☝️ Новые почтовые угрозы и меры защиты от них

Четыре из пяти организаций столкнулись с почтовыми угрозами в 2025 году, при этом во втором полугодии произошёл всплеск вредоносной активности по сравнению с 2024 годом. Подавляющее большинство вредоносных вложений — троянцы, но значительно вырос процент обнаруженных шифровальщиков. Чтобы замаскироваться от защитного ПО, злоумышленники активно применяют новые тактики:

🟢вредоносный контент в файлах PDF;
🟢QR-коды в файлах PDF, в расчёте на обход почтовой защиты и сканирование кода менее защищённым личным устройством;
🟢зашифрованные PDF, с паролем, указанным в сопроводительном письме или в отдельно присланном письме;
🔵применение различных сервисов переадресации и обвязки ссылок, чтобы ссылки вызывали доверие и проходили базовые проверки безопасности.

Социоинженерные трюки тоже эволюционируют: злоумышленники мимикрируют под деловую переписку, включая фальшивые приглашения на встречи и уведомления сервисов документооборота. Благодаря применению ИИ, качество приманок сильно выросло и отличить их от легитимной переписки труднее. Вершиной этой эволюционной пирамиды являются атаки BEC, проводить которые теперь дешевле и можно делать это более массово.

Более подробно технические и социальные трюки вместе с примерами описаны в нашем исследовании почтовых киберугроз для бизнеса.

➡️ Как должна эволюционировать защита?

▶️в решении для защиты почты обязательны функции глубокого анализа вложений, способные справляться с «матрешками» наподобие «в запароленном архиве — PDF, а в PDF — QR-код»;
▶️почтовое решение должно быть интегрировано с сетевой песочницей для анализа подозрительных ссылок и вложений перед доставкой пользователю;
▶️также защитное решение должно обладать возможностями обезвреживания вложений (CDR, content disarm and reconstruction), когда письмо, сочетающее опасные и безопасные элементы, очищается от потенциальных угроз и доставляется получателю в чистом виде;
▶️на DNS своих почтовых доменов необходимо настроить записи для аутентификации почты (SPF, DKIM, DMARC). Это упростит защиту от атак с подменой отправителя;
▶️обучение пользователей и специализированные тренинги должны непрерывно совершенствоваться и проводиться регулярно, чтобы предупреждать сотрудников об актуальных тактиках злоумышленников. При этом важно сохранять базу: напоминать про проверку адресов отправителей и ссылок, алгоритмы действий при подозрении на угрозу.

Более подробные рекомендации — в исследовании.

#советы #почта @П2Т

Ещё о современных почтовых угрозах и советы по защите — прямо из уст Игоря Кузнецова, директора Kaspersky GReAT ⬆️

📌 Защита SAP, максимизация пользы SIEM и другие полезные посты января

Хотя рабочих дней в январе было не так много, за это время вышла куча горячих новостей ИБ, поэтому среди них могли затеряться материалы, полезные долгосрочно. Мы собрали самое ценное за месяц — эти статьи помогут выстроить эффективные процессы и системы в ИБ.
Если вы что-то пропустили, на выходных как раз можно наверстать упущенное!

🔵рекомендации ФСТЭК по харденингу систем SAP;
🔵топ угроз для агентского ИИ по версии OWASP;
🔵анализ практик прозрачности, настраиваемости и обработки данных среди вендоров EPP/EDR. Kaspersky в лидерах!
🔵как правильно выжимать максимум из имеющейся инсталляции SIEM;
🔵самые важные рекомендации по ИБ для «нетехнических» людей (коллег, друзей, родственников);
🔵новые техники атакующих для отключения Defender;
🔵топ бизнес-рисков по данным Alianz — лидируют риски ИБ, на втором месте риски внедрения ИИ;
🔵все детали про «эпохалипсис» и работы по его митигации;
🔵малый бизнес махнул рукой на MFA.

