Звук! 🎄⭐️🚗

#ИБ_мем @П2Т

Как-то под Новый Год встретил наш Мидори дипфейкового Деда Мороза… обойдёмся без спойлеров — включайте скорее новую часть нашего традиционного новогоднего мультфильма 🎅

С наступающими праздниками и приятного вам просмотра 💚

🔔 Интересные исследования APT, праздничные кибератаки, и другие новости ИБ за неделю

🪲 Технический анализ новой волны шпионских атак APT Evasive Panda/Daggerfly/StormBamboo. Группа проводит атаки AitM, используя технику отравления DNS для доставки фирменного ВПО MgBot. Как им удаётся подменять запросы к легитимным ресурсам вроде dictionary[.]com — остаётся загадкой. Известные жертвы находятся в Индии, Китае и Турции.

❗️ Под самое католическое Рождество MongoDB выкатили фикс для CVE-2025-14847, критической уязвимости с утечкой информации, уже названной MongoBleed. Подвержены все актуальные версии MongoDB. Если обновиться невозможно, как минимум нужно отключить zlib на сервере. Эксплуатация дефекта тривиальна, POC в паблике, кто не запатчился — бежит заниматься ротацией секретов.

🟢Грустные итоги года: систематический анализ инцидентов с деструктивным ВПО, внедрённым в компоненты open source.

🟣И ещё одни: за год украдено на $3,5 млрд криптовалюты, из них $2 млрд — одним только кластером Lazarus.

🟣Все печальные тренды, о которых мы регулярно писали в уходящем году, объединены в инциденте с криптокошельком TrustWallet. Тут и расширения Chrome, и атака на цепочку поставок, и реализация атаки в праздники. Обновление расширения TrustWallet, произошедшее в ночь перед Рождеством, было троянизировано скриптом, которые отправлял сид-фразу кошелька на сторонний сервер, как только пользователь её вводил. По имеющимся данным похищено около $7 млн. Безопасная версия расширения — 2.69.

🪲 Новое ВПО Webrat распространяется через GitHub под видом PoC к свежим эксплойтам.

🟢Обзор пяти видов ВПО для Android, распространяемого в Узбекистане и используемого для похищения SMS.

🟠Подробности операции Artemis, предположительно проводимой APT37. Атака адаптирована для жителей Южной Кореи — жертв обрабатывают, представляясь продюсером телепрограммы на корейском ТВ, а под видом опросника перед интервью присылают ВПО в обёртке текстового документа в местном формате .HWP.

🟣В декабре произошёл кратковременный скачок числа видимых в сети серверов Cobalt Strike. Какая операция проводилась на их основе, неизвестно.

🟣Разбор атак ранее неизвестной APT UNG0801, атакующей корпорации в Израиле с помощью приманок вида «ваша служба безопасности требует обновить защитное решение на компьютере». ВПО имеет иконки популярных EPP. Авторы исследования с юмором называют угрозу «a slightly advanced yet persistent threat».

🟠OpenAI обновила защиту агентов в браузере Atlas от промпт-инъекций. В анонсе мимоходом признают, что решить эту проблему полноценно попросту невозможно.

🟢Обнаружены два вредоносных расширения Chrome, крадущих сессии из браузера. Интересно, что они называются multi-location network speed testing plugins, видимо чтобы не привлекать внимание различных сканеров аббревиатурой из трёх букв, начинающейся на V.

🟣Модная система автоматизации процессов n8n закрыла RCE CVE-2025-68613 со скромным CVSS 9.9. Censys насчитали более 100 тысяч уязвимых серверов в сети, преимущественно в США, Германии, Бразилии и Франции.

😱 Кинетическая война с киберпреступностью добралась до Мьянмы: там снесли уже треть построек и сожгли оборудование известного скам-города KK Park.

⚡️Интерпол и Африпол действуют гуманнее — отчитались об аресте 574 подозреваемых в 19 странах, накрыв участников схем BEC, ransomware и вымогательства.

#APT #дайджест @П2Т

🎆 Карьера CISO, стоимость SIEM, методы совместных атак хактивистов — лучшие посты 2025 года!

