🗿 Интересные исследования APT и тревожные новости ИБ за неделю

Врываемся за ваш новогодне-рождественский стол с дайджестом ИБ-новостей за последние дни. Тезис о том, что у хакеров нет выходных, к сожалению подтверждается в полной мере.

🟣Технический анализ нового ВПО, применяемого APT HoneyMyte/Mustang Panda в атаках на госорганизации в ЮВА. Финальной нагрузкой является ВПО ToneShell, но для его разворачивания применяется драйвер уровня ядра, значительно усложняющий обнаружение атаки.

🟣А APT Silver Fox расширила географию атак и теперь интересуется ещё и Индией. Ранее эту волну атак ошибочно приписывали другому кластеру Sidewinder. Начальное проникновение осуществляется через фишинг с «налоговой» тематикой.

🟣Анализ долгосрочной кампании DarkSpectre, троянизирующей расширения браузера. Примечательно, что вредоносные расширения исправно выполняли заявленную функцию и обзавелись недоверенной функциональностью только спустя 5 (!) лет. Наиболее интересна часть кампании, основанная на 18 расширениях с 2,2 млн установок в Chrome, Edge и Firefox. Скрытый компонент расширений передаёт на сервер атакующих подробную информацию о всех видеоконференциях жертвы на 28 популярных платформах вроде Teams и Zoom.

🔵Российские компании атакует инфостилер, пытающийся маскироваться под сетевые диагностические сервисы и крадущий в первую очередь документы и архивы. Распространяется через фишинг с вложениями, замаскированными под PDF.

🟢Уязвимость MongoBleed, настоящий рождественский подарочек киберпреступникам, эксплуатируется в реальных атаках — бюлллетени CISA и ASD вышли 29 декабря.

🟢Авторы Shai-Hulud не успокаиваются — ещё одинм новогодним подарком, обнаруженным тоже 29 декабря, стала версия 3.0, пока замеченная только в одном пакете npm и явно нацеленная на более надёжную и незаметную работу.

🟠Технику ClickFix упаковали в удобную индустриальную обёртку — в сети обнаружен подпольный сервис ErrTrafic, позволяющий генерировать ClickFix-страницы.

🟣Активно растущий ботнет RondoDox эксплуатирует React2Shell.

🟣А ВПО GlassWorm, распространяющееся через троянизированные расширения VSCode, обзавелось версией для macOS.

⚪️Fortinet аккурат под Рождество тихонько выпустили информацию, что старый обход 2FA, CVE-2020-12812, активно используется в кибератаках. Хотя уязвимость старая, по данным Shadowserver ей подвержено более 10 тыс. устройств.

#дайджест @П2Т

🧑‍💻 Приказ ФСТЭК № 117: мы разобрали требования и подготовили памятку с конкретными предложениями под базовый набор мер по защите информации — без абстрактной теории ⬆️

Напоминаем: новые требования к защите информации в государственных информационных системах (ГИС) вступают в силу 1 марта 2026 года. В приказе много практических моментов, которые надо учитывать: устранение уязвимостей и обновления, мониторинг событий, контроль конфигураций и доступов, работа с подрядчиками, безопасная разработка. Отдельный блок посвящён корректному и безопасному использованию ИИ — этого раньше в регулировании просто не было.

🎁 Семь ИБ-обещаний для безопасного 2026

Новый год — новые правила! В том числе законы, регламентирующие, например, доступ подростков к интернет-ресурсам. Но не только регулирование будет увлекательным в 2026!

В новой статье Kaspersky Daily рассказываем, на какие изменения в правилах и законах стоит обратить внимание, как безопасно пользоваться ИИ-инструментами,что сулит эволюция умного дома и почему вероятно подорожают все онлайн-сервисы, и новые модели смартфонов заодно. У всех этих технологических тенденций есть свои ИБ-аспекты, и если подумать о них заранее, то год может пройти спокойнее.

Изучите и поделитесь с друзьями!

#Азбука_ИБ @П2Т

🪲 Интересные исследования APT и новости ИБ в новом году

⌨️ Очередная эволюция ClickFix — кампания по распространению DCRat использует фальшивые оповещения сервиса бронирования, ведущие на не менее фальшивый синий экран смерти. ☠️
Запущенный в итоге PowerShell использует легитимный инструмент MSBuild для сборки троянца на машине жертвы. Интересная тактика.
На момент исследования вредоносную инфраструктуру обнаруживали только решения «Лаборатории Касперского».