#дайджест @П2Т

Интересные исследования APT и новости ИБ за неделю

🪲 Новые подробности атаки на цепочку поставок с троянизацией обновлений антивируса eScan. Трёхэтапная цепочка заражения приводила к установке двух устойчивых полезных нагрузок, при этом аккуратно обходя машины, где уже стояли защитные решения «Лаборатории Касперского» или другие продукты ИБ. Эксперты GReAT обновили наш пост разбором ВПО и дополнительными IoC.

🟢АРТ LABYRINTH CHOLLIMA (TA404, кластер Lazarus) разделилась на три ветки для эффективности, сохраняя общий доступ к инструментам и инфраструктуре. По словам исследователей, GOLDEN CHOLLIMA/AppleJeus занимается массовыми, но мелкими хищениями криптовалют, MATA/PRESSURE CHOLLIMA/TraderTraitor организует мега-ограбления криптобирж, а «ядро» группы сфокусировано на классическом шпионаже в оборонке и промышленности.

🟣 APT HoneyMyte/Mustang Panda обновила бэкдор CoolClient, а также вооружилась несколькими вариантами браузерного стилера. В ряде атак также применялись руткиты. Основной фокус атакующих — по-прежнему на госорганах в ЮВА.

🟣 Опасный веб-шелл EncystPHP позволяет захватить контроль над офисными АТС на базе FreePBX. Начальное проникновение идёт через эксплуатацию CVE-2025-64328.

🟡Разбор свежих атак APT36 на индийские организации с помощью бэкдоров и загрузчиков GOGITTER, GITSHELLPAD и GOSHELL.

🟢Появились технические подробности истории с атакой на польскую энергосеть. Атакующие смогли отключить RTU (remote terminal units), используемые для сбора телеметрии и оценки состояния устройств генерации и передачи. На подачу электричества это не повлияло. Атаку называют не скоординированной и возможно носящей экспериментальный характер.

🟣Обзор деятельности ТА584, активного брокера первоначального доступа, который постоянно наращивает обороты заражений последние два года. В 2025 году отличился бурной эксплуатацией техник ClickFix и применением ВПО Tsundere Bot.

🔵 Разбор UEFI-руткита MoonBounce от APT41/Winnti. Для контекста сначала лучше прочесть наше исследование этой угрозы, на которое обильно ссылается автор.

Наша новая любимая рубрика «AI в каждый дом» радует свежими новостями:
🟢 Новый тренд — LLMjacking. Организаторы операции Bizarre Bazaar поставили на поток кражу и перепродажу доступа к API торчащих в сети серверов с LLM. Злоумышленники сканируют сеть на наличие Ollama и vLLM, валидируют доступы и продают их за полцены для чужих вычислений.

🟣А звучащий из каждого чайника Clawdbot (он же Moltbot, он же OpenClaw) уже успел стать приманкой для разработчиков: вредоносные расширения, замаскированные под интеграции OpenClaw, появились в VSCode и OpenVSX. Жертвам ставят ScreenConnect RAT.

🟢 Вишинг нового уровня: альянс Scattered Spider, Shiny Hunters и LAPSUS$ с помощью «панели живого фишинга» сочетает ручное отслеживание вредоносных онлайн-сессий со звонками сотрудникам атакованных компаний. Тактика эффективно применяется в атаках на десятки крупнейших корпораций и успешно обходит MFA.

🟣Google отчитались о противодействии IPIDEA, поставщику нескольких рекламных SDK и оператору крупнейшей в мире (по словам Google) сети домашних прокси.

🟢 Злоумышленники, называющие себя APT IRAN, анонсировали в даркнете продажу фреймворка Black Industry для атак на промышленные контроллеры Siemens, Schneider Electric, Allen-Bradley и другую OT-инфраструктуру.

🟣 Анализ С2-платформы PeckBirdy, применяемой китаеязычными APT в атаках на основе LOLBAS. Злоумышленники целятся в госсектор Азии и казино.

🟠 Китайские «прачечные» для криптовалют бьют рекорды, отмыв за прошедший год более $16 млрд через сложную сеть брокеров и p2p.

#APT #дайджест @П2Т

✅ Защищаем бизнес от подделки бренда

Атаки на бренд компании (brand impersonation, brand spoofing) часто неотделимы от рисков ИБ. При этом прямыми жертвами атаки могут быть:

🔵 сотрудники (угон корпоративных учётных записей);
🔵 контрагенты (фальсификация транзакций);
🔵 клиенты (кража средств и аккаунтов).

Также всем трём категориям могут предложить скачать ВПО под видом фирменных или служебных приложений.

Даже если атака не направлена на саму компанию, побочные эффекты наверняка будут измеримы в деньгах: повышенная нагрузка на техподдержку, компенсации обманутым клиентам (хотя вы и ни при чем!), ущерб репутации и затраты на реагирование. И даже если у компании есть «кибер-страховка», далеко не всегда эти затраты будут компенсированы.

На 100% защититься от того, что где-то кто-то в интернете создал поддельный сайт или аккаунт в соцсети с вашим логотипом, невозможно. Но целый ряд мер мониторинга и заранее принятых предосторожностей может снизить ущерб от подобных инцидентов и предотвратить их наиболее опасные последствия.

Собрали чеклисты для реагирования, мониторинга и предотвращения в подробном посте Kaspersky Daily.

#советы @П2Т

🐈‍⬛ Новые IOCs в атаке Notepad++

Эксперты Kaspersky проанализировали атаку на цепочку поставок с заражёнными обновлениями популярного среди разработчиков ПО редактора Notepad++, которая длилась до декабря 2025 года. Злоумышленники обладали достаточными ресурсами, чтобы регулярно менять используемые адреса С2, значительно модифицировать цепочки заражения и менять финальную вредоносную нагрузку. Судя по нашей телеметрии, с июля по октябрь 2025 года злоумышленники использовали минимум три разные цепочки заражения. Известные жертвы атаки находятся в Австралии, Латинской Америке и ЮВА и включают поставщиков ИТ-услуг, государственные и финансовые организации.

В одной из цепочек очень старая уязвимость в легитимном ПО ProShow используется для запуска нагрузки Metasploit и импланта Cobalt Strike, в другой Metasploit запускается из скрипта Lua, а в третьей техника DLL sideloading используется для подгрузки вредоносного кода в контексте BluetoothService и разворачивания бэкдора Chrysalis. Среди примечательных аспектов, упрощающих детектирование атаки — применение инсталлятора NSIS на первом этапе и обращение к экзотическому домену temp[.]sh во многих цепочках заражения.

Очень длинный список IOC, а также дополнительные рекомендации по детектированию угрозы приведены в посте на Securelist.

#угрозы #APT @П2Т

🤖 Ваши сотрудники уже устанавливают OpenClaw

OpenClaw (он же Clawdbot, он же Moltbot) — это локально устанавливаемый AI-ассистент, автоматизирующий задачи за счёт интеграции с электронной почтой, Slack, WhatsApp, календарями и файловой системой. Он умеет читать файлы, отправлять сообщения, выполнять системные команды и сохранять информацию между сессиями. Бот завирусился в соцмедийном смысле этого слова — по данным опросов, во многих компаниях сотрудники уже установили Moltbot , зачастую без одобрения ИТ.

Эксперты законно называют Moltbot «кошмаром для ИБ»: всего за несколько недель было зафиксировано множество атак и инцидентов.

🟢Moltbot хранит учётные данные в открытом виде в папке ~/.clawdbot/ и получает полные права текущего пользователя. Он способен передавать корпоративные данные в обход DLP — исследователи показали, как агенты способны читать внутренние Slack-каналы и пересылать сводки в личный WhatsApp, полностью обходя все системы аудита;

🟢сотни панелей управления Moltbot были найдены в открытом доступе в интернете. Все желающие мгновенно получали доступ к API-ключам, OAuth-токенам, истории переписки и могли выполнять команды на компьютере жертвы с root-правами;

🟢уже даже появился Moltbook — нечто вроде Reddit для ИИ-агентов, где уже ТОЖЕ успели найти миллионы опубликованных API-ключей и паролей; 🤦‍♂️

🟢вредоносные инструкции, внедрённые в электронные письма или веб-контент, могут отравлять постоянную память Moltbot. Такие отложенные многошаговые атаки могут собираться по кусочкам в течение недель и приводить к утечке данных или исполнению кода, обходя точечные проверки безопасности;

🟢в одном из популярных «навыков» Moltbot в официальном каталоге был обнаружен код для эксфильтрации данных. Вредонос RedLine уже адаптирован для кражи данных из локального хранилища Moltbot. Фальшивое расширение Clawdbot для VS Code устанавливало ScreenConnect RAT. Позднее счёт вредоносных навыков пошёл на десятки;

⚠️ Часть сотрудников почти наверняка попробуют установить Moltbot, несмотря на политику ИБ. Даже если они сделают это только на личных устройствах, это создаёт риски для корпоративных данных. Для снижения рисков сконцентрируйтесь на детектировании и управлении правами доступа:

😎 сканируйте рабочие станции на наличие процессов Moltbot и директорий ~/.clawdbot
😎 отслеживайте в сетевых журналах на характерные API-запросы (Slack, GitHub, серверы навыков);
😎 проводите аудит подключённых OAuth-приложений на корпоративных платформах для выявления несанкционированных интеграций Moltbot;
😎 контролируйте ключевые системы на предмет хранения паролей в открытом виде;
😎 используйте allowlisting для установки приложений и облачных интеграций;
😎 применяйте отдельные сервисные аккаунты с минимальными правами для интеграций;
😎 не выдавайте права администратора без критически важной бизнес-необходимости;
😎 требуйте, чтобы все администраторы (включая ИТ и разработчиков) использовали повышенные привилегии только по мере необходимости и на ограниченное время;
😎 проводите аудит всех доступов и интеграций, выданных внешним приложениям. Лишние разрешения нужно отзывать или требовать отдельного одобрения администратора.
😎 внедрите прозрачные политики по использованию агентского ИИ;
😎 обучайте персонал, рассказывая о рисках утечки данных и опасности теневого ИТ;
😎 предлагайте безопасные, одобренные корпоративные альтернативы с централизованным управлением.

OpenClaw — это новое измерение внутренних угроз. Автоматизированная система с широкими правами доступа к конфиденциальной информации, возможностью действовать и одновременно получать данные из внешних недоверенных источников. Что может пойти не так? 🤪

#советы #угрозы @П2Т

🔎 Интересные исследования APT и новости ИБ за неделю

👮‍♀️ Новые TTPs группы Stan Ghouls/Bloody Wolf, ведущей целевые атаки против производственных, ИТ- и финансовых организаций в РФ и Центральной Азии. Основным вектором заражения по-прежнему является качественный целевой фишинг. Появились признаки того, что злоумышленники добавили в свой арсенал модификацию Mirai.

🤨 Разбор масштабной активности APT TGR-STA-1030/UNC6619. В рамках Shadow Campaigns были скомпрометированы 70 государственных организаций и объектов КИИ в 37 странах, а разведка проводилась против 155 стран. Целью является шпионаж и сбор информации о геополитических событиях. Применяются уязвимости N-day, фишинг, Cobalt Strike/VShell/Havoc, а также фирменный eBPF-руткит ShadowGuard.

💾 Подробный технический анализ импланта DKnife, который устанавливается на роутеры и используется для перехвата трафика и установки ВПО жертвам в атаках AitM. ВПО способно подменять обновления на Android и Windows, помогая инсталлировать жертвам известные вредоносы ShadowPad и DarkNimbus, а также вмешиваться в трафик антивирусов.

🔔 Анализ крупной кампании по взлому облачных инфраструктур, в которой группировка TeamPCP взламывает всё, что плохо защищено — от Docker и Kubernetes до Redis и Ray — чтобы воровать данные, разворачивать криптомайнеры и проