.

Cертификат распространяется на все ПАКи в рамках модельного ряда Kaspersky NGFW — испытания успешно прошла вся линейка Kaspersky Extension: KX-3500, KX-1000, KX-400 и KX-100.

Атаки Red Likho, хайп вокруг ИИ-APT и другие интересные исследования ИБ за неделю

🟣Новые TTPs группы Red Likho, применяющей бэкдор GoRed в атаках на российских разработчиков ПО. Это сложное ВПО поддерживает режимы маяка, прокси-сервера и обратной оболочки, а для связи с С2 использует протоколы DNS, ICMP, QUIC и WSS. Инструментарий атакующих частично пересекается с арсеналом BO Team, подтверждая тесное сотрудничество групп в этом кластере угроз

🟣Технический анализ инструмента повышения привилегий, применяемого группировкой. Эксплуатируются дефекты конфигурации Bitrix CMS.

🟠Одним из самых резонансных исследований ИБ за неделю стал отчёт Anthropic об атаках некой китаеязычной APT на десятки организаций, в которых агентские возможности Claude code позволили провести 80-90% работ автономно. По заявлению исследователей, ИИ мог провести самостоятельное сканирование инфраструктуры, поиск уязвимых точек, разработку плана атаки, а после одобрения оператором — взломать сеть, захватить дополнительные хосты и извлечь ценные данные.
Эксперты уже раскритиковали отчёт за отсутствие IoC, подробностей о том, на каких этапах модель ошибалась и галлюцинировала, и других деталей, важных защитникам. Также непонятно, зачем атаки, предположительно мотивированные шпионажем за американскими компаниями, проводить с применением облачного американского ИИ-сервиса, в котором вероятность их обнаружения максимальна.

🟢Подробный разбор вредоносной спам-кампании IndonesianFoods, буквально утопившей реестр npm в бессмысленных библиотеках. Всего опубликовано более 43000 библиотек, которые не выполняют вредоносных действий кроме самораспространения. Вероятно, цель всего упражнения — заработок токенов TEA, которые являются криптовалютной наградой за вклад в open source 🤦‍♂️.

🔴Fortinet втихую запатчили CVE-2025-64446 (CVSS 9.1), уязвимость обхода пути в FortiWeb. Патч 8.0.2 вышел 28 октября, когда дефект уже массово эксплуатировался для создания административных аккаунтов на устройствах, доступных из Интернета. Но бюллетень и собственно номер CVE появились только в пятницу, 14 ноября.

🔵Анализ банковских троянцев Coyote и Maverick продемонстрировал их связь, а также новые стратегии атакующих, в частности, целевые атаки на гостиничный бизнес.

🟢А группа Payroll Pirates проводит целевые фишинговые атаки на пользователей систем расчёта зарплаты, трейдинговых платформ и других финансовых систем. Предположительно в группу вошли 4 ранее изолированных кластера угроз.

🔵Разбор инфостилера Novastealer, выполненного в виде пачки скриптов для MacOS и нацеленного на кражу криптвалюты.

⚪️Технический анализ нового шифровальщика Yurei, написанного на Go.

🟢Операция европейских полицейских накрыла инфраструктуру инфостилера Rhadamanthys, а также ботнета Elysium и троянца VenomRAT. Всего изъято 1025 серверов в 11 разных местах.

#дайджест @П2Т

📊 Светлое будущее рынка ИБ

ЦСР опубликовал прогноз развития ИБ-рынка РФ на 2025-2030 годы. Невзирая на сложный макроэкономический фон, в 2024 году рынок вырос на 26,3%, до 314 млрд руб. К 2030 году прочат рост до 968 млрд (CAGR около 21%).

Доля СЗИ в объёме рынка составляет 73,1%, услуги — 26,9%, их доля выросла на 0,4 п.п, в основном благодаря резкому росту спроса на ИБ-аутсорсинг (MSSP/MDR). Опережающий рост показывают bug bounty и кибериспытания (red team). Среди производителей СЗИ лидером названа «Лаборатория Касперского». Лидирующими категориями на рынке СЗИ остаются network security, endpoint security и infrastructure security.

