🔎 Интересные исследования APT и новости ИБ за неделю

🪲 Неделя прошла под общим девизом «больше эксплуатации React2Shell». Десятки групп эксплуатируют дефект с целями шпионажа, кражи учётных данных, криптомайнинга и создания ботнетов. Примечательные моменты:
🟢 в ханипотах попадаются вредоносные нагрузки XMRig и RondoDox. Видны попытки кражи секретов Git и облачных сред;
🟢 после эксплуатации React4Shell детектирован сложный бэкдор EtherRAT, использующий аж 5 механизмов закрепления в Linux-системах и С2 на базе блокчейна Ethereum. Предполагается, что это шпионский имплант из арсенала Lazarus;
🟢 также обнаружены Linux-бэкдор Peerblight, используемый для майнинга, и ботнет Kaiji;
🟢 внимание исследователей к React привело к обнаружению и устранению ещё трёх уязвимостей, хоть и не RCE. Надо обновляться ещё раз.
Даже к концу недели число уязвимых хостов остаётся сильно выше 100 тысяч.

🟣Технический анализ бэкдора NANOREMOTE, использующего Google Drive API для С2 и для извлечения данных с хоста жертвы. Авторы исследования нашли пересечения кода с ВПО FINALDRAFT, используемого APT REF7707.

🟣Исследование активности киберподполья в Telegram показывает, что злоумышленники снижают свою активность на платформе по мере ужесточения модерации. Средний срок жизни канала с крадеными данными и нелегальными услугами значительно сократился в 2025 году.

🔵Подробнейший технический анализ модульного бэкдора ValleyRAT/Winos4.0 и его билдера. Наличие мощных плагинов вроде руткита уровня ядра и применение драйверов со всё ещё действительной цифровой подписью делают его весьма опасной угрозой. Билдер стал широко доступен в последние полгода, поэтому число образцов ValleyRAT на VT резко выросло, и в будущем активность Winos нельзя уверенно атрибутировать китаеязычным группировкам.

🟢ВПО BuhTrap, используемое в атаках на российские организации более 10 лет, снова пустили в дело. Заражённые файлы поджидают бухгалтеров на профильных форумах и на сайтах с шаблонами документов. ВПО занимается кейлоггингом и сбором данных о подключённых смарт-картах.

🟡Технический анализ бэкдора UDPGANGSTER, используемого APT MuddyWater в атаках на организации в Азербайджане, Израиле и Турции. Доставляют бэкдор топорным фишингом через Word-файлы с макросами.

🟠Функция ChatGPT «поделиться чатом» используется в атаках ClickFix для распространения инфостилера AMOS. Злоумышленники маскируют свой чат с ботом под инструкции по загрузке браузера OpenAI Atlas для macOS.

🟢Ещё одна интересная разновидность ClickFix — в атаке ConsentFix у пользователей угоняют OAuth-токены на сервисах Microsoft. На первом этапе фальшивая капча требует указать рабочий адрес, затем происходит нормальная аутентификация на легитимных доменах Microsoft, но в конце пользователя переадресуют на страницу, в адресе которой зашит искомый токен — этот адрес от жертвы и требуют ввести в псевдокапчу.

🟢Анализ ВПО VolkLocker, используемого относительно новой RaaS CyberVolk.

🔵Разбор TTPs группировки Gold Salem при вымогательских атаках с использованием шифровальщика Warlock.

🟣Анализ нового многоплатформенного шифровальщика 01flip, написанного на Rust.

🔴Технический анализ ВПО Droidlock, блокирующего Android-устройства и способного воровать и удалять данные на смартфоне.

🟢Не срочная, но важная для ИБ новость. Рабочая группа CA/Browser объявила о постепенном отключении устаревших способов подтверждения владения доменом при выдаче сертификатов. К марту 2028 года перестанут работать аж 11 проверенных способов типа факса на контактный телефон в DNS-записи.

#APT #дайджест @П2Т

🗣 Как расследовать инциденты в ИБ

Когда: 17 декабря 2025 в 11:00 (МСК)

Успешное расследование зависит не только от инструментов и логов, но и от слаженности команды, грамотной фиксации событий, способности быстро выдвигать и проверять гипотезы. Как действовать в первые часы? Что делать, если журналы удалены и следы стёрты? Какие выводы сделать из атаки, чтобы не наступить на те же грабли снова?