🔵Обзор TTPs и ВПО, применяемого APT UAT-7290 в атаках на телеком-операторов в Азии и Восточной Европе. В арсенале группы отмечены импланты RushDrop, DriveSwitch и SilentRaid, а целями атак являются то шпионаж, то предоставление первоначального доступа другим атакующим.

🔥 Новый год начался бодро: ещё одна уязвимость в n8n, CVE-2026-21858, получила название ni8mare благодаря скромному рейтингу (CVSS 10!) и разнообразию последствий. Учитывая, что n8n — это платформа автоматизации, соединяющая различные системы в организации, в ней обычно хранятся многочисленные ключи и токены к большинству серверов и облачных систем в компании. Пользователям рекомендовано обновиться до n8n 1.121.0 и включить аутентификацию для всех создаваемых форм. Это обновление вышло ещё в ноябре, но тогда в n8n побоялись его честно описывать, и далеко не все поторопились с патчами.

🟠Новый инструмент шпионской группировки APT-Q-36/Dropping Elephant. В атаках в ЮВА обнаружен троянец StreamSpy, использующий для C2 комбо WebSocket и HTTP.

🔵Обзор деятельности китайских киберпреступных группировок на ниве краж денег с ретрансляцией NFC. Вредоносное ПО TX-NFC и NFU используется в нескольких схемах, в том числе в комбинации с нелегальными POS-терминалами для вывода денег под видом покупок.

🟣Детальный разбор Sagerunex, фирменного ВПО, применяемого APT Lotus Panda/Red Salamander в атаках на широкий спектр целей в странах ЮВА.

🟣Не слишком сложный ботнет GOBruteForcer успешно атакует серверы FTP, MySQL, PostgreSQL и phpMyAdmin, используя слабые пароли и ошибки в шаблонных конфигурациях серверов. Новые машины в ботнете сами начинают сканировать Интернет в поисках дополнительных жертв. Злоумышленники интересуются криптовалютами и перепродажей доступа к взломанными машинам.

🆔 Разбор техник атакующих, использующих для эффективного фишинга ошибки в конфигурации почты. Типовые ошибки в настройке доменов и анти-спуфинга позволяют злоумышленникам подделывать адрес отправителя, как будто он работает в организации жертвы.

🟢Ещё один бразильский банковский троянец, Astaroth, освоил WhatsApp Web для самораспространения.

🟢Технический анализ VVS Stealer, в первую очередь нацеленный на кражу данных из Discord, но конечно же ворующий и все данные из браузера.

🟡Глубокий технический разбор упаковщика pkr_mtsi, используемого для обфускации ВПО.

🟣Разбор мер, которые внедряет WhatsApp для защиты абонентов от фингерпринтинга.

#дайджест #APT @П2Т

🔎 Выжимаем из SIEM максимум

Мало развернуть и настроить SIEM, мало обновлять детектирующую логику — нужно регулярно контролировать, что система эффективна, обеспечивает необходимое покрытие, хорошо интегрирована в процессы ИБ и приносит измеримые результаты. 

Проверить работу SIEM и устранить ошибки настройки далеко не тривиально, поэтому для KUMA мы даже оказываем услугу по оценке эффективности использования SIEM. Впрочем, при наличии ресурсов это можно сделать и силами собственной команды, пользуясь рекомендациями нашей подробной статьи.

Полноценный анализ охватывает:

🔵 состав и полноту подключённых источников;
🔵 полноту покрытия источников и потоки данных от них;
🔵 корректность нормализации данных;
🔵 работоспособность, полноту и корректность детектирующей логики;
🔵 анализ использования контекстных данных;
🔵 интеграцию SIEM в процессы SOC на техническом уровне;
🔵 работу сотрудников SOC с оповещениями в SIEM;
🔵 передачу оповещений, информации о событиях и инцидентах ИБ в другие системы;
🔵 архитектуру внедрения и документацию.