Технологические тренды:
1️⃣формирование рынка облачных ИБ-сервисов и спрос на CNAPP/CSPM/CWPP/CASB (рост 30-40% в год при базе около 1% рынка);
2️⃣спрос на ИБ стимулируют резонансные кибератаки, усиление требований регуляторов и повышение ответственности компаний за утечки данных;
3️⃣кадровый дефицит разгоняет рынок MSSP/MDR;
4️⃣становится популярен и получает господдержку ИБ-краудсоурсинг (bug bounty);
5️⃣внедрение ИИ стимулирует рынок ИБ — и как фактор риска, и как инструмент защиты;
6️⃣большой потенциал ниши в промышленной ИБ: предприятий этого сегмента много, а специализированная защита занимает всего ~1% рынка.

📌 Полная версия отчёта доступна без регистрации и смс на сайте ЦСР.

#статистика @П2Т

⚡️ Не волнуйтесь, РКН тут не при чём!
Просто Cloudflare глобально прилёг.

Вчера только объявили о покупке Replicate, и сразу на тебе. ИИ-революция подкралась, откуда не ждали

@П2Т

🎁 Вам премия! И смените пароль.

В среднем 40% сотрудников переходят по подозрительным ссылкам, но это число повышается до 66,5%, если письмо посвящено расчёту премий. Такова печальная статистика анализа тренировочных фишинговых рассылок, который совместно провели специалисты «Лаборатории Касперского» и МегаФона. Также (зря) вызывают доверие оповещения о смене паролей и нарушении корпоративных политик.

Попав на мутную фишинговую страницу, каждый четвёртый адресат (10% от всех протестированных сотрудников) вводит конфиденциальные данные, а 9% открывают вложения, которые в реальных кибератаках были бы вредоносными.
Наибольшее доверие у сотрудников вызывают письма якобы от HR-, финансового и ИТ-отделов.

Только систематическое обучение зримо улучшает ситуацию. Среди прошедших тренинги лишь 7% открывают подозрительные письма, 2% переходят по сомнительным ссылкам и 0,2% вводят данные на целевой странице — то есть показатель успеха гипотетической атаки снижается в 190 раз.

Бизнесы начинают понимать это, поэтому 95 % корпоративных клиентов ежегодно повторяют учебные мероприятия. Кроме регулярного обучения и тренингов, важно адаптировать программу и список тем к должности и риск-профилю сотрудника.
Чтобы реализовать такой систематический подход, оцените возможности Kaspersky Automated Security Awareness Platform.

#советы @П2Т

🔎 Ботнеты разбушевались

Общедоступное оптоволокно и изобилие IoT подпитывают гонку вооружений DDoS. Microsoft поделилась информацией об очередном рекордном инциденте, в котором единичный endpoint Azure в Австралии стал мишенью DDoS на 15,72 Тб/с и 3,64 млрд пакетов в секунду. Атака состояли из UDP flood с полумиллиона IP. Azure, к его чести, выдержал, сервисы продолжали работать.

Источником атаки назван быстрорастущий ботнет Aisuru, который относят к классу Turbo-Mirai 😂. Он инфицирует камеры видонаблюдения и сетевые видеорекордеры, роутеры Zyxel, D-Link и Linksys. Ботнет был обнаружен в 2024 году, а в сентябре этого года вышел более подробный анализ его деятельности.

Ранее тот же ботнет провёл рекордную блиц-атаку, отражённую Cloudflare (22,2 Тб/с).

Но возможности Aisuru в будущем может опередить быстрорастущий конкурент RondoDox. Обнаруженный лишь в июле, он растёт экспоненциально и сочетает несколько примечательных свойств:

🔵 быстро расширяющийся список атакуемых устройств. В октябре отмечена эксплуатация более 50 уязвимостей в оборудовании 30 вендоров: DVR, NAS, роутеры и веб-серверы. Уже в ноябре в список попала CVE-2025-24893 в XWiki;
🔴 значительные усилия авторов, чтобы избежать обнаружения и анализа ВПО;
🟢 маскировка вредоносного трафика под популярные игры и сервисы: Valve, Roblox, Minecraft, OpenVPN, WireGuard и пр.