О реальных случаях в практике DFIR, полезных инструментах, приёмах цифровой криминалистики и будущем расследований в мире ИИ поговорят эксперты на онлайн-конференции AM-Live! Обсудим:

▶️ кто должен быть вовлечён в расследование;
▶️ чем отличается анализ «живого» инцидента от постфактум-расследования;
▶️ как формализовать и задокументировать расследование;
▶️ какие и где брать журналы, и как быть если их стёрли;
▶️ как понять, что инцидент требует вовлечения топ-менеджмента или антикризисного штаба;
▶️ какие системные ошибки чаще всего выявляются в результате расследования;
▶️ кто должен готовить итоговое резюме и как его правильно презентовать.

👤 От «Лаборатории Касперского» выступит Константин Сапронов, руководитель глобальной команды реагирования на инциденты ИБ.

Встречаемся в среду: 17 декабря 2025
Нужна предварительная регистрация.

Узнать о конференции и зарегистрироваться ⟶

#события @П2Т

⏳ Забытая инфраструктура: найти и обезвредить

Забытые ИТ-активы — почти как теневые, только ещё хуже. Организация исправно платит за неиспользуемые серверы или хранилища, а потом через них происходят утечки или проникают злоумышленники. И приходится писать в отчётах перлы вроде знаменитого «устаревший и неиспользуемый тестовый аккаунт».

Что забывают чаще всего, и как с этим бороться? Провели краткую инвентаризацию и оценили риски:

🟢 физических и виртуальных серверов;
🟢 неактивных учётных записей;
🟢 хранилищ данных;
🟢 запущенных, но неиспользуемых приложений и служб;
🟢 устаревших API;
🟢 давно не обновлённых зависимостей;
🟢 брошенных сайтов;
🟢 и даже неиспользуемых роутеров.

Для каждого вида актива порекомендовали методы обнаружения, реагирования и систематические меры по борьбе с забвением.

📌 Почитайте и поделитесь с коллегами в ИТ

#советы @П2Т

Время подводить итоги года! 18 декабря в 11:00 мы проведём стрим «Киберитоги 2025: события, тренды, прогнозы».

В программе — самое важное из мира угроз, продуктов и технологий:

🟢главное о киберугрозах 2025 года — статистика, неожиданные находки, самые яркие кейсы и тенденции, которые определяли ландшафт атак;
🟢продукты и технологии — что мы сделали в 2025 и в каком направлении движемся дальше;
🟢что нас ждет в 2026 году — куда будет развиваться кибербезопасность? Роль ИИ, эволюция NGFW, новое в SIEM, а также стратегические приоритеты, которые мы закладываем уже сегодня.

В студии — ведущие исследователи «Лаборатории Касперского», которые знают, что скрывается за громкими заголовками и сухими цифрами.

Регистрируйтесь на стрим по ссылке!

🔥 Атака в МСБ: реагирование по шагам

Что делать, если ИТ-инфраструктуру взломали, зашифровали или удалили? В компаниях малого и среднего бизнеса редко есть проработанный план действий на такой случай. Обычно службы ИТ и ИБ имеют очень широкий круг задач и порой недостаточно опытны в процедурах реагирования.

Для них появилось готовое пошаговое руководство, позволяющее грамотно реагировать на инцидент с привлечением сторонних экспертов. Внутри:

🟢первые, срочные шаги при инциденте;
🟢к кому обратиться за помощью, как её получить и в чём она может заключаться;
🟢что можно (и нужно!) сделать заранее;
🟢как происходит реагирование на инциденты (DFIR);
🟢шифрование — это лишь часть проблемы. Оценка последствий утечки данных;
🟢что делать, если подозреваете взлом, но не уверены;
🟢инструкции по сбору и сохранению технических данных, правильному оформлению сопроводительных документов.

Рекомендации разработаны Константином Титковым, руководителем центра ИБ ДЗО Газпромбанка, в соавторстве с экспертами отрасли ИБ: Сергеем Головановым, Ильёй Зуевым, Антоном Величко.

📌 Скачать руководство без регистрации и СМС.

#советы @П2Т

🔥 Эксплуатация 0day в Cisco и SonicWall

В среду Cisco и SonicWall одновременно разразились бюллетенями об активной эксплуатации зиродеев в своих продуктах — но в обоих случаях речь не идёт про межсетевые экраны.

У Cisco атаке подверглись Secure Email Gateway и Secure Email and Web Manager (в девичестве известные как Email Security Appliance и Content Security Management Appliance). Ещё не закрытая уязвимость CVE-2025-20393 (CVSS 10) в Cisco AsyncOS позволяет атакующим выполнять произвольный код с правами root на устройстве. Этим уже пользуется APT UAT-9686, активность которой пересекается с APT41и UNC5174. На поражённых устройствах разворачивают бэкдор AquaShell, а также вспомогательные инструменты AquaTunnel, AquaPurge и Chisel.

Первичное расследование показывает, что дефекту подвержены только устройства с активированной функцией Spam Quarantine, управляющий порт которой доступен через Интернет. Но, как говорится, в программе возможны изменения, следите за нашими объявлениями. Патчей пока нет, поэтому рекомендуют изолировать устройство от Интернета, следить за трафиком, а в случае компрометации — полностью переустанавливать устройство с чистого листа.

У SonicWall атакована консоль управления (AMC) в устройствах удалённого доступа SonicWall SMA1000. Злоумышленники комбинируют новую CVE-2025-40602 (CVSS 6.6, повышение привилегий) с ранее известной CVE-2025-23006 (CVSS 9.8, RCE) чтобы также запускать свой код на устройстве с правами root. В SonicWall подчёркивают, что функция SSL-VPN на их межсетевых экранах не подвержена этой уязвимости. Патчи уже доступны.

В какой вредоносной активности использовалась цепочка дефектов — не сообщается, но за обнаружение благодарят Google Threat Intelligence Group.

#уязвимости @П2Т

👾 IDEsaster: уязвимы все ИИ-среды разработки

«Просто добавь воды ИИ» — рецепт, которому следуют 100% крупных производителей IDE, то есть сред разработки ПО. Все "AI IDE" построены на базе давно существующих и развитых IDE с миллионами пользователей. На основе VSCode созданы ИИ-среды Cursor, Windsurf, Roo Code, GitHub CoPilot и Kiro.dev, из JetBrains развились Junnie и Cline, к Zed dev легко подключить Claude Code CLI и Gemini CLI. Все они уязвимы к новому классу дефектов IDEsaster, позволяющему извлекать из атакуемой системы данные или запускать на ней произвольный код.

Исследователь, работающий над этой проблемой, уже обнаружил 30 дефектов в перечисленных IDE и добился назначения 24 CVE. 100% протестированных сред оказались уязвимы. Суть проблемы в том, что IDE располагает развитыми средствами автоматизации, которые теперь порой запускает и настраивает ИИ-агент. Далеко не всегда он воспринимает изменения в скриптах и настройках как опасные и требующие подтверждения от человека. Выстроенные вокруг ИИ-агента фильтры тоже не учитывают опасные функции IDE, в результате одни и те же атаки с минимальными модификациями надёжно воспроизводятся на разных IDE.

Пример утечки данных: с помощью промпт-инъекции ИИ-агента просят записать JSON-файл на основе схемы JSON, сохранённой на внешнем сервере. Функция поддерживается во всех IDE на базе Visual Studio Code, JetBrains и Zed dev. При обращении к внешней схеме JSON данные, воруемые с компьютера, передаются в параметрах GET-обращения к серверу атакующего.

Запуск произвольного кода отличается в реализации для разных IDE, но сводится к тому, что настройки IDE (php.validate.executablePath или Git.Settings — PATH_TO_GIT) модифицируются, чтобы вызывать код атакующего при открытии или валидации любого файла исходников.

Проблема с IDEsaster в том, что функций и методов автоматизации в каждой IDE очень много, и их можно творчески комбинировать, превращая устранение дефектов в бесконечные кошки-мышки. Та же RCE в GitHub Copilot (CVE-2025-53773) была устранена в августе, чтобы возродиться с небольшой модификацией в ноябре (CVE-2025-64660).

Как снизить риски атак на AI IDE?

1️⃣ использовать агентов и IDE только с доверенными проектами и файлами. Нужно учитывать, что промпт-инъекция может содержаться в любых обрабатываемых ИИ файлах, включая всякие readme, тест-кейсы и даже в самих именах файлов;
2️⃣ подключаться только к доверенным серверам MCP, предварительно проведя детальный анализ потоков данных, с которыми работает MCP-сервер. Детально отслеживать и журналировать работу MCP-серверов, чтобы оперативно обнаруживать аномалии;
3️⃣ настраивать ИИ-агенты на режим human-in-the-loop, чтобы подтверждать вручную максимум выполняемых ими действий.

Более детальный разбор модели угроз, конкретных уязвимостей и рекомендаций по защите — в посте автора исследования.

#AI @П2Т

🌐 Новый tor, расшифровка ИИ-чатов и другие важные новости конфиденциальности и личной ИБ

🫶 Google и Apple сделали радикальный шаг навстречу пользователям (и друг другу). Начиная со свежих моделей Pixel и iPhone, функции AirDrop и QuckShare получают кросс-совместимость — наконец можно посылать друг другу файлы на высокой скорости. Google отдельно хвастается, как там всё безопасно, приватно, и ходит напрямую между телефонами без всяких серверов.

👀 Узнать общую тему вашей беседы с чатботом можно, даже не расшифровывая HTTPS-трафик. Правда, только для конкретных тем, на которых детектирующая система заранее обучена. Как это работает и какие ИИ-ассистенты наиболее уязвимы — объяснили в отдельном посте.

🧅 Разработчики Tor представили значительно обновлённую схему «луковичного» шифрования, CGO. Она призвана заменить текущую схему tor1, которая недостаточно устойчива к некоторым современным атакам, например «разметке» трафика. Новая схема пока тестируется и уже есть код для узлов сети tor. После полномасштабного запуска CGO у клиентов всё заработает автоматически.

🤖 Поскольку агентские функции в браузерах небезопасны, Google после внедрения агентских функций в Chrome пытается подстелить соломки при помощи отдельной модели, которая следит, чтобы агент не натворил чудес.

📌 У Greynoise вышел сервис проверки — можно просто зайти на сайт из домашней сети и узнать, не является ли ваш IP участником ботнета. Если вдруг является, дальше предстоит разбираться, кто во всём виноват — телевизор, роутер или пылесос.

💾 Плохие новости для тех, кто архивирует данные на SSD. Подолгу отключённые накопители теряют данные.

🕵️‍♂️ Интересный разбор пути украденных данных, которые удалось выманить у жертвы фишингом.

😎 Больше приватности: третий по величине оператор круизов MSC полностью запретил смарт-очки на борту.

😱 Меньше приватности: при взломе провайдера веб-аналитики MixPanel злоумышленники похитили историю просмотров премиум-пользователей PornHub. Запасаемся попкорном и размышляем о том, к чему приводит бесконтрольное накопление аналитики и поведенческих данных.

#дайджест @П2Т

Интересные исследования APT и новости ИБ за неделю

⚡️ Технический анализ и TTPs новых атак «Форумный тролль». Целевой фишинг и детально подготовленная инфраструктура на сей раз предназначены для конкретных физлиц: российских учёных в области политологии, международных отношений и мировой экономики. В отличие от предыдущей документированной нами волны атак, где финальной нагрузкой были ВПО Dante и LeetAgent, на сей раз используется маячок редтим-фреймворка Tuoni.

🪲 Продолжает атаки на восточноевропейские и азиатские организации и APT Cloud Atlas. Хотя группировка работает с 2014 года и не меняет общего подхода к заражению жертв, благодаря небольшим модификациям TTPs они сохраняют высокую эффективность. На сегодня в арсенале группы четыре импланта с сильно пересекающимся набором функций: PowerShower, VBShower, VBCloud и собственно CloudAtlas. В последнее время мишенями атак становились госучреждения и организации в телекоме, строительстве и промышленности.

🟢Промышленные и государственные организации в Европе и Саудовской Аравии атакуют при помощи сложного многоцелевого загрузчика, впоследствии устанавливая разнообразное ВПО: Remcos, DC Rat, XWorm и др. Эту инфраструктуру явно используют многочисленные группировки. Атака начинается с фишинговых писем, замаскированных под документы на заказ товара.

🔵Обзор свежих атак и текущей инфраструктуры APT Lazarus/Kimsuky.

