➡️ ИИ-разработка ВПО, реальная эксплуатация учебных уязвимостей и другие исследования APT и новости ИБ

😵‍💫 В истории про сложное ВПО для Linux-серверов VoidLink — интересный поворот. Исследователи утверждают, что оно целиком разработано одним (опытным) разработчиком при помощи ИИ. Благодаря ошибкам в opsec удалось изучить подробные планы разработки, промпты и тому подобное.
Другие исследователи указывают, что несмотря на архитектурную сложность, ВПО тривиально обнаруживать в трафике и на хостах благодаря полному отсутствию обфускации.

👀 Нарочно уязвимые тестовые приложения, используемые для обучения служб ИБ и разработчиков, часто разворачиваются корпорациями без должной изоляции — и через них организацию реально компрометируют злоумышленники. Среди частых мишеней атакующих: OWASP Juice Shop, DVWA и Hackazon.

🗿 Анализ TTPs новой ransomware Osiris, не имеющей ничего общего с однофамильцами из 2016 года, но похоже выросшей из Inc ransomware. В атаках активно используется LotL и BYVD, данные извлекают в корзины Wasabi.

🟥 Очередная эволюция ClickFix: в качестве командной строки используется легитимный скрипт SyncAppvPublishingServer.vbs, имеющий уязвимость с инъекцией команд. Веб-страница с приманкой тоже имеет свою изюминку — вредоносный код загружается через смарт-контракты BNB Smart Chain.

🔎 Новая волна фишинговых атак APT PhantomCore на российские компании, жертвами часто становятся организации ЖКХ. В результате выполняется облегчённая версия PhantomRemote.

😎Разбор интересного кейса — на Exchange-сервере российской госорганизации был обнаружен целый зоопарк шпионского ПО, включая новый модульный бэкдор ShadowRelay, предположительно используемый APT Obstinate Mogwai. Рядом нашлись  две версии ShadowPad и Mythic Agent от APT GOFFEE.

🔵Охота кластера Lazarus на разработчиков ПО продолжается — в новых атаках Contagious Interview под предлогом тестового задания присылают вредоносный проект VSCode.

🟠А соседи по кластеру из APT Konni/TA406 аналогичным образом атакуют разработчиков в сфере блокчейна. Интересно, что вредоносные скрипты Powershell, являющиеся основной нагрузкой в атаке, вероятно сгенерированы ИИ.

🔵Технический анализ безымянного троянца, который присылают организациям в Латинской Америке в рамках умелого целевого фишинга юридической тематики. Атакующие делают упор на Аргентину.

🟣В кампании по установке инфостилера PURELOGS отмечена интересная техника — ВПО загружают из метаданных корректного PNG-файла, который хранится на archive.org.

🚓 Технический анализ Pulsar RAT, форк популярного Quasar RAT, исполняющийся только в памяти.

🟢Пара расширений VSCode, упрощающих написание кода, заодно отправляет весь код проекта куда-то в Китай. Суммарно расширения ChatMoss и ChatGPT 中文版 имеют 1,5 млн установок.

🟢Дефект настройки Zendesk, позволяющий создавать тикеты на непровернные адреса email, массово эксплуатируется для рассылки спама от имени Discord, Dropbox, Riot Games и других компаний.

🟣Новый Android-троянец Phantom примечателен тем, что проник в официальный магазин приложений Xiaomi, а также применением машинного зрения для рекламного мошенничества. Вместо разбора HTML страницы, он делает скриншот, чтобы найти баннеры и по ним «кликнуть».

🔵Недавно закрытую CVE-2025-59718 с обходом SSO в FortiGate запатчили плохо — злоумышленники нашли новый способ создавать административные учётки. Можно снова временно отключить SSO 🤡

🟢Уязвимость CVE-2026-0723 с обходом 2FA закрыли в GitLab.

🔴В CISA KEV четыре пополнения: дефекты Vitejs, Versa Concerto, eslint-config-prettier и Zimbra Collaboration Suite.

#дайджест @П2Т

❗️ Срочный фикс для 0day в MS Office

Редмонд не стал ждать очередного вторника и выпустил экстренное исправление для CVE-2026-21509 (CVSS 7.8) в Office, эксплуатируемой в реальных, но не описанных детально атаках. Уязвимость названа обходом функций безопасности, касающихся OLE, но фактически речь о запуске вредоносного кода, если жертва откроет специально сформированный файл. Через панель предварительного просмотра трюк не работает, но от этого только чуть-чуть легче.