В преддверии праздников и распродаж всем онлайн-сервисам необходимо перепроверить, что они адекватно защищены против DDoS-атак нового уровня. Стоит обсудить со своим поставщиком DDoS-защиты проведение учений, чтобы заранее обнаружить и устранить любые проблемы в инфраструктуре.

#угрозы @П2Т

😴 ИБ и отдых

В Cyber Risk Alliance не поленились выпустить целую брошюру о том, что сотрудникам SOC и ИБ в целом нужно отдыхать.
По статистике треть ИБ-специалистов отмечает снижение эффективности и внимательности в четвёртом квартале, а 68% не могут отключиться от работы, даже если берут отпуск на длинные праздники.

Мы не удивлены: больше людей болеют и в отпусках, сотрудники компании чаще попадаются на всякий фишинг и совершают другие ошибки, на оставшихся специалистов SOC валится больше работы. Чтобы специалисты не выгорали, предлагается простая трёхходовочка:

1️⃣Layered readiness: за этими красивыми словами скрываются активное использование ИИ для приоритизации алертов и сбора всего контекста, что упрощает первичный анализ инцидентов. Также нужна продуманная ротация смен, позволяющая людям работать с разной нагрузкой в разные дни и достаточно отдыхать между сменами.
2️⃣Resilience rhythms: обязательно встраивать микро-перерывы в рабочие процессы, чтобы аналитик мог переключиться и расслабить глаза и голову между работой над двумя алертами.
3️⃣Clear communication: этот общий термин скрывает чёткое определение рабочих периодов и всеми принятое обязательство не дёргать людей в определённые (нерабочие для них) часы.

За рамками этой схемы также говорят о важном — во многих компаниях по-прежнему есть «культура героизма», где переработки и постоянное присутствие на связи поощряются. В долгосрочном периоде это приводит к истощению ИБ-спецов и ошибкам в работе.

В брошюре отсутствуют практические пошаговые рекомендации, но их можно найти у нас в канале: вот советы по графику дежурств SOC, а вот конкретные примеры того, как в нашей SIEM ИИ реально снижает нагрузку и упрощает работу аналитиков.

#советы @П2Т

🌐 Шире поддержка passkey, Apple защитит от ИИ, а Firefox — от отпечатков, и другие важные новости конфиденциальности и личной ИБ

🐩 Вышел Firefox 145 с усиленной защитой от сбора отпечатков браузера. Новые способы защиты от fingerprinting пока работают только в приватном режиме и при активации enhanced tracking protection. Но в будущем обещают включить их по умолчанию.

🍏 Apple обновила требования к разработчикам — нужно получать явное согласие пользователей на отправку любых данных из приложения в сторонние ИИ.

📱 Под давлением возмущённой общественности Google отказались от планов блокировать установку приложений «непроверенных» разработчиков. С некоторыми сложностями установить не одобренное в Маунтин-Вью ПО всё же будет можно.

✅ А также Google планирует отмечать в Google play приложения, которые избыточно тратят батарею в фоновом режиме. Следующая остановка — доска позора 🙈

🔑 Хорошие новости для любителей ключей доступа — начиная с ноябрьского обновления, Windows 11 поддерживает сторонние менеджеры паролей при работе с passkey.

🗑 Плохие новости для них же: если вы перешли на passkey для входа в X/Twitter, вероятно ваш аккаунт качественно заблокирован. Смелый Элон решил отключить домен twitter.com, и сделал в ноябре следующий шаг — на twitter.com более недоступна аутентификация. Поэтому попытки войти со старым ключом доступа приводят к ошибке.

📡 Если вы пользуетесь Интернетом в самолёте, весьма вероятно, что ваш трафик буквально вещают на полмира без всякого шифрования. Поэтому шифрование обязательно добавлять своими силами.

👀 Гигант доставки еды DoorDash сообщил о крупной утечке личных данных. Интересно сравнить PR-методичку с утечкой из Яндекс.Еды.

🕵️‍♂️ Европейские СМИ провели исследование практик брокеров данных, приводящих к сбору информации о европейцах, включая госслужащих и военных. Как мы прекрасно понимаем, ничего хорошего они не нашли — изобилие данных позволяет осуществлять целевой шпионаж и подрывать национальную безопасность. Борьба с ADINT (advertising based intelligence) только начинается.

❔ Чтение на выходные: сводные рейтинги приватности для мессенджеров и соцсетей. На диво неплохо выступили Linkedin и Telegram.

#дайджест @П2Т

⏭ В ботнетах тоже есть маркетплейсы, аэрокосмический шпионаж, кража данных из Signal, и другие интересные исследования APT за неделю

🈁Анализ примечательного ботнета Tsundere, заражающего Windows-компьютеры. Он получает адреса С2 из блокчейна Ethereum, выполняет присланные сервером произвольные нагрузки на Javascript, и позволяет любому «арендатору» ботнета не только написать свою вредоносную нагрузку, но и продать её другим злоумышленникам.

🐈‍⬛  Разбор обновлённого инструментария APT ToddyCat, преимущественно используемого для похищения почтовой переписки целевых компаний.  Примечателен инструмент TCSectorCopy, специально разработанный для похищения данных из открытых и заблокированных процессом Outlook файлов .ost.

🗿 Технический анализ загрузчика SNOWLIGHT, применяемого в атаках UNC5174 и ранее известного лишь в Linux-версии. Его Windows-вариант разворачивает бэкдор VShell.

🔵Разбор разновидностей и TTPs вымогателей, шифрующих корзины Amazon S3, БД RDS и другие хранилища жертвы в инфраструктуре AWS.

🟢Неизвестная ранее группировка NGC6061 проводит целевые фишинговые атаки на госорганы РФ. Документы-приманки имеют встроенный трекинг жертв, а конечной нагрузкой в атаке являются обратные шеллы.

🟢Анализ атак APT24 с применением загрузчика BADAUDIO. Атаки преимущественно нацелены на Windows-компьютеры тайваньских организаций,  векторы проникновения разнообразны: от целевого фишинга до атак на водопой (watering hole).

🪲  Разбор обширного арсенала Windows- и Linux-имплантов APT UNC1549, компрометирующей ближневосточные организации в аэрокосмической отрасли с целью шпионажа. Группировка использует доступ в атакованные организации для рассылки целевого фишинга их контрагентам, повышая шансы успешной компрометации новых жертв.

😈 Детальный анализ кампании APT Dragon Breath/APT-Q-27, распространяющей модифицированную в версию gh0st RAT и нацеленную на китаеязычных пользователей и обход популярных в Китае СЗИ.

〰️ Статистика киберугроз в третьем квартале: десктопы и серверы, мобильные устройства. С атаками шифровальщиков столкнулись почти 85 тыс. пользователей, печальное лидерство принадлежит Qilin. На Android примечательно агрессивное распространение банковского троянца Coper, потеснившего с первого места Mamont по числу атакованных пользователей.

🟣Анализ кампании SpearSpecter, которую APT42/Mint Sandstorm/CharmingCypress проводят против конкретных высокопоставленных лиц в госструктурах и оборонной индустрии на Ближнем Востоке. Жертвам устанавливают бэкдор TAMECAT.

🟣В атаках вымогателей отмечено использование постэксплуатационного фреймворка Tuoni C2. (краткая версия, полный PDF)

🟣Обзор ВПО и TTPs появившейся летом вымогательской группировки The Gentlemen.

🟢В фишките Sneaky2FA появилась новая уловка, упрощающая перехват паролей и кодов 2FA —  browser-in-the-browser.