Очень часто при анализе обнаруживаются такие типовые проблемы:

🔻Перечень подключённых типов источников не обновляется при изменении инфраструктуры. В инфраструктуре появляются новые виды устройств, например рабочие станции на базе Linux, но в SIEM эти изменения забывают отразить.

🔻События приходят не со всех источников конкретного типа, например к SIEM подключили рабочие станции на базе Windows, но не Windows-серверы, оставив целый сегмент инфраструктуры без мониторинга.

🔻Ядро SIEM не получает события от конкретных источников или коллекторов. Средняя доля коллекторов, которые не передают события, хотя имеют настроенные источники, по нашей практике составляет 38%.

🔻После отладки и установки в SIEM  продолжают сохраняться сырые данные по всей телеметрии, по сути удваивая объем хранения.

🔻Недостаточное покрытие детектирующей логикой. Средний показатель покрытия источников правилами корреляции составляет 43%. Таким образом, более чем для половины источников SIEM не работает.

🔻Спам от детектирующей логики. Детектирующая логика генерирует аномально большое количество срабатываний, которые физически невозможно обработать, сколько бы ни было сотрудников в SOC.

Существуют и другие типовые проблемы — от отсутствия интеграции с данными TI до полного отсутствия развития SIEM с момента внедрения в органзиации.

Подробно о каждой проблеме, примерах, рекомендациях по её обнаружению и устранению читайте на Securelist.

#советы @П2Т

🖥 Январский Patch Tuesday: 114 багов, зиродей и прощание с модемными драйверами

Microsoft открывает 2026 год мощным релизом, устранив 114 уязвимостей. Из них 8 критических и 106 важных, включая один активно эксплуатируемый зиродей и две публично разглашённые уязвимости. По категориям лидируют баги с повышением привилегий (57), за ними следуют RCE (22) и разглашение информации (22). Ещё 5 CVE приводят к спуфингу, 3 — к обходу функций безопасности и 2 — к DoS.

Активно эксплуатируемый зиродей CVE-2026-20805 (CVSS 5.5) в Desktop Window Manager приводит к разглашению информации, а именно — утечке адресов памяти через ALPC-порт на удалённом устройстве. Обнаружение приписывают MSTIC и MSRC, но как обычно никакой конкретики. Также в DWM устранена ещё одна EoP CVE-2026-20871 (CVSS 7.8), оценённая как «эксплуатация более вероятна».

Публично разглашённые до патча

CVE-2026-21265 (CVSS 6.4) — обход функций безопасности из-за истечения срока действия сертификатов Secure Boot. Три ключевых сертификата Microsoft истекают в 2026 году: Microsoft Corporation KEK CA 2011 (24 июня), Microsoft Corporation UEFI CA 2011 (27 июня) и Microsoft Windows Production PCA 2011 (19 октября). Без обновления сертификатов системы с Secure Boot перестанут получать патчи и доверять новым загрузчикам. Основной риск здесь связан как раз с отсутствием будущих обновлений и повышенной вероятностью обхода Secure Boot атакующими. Microsoft предупреждала об этом «патче» ещё в июне.

CVE-2023-31096 — EoP в драйверах древних модемов Agere, которые поставлялись с Windows. Microsoft предупреждала об активной эксплуатации этих уязвимостей ещё в октябре и обещала удалить драйверы. Теперь agrsm64.sys, agrsm.sys полностью удалены из системы.

Критические уязвимости

CVE-2026-20952 и -20953 — RCE в Office (CVSS 8.4), эксплуатируемые из панели предварительного просмотра без взаимодействия с пользователем. Вы ещё не отключили preview pane? Тогда мы идём к вам!

CVE-2026-20955 и -20957 — RCE в Excel (CVSS 7.8), а CVE-2026-20944 — в Word.

CVE-2026-20822 — EoP в Windows Graphics Component
CVE-2026-20854 — RCE в LSASS (CVSS 7.5, требует аутентификации).

Примечательна CVE-2026-20876 — кажется, первая EoP в Windows Virtualization-Based Security Enclave, позволяющая повысить привилегии до VTL2 (высший уровень доверия). Microsoft оценила CVSS как 6.7, но ZDI считает, что оценка должна быть 8.2.

Другие важные уязвимости

CVE-2026-20840 и -20922 — RCE в NTFS (CVSS 7.8), вызванные переполнением буфера в куче. Оцениваются как «эксплуатация более вероятна», работают с низкими привилегиями.

CVE-2026-20820 — очередная EoP в драйвере CLFS, популярном у рансомварщиков. Не откладывайте патчинг.

#Microsoft #уязвимости @П2Т

🤖 OWASP top 10 для безопасности ИИ-агентов

OWASP продолжает выдавать рекомендации по защите ИИ-систем, и опубликовал «горячую десятку» рисков и угроз для ИИ-агентов.

Список охватывает широкий спектр рисков на всех этапах жизненного цикла ИИ-агента. Здесь и привычные ИБ-риски вроде злоупотребления учётными данными и привилегиями, и специфичные для ИИ угрозы вроде злоупотребления доверием между людьми и агентами или каскадные отказы взаимосвязанных агентов.

Для каждого риска приведены подробные описания, примеры реальных или академических атак, подчёркнуты отличия от «смежных» рисков и даны рекомендации по предотвращению или снижению рисков.

Тем, кто спешно 🔥 внедряет агентские системы, точно стоит изучить и взять на вооружение.

📌 Скачать без регистрации и смс.

#советы #ИИ @П2Т

🔥 Малый бизнес отказывается от MFA и перекладывает расходы на клиентов 😱

Годовой отчёт Identity Theft Resource Center, посвящённый влиянию киберрисков на малый бизнес, содержит несколько откровенно шокирующих находок. Малым считается бизнес с 1—500 сотрудниками.

Если в 2024 году каждый третий бизнес рапортовал об использовании MFA во внутренних системах, то в 2025 число снизилось на 7%. Также количество бизнесов считающих себя «очень подготовленными» к инцидентам снизилось аж на 18%, до 38%. Возможно, причина неуверенности — в горьком опыте, поскольку те или иные инциденты ИБ пережили 81% компаний.

Среди тех, у кого был серьёзный инцидент, 37% оценивают ущерб минимум в $500 тыс. Компенсировать эти потери пытаются из резервов и страховых выплат, но 38% также повышают цены на товары и услуги. Это позволяет исследователям говорить о «киберналоге», когда проблемы ИБ оборачивается расходами для конечного потребителя.

Наши рекомендации по защите малого бизнеса мы публиковали в блоге.

#статистика @П2Т

🏆 Стандарт прозрачности для поставщика ИБ-решений

Чего требовать от своих вендоров ИБ и как проверять, что их решения не создают неприемлемых рисков в цепочке поставок?
Этим вопросом задались европейские исследователи из Экономической палаты Австрии (WKO), AV-Comparatives, MCI The Entrepreneurial School и Studio Legale Tremolada. Итогом исследования стал 40-страничный отчёт Transparency and Accountability in Cybersecurity, бесплатно доступный на сайте WKO.

В результате сравнения 14 поставщиков EPP/EDR явным лидером оказалась «Лаборатория Касперского», которая предоставляет клиентам максимальный инструментарий для верификации кода, обновлений, SBOM, управления телеметрией и прочие возможности контроля и управления рисками.

Хотя в списке доминируют западные вендоры и для РФ он не слишком актуален, сами критерии и подходы к оценке поставщиков стоит взять на вооружение при глубокой оценке рисков, создаваемых в цепочке поставок ПО.

▶️Полный отчёт TRACS
⚡️ Энергичный пересказ Евгения Касперского

#CISO #supplychain #советы @П2Т

🟢 Интересные исследования APT и новости ИБ за неделю

🟣Два подробных исследования (раз, два) нового сложного ВПО VoidLink, нацеленного на Linux-серверы и работу в облачных средах. ВПО вероятно создано для коммерческого использования и перепродажи, но его возможностям позавидуют многие APT. Модульная архитектура с 30+ плагинами в стиле Cobalt Strike BOF, руткит, собираемый под конкретную среду прямо на сервере, специальные плагины для работы с контейнерами и различными облачными средами, набор модулей по зачистке логов и следов присутствия, и многое другое. На сегодня ВПО поддерживает AWS, GCP, Azure, Alibaba и Tencent, в планах разработки — Huawei, DigitalOcean и Vultr.

🟣Резонансное исследование деятельности APT UAT-8837, сосредоточенной на проникновениях в предприятия критической инфраструктуры США. Группировка эксплуатирует различные уязвимости, включая 0day CVE-2025-53690, и создаёт несколько различных способов входа в ИТ-инфраструктуру организации.

🔵Технический анализ нового бэкдора Lotuslite, применяемого предположительно APT Mustang Panda/TA416/Stately Taurus.

🟢Разбор нового ВПО PDFSIDER, применённого в рамках атаки на неназванную компанию Fortune 500. Авторы исследования считают, что это шпионская APT, но не говорят, чья. Код изобилует шифрованием, антиотладочными трюками и попытками отключения EPP/EDR.

🟣Старые добрые флешки: APT-C-06/DarkHotel распространяет ВПО на инфицированных USB-носителях (китайский, автоперевод).

🟠Технический анализ третьей версии загрузчика Kazuar, используемого APT Turla.

🟢Разбор целевой кампании Poseidon, проводимой APT Konni против финансовых и общественных организаций. Вредоносное ПО хранится на скомпрометированных сайтах WordPress, а переадресация на него ведётся через легитимные домены рекламных сетей Google и Naver.

🟢Кампания TamperedChef, замеченная прошлым летом и распространяющая инфостилер под видом специально созданного редактора PDF, судя по всему продолжается.

🟣Технический анализ нового, достаточно простого macOS-инфостилера MonetaStealer.

🟠Разбор шифровальщика DeadLock. Эта ransomware примечательна тем, что у её владельцев нет DLS, а данные инфраструктуры, в первую очередь прокси, хранятся в смарт-контрактах Polygon.

🟢Новая кампания по распространению популярного инфостилера Remcos проводится через вредоносный документ Word и целевой фишинг. Приманкой являются транспортные накладные. ВПО запускается в бесфайловом варианте.

🟢Детальный разбор отладочных и антиотладочных механизмов мобильного шпионского ПО Predator.

🔴Критический 0day CVE-2025-20393 в почтовых решениях Cisco, раскрытый в декабре, на прошлой неделе наконец получил патч. Им пользовалась APT UAT-9686.

#APT #дайджест @П2Т

🖥 Планируем «Эпохалипсис»

Мы уже писали про проблему Y2K38 — непредсказуемый набор спецэффектов, который ожидается 19 января 2038 года из-за переполнения поля t_time в *nix ОС, а также файловых системах, базах данных и приложениях, которые тоже взяли формат Unix time на вооружение. Хотя проблема давно известна и устранена в свежих ОС как таковых, главная беда, как обычно — обновление IoT и OT-инфраструктуры, а также софта, устаревшего на десятилетия. Предсказать, какой кусочек ИТ-инфраструктуры сойдёт с ума через 12 лет, сложно, но рассчитывать, что проблема рассосётся сама собой, тоже не стоит.

В новой статье:
🟢 истоки и технические нюансы Проблемы-2038;
🟢 чему нас учит опыт Проблемы-2000 и в чём различие с нынешней ситуацией;
🟢 где уже устранили Y2K38, а где не стоит ожидать патча;
🟢 как систематически спланировать тестирование, обновление или миграцию в ИТ-инфраструктуре;
🟢 почему нельзя подождать с этим ещё лет пять.

#советы @П2Т

⬇️ Секреты расползаются, как тараканы

В последние годы практики чаще употребляют термин secrets creep — постепенное и неконтролируемое распространение учётных данных, API-ключей и ПД. Это явление уже давно вышло за рамки случайных ошибок в настройках git и стало системным операционным риском.

Утечки больше не ограничиваются репозиториями. Действительные секреты теперь передаются и хранятся в Docker-образах, рабочих пространствах Postman, тикетах Jira и групповых чатах мессенджеров. Разработчики ставят во главу угла скорость и удобство, поэтому любой инструмент для совместной работы становится потенциальным источником утечки, если злоумышленники получат к нему доступ.

Масштабы проблемы впечатляют: в 2024 году было скомпрометировано более 23 миллионов секретов. В 2025 году взрывной рост микросервисов и автоматически генерируемого ИИ-кода привёл к ещё большему увеличению числа утечек, хотя годовые данные ещё не опубликованы. Критически важен и фактор времени: по результатам экспериментов с honey-token, скомпрометированные секреты на публичных платформах эксплуатируются злоумышленниками в течение минут, а не дней. За промышленной махиной поиска и эксплуатации секретов не угнаться ручными методы обнаружения и реагирования.

Ситуацию нужно изменять не более быстрым поиском утекших секретов, а изменениями в рабочей среде и технологиях разработки:

☑️ Многоуровневая защита. Внедряйте детекторы секретов прямо в IDE и в проверки перед коммитами, чтобы ловить «зашитые» секреты ещё до попадания их в CI/CD. Используйте комплексные решения для облачной безопасности, такие как Kaspersky Cloud Workload Security, для выявления уязвимых контейнеров и небезопасных сборок продукта.

☑️ Архитектурные изменения. По возможности переходите от статических ключей к короткоживущим токенам и архитектурам secretless.

☑️ Культура безопасности. Формируйте культуру без поиска виноватых. Разработчики обходят меры защиты ради удобства, если существующие инструменты и процессы создают помехи — и именно эти процессы нужно менять. Если сотрудники боятся наказания, они не будут сообщать о проблемах и обсуждать баланс между эффективностью и безопасностью.

Подробнее о проблеме и подходах к её решению можно послушать и почитать в подкасте Dark Reading Confidential.

#советы #CISO @П2Т

👽 ИИ-рубильник в браузерах, слежка через Bluetooth-гарнитуры и другие интересные новости личной ИБ и приватности

🐩 Разработчики Firefox подтвердили, что для ИИ-ненавистников есть большой рубильник, разом отключающий в браузере все функции AI.

🔄 В свежих версиях Chrome тоже замечена похожая настройка, но она кажется касается только локальных функций, использующих ИИ-модель прямо на устройстве. Более опасная для приватности (и прибыльная для Google) Gemini, наоборот, торчит из каждого угла браузера.

🔑 В Южной Корее началось тестирование новой меры по борьбе с мошенничеством — новую симку можно получить только после биометрического распознавания лица абонента.

📱 Владельцам iPhone приготовиться: за их гарнитурами и наушниками можно следить через... функцию Android.

💻 Январские ИБ обновления Windows 11 содержат столько дефектов, что Microsoft выпустила уже несколько срочных обновлений к обновлениям 🤦‍♂️ Полный список багов продолжает обновляться.

🔴 В ChatGPT скоро появится реклама и более дешёвый уровень платной подписки. Тем временем в Google заявляют, что в Gemini рекламы не будет.

🗣Количество и разнообразие атак на NFC-платежи увеличивается: новые мошеннические схемы увода денег через смартфон.

✈️ Еврокомиссия продлила взаимный договор с Великобританией по свободной передаче ПД. Обе стороны подтвердили, что их законодательство даёт сопоставимую защиту данных и схожие правила обработки.

🟢Американская FCC де факто запретила ввоз новых моделей импортных дронов в страну со ссылкой на национальную безопасность. Основной целью этих мер, конечно, является китайская DJI.

🟢Шумная история про взлом 17 миллионов аккаунтов Instagram оказалась сильно преувеличенной. Основной баг заключался в возможности массово запросить сброс пароля. Получатели такого письма могут его проигнорировать — подробные советы есть у нас в блоге (про неожиданные письма, про фишинг).
Остаётся вопрос, откуда взялась база пользователей — подтверждённая утечка была в 2017 году, но также в даркнете гуляют сомнительные базы 2024 года.

🟣Создатель Signal, Мокси Марлинспайк, пилотирует внедрение ИИ-ассистента, защищённого по тем же высоким стандартам приватности. Проект называется Confer.

🔵Активистка и исследователь ИБ удалила несколько сайтов знакомств для расистов (WhiteDate, WhiteChild, WhiteDeal) в прямом эфире, во время своего выступления на конференции ССС. Интересно будет посмотреть на правовые последствия — хотя уголовную статью за Volksverhetzung (разжигание розни) в Германии никто не отменял, Datenveränderung (несанкционированные изменения данных) — тоже статья.

#дайджест @П2Т

➡️ ИИ-разработка ВПО, реальная эксплуатация учебных уязвимостей и другие исследования APT и новости ИБ

😵‍💫 В истории про сложное ВПО для Linux-серверов VoidLink — интересный поворот. Исследователи утверждают, что оно целиком разработано одним (опытным) разработчиком при помощи ИИ. Благодаря ошибкам в opsec удалось изучить подробные планы разработки, промпты и тому подобное.
Другие исследователи указывают, что несмотря на архитектурную сложность, ВПО тривиально обнаруживать в трафике и на хостах благодаря полному отсутствию обфускации.

👀 Нарочно уязвимые тестовые приложения, используемые для обучения служб ИБ и разработчиков, часто разворачиваются корпорациями без должной изоляции — и через них организацию реально компрометируют злоумышленники. Среди частых мишеней атакующих: OWASP Juice Shop, DVWA и Hackazon.

🗿 Анализ TTPs новой ransomware Osiris, не имеющей ничего общего с однофамильцами из 2016 года, но похоже выросшей из Inc ransomware. В атаках активно используется LotL и BYVD, данные извлекают в корзины Wasabi.

🟥 Очередная эволюция ClickFix: в качестве командной строки используется легитимный скрипт SyncAppvPublishingServer.vbs, имеющий уязвимость с инъекцией команд. Веб-страница с приманкой тоже имеет свою изюминку — вредоносный код загружается через смарт-контракты BNB Smart Chain.

🔎 Новая волна фишинговых атак APT PhantomCore на российские компании, жертвами часто становятся организации ЖКХ. В результате выполняется облегчённая версия PhantomRemote.

😎Разбор интересного кейса — на Exchange-сервере российской госорганизации был обнаружен целый зоопарк шпионского ПО, включая новый модульный бэкдор ShadowRelay, предположительно используемый APT Obstinate Mogwai. Рядом нашлись  две версии ShadowPad и Mythic Agent от APT GOFFEE.

🔵Охота кластера Lazarus на разработчиков ПО продолжается — в новых атаках Contagious Interview под предлогом тестового задания присылают вредоносный проект VSCode.

🟠А соседи по кластеру из APT Konni/TA406 аналогичным образом атакуют разработчиков в сфере блокчейна. Интересно, что вредоносные скрипты Powershell, являющиеся основной нагрузкой в атаке, вероятно сгенерированы ИИ.

🔵Технический анализ безымянного троянца, который присылают организациям в Латинской Америке в рамках умелого целевого фишинга юридической тематики. Атакующие делают упор на Аргентину.

🟣В кампании по установке инфостилера PURELOGS отмечена интересная техника — ВПО загружают из метаданных корректного PNG-файла, который хранится на archive.org.

🚓 Технический анализ Pulsar RAT, форк популярного Quasar RAT, исполняющийся только в памяти.

🟢Пара расширений VSCode, упрощающих написание кода, заодно отправляет весь код проекта куда-то в Китай. Суммарно расширения ChatMoss и ChatGPT 中文版 имеют 1,5 млн установок.

🟢Дефект настройки Zendesk, позволяющий создавать тикеты на непровернные адреса email, массово эксплуатируется для рассылки спама от имени Discord, Dropbox, Riot Games и других компаний.

🟣Новый Android-троянец Phantom примечателен тем, что проник в официальный магазин приложений Xiaomi, а также применением машинного зрения для рекламного мошенничества. Вместо разбора HTML страницы, он делает скриншот, чтобы найти баннеры и по ним «кликнуть».

🔵Недавно закрытую CVE-2025-59718 с обходом SSO в FortiGate запатчили плохо — злоумышленники нашли новый способ создавать административные учётки. Можно снова временно отключить SSO 🤡

🟢Уязвимость CVE-2026-0723 с обходом 2FA закрыли в GitLab.

🔴В CISA KEV четыре пополнения: дефекты Vitejs, Versa Concerto, eslint-config-prettier и Zimbra Collaboration Suite.

#дайджест @П2Т

❗️ Срочный фикс для 0day в MS Office

Редмонд не стал ждать очередного вторника и выпустил экстренное исправление для CVE-2026-21509 (CVSS 7.8) в Office, эксплуатируемой в реальных, но не описанных детально атаках. Уязвимость названа обходом функций безопасности, касающихся OLE, но фактически речь о запуске вредоносного кода, если жертва откроет специально сформированный файл. Через панель предварительного просмотра трюк не работает, но от этого только чуть-чуть легче.

Для Office 2021 и выше фикс будет установлен автоматически, но потребуется перезапуск приложений на компьютере. Для Office 2016 и 2019 потребуется ручная установка патча. До установки патча рекомендуют смягчающие меры, которые заключаются в редактировании ключей реестра, касающихся совместимости COM.

#уязвимости #Microsoft @П2Т

🏙 Киберугрозы вместе с ИИ возглавили топ бизнес-рисков

Страховщики Allianz выпустили свой Global Risk Barometer за 2026 год. Он составлен по итогам опроса тысяч крупных организаций во всём мире и позволяет понять, что бизнес считает главными рисками в своей работе.

Уже пятый год киберугрозы прочно возглавляют этот топ, но в этом году впервые им в спину дышит ИИ. Угрозы, связанные с AI, потеснили даже опасность приостановки бизнеса, в том числе по причине сбоев в цепочке поставок. Остановки производства боятся как основного риска только в Китае, Нидерландах, Филлипинах и Сингапуре.

В качестве факторов возросших киберрисков в 2026 называют большую зависимость от сторонних поставщиков цифровых услуг. По этой категории в отчёте прошли атаки на крупных британских ритейлеров и Jaguar Land Rover.

Также бизнес боится быстрой эволюции киберугроз, которую, как ожидается, ещё сильнее ускорит применение атакующими ИИ. Вместе с усложняющимся регулированием это заставляет менеджмент компаний делать умеренные (47%) или значительные (43%) инвестиции в предотвращение потерь от киберинцидентов.

🔅 В крупных (более миллиона евро) страховых случаях, причиной обращения 60% компаний была атака ransomware, а остальные 40% связаны с кражей данных. Это данные только за первую половину 2025 года, но число обращений превысило полный 2024 год на 25%.

🤖 Риски, связанные с ИИ, выходят далеко за рамки кибератак. Наиболее серьёзными признаны:
🟢операционные риски (прерывание бизнеса, отказ систем, каскадные ошибки в глубоко автоматизированных процессах);
🟢правовые последствия (от нарушения быстро эволюционирующего законодательства до ответственности за вред от применения ИИ);
🟢репутационные риски (ущерб бренду из-за дезинформации, неэтичного применения ИИ, утечек данных или предвзятых решений в отношении сотрудников и клиентов).

Политические риски и макроэкономика еле вошли в топ-10 рисков. 🤷‍♂️
Все подробности — в красивом PDF на 43 страницы.

#статистика #риски @П2Т

➡️ Опасная иллюзия готовности

71% организаций уверены, что уделяют достаточно внимания тренингам и подготовке к инцидентам ИБ, а 85% считают результаты своих учений положительными. Но практика показывает, что реальность не так радужна — по исследованию Immersive labs, реальная точность принятия решений в масштабных учениях составляла всего 22%, а время локализации инцидента достигло 29 часов. Исследователи признают, что несмотря на внимание топ-менеджмента и дополнительные инвестиции киберустойчивость бизнеса практически не выросла за последние три года.

Не везде ситуация ухудшается — в промышленности, госсекторе и здравоохранении произошло значительное ускорение реагирования на ИБ-инциденты. Немного ускорились также финансы и телеком.

Причины разрыва между уверенностью и реальностью кроются в организационной культуре, которая не слишком изменилась под влиянием эпизодических тренингов:

🟢 учебный контент опирается на устаревшие атаки и уязвимости;
🟢 в 36% случаев используются упражнения и симуляции только базового уровня сложности — к сложным атакам не готовятся;
🟢 всего 41% компаний привлекает к киберучениям нетехнических специалистов, в итоге руководители не готовы принимать бизнес-решния в критической ситуации;
🟢 учения проводятся с низкой периодичностью и их уроки забываются от раза к разу;
🟢 многие компании воспринимают учения сугубо как элемент регуляторного соответствия и проводят их для галочки.

Выводы документа легко предсказуемы с учётом вышесказанного: реально готовят к реагированию не разовые тренинги для прохождения очередного аудита, а систематические, приближённые к реальности киберучения, вовлекающие бизнес-подразделения и увязанные с общей архитектурой безопасности в организации.

#советы #CISO @П2Т