Для Office 2021 и выше фикс будет установлен автоматически, но потребуется перезапуск приложений на компьютере. Для Office 2016 и 2019 потребуется ручная установка патча. До установки патча рекомендуют смягчающие меры, которые заключаются в редактировании ключей реестра, касающихся совместимости COM.

#уязвимости #Microsoft @П2Т

🏙 Киберугрозы вместе с ИИ возглавили топ бизнес-рисков

Страховщики Allianz выпустили свой Global Risk Barometer за 2026 год. Он составлен по итогам опроса тысяч крупных организаций во всём мире и позволяет понять, что бизнес считает главными рисками в своей работе.

Уже пятый год киберугрозы прочно возглавляют этот топ, но в этом году впервые им в спину дышит ИИ. Угрозы, связанные с AI, потеснили даже опасность приостановки бизнеса, в том числе по причине сбоев в цепочке поставок. Остановки производства боятся как основного риска только в Китае, Нидерландах, Филлипинах и Сингапуре.

В качестве факторов возросших киберрисков в 2026 называют большую зависимость от сторонних поставщиков цифровых услуг. По этой категории в отчёте прошли атаки на крупных британских ритейлеров и Jaguar Land Rover.

Также бизнес боится быстрой эволюции киберугроз, которую, как ожидается, ещё сильнее ускорит применение атакующими ИИ. Вместе с усложняющимся регулированием это заставляет менеджмент компаний делать умеренные (47%) или значительные (43%) инвестиции в предотвращение потерь от киберинцидентов.

🔅 В крупных (более миллиона евро) страховых случаях, причиной обращения 60% компаний была атака ransomware, а остальные 40% связаны с кражей данных. Это данные только за первую половину 2025 года, но число обращений превысило полный 2024 год на 25%.

🤖 Риски, связанные с ИИ, выходят далеко за рамки кибератак. Наиболее серьёзными признаны:
🟢операционные риски (прерывание бизнеса, отказ систем, каскадные ошибки в глубоко автоматизированных процессах);
🟢правовые последствия (от нарушения быстро эволюционирующего законодательства до ответственности за вред от применения ИИ);
🟢репутационные риски (ущерб бренду из-за дезинформации, неэтичного применения ИИ, утечек данных или предвзятых решений в отношении сотрудников и клиентов).

Политические риски и макроэкономика еле вошли в топ-10 рисков. 🤷‍♂️
Все подробности — в красивом PDF на 43 страницы.

#статистика #риски @П2Т

➡️ Опасная иллюзия готовности

71% организаций уверены, что уделяют достаточно внимания тренингам и подготовке к инцидентам ИБ, а 85% считают результаты своих учений положительными. Но практика показывает, что реальность не так радужна — по исследованию Immersive labs, реальная точность принятия решений в масштабных учениях составляла всего 22%, а время локализации инцидента достигло 29 часов. Исследователи признают, что несмотря на внимание топ-менеджмента и дополнительные инвестиции киберустойчивость бизнеса практически не выросла за последние три года.

Не везде ситуация ухудшается — в промышленности, госсекторе и здравоохранении произошло значительное ускорение реагирования на ИБ-инциденты. Немного ускорились также финансы и телеком.

Причины разрыва между уверенностью и реальностью кроются в организационной культуре, которая не слишком изменилась под влиянием эпизодических тренингов:

🟢 учебный контент опирается на устаревшие атаки и уязвимости;
🟢 в 36% случаев используются упражнения и симуляции только базового уровня сложности — к сложным атакам не готовятся;
🟢 всего 41% компаний привлекает к киберучениям нетехнических специалистов, в итоге руководители не готовы принимать бизнес-решния в критической ситуации;
🟢 учения проводятся с низкой периодичностью и их уроки забываются от раза к разу;
🟢 многие компании воспринимают учения сугубо как элемент регуляторного соответствия и проводят их для галочки.

Выводы документа легко предсказуемы с учётом вышесказанного: реально готовят к реагированию не разовые тренинги для прохождения очередного аудита, а систематические, приближённые к реальности киберучения, вовлекающие бизнес-подразделения и увязанные с общей архитектурой безопасности в организации.

#советы #CISO @П2Т

☝️ Новые почтовые угрозы и меры защиты от них

Четыре из пяти организаций столкнулись с почтовыми угрозами в 2025 году, при этом во втором полугодии произошёл всплеск вредоносной активности по сравнению с 2024 годом. Подавляющее большинство вредоносных вложений — троянцы, но значительно вырос процент обнаруженных шифровальщиков. Чтобы замаскироваться от защитного ПО, злоумышленники активно применяют новые тактики:

🟢вредоносный контент в файлах PDF;
🟢QR-коды в файлах PDF, в расчёте на обход почтовой защиты и сканирование кода менее защищённым личным устройством;
🟢зашифрованные PDF, с паролем, указанным в сопроводительном письме или в отдельно присланном письме;
🔵применение различных сервисов переадресации и обвязки ссылок, чтобы ссылки вызывали доверие и проходили базовые проверки безопасности.

Социоинженерные трюки тоже эволюционируют: злоумышленники мимикрируют под деловую переписку, включая фальшивые приглашения на встречи и уведомления сервисов документооборота. Благодаря применению ИИ, качество приманок сильно выросло и отличить их от легитимной переписки труднее. Вершиной этой эволюционной пирамиды являются атаки BEC, проводить которые теперь дешевле и можно делать это более массово.

Более подробно технические и социальные трюки вместе с примерами описаны в нашем исследовании почтовых киберугроз для бизнеса.

➡️ Как должна эволюционировать защита?

▶️в решении для защиты почты обязательны функции глубокого анализа вложений, способные справляться с «матрешками» наподобие «в запароленном архиве — PDF, а в PDF — QR-код»;
▶️почтовое решение должно быть интегрировано с сетевой песочницей для анализа подозрительных ссылок и вложений перед доставкой пользователю;
▶️также защитное решение должно обладать возможностями обезвреживания вложений (CDR, content disarm and reconstruction), когда письмо, сочетающее опасные и безопасные элементы, очищается от потенциальных угроз и доставляется получателю в чистом виде;
▶️на DNS своих почтовых доменов необходимо настроить записи для аутентификации почты (SPF, DKIM, DMARC). Это упростит защиту от атак с подменой отправителя;
▶️обучение пользователей и специализированные тренинги должны непрерывно совершенствоваться и проводиться регулярно, чтобы предупреждать сотрудников об актуальных тактиках злоумышленников. При этом важно сохранять базу: напоминать про проверку адресов отправителей и ссылок, алгоритмы действий при подозрении на угрозу.

Более подробные рекомендации — в исследовании.

#советы #почта @П2Т

Ещё о современных почтовых угрозах и советы по защите — прямо из уст Игоря Кузнецова, директора Kaspersky GReAT ⬆️

📌 Защита SAP, максимизация пользы SIEM и другие полезные посты января

Хотя рабочих дней в январе было не так много, за это время вышла куча горячих новостей ИБ, поэтому среди них могли затеряться материалы, полезные долгосрочно. Мы собрали самое ценное за месяц — эти статьи помогут выстроить эффективные процессы и системы в ИБ.
Если вы что-то пропустили, на выходных как раз можно наверстать упущенное!

🔵рекомендации ФСТЭК по харденингу систем SAP;
🔵топ угроз для агентского ИИ по версии OWASP;
🔵анализ практик прозрачности, настраиваемости и обработки данных среди вендоров EPP/EDR. Kaspersky в лидерах!
🔵как правильно выжимать максимум из имеющейся инсталляции SIEM;
🔵самые важные рекомендации по ИБ для «нетехнических» людей (коллег, друзей, родственников);
🔵новые техники атакующих для отключения Defender;
🔵топ бизнес-рисков по данным Alianz — лидируют риски ИБ, на втором месте риски внедрения ИИ;
🔵все детали про «эпохалипсис» и работы по его митигации;
🔵малый бизнес махнул рукой на MFA.

#дайджест @П2Т

Интересные исследования APT и новости ИБ за неделю

🪲 Новые подробности атаки на цепочку поставок с троянизацией обновлений антивируса eScan. Трёхэтапная цепочка заражения приводила к установке двух устойчивых полезных нагрузок, при этом аккуратно обходя машины, где уже стояли защитные решения «Лаборатории Касперского» или другие продукты ИБ. Эксперты GReAT обновили наш пост разбором ВПО и дополнительными IoC.

🟢АРТ LABYRINTH CHOLLIMA (TA404, кластер Lazarus) разделилась на три ветки для эффективности, сохраняя общий доступ к инструментам и инфраструктуре. По словам исследователей, GOLDEN CHOLLIMA/AppleJeus занимается массовыми, но мелкими хищениями криптовалют, MATA/PRESSURE CHOLLIMA/TraderTraitor организует мега-ограбления криптобирж, а «ядро» группы сфокусировано на классическом шпионаже в оборонке и промышленности.

🟣 APT HoneyMyte/Mustang Panda обновила бэкдор CoolClient, а также вооружилась несколькими вариантами браузерного стилера. В ряде атак также применялись руткиты. Основной фокус атакующих — по-прежнему на госорганах в ЮВА.

🟣 Опасный веб-шелл EncystPHP позволяет захватить контроль над офисными АТС на базе FreePBX. Начальное проникновение идёт через эксплуатацию CVE-2025-64328.

🟡Разбор свежих атак APT36 на индийские организации с помощью бэкдоров и загрузчиков GOGITTER, GITSHELLPAD и GOSHELL.

🟢Появились технические подробности истории с атакой на польскую энергосеть. Атакующие смогли отключить RTU (remote terminal units), используемые для сбора телеметрии и оценки состояния устройств генерации и передачи. На подачу электричества это не повлияло. Атаку называют не скоординированной и возможно носящей экспериментальный характер.

🟣Обзор деятельности ТА584, активного брокера первоначального доступа, который постоянно наращивает обороты заражений последние два года. В 2025 году отличился бурной эксплуатацией техник ClickFix и применением ВПО Tsundere Bot.

🔵 Разбор UEFI-руткита MoonBounce от APT41/Winnti. Для контекста сначала лучше прочесть наше исследование этой угрозы, на которое обильно ссылается автор.

Наша новая любимая рубрика «AI в каждый дом» радует свежими новостями:
🟢 Новый тренд — LLMjacking. Организаторы операции Bizarre Bazaar поставили на поток кражу и перепродажу доступа к API торчащих в сети серверов с LLM. Злоумышленники сканируют сеть на наличие Ollama и vLLM, валидируют доступы и продают их за полцены для чужих вычислений.

🟣А звучащий из каждого чайника Clawdbot (он же Moltbot, он же OpenClaw) уже успел стать приманкой для разработчиков: вредоносные расширения, замаскированные под интеграции OpenClaw, появились в VSCode и OpenVSX. Жертвам ставят ScreenConnect RAT.

🟢 Вишинг нового уровня: альянс Scattered Spider, Shiny Hunters и LAPSUS$ с помощью «панели живого фишинга» сочетает ручное отслеживание вредоносных онлайн-сессий со звонками сотрудникам атакованных компаний. Тактика эффективно применяется в атаках на десятки крупнейших корпораций и успешно обходит MFA.

🟣Google отчитались о противодействии IPIDEA, поставщику нескольких рекламных SDK и оператору крупнейшей в мире (по словам Google) сети домашних прокси.

🟢 Злоумышленники, называющие себя APT IRAN, анонсировали в даркнете продажу фреймворка Black Industry для атак на промышленные контроллеры Siemens, Schneider Electric, Allen-Bradley и другую OT-инфраструктуру.

🟣 Анализ С2-платформы PeckBirdy, применяемой китаеязычными APT в атаках на основе LOLBAS. Злоумышленники целятся в госсектор Азии и казино.

🟠 Китайские «прачечные» для криптовалют бьют рекорды, отмыв за прошедший год более $16 млрд через сложную сеть брокеров и p2p.

#APT #дайджест @П2Т

✅ Защищаем бизнес от подделки бренда

Атаки на бренд компании (brand impersonation, brand spoofing) часто неотделимы от рисков ИБ. При этом прямыми жертвами атаки могут быть:

🔵 сотрудники (угон корпоративных учётных записей);
🔵 контрагенты (фальсификация транзакций);
🔵 клиенты (кража средств и аккаунтов).

Также всем трём категориям могут предложить скачать ВПО под видом фирменных или служебных приложений.

Даже если атака не направлена на саму компанию, побочные эффекты наверняка будут измеримы в деньгах: повышенная нагрузка на техподдержку, компенсации обманутым клиентам (хотя вы и ни при чем!), ущерб репутации и затраты на реагирование. И даже если у компании есть «кибер-страховка», далеко не всегда эти затраты будут компенсированы.

На 100% защититься от того, что где-то кто-то в интернете создал поддельный сайт или аккаунт в соцсети с вашим логотипом, невозможно. Но целый ряд мер мониторинга и заранее принятых предосторожностей может снизить ущерб от подобных инцидентов и предотвратить их наиболее опасные последствия.

Собрали чеклисты для реагирования, мониторинга и предотвращения в подробном посте Kaspersky Daily.

#советы @П2Т

🐈‍⬛ Новые IOCs в атаке Notepad++

Эксперты Kaspersky проанализировали атаку на цепочку поставок с заражёнными обновлениями популярного среди разработчиков ПО редактора Notepad++, которая длилась до декабря 2025 года. Злоумышленники обладали достаточными ресурсами, чтобы регулярно менять используемые адреса С2, значительно модифицировать цепочки заражения и менять финальную вредоносную нагрузку. Судя по нашей телеметрии, с июля по октябрь 2025 года злоумышленники использовали минимум три разные цепочки заражения. Известные жертвы атаки находятся в Австралии, Латинской Америке и ЮВА и включают поставщиков ИТ-услуг, государственные и финансовые организации.