🟣Немного устаревшие роутеры Asus WRT таргетирует WrtHug — операция по превращению устройств в домашние прокси для сдачи в субаренду злоумышленникам. Поражённые устройства находятся в США, России, ЮВА и Европе.

🟣Технический анализ Android-банкера Sturnus, способного в числе прочего извлекать переписку из приватных мессенджеров, после того как она расшифрована самим мессенджером.

🙄 Cloudflare выложили разбор вторничного инцидента, который не был кибератакой, а был сбоем нового антибот-модуля в прокси-сервисе FL2, написанного на Rust  (но Rust не при чём, мы просто разжигаем).

✔️ В будущих релизах Windows 11 из коробки будет Sysmon.

#APT #дайджест @П2Т

🟢 Kaspersky Security Bulletin: финансовый сектор

Эксперты «Лаборатории Касперского» начали подводить итоги года — в этом году ключевые тенденции, значимые события и прогнозы на 2026 сгруппированы по отраслям.

Начнём с финансовой отрасли.

▶️За год 8,15% пользователей в финансовом секторе столкнулись с онлайн-угрозами;
▶️12,8% финансовых организаций повстречались с вымогателями;
▶️зафиксировано 1 338 357 атак банковских троянцев.

Злоумышленники освоили атаки на цепочку поставок, где компрометация подрядчиков иногда приводила к последствиям даже для национальных платёжных систем (злоупотребление системой PIX в Бразилии).

Преступные группы всё чаще совмещают физические и цифровые методы для повышения эффективности мошенничества, например подкупают инсайдеров в атакуемой компании. В целом киберпреступность и традиционная организованная преступность постепенно сливаются.

📌 Больше статистики, подробностей, а главное — предсказаний, к чему готовиться защитникам финансовой индустрии, ищите на специальном сайте Kaspersky Security Bulletin.

#статистика @П2Т

🗣 Чего ждать от XDR в 2025-2026 году

Решения XDR продолжают развиваться, следуя требованиям практиков ИБ, изменению ландшафта киберугроз и развитию законодательства. Эволюционирует всё: от более широкого применения автоматизации и LLM и обработки новых видов телеметрии до популяризации открытой архитектуры и уточнения места XDR в общей архитектуре ИБ.

Как это происходит в России, какие возможности появляются у отечественного бизнеса и что предлагает Kaspersky Symphony XDR — расскажем на онлайн-стриме в ближайший четверг! Обсудим:

▶️ эволюцию XDR в мире, в России и в «Лаборатории Касперского»;
▶️ XDR vs набор продуктов. Вечный вопрос о ценности для бизнеса;
▶️ жизнь — лучший сценарист: обзор возможностей по плейбукам;
▶️ подробные ответы на ваши вопросы!

Встречаемся в этот четверг: 27 ноября 2025 в 11:00 (МСК).
Нужна предварительная регистрация.

Зарезервировать место на вебинаре ⟶
#события @П2Т

🌪 Cloud Threat Modelling 2025

Cloud Security Alliance обновили своё руководство по моделированию облачных угроз, впервые выпущенное в 2021 году. Документ не является готовым фреймворком. Он даёт рекомендации по выбору подхода к моделированию, содержит обзор имеющихся фреймворков, а главное — подчёркивает аспекты, которые должны быть учтены в выбранном фреймворке и наборе инструментов, чтобы адекватно отразить реалии облачной инфраструктуры. Ведь не каждый инструмент моделирования позволяет адекватно учесть serverless-нагрузки, гибридные облака и одновременное использование нескольких облачных провайдеров, разделение ответственности за ИБ; далеко не все адекватно интегрированы с CSMP и IAM, или способны проанализировать конфигурацию инфраструктуры на базе данных IaC.

Обновления руководства по сравнению с версией 2021 года значительны. Самое крупное — отражены реалии проникновения ИИ в организации и влияние ИИ на безопасность облаков. Также предложены современные инструменты для автоматизации моделирования.

Документ не теоретический — почти по всем темам предложены пошаговые меры и даже метрики, позволяющие итеративно улучшать модель по мере развития организации.
В первую очередь руководство предназначено для архитекторов облачных систем, аналитиков угроз, разработчиков и DevSecOps, а также специалистов по оценке рисков.

#советы @П2Т

☝️ ИБ-бюджет в 2026, харденинг Exchange, консолидация ИБ-инструментов, и другие полезные посты ноября

В ноябре был Cloudflare и много разных новостей ИБ, поэтому среди них могли затеряться материалы, полезные долгосрочно. Мы собрали самое ценное за месяц — эти статьи помогут выстроить эффективные процессы и системы в ИБ.
Если что-то пропустили, на выходных как раз можно наверстать упущенное!

🔵руководство по харденингу Exchange on-premises;
🔵словарь ИИ-терминов с пояснениями по безопасности;
🔵как CISO верстают бюджет 2026 года;
🔵злоупотребление Finger в атаках ClickFix;
🔵подборка видео докладов с недавних ИБ-конференций;
🔵самые эффективные приманки в фишинг-симуляции;
🔵статистика киберугроз в финансовом секторе и прогнозы на 2026;
🔵внедрение ПКШ: обзор и статистика от Cloudflare;
🔵зачем ваш сайт злодеям чёрного SEO и как вовремя обнаружить атаку;
🔵больше инструментов ИБ — меньше безопасность?!

#дайджест @П2Т

🗣 Экосистема ИБ — эффективность или зависимость?

Когда: 3 декабря 2025 в 11:00 (МСК)

Повышение требований к ИБ, дефицит кадров и бюджетные ограничения побуждают бизнес переходить от закупки «набора коробок» к внедрению платформ и экосистем. Экосистемный подход обещает меньше проблем с интеграцией, единые плейбуки и измеримый эффект (MTTD/MTTR, доступность, простои), но усиливает опасения избыточной зависимости от одного производителя, venor lock-in.

Есть ли тут золотая середина? Можно ли извлечь выгоды экосистемности, при этом снизив риски зависимости? Как внедрять экосистемные решения, оценивать результат, как планировать сценарий возможной смены поставщика?
Об этом эксперты разных секторов ИБ-индустрии поговорят на онлайн-конференции AM-Live! Обсудим:

▶️ реальные изменения в экосистемах в 2025 году, что удалось улучшить по сравнению с 2024;
▶️ где экосистема даёт ощутимый ROI за счёт консолидации стека и автоматизации, какие ещё метрики фиксировать;
▶️ как сформулировать «техзадание на результат»;
▶️ как выстроить 90-дневный план пилота экосистемы;
▶️ механики выхода (exit strategy), совместимость и стандарты обмена данными.

👤 От «Лаборатории Касперского» выступит Евгения Лагутина, эксперт по системам мониторинга ИБ и SOC-сервиса.

Встречаемся в среду: 3 декабря 2025
Нужна предварительная регистрация.

Узнать о конференции и зарегистрироваться ⟶

#события @П2Т

🐍 Возвращение Tomiris и Shai Hulud, шпионы против вымогателей и другие интересные исследования APT за неделю

❕ APT Tomiris, отслеживаемая нами с 2021 года и проводящая шпионские атаки на государственные и межправительственные организации в среднеазиатских государствах, значительно обновила инструментарий. В новых атаках применяются фреймворки Adaptix C2 и Havoc, а также добрый десяток имплантов первого этапа, написанных на Rust, Go, C#, PowerShell, и др.

🟢Также в регионе зарегистрированы новые атаки APT Bloody Wolf, на сей раз фишинговые PDF приводят к установке NetSupport RAT.

⚪️Новая версия «офисной» атаки с угоном аккаунта Госуслуг — жертв приглашают в Telegram-чат, якобы принадлежащий их компании, где HR просит всех сотрудников прислать ФИО и дату рождения для актуализации баз данных по пенсии. Все «коллеги» в многолюдном чате — фальшивые. Схема любопытная, предупредите коллег.

🟣Shai Hulud v2 снова навёл шороху в npm, а затем и в Maven. «Нулевым пациентом» стали популярные пакеты PostHog, а затем червь заразил более 500 различных пакетов. Модифицированная версия ВПО успешно работает в Windows и Linux, глубоко компрометирует среду CI/CD и извлекает из неё все возможные секреты, снова выкладывая их репозиторий GitHub от имени жертвы. Если атака не удалась из-за отсутствия токенов с правами на публикацию, червь уничтожает все доступные файлы в папке пользователя.

🟣Интересный случай столкновения интересов: в одном инциденте были обнаружены артефакты присутствия шпионской APT QuietCrabs/UNC5221/APT27 и вымогательской группировки Thor, причём последние ненароком демаскировали первых. Атакующие эксплуатировали свежие CVE в SharePoint и Ivanti EMM, разворачивая у жертвы ВПО KrystyLoader, Silver, а также инструменты Tactical RMM и MeshAgent.

🔵Детальный разбор атак APT PlushDaemon, в которых для заражения жертв хорошо известным ВПО SlowStepper сначала компрометируется сетевое устройство, которым хотя бы иногда пользуется жертва. На роутеры устанавливают ВПО EdgeStepper, которое манипулирует DNS и проводит AiTM-атаки, подсовывая вредоносные файлы в момент, когда легитимное ПО на компьютере жертвы пытается установить обновления.

🟣Статистика атак, связанных с шоппингом — аккурат к пятнице известного цвета и киберпонедельнику. В этом сезоне, например, было отмечено более миллиона атак банковских троянцев.

🟣Разбор атак APT31, нацеленных на промышленный шпионаж и кражу интеллектуальной собственности в российских ИТ-компаниях. Атакующие используют целевой фишинг для разворачивания целой батареи вредоносного ПО, включая COFFProxy YaLeak CloudyLoader и OneDrivedoor.

🔵Очередное усложнение атак ClickFix — установка ВПО идёт аж в четыре этапа, и код последнего этапа достают из картинки, где он смешан с пикселями — полноценная стеганография.

🟢У OpenAI утекли имена, емейлы и некоторые другие данные части пользователей API. Утечка произошла у поставщика веб-аналитики, MixPanel. Основной угрозой жертвам утечки является убедительный фишинг.

⚪️Серьёзный недостаток сервисов и опасная ошибка пользователей. Сайты для онлайн-оформления кода и данных JSONFormatter и CodeBeautify позволяют легко скачать недавно прошедший через них код других пользователей — а в нём зачастую оставляют ключи API, учётные данные и многое другое.

🔵Длинный список файлов, в которых можно словить ВПО, пополнили 3D-модели Blender. Через маркетплейсы моделей реально распространяют стилер StealC v2.

🟢Microsoft назвала фишкит Tycon2FA/Storm-1747 самым активным в этом году — в этой инфраструктуре только в октябре провели 13 млн атак, и 25% всех атак с применением QR-кодов.

🟣Greynoise выкатили сервис, на котором можно проверить, не сидят ли ваши роутер или холодильник в ботнете.

#APT #дайджест П2Т

🔥 NGFW против уязвимости WSUS

Закрытый в рамках октябрьского Patch Tuesday дефект CVE-2025-59287 (CVSS 9.8) в Windows Server Update Service, приводящий к выполнению произвольного кода, надолго запомнится чередой неэффективных патчей, которые к тому же нарушали нормальный цикл обновлений на уязвимых серверах. Уязвимостью уже вооружились злоумышленники, поэтому её устранение критически важно.

Грамотная архитектура ИБ позволяет организациям защититься от эксплуатации этого и подобных дефектов. В новой статье разобрали, как обнаруживают уязвимость и предотвращают её эксплуатацию различные наши решения: EPP, EDR, KATA/NDR и NGFW. Тем, кто предпочитает один раз увидеть — короткое видео с участием NGFW. Межсетевой экран предотвращает отправку эксплойта на уязвимый сервер и фиксирует факт атаки.

#видео #NGFW #Microsoft @П2Т