🟣Незаметная с 2022 года APT Infy/Prince of Persia на самом деле продолжает деятельность и активно разивает обе линейки фирменного ВПО, Foudre и Tonnerre.

🔵Новая версия шифровальщика RansomHouse усилила и одновременно ускорила алгоритмы шифрования.

🔵Разбор свежих атак на пользователей Microsoft 365 — различные группы начали использовать сценарий OAuth 2.0 device authorization grant для проникновения в учётные записи. Техникой пользуются и денежно мотивированные, и шпионские APT.

⚪️Атакам, в которых под тем или иным предлогом к аккаунту WhatsApp жертвы привязывают левое устройство, придумали название GhostPairing.

🟢Подробный анализ нового банковского троянца для Android, пока атакующего пользователей из Турции. ВПО Frogblight эксплуатирует возможность войти на турецкий портал государственных услуг через аутентификацию в онлайн-банкинге. Перехватывая этот процесс, ВПО получает доступ в банк жертвы. Кроме того, Frogblight имеет обычные шпионские функции. Вероятно, ВПО распространяется по модели MaaS и в будущем будет адаптировано для других стран.

🟢Приятный новогодний подарок от Docker: более 1000 образов Docker Hardened Images перешли в open source по лицензии Apache 2.0. Это чуть улучшит ситуацию со взломом контейнерных инфраструктур.

🟣Кстати, в Amazon рассказали об активной кампании криптомайнинга, в которой инфраструктуру ECS (Elastic Container Service) и EC2, арендуемую жертвой, компрометировали при помощи вредоносного образа Docker.

🔵Разбор нового инфостилера Stealka, преимущественно распространяемого под видом модов и кряков для популярных приложений и игр.

🟠Технический анализ Aura Stealer, примечательного многослойной обфускацией.

🟣Тема вредоносых дополнений браузера теперь затронула и Firefox — с сентября обнаружено 17 дополнений с 50k загрузок.

#APT #дайджест @П2Т

🚗 Готовим себе каникулы без инцидентов

Пока ваша ИБ-команда будет отдыхать на новогодних каникулах, некоторые хакеры планируют работать сверхурочно.
Преступники пользуются тем, что обычные сотрудники расслаблены, часть SOC на больничных и в отпусках, поэтому проникнуть в компанию проще, а усилия по реагированию на инцидент скорее всего будут недостаточны и хуже скоординированы.

Чтобы не пришлось экстренно прерывать отдых с семьёй, примите несколько мер заблаговременно: от назначения ответственных и временной деактивации части аккаунтов до привлечения сервиса MDR.
Полный список для предпраздничной ИБ-подготовки читайте в блоге.

Торопитесь, осталась всего неделя!
#советы @П2Т

🗿 Хит-парад CWE

MITRE традиционно подводит итоги года горячим хит-парадом самых опасных CWE, который составляет, систематизируя данные о заведённых за год CVE. Уязвимостей для анализа набралось 39080. Приятно, что уже для 67% из них при заведении дефекта сразу указывают тип программного дефекта, собственно CWE. Это позволяет эффективней планировать защитные меры и приоритизировать обновления.

Первое место в хит-параде удержала CWE-79, межсайтовый скриптинг (CSS). За ней следуют SQL-инъекции и CSRF, каждая из которых поднялась на одну ступеньку.

На четвёртом месте резко набравшая обороты и поднявшаяся на пять мест CWE-862, отсутствующая авторизация, за которой следуют потерявшие пару позиций обход пути и запись за границу буфера.

Интересно, что в топ вошли сразу три разновидности переполнения буфера, которых раньше в рейтинге не было. В основном это связано с коррекцией методики рейтинга, теперь MITRE не «нормализует» данные по CWE, чтобы учитывать более точную и нюансированную картину по первопричинам уязвимостей. Подробней об этом написано в методологии исследования.

#статистика #уязвимости @П2Т

Звук! 🎄⭐️🚗

#ИБ_мем @П2Т

Как-то под Новый Год встретил наш Мидори дипфейкового Деда Мороза… обойдёмся без спойлеров — включайте скорее новую часть нашего традиционного новогоднего мультфильма 🎅

С наступающими праздниками и приятного вам просмотра 💚

🔔 Интересные исследования APT, праздничные кибератаки, и другие новости ИБ за неделю

🪲 Технический анализ новой волны шпионских атак APT Evasive Panda/Daggerfly/StormBamboo. Группа проводит атаки AitM, используя технику отравления DNS для доставки фирменного ВПО MgBot. Как им удаётся подменять запросы к легитимным ресурсам вроде dictionary[.]com — остаётся загадкой. Известные жертвы находятся в Индии, Китае и Турции.

❗️ Под самое католическое Рождество MongoDB выкатили фикс для CVE-2025-14847, критической уязвимости с утечкой информации, уже названной MongoBleed. Подвержены все актуальные версии MongoDB. Если обновиться невозможно, как минимум нужно отключить zlib на сервере. Эксплуатация дефекта тривиальна, POC в паблике, кто не запатчился — бежит заниматься ротацией секретов.

🟢Грустные итоги года: систематический анализ инцидентов с деструктивным ВПО, внедрённым в компоненты open source.

🟣И ещё одни: за год украдено на $3,5 млрд криптовалюты, из них $2 млрд — одним только кластером Lazarus.

🟣Все печальные тренды, о которых мы регулярно писали в уходящем году, объединены в инциденте с криптокошельком TrustWallet. Тут и расширения Chrome, и атака на цепочку поставок, и реализация атаки в праздники. Обновление расширения TrustWallet, произошедшее в ночь перед Рождеством, было троянизировано скриптом, которые отправлял сид-фразу кошелька на сторонний сервер, как только пользователь её вводил. По имеющимся данным похищено около $7 млн. Безопасная версия расширения — 2.69.

🪲 Новое ВПО Webrat распространяется через GitHub под видом PoC к свежим эксплойтам.

🟢Обзор пяти видов ВПО для Android, распространяемого в Узбекистане и используемого для похищения SMS.

🟠Подробности операции Artemis, предположительно проводимой APT37. Атака адаптирована для жителей Южной Кореи — жертв обрабатывают, представляясь продюсером телепрограммы на корейском ТВ, а под видом опросника перед интервью присылают ВПО в обёртке текстового документа в местном формате .HWP.

🟣В декабре произошёл кратковременный скачок числа видимых в сети серверов Cobalt Strike. Какая операция проводилась на их основе, неизвестно.

🟣Разбор атак ранее неизвестной APT UNG0801, атакующей корпорации в Израиле с помощью приманок вида «ваша служба безопасности требует обновить защитное решение на компьютере». ВПО имеет иконки популярных EPP. Авторы исследования с юмором называют угрозу «a slightly advanced yet persistent threat».

🟠OpenAI обновила защиту агентов в браузере Atlas от промпт-инъекций. В анонсе мимоходом признают, что решить эту проблему полноценно попросту невозможно.

🟢Обнаружены два вредоносных расширения Chrome, крадущих сессии из браузера. Интересно, что они называются multi-location network speed testing plugins, видимо чтобы не привлекать внимание различных сканеров аббревиатурой из трёх букв, начинающейся на V.

🟣Модная система автоматизации процессов n8n закрыла RCE CVE-2025-68613 со скромным CVSS 9.9. Censys насчитали более 100 тысяч уязвимых серверов в сети, преимущественно в США, Германии, Бразилии и Франции.

😱 Кинетическая война с киберпреступностью добралась до Мьянмы: там снесли уже треть построек и сожгли оборудование известного скам-города KK Park.

⚡️Интерпол и Африпол действуют гуманнее — отчитались об аресте 574 подозреваемых в 19 странах, накрыв участников схем BEC, ransomware и вымогательства.

#APT #дайджест @П2Т

🎆 Карьера CISO, стоимость SIEM, методы совместных атак хактивистов — лучшие посты 2025 года!

Карьера в ИБ требует всё время учиться, поэтому длинные выходные — прекрасная возможность почитать материалы, которые помогут долгосрочно повысить безопасность компании и эффективность работы её ИБ-команды.
Мы разобрали лучшие, важные, но не сиюминутные посты из нашего канала по темам и сферам интересов.
Никаких уязвимостей и срочных патчей 😃 Читайте и сохраняйте!

🍪 Интересно и просто про различные ниши в ИБ
🟢что такое киберразведка, она ж threat intelligence — вдумчивое интервью и динамичный подкаст;
🟢как протестировать свою кибербезопасность? В чём разница pentest, red team и сканирования уязвимостей;
🟢основные угрозы малому бизнесу;
🟣как правильно устранять уязвимости в ПО и при чём здесь CVSS;
🟣350 видео с докладами топовых ИБ-конференций;
🔵увлекательное видео о печально знаменитой хакерской группировке Lazarus.

👍 Материалы для CISO, CIO и даже CEO
🟣основные киберриски и ущерб от их реализации по статистике страховых компаний;
🔵честные разговоры про ИБ с CISO ведущих российских компаний;
⚪️ИБ для гендиректора — о чём спрашивать своего CISO;
🟣рекомендации WEF по киберустойчивости;
⚪️ эволюция киберрисков за 15 лет;
🟢как развивается карьера и растёт зарплата CISO;
🟣 дефицитные навыки в ИБ: чему обучать специалистов, а чему — всех сотрудников;
🟢CISO mindmap 2025;
🔵виды забытой ИТ-инфраструктуры и как избавиться от этих рисков и расходов;
🟢чем важна в ИБ культура «без обвинений».

🤖 Безопасность ИИ
🔵рекомендации по безопасности ИИ-агентов в организации от IBM и Anthropic;
🟣 словарь ИИ-терминов 2025 года;
🟢новые классы атак на ИИ-ассистентов;
🔴качество кода, созданного ИИ, растёт, а безопасность — нет.

🔥 Практические советы (SOC, TI, DFIR и все-все-все)
⚪️советы по харденингу MS Exchange;
🟣тактики, техники и совместная деятельность проукраинских хактивистов;
🔵обзор новых версий фреймворков ATT&CK 17 и D3FEND 1.0;
🟢практика внедрения SIEM: как оценить стоимость железа и какие нюансы учесть географически распределённым компаниям или организациям с неоднородной ИТ-инфраструктурой;
🟣введение в detection engineering;
🟢новые артефакты для DFIR в Windows 11;
🟣применение артефакта AMcache в DFIR;
🟢как радикально усилить возможности EDR в Linix;
🔵штатные средства защиты macOS и типовые способы их обхода злоумышленниками;
🟣реагирование на инциденты в контейнерных средах.

🎁 Бонус для родственников, друзей и коллег из других отделов: базовые советы и ответы на частые вопросы по кибербезопасности.

#дайджест #лучшее #CISO @П2Т

🎁 Экспресс-курс безопасности для племянников, бабушек и одноклассников

Если на праздничных посиделках 🥂 с друзьями или родственниками вас опять расспрашивают про взломы, пароли и один из новых мессенджеров, вам не обязательно надрывать голос и придумывать подробные объяснения! Пришлите одну из ссылок ниже — или просто перешлите этот пост! Это настоящий клад из базовых советов по цифровой гигиене и безопасности для всех-всех-всех. 🎆

1️⃣ Простые советы по защите мессенджеров
Одна из главных угроз для обычных людей — потерять доступ к переписке или «плодотворно» пообщаться с мошенниками.
Если вообще мало времени читать — ограничьтесь вот этим постом.

А если нужно, у нас есть и больше советов по защите, и примеры, почему это важно.
Вот неприятные реальные истории этого года: 10 уроков из реальной разводки, атаки от имени Почты России и от имени вашего отдела кадров.

2️⃣Пользуемся ИИ-ботами безопасно:
- советы для DeepSeek. Можно даже установить локально, чтобы работать без Интернета;
- советы для ChatGPT.

3️⃣Большой гид по онлайн-безопасности для родителей подростков.

4️⃣Хотите установить ИИ-браузер, или вам его уже насильно всучили Google с Microsoft?
Разберитесь с тем, как пользоваться им безопасно.

5️⃣Угрожающие письма и шантаж по email. Что делать? Вот конкретный план.

6️⃣Как поступить, если вам пришла посылка, которую не заказывали.

7️⃣ Как не наследить в Интернете
Успешные атаки мошенников опираются на доступные публично и в разных утечках данные о жертве. Предотвратить утечки нам с вами сложно, а вот давать врагам меньше подсказок в соцетях, на досках объявлений и прочих онлайн-площадках вполне можно.
Разбираемся, кто такие брокеры данных и как удалиться из их обширных досье, а потом зачищаем свой цифровой след в целом.

8️⃣На каких сайтах можно вводить пароль от своей почты, а где это вредно и опасно?
Разбираем на конкретных примерах, защищаем вас от одной из самых распространённых фишинговых атак.

9️⃣В 2025 году очень распространилась новая тактика мошенников: докажите, что вы человек, пройдите капчу, скопируйте и вставьте какой-то текст. Это опасная атака ClickFix, научитесь её узнавать и избегать.

🔟 Переходим на ключи доступа 🔑
Многие сайты и онлайн-сервисы настойчиво предлагают заменить свой пароль на некий «ключ доступа» (passkey). Идея не запоминать и не вводить пароли очень привлекательна, но реальное удобство сильно зависит от того, какой у вас компьютер и какой смартфон.
Вот наш полный гид по ключам доступа: основы и вопросы со звёдочкой.

#советы #Азбука_ИБ @П2Т

🗿 Интересные исследования APT и тревожные новости ИБ за неделю

Врываемся за ваш новогодне-рождественский стол с дайджестом ИБ-новостей за последние дни. Тезис о том, что у хакеров нет выходных, к сожалению подтверждается в полной мере.

🟣Технический анализ нового ВПО, применяемого APT HoneyMyte/Mustang Panda в атаках на госорганизации в ЮВА. Финальной нагрузкой является ВПО ToneShell, но для его разворачивания применяется драйвер уровня ядра, значительно усложняющий обнаружение атаки.

🟣А APT Silver Fox расширила географию атак и теперь интересуется ещё и Индией. Ранее эту волну атак ошибочно приписывали другому кластеру Sidewinder. Начальное проникновение осуществляется через фишинг с «налоговой» тематикой.

🟣Анализ долгосрочной кампании DarkSpectre, троянизирующей расширения браузера. Примечательно, что вредоносные расширения исправно выполняли заявленную функцию и обзавелись недоверенной функциональностью только спустя 5 (!) лет. Наиболее интересна часть кампании, основанная на 18 расширениях с 2,2 млн установок в Chrome, Edge и Firefox. Скрытый компонент расширений передаёт на сервер атакующих подробную информацию о всех видеоконференциях жертвы на 28 популярных платформах вроде Teams и Zoom.

🔵Российские компании атакует инфостилер, пытающийся маскироваться под сетевые диагностические сервисы и крадущий в первую очередь документы и архивы. Распространяется через фишинг с вложениями, замаскированными под PDF.

🟢Уязвимость MongoBleed, настоящий рождественский подарочек киберпреступникам, эксплуатируется в реальных атаках — бюлллетени CISA и ASD вышли 29 декабря.

🟢Авторы Shai-Hulud не успокаиваются — ещё одинм новогодним подарком, обнаруженным тоже 29 декабря, стала версия 3.0, пока замеченная только в одном пакете npm и явно нацеленная на более надёжную и незаметную работу.

🟠Технику ClickFix упаковали в удобную индустриальную обёртку — в сети обнаружен подпольный сервис ErrTrafic, позволяющий генерировать ClickFix-страницы.

🟣Активно растущий ботнет RondoDox эксплуатирует React2Shell.

🟣А ВПО GlassWorm, распространяющееся через троянизированные расширения VSCode, обзавелось версией для macOS.

⚪️Fortinet аккурат под Рождество тихонько выпустили информацию, что старый обход 2FA, CVE-2020-12812, активно используется в кибератаках. Хотя уязвимость старая, по данным Shadowserver ей подвержено более 10 тыс. устройств.

#дайджест @П2Т

🧑‍💻 Приказ ФСТЭК № 117: мы разобрали требования и подготовили памятку с конкретными предложениями под базовый набор мер по защите информации — без абстрактной теории ⬆️

Напоминаем: новые требования к защите информации в государственных информационных системах (ГИС) вступают в силу 1 марта 2026 года. В приказе много практических моментов, которые надо учитывать: устранение уязвимостей и обновления, мониторинг событий, контроль конфигураций и доступов, работа с подрядчиками, безопасная разработка. Отдельный блок посвящён корректному и безопасному использованию ИИ — этого раньше в регулировании просто не было.