Карьера в ИБ требует всё время учиться, поэтому длинные выходные — прекрасная возможность почитать материалы, которые помогут долгосрочно повысить безопасность компании и эффективность работы её ИБ-команды.
Мы разобрали лучшие, важные, но не сиюминутные посты из нашего канала по темам и сферам интересов.
Никаких уязвимостей и срочных патчей 😃 Читайте и сохраняйте!

🍪 Интересно и просто про различные ниши в ИБ
🟢что такое киберразведка, она ж threat intelligence — вдумчивое интервью и динамичный подкаст;
🟢как протестировать свою кибербезопасность? В чём разница pentest, red team и сканирования уязвимостей;
🟢основные угрозы малому бизнесу;
🟣как правильно устранять уязвимости в ПО и при чём здесь CVSS;
🟣350 видео с докладами топовых ИБ-конференций;
🔵увлекательное видео о печально знаменитой хакерской группировке Lazarus.

👍 Материалы для CISO, CIO и даже CEO
🟣основные киберриски и ущерб от их реализации по статистике страховых компаний;
🔵честные разговоры про ИБ с CISO ведущих российских компаний;
⚪️ИБ для гендиректора — о чём спрашивать своего CISO;
🟣рекомендации WEF по киберустойчивости;
⚪️ эволюция киберрисков за 15 лет;
🟢как развивается карьера и растёт зарплата CISO;
🟣 дефицитные навыки в ИБ: чему обучать специалистов, а чему — всех сотрудников;
🟢CISO mindmap 2025;
🔵виды забытой ИТ-инфраструктуры и как избавиться от этих рисков и расходов;
🟢чем важна в ИБ культура «без обвинений».

🤖 Безопасность ИИ
🔵рекомендации по безопасности ИИ-агентов в организации от IBM и Anthropic;
🟣 словарь ИИ-терминов 2025 года;
🟢новые классы атак на ИИ-ассистентов;
🔴качество кода, созданного ИИ, растёт, а безопасность — нет.

🔥 Практические советы (SOC, TI, DFIR и все-все-все)
⚪️советы по харденингу MS Exchange;
🟣тактики, техники и совместная деятельность проукраинских хактивистов;
🔵обзор новых версий фреймворков ATT&CK 17 и D3FEND 1.0;
🟢практика внедрения SIEM: как оценить стоимость железа и какие нюансы учесть географически распределённым компаниям или организациям с неоднородной ИТ-инфраструктурой;
🟣введение в detection engineering;
🟢новые артефакты для DFIR в Windows 11;
🟣применение артефакта AMcache в DFIR;
🟢как радикально усилить возможности EDR в Linix;
🔵штатные средства защиты macOS и типовые способы их обхода злоумышленниками;
🟣реагирование на инциденты в контейнерных средах.

🎁 Бонус для родственников, друзей и коллег из других отделов: базовые советы и ответы на частые вопросы по кибербезопасности.

#дайджест #лучшее #CISO @П2Т

🎁 Экспресс-курс безопасности для племянников, бабушек и одноклассников

Если на праздничных посиделках 🥂 с друзьями или родственниками вас опять расспрашивают про взломы, пароли и один из новых мессенджеров, вам не обязательно надрывать голос и придумывать подробные объяснения! Пришлите одну из ссылок ниже — или просто перешлите этот пост! Это настоящий клад из базовых советов по цифровой гигиене и безопасности для всех-всех-всех. 🎆

1️⃣ Простые советы по защите мессенджеров
Одна из главных угроз для обычных людей — потерять доступ к переписке или «плодотворно» пообщаться с мошенниками.
Если вообще мало времени читать — ограничьтесь вот этим постом.

А если нужно, у нас есть и больше советов по защите, и примеры, почему это важно.
Вот неприятные реальные истории этого года: 10 уроков из реальной разводки, атаки от имени Почты России и от имени вашего отдела кадров.

2️⃣Пользуемся ИИ-ботами безопасно:
- советы для DeepSeek. Можно даже установить локально, чтобы работать без Интернета;
- советы для ChatGPT.

3️⃣Большой гид по онлайн-безопасности для родителей подростков.

4️⃣Хотите установить ИИ-браузер, или вам его уже насильно всучили Google с Microsoft?
Разберитесь с тем, как пользоваться им безопасно.

5️⃣Угрожающие письма и шантаж по email. Что делать? Вот конкретный план.

6️⃣Как поступить, если вам пришла посылка, которую не заказывали.

7️⃣ Как не наследить в Интернете
Успешные атаки мошенников опираются на доступные публично и в разных утечках данные о жертве. Предотвратить утечки нам с вами сложно, а вот давать врагам меньше подсказок в соцетях, на досках объявлений и прочих онлайн-площадках вполне можно.
Разбираемся, кто такие брокеры данных и как удалиться из их обширных досье, а потом зачищаем свой цифровой след в целом.

8️⃣На каких сайтах можно вводить пароль от своей почты, а где это вредно и опасно?
Разбираем на конкретных примерах, защищаем вас от одной из самых распространённых фишинговых атак.

9️⃣В 2025 году очень распространилась новая тактика мошенников: докажите, что вы человек, пройдите капчу, скопируйте и вставьте какой-то текст. Это опасная атака ClickFix, научитесь её узнавать и избегать.

🔟 Переходим на ключи доступа 🔑
Многие сайты и онлайн-сервисы настойчиво предлагают заменить свой пароль на некий «ключ доступа» (passkey). Идея не запоминать и не вводить пароли очень привлекательна, но реальное удобство сильно зависит от того, какой у вас компьютер и какой смартфон.
Вот наш полный гид по ключам доступа: основы и вопросы со звёдочкой.

#советы #Азбука_ИБ @П2Т

🗿 Интересные исследования APT и тревожные новости ИБ за неделю

Врываемся за ваш новогодне-рождественский стол с дайджестом ИБ-новостей за последние дни. Тезис о том, что у хакеров нет выходных, к сожалению подтверждается в полной мере.

🟣Технический анализ нового ВПО, применяемого APT HoneyMyte/Mustang Panda в атаках на госорганизации в ЮВА. Финальной нагрузкой является ВПО ToneShell, но для его разворачивания применяется драйвер уровня ядра, значительно усложняющий обнаружение атаки.

🟣А APT Silver Fox расширила географию атак и теперь интересуется ещё и Индией. Ранее эту волну атак ошибочно приписывали другому кластеру Sidewinder. Начальное проникновение осуществляется через фишинг с «налоговой» тематикой.

🟣Анализ долгосрочной кампании DarkSpectre, троянизирующей расширения браузера. Примечательно, что вредоносные расширения исправно выполняли заявленную функцию и обзавелись недоверенной функциональностью только спустя 5 (!) лет. Наиболее интересна часть кампании, основанная на 18 расширениях с 2,2 млн установок в Chrome, Edge и Firefox. Скрытый компонент расширений передаёт на сервер атакующих подробную информацию о всех видеоконференциях жертвы на 28 популярных платформах вроде Teams и Zoom.

🔵Российские компании атакует инфостилер, пытающийся маскироваться под сетевые диагностические сервисы и крадущий в первую очередь документы и архивы. Распространяется через фишинг с вложениями, замаскированными под PDF.

🟢Уязвимость MongoBleed, настоящий рождественский подарочек киберпреступникам, эксплуатируется в реальных атаках — бюлллетени CISA и ASD вышли 29 декабря.

🟢Авторы Shai-Hulud не успокаиваются — ещё одинм новогодним подарком, обнаруженным тоже 29 декабря, стала версия 3.0, пока замеченная только в одном пакете npm и явно нацеленная на более надёжную и незаметную работу.

🟠Технику ClickFix упаковали в удобную индустриальную обёртку — в сети обнаружен подпольный сервис ErrTrafic, позволяющий генерировать ClickFix-страницы.

🟣Активно растущий ботнет RondoDox эксплуатирует React2Shell.

🟣А ВПО GlassWorm, распространяющееся через троянизированные расширения VSCode, обзавелось версией для macOS.

⚪️Fortinet аккурат под Рождество тихонько выпустили информацию, что старый обход 2FA, CVE-2020-12812, активно используется в кибератаках. Хотя уязвимость старая, по данным Shadowserver ей подвержено более 10 тыс. устройств.

#дайджест @П2Т

🧑‍💻 Приказ ФСТЭК № 117: мы разобрали требования и подготовили памятку с конкретными предложениями под базовый набор мер по защите информации — без абстрактной теории ⬆️

Напоминаем: новые требования к защите информации в государственных информационных системах (ГИС) вступают в силу 1 марта 2026 года. В приказе много практических моментов, которые надо учитывать: устранение уязвимостей и обновления, мониторинг событий, контроль конфигураций и доступов, работа с подрядчиками, безопасная разработка. Отдельный блок посвящён корректному и безопасному использованию ИИ — этого раньше в регулировании просто не было.

🎁 Семь ИБ-обещаний для безопасного 2026

Новый год — новые правила! В том числе законы, регламентирующие, например, доступ подростков к интернет-ресурсам. Но не только регулирование будет увлекательным в 2026!

В новой статье Kaspersky Daily рассказываем, на какие изменения в правилах и законах стоит обратить внимание, как безопасно пользоваться ИИ-инструментами,что сулит эволюция умного дома и почему вероятно подорожают все онлайн-сервисы, и новые модели смартфонов заодно. У всех этих технологических тенденций есть свои ИБ-аспекты, и если подумать о них заранее, то год может пройти спокойнее.

Изучите и поделитесь с друзьями!

#Азбука_ИБ @П2Т

🪲 Интересные исследования APT и новости ИБ в новом году

⌨️ Очередная эволюция ClickFix — кампания по распространению DCRat использует фальшивые оповещения сервиса бронирования, ведущие на не менее фальшивый синий экран смерти. ☠️
Запущенный в итоге PowerShell использует легитимный инструмент MSBuild для сборки троянца на машине жертвы. Интересная тактика.
На момент исследования вредоносную инфраструктуру обнаруживали только решения «Лаборатории Касперского».

🔵Обзор TTPs и ВПО, применяемого APT UAT-7290 в атаках на телеком-операторов в Азии и Восточной Европе. В арсенале группы отмечены импланты RushDrop, DriveSwitch и SilentRaid, а целями атак являются то шпионаж, то предоставление первоначального доступа другим атакующим.

🔥 Новый год начался бодро: ещё одна уязвимость в n8n, CVE-2026-21858, получила название ni8mare благодаря скромному рейтингу (CVSS 10!) и разнообразию последствий. Учитывая, что n8n — это платформа автоматизации, соединяющая различные системы в организации, в ней обычно хранятся многочисленные ключи и токены к большинству серверов и облачных систем в компании. Пользователям рекомендовано обновиться до n8n 1.121.0 и включить аутентификацию для всех создаваемых форм. Это обновление вышло ещё в ноябре, но тогда в n8n побоялись его честно описывать, и далеко не все поторопились с патчами.

🟠Новый инструмент шпионской группировки APT-Q-36/Dropping Elephant. В атаках в ЮВА обнаружен троянец StreamSpy, использующий для C2 комбо WebSocket и HTTP.

🔵Обзор деятельности китайских киберпреступных группировок на ниве краж денег с ретрансляцией NFC. Вредоносное ПО TX-NFC и NFU используется в нескольких схемах, в том числе в комбинации с нелегальными POS-терминалами для вывода денег под видом покупок.

🟣Детальный разбор Sagerunex, фирменного ВПО, применяемого APT Lotus Panda/Red Salamander в атаках на широкий спектр целей в странах ЮВА.

🟣Не слишком сложный ботнет GOBruteForcer успешно атакует серверы FTP, MySQL, PostgreSQL и phpMyAdmin, используя слабые пароли и ошибки в шаблонных конфигурациях серверов. Новые машины в ботнете сами начинают сканировать Интернет в поисках дополнительных жертв. Злоумышленники интересуются криптовалютами и перепродажей доступа к взломанными машинам.

🆔 Разбор техник атакующих, использующих для эффективного фишинга ошибки в конфигурации почты. Типовые ошибки в настройке доменов и анти-спуфинга позволяют злоумышленникам подделывать адрес отправителя, как будто он работает в организации жертвы.

🟢Ещё один бразильский банковский троянец, Astaroth, освоил WhatsApp Web для самораспространения.

🟢Технический анализ VVS Stealer, в первую очередь нацеленный на кражу данных из Discord, но конечно же ворующий и все данные из браузера.

🟡Глубокий технический разбор упаковщика pkr_mtsi, используемого для обфускации ВПО.

🟣Разбор мер, которые внедряет WhatsApp для защиты абонентов от фингерпринтинга.