В одной из цепочек очень старая уязвимость в легитимном ПО ProShow используется для запуска нагрузки Metasploit и импланта Cobalt Strike, в другой Metasploit запускается из скрипта Lua, а в третьей техника DLL sideloading используется для подгрузки вредоносного кода в контексте BluetoothService и разворачивания бэкдора Chrysalis. Среди примечательных аспектов, упрощающих детектирование атаки — применение инсталлятора NSIS на первом этапе и обращение к экзотическому домену temp[.]sh во многих цепочках заражения.

Очень длинный список IOC, а также дополнительные рекомендации по детектированию угрозы приведены в посте на Securelist.

#угрозы #APT @П2Т

🤖 Ваши сотрудники уже устанавливают OpenClaw

OpenClaw (он же Clawdbot, он же Moltbot) — это локально устанавливаемый AI-ассистент, автоматизирующий задачи за счёт интеграции с электронной почтой, Slack, WhatsApp, календарями и файловой системой. Он умеет читать файлы, отправлять сообщения, выполнять системные команды и сохранять информацию между сессиями. Бот завирусился в соцмедийном смысле этого слова — по данным опросов, во многих компаниях сотрудники уже установили Moltbot , зачастую без одобрения ИТ.

Эксперты законно называют Moltbot «кошмаром для ИБ»: всего за несколько недель было зафиксировано множество атак и инцидентов.

🟢Moltbot хранит учётные данные в открытом виде в папке ~/.clawdbot/ и получает полные права текущего пользователя. Он способен передавать корпоративные данные в обход DLP — исследователи показали, как агенты способны читать внутренние Slack-каналы и пересылать сводки в личный WhatsApp, полностью обходя все системы аудита;

🟢сотни панелей управления Moltbot были найдены в открытом доступе в интернете. Все желающие мгновенно получали доступ к API-ключам, OAuth-токенам, истории переписки и могли выполнять команды на компьютере жертвы с root-правами;

🟢уже даже появился Moltbook — нечто вроде Reddit для ИИ-агентов, где уже ТОЖЕ успели найти миллионы опубликованных API-ключей и паролей; 🤦‍♂️

🟢вредоносные инструкции, внедрённые в электронные письма или веб-контент, могут отравлять постоянную память Moltbot. Такие отложенные многошаговые атаки могут собираться по кусочкам в течение недель и приводить к утечке данных или исполнению кода, обходя точечные проверки безопасности;

🟢в одном из популярных «навыков» Moltbot в официальном каталоге был обнаружен код для эксфильтрации данных. Вредонос RedLine уже адаптирован для кражи данных из локального хранилища Moltbot. Фальшивое расширение Clawdbot для VS Code устанавливало ScreenConnect RAT. Позднее счёт вредоносных навыков пошёл на десятки;

⚠️ Часть сотрудников почти наверняка попробуют установить Moltbot, несмотря на политику ИБ. Даже если они сделают это только на личных устройствах, это создаёт риски для корпоративных данных. Для снижения рисков сконцентрируйтесь на детектировании и управлении правами доступа:

😎 сканируйте рабочие станции на наличие процессов Moltbot и директорий ~/.clawdbot
😎 отслеживайте в сетевых журналах на характерные API-запросы (Slack, GitHub, серверы навыков);
😎 проводите аудит подключённых OAuth-приложений на корпоративных платформах для выявления несанкционированных интеграций Moltbot;
😎 контролируйте ключевые системы на предмет хранения паролей в открытом виде;
😎 используйте allowlisting для установки приложений и облачных интеграций;
😎 применяйте отдельные сервисные аккаунты с минимальными правами для интеграций;
😎 не выдавайте права администратора без критически важной бизнес-необходимости;
😎 требуйте, чтобы все администраторы (включая ИТ и разработчиков) использовали повышенные привилегии только по мере необходимости и на ограниченное время;
😎 проводите аудит всех доступов и интеграций, выданных внешним приложениям. Лишние разрешения нужно отзывать или требовать отдельного одобрения администратора.
😎 внедрите прозрачные политики по использованию агентского ИИ;
😎 обучайте персонал, рассказывая о рисках утечки данных и опасности теневого ИТ;
😎 предлагайте безопасные, одобренные корпоративные альтернативы с централизованным управлением.

OpenClaw — это новое измерение внутренних угроз. Автоматизированная система с широкими правами доступа к конфиденциальной информации, возможностью действовать и одновременно получать данные из внешних недоверенных источников. Что может пойти не так? 🤪

#советы #угрозы @П2Т