#дайджест #APT @П2Т

🔎 Выжимаем из SIEM максимум

Мало развернуть и настроить SIEM, мало обновлять детектирующую логику — нужно регулярно контролировать, что система эффективна, обеспечивает необходимое покрытие, хорошо интегрирована в процессы ИБ и приносит измеримые результаты. 

Проверить работу SIEM и устранить ошибки настройки далеко не тривиально, поэтому для KUMA мы даже оказываем услугу по оценке эффективности использования SIEM. Впрочем, при наличии ресурсов это можно сделать и силами собственной команды, пользуясь рекомендациями нашей подробной статьи.

Полноценный анализ охватывает:

🔵 состав и полноту подключённых источников;
🔵 полноту покрытия источников и потоки данных от них;
🔵 корректность нормализации данных;
🔵 работоспособность, полноту и корректность детектирующей логики;
🔵 анализ использования контекстных данных;
🔵 интеграцию SIEM в процессы SOC на техническом уровне;
🔵 работу сотрудников SOC с оповещениями в SIEM;
🔵 передачу оповещений, информации о событиях и инцидентах ИБ в другие системы;
🔵 архитектуру внедрения и документацию.

Очень часто при анализе обнаруживаются такие типовые проблемы:

🔻Перечень подключённых типов источников не обновляется при изменении инфраструктуры. В инфраструктуре появляются новые виды устройств, например рабочие станции на базе Linux, но в SIEM эти изменения забывают отразить.

🔻События приходят не со всех источников конкретного типа, например к SIEM подключили рабочие станции на базе Windows, но не Windows-серверы, оставив целый сегмент инфраструктуры без мониторинга.

🔻Ядро SIEM не получает события от конкретных источников или коллекторов. Средняя доля коллекторов, которые не передают события, хотя имеют настроенные источники, по нашей практике составляет 38%.

🔻После отладки и установки в SIEM  продолжают сохраняться сырые данные по всей телеметрии, по сути удваивая объем хранения.

🔻Недостаточное покрытие детектирующей логикой. Средний показатель покрытия источников правилами корреляции составляет 43%. Таким образом, более чем для половины источников SIEM не работает.

🔻Спам от детектирующей логики. Детектирующая логика генерирует аномально большое количество срабатываний, которые физически невозможно обработать, сколько бы ни было сотрудников в SOC.

Существуют и другие типовые проблемы — от отсутствия интеграции с данными TI до полного отсутствия развития SIEM с момента внедрения в органзиации.

Подробно о каждой проблеме, примерах, рекомендациях по её обнаружению и устранению читайте на Securelist.

#советы @П2Т

🖥 Январский Patch Tuesday: 114 багов, зиродей и прощание с модемными драйверами

Microsoft открывает 2026 год мощным релизом, устранив 114 уязвимостей. Из них 8 критических и 106 важных, включая один активно эксплуатируемый зиродей и две публично разглашённые уязвимости. По категориям лидируют баги с повышением привилегий (57), за ними следуют RCE (22) и разглашение информации (22). Ещё 5 CVE приводят к спуфингу, 3 — к обходу функций безопасности и 2 — к DoS.

Активно эксплуатируемый зиродей CVE-2026-20805 (CVSS 5.5) в Desktop Window Manager приводит к разглашению информации, а именно — утечке адресов памяти через ALPC-порт на удалённом устройстве. Обнаружение приписывают MSTIC и MSRC, но как обычно никакой конкретики. Также в DWM устранена ещё одна EoP CVE-2026-20871 (CVSS 7.8), оценённая как «эксплуатация более вероятна».

Публично разглашённые до патча

CVE-2026-21265 (CVSS 6.4) — обход функций безопасности из-за истечения срока действия сертификатов Secure Boot. Три ключевых сертификата Microsoft истекают в 2026 году: Microsoft Corporation KEK CA 2011 (24 июня), Microsoft Corporation UEFI CA 2011 (27 июня) и Microsoft Windows Production PCA 2011 (19 октября). Без обновления сертификатов системы с Secure Boot перестанут получать патчи и доверять новым загрузчикам. Основной риск здесь связан как раз с отсутствием будущих обновлений и повышенной вероятностью обхода Secure Boot атакующими. Microsoft предупреждала об этом «патче» ещё в июне.

CVE-2023-31096 — EoP в драйверах древних модемов Agere, которые поставлялись с Windows. Microsoft предупреждала об активной эксплуатации этих уязвимостей ещё в октябре и обещала удалить драйверы. Теперь agrsm64.sys, agrsm.sys полностью удалены из системы.

Критические уязвимости

CVE-2026-20952 и -20953 — RCE в Office (CVSS 8.4), эксплуатируемые из панели предварительного просмотра без взаимодействия с пользователем. Вы ещё не отключили preview pane? Тогда мы идём к вам!

CVE-2026-20955 и -20957 — RCE в Excel (CVSS 7.8), а CVE-2026-20944 — в Word.

CVE-2026-20822 — EoP в Windows Graphics Component
CVE-2026-20854 — RCE в LSASS (CVSS 7.5, требует аутентификации).

Примечательна CVE-2026-20876 — кажется, первая EoP в Windows Virtualization-Based Security Enclave, позволяющая повысить привилегии до VTL2 (высший уровень доверия). Microsoft оценила CVSS как 6.7, но ZDI считает, что оценка должна быть 8.2.

Другие важные уязвимости

CVE-2026-20840 и -20922 — RCE в NTFS (CVSS 7.8), вызванные переполнением буфера в куче. Оцениваются как «эксплуатация более вероятна», работают с низкими привилегиями.

CVE-2026-20820 — очередная EoP в драйвере CLFS, популярном у рансомварщиков. Не откладывайте патчинг.

#Microsoft #уязвимости @П2Т

🤖 OWASP top 10 для безопасности ИИ-агентов

OWASP продолжает выдавать рекомендации по защите ИИ-систем, и опубликовал «горячую десятку» рисков и угроз для ИИ-агентов.

Список охватывает широкий спектр рисков на всех этапах жизненного цикла ИИ-агента. Здесь и привычные ИБ-риски вроде злоупотребления учётными данными и привилегиями, и специфичные для ИИ угрозы вроде злоупотребления доверием между людьми и агентами или каскадные отказы взаимосвязанных агентов.

Для каждого риска приведены подробные описания, примеры реальных или академических атак, подчёркнуты отличия от «смежных» рисков и даны рекомендации по предотвращению или снижению рисков.

Тем, кто спешно 🔥 внедряет агентские системы, точно стоит изучить и взять на вооружение.

📌 Скачать без регистрации и смс.

#советы #ИИ @П2Т

🔥 Малый бизнес отказывается от MFA и перекладывает расходы на клиентов 😱

Годовой отчёт Identity Theft Resource Center, посвящённый влиянию киберрисков на малый бизнес, содержит несколько откровенно шокирующих находок. Малым считается бизнес с 1—500 сотрудниками.

Если в 2024 году каждый третий бизнес рапортовал об использовании MFA во внутренних системах, то в 2025 число снизилось на 7%. Также количество бизнесов считающих себя «очень подготовленными» к инцидентам снизилось аж на 18%, до 38%. Возможно, причина неуверенности — в горьком опыте, поскольку те или иные инциденты ИБ пережили 81% компаний.

Среди тех, у кого был серьёзный инцидент, 37% оценивают ущерб минимум в $500 тыс. Компенсировать эти потери пытаются из резервов и страховых выплат, но 38% также повышают цены на товары и услуги. Это позволяет исследователям говорить о «киберналоге», когда проблемы ИБ оборачивается расходами для конечного потребителя.

Наши рекомендации по защите малого бизнеса мы публиковали в блоге.

#статистика @П2Т

🏆 Стандарт прозрачности для поставщика ИБ-решений

Чего требовать от своих вендоров ИБ и как проверять, что их решения не создают неприемлемых рисков в цепочке поставок?
Этим вопросом задались европейские исследователи из Экономической палаты Австрии (WKO), AV-Comparatives, MCI The Entrepreneurial School и Studio Legale Tremolada. Итогом исследования стал 40-страничный отчёт Transparency and Accountability in Cybersecurity, бесплатно доступный на сайте WKO.

В результате сравнения 14 поставщиков EPP/EDR явным лидером оказалась «Лаборатория Касперского», которая предоставляет клиентам максимальный инструментарий для верификации кода, обновлений, SBOM, управления телеметрией и прочие возможности контроля и управления рисками.

Хотя в списке доминируют западные вендоры и для РФ он не слишком актуален, сами критерии и подходы к оценке поставщиков стоит взять на вооружение при глубокой оценке рисков, создаваемых в цепочке поставок ПО.

▶️Полный отчёт TRACS
⚡️ Энергичный пересказ Евгения Касперского

#CISO #supplychain #советы @П2Т

🟢 Интересные исследования APT и новости ИБ за неделю

🟣Два подробных исследования (раз, два) нового сложного ВПО VoidLink, нацеленного на Linux-серверы и работу в облачных средах. ВПО вероятно создано для коммерческого использования и перепродажи, но его возможностям позавидуют многие APT. Модульная архитектура с 30+ плагинами в стиле Cobalt Strike BOF, руткит, собираемый под конкретную среду прямо на сервере, специальные плагины для работы с контейнерами и различными облачными средами, набор модулей по зачистке логов и следов присутствия, и многое другое. На сегодня ВПО поддерживает AWS, GCP, Azure, Alibaba и Tencent, в планах разработки — Huawei, DigitalOcean и Vultr.

🟣Резонансное исследование деятельности APT UAT-8837, сосредоточенной на проникновениях в предприятия критической инфраструктуры США. Группировка эксплуатирует различные уязвимости, включая 0day CVE-2025-53690, и создаёт несколько различных способов входа в ИТ-инфраструктуру организации.

🔵Технический анализ нового бэкдора Lotuslite, применяемого предположительно APT Mustang Panda/TA416/Stately Taurus.

🟢Разбор нового ВПО PDFSIDER, применённого в рамках атаки на неназванную компанию Fortune 500. Авторы исследования считают, что это шпионская APT, но не говорят, чья. Код изобилует шифрованием, антиотладочными трюками и попытками отключения EPP/EDR.

🟣Старые добрые флешки: APT-C-06/DarkHotel распространяет ВПО на инфицированных USB-носителях (китайский, автоперевод).

🟠Технический анализ третьей версии загрузчика Kazuar, используемого APT Turla.

🟢Разбор целевой кампании Poseidon, проводимой APT Konni против финансовых и общественных организаций. Вредоносное ПО хранится на скомпрометированных сайтах WordPress, а переадресация на него ведётся через легитимные домены рекламных сетей Google и Naver.

🟢Кампания TamperedChef, замеченная прошлым летом и распространяющая инфостилер под видом специально созданного редактора PDF, судя по всему продолжается.

🟣Технический анализ нового, достаточно простого macOS-инфостилера MonetaStealer.

🟠Разбор шифровальщика DeadLock. Эта ransomware примечательна тем, что у её владельцев нет DLS, а данные инфраструктуры, в первую очередь прокси, хранятся в смарт-контрактах Polygon.

🟢Новая кампания по распространению популярного инфостилера Remcos проводится через вредоносный документ Word и целевой фишинг. Приманкой являются транспортные накладные. ВПО запускается в бесфайловом варианте.

🟢Детальный разбор отладочных и антиотладочных механизмов мобильного шпионского ПО Predator.

🔴Критический 0day CVE-2025-20393 в почтовых решениях Cisco, раскрытый в декабре, на прошлой неделе наконец получил патч. Им пользовалась APT UAT-9686.

#APT #дайджест @П2Т

🖥 Планируем «Эпохалипсис»

Мы уже писали про проблему Y2K38 — непредсказуемый набор спецэффектов, который ожидается 19 января 2038 года из-за переполнения поля t_time в *nix ОС, а также файловых системах, базах данных и приложениях, которые тоже взяли формат Unix time на вооружение. Хотя проблема давно известна и устранена в свежих ОС как таковых, главная беда, как обычно — обновление IoT и OT-инфраструктуры, а также софта, устаревшего на десятилетия. Предсказать, какой кусочек ИТ-инфраструктуры сойдёт с ума через 12 лет, сложно, но рассчитывать, что проблема рассосётся сама собой, тоже не стоит.

В новой статье:
🟢 истоки и технические нюансы Проблемы-2038;
🟢 чему нас учит опыт Проблемы-2000 и в чём различие с нынешней ситуацией;
🟢 где уже устранили Y2K38, а где не стоит ожидать патча;
🟢 как систематически спланировать тестирование, обновление или миграцию в ИТ-инфраструктуре;
🟢 почему нельзя подождать с этим ещё лет пять.

#советы @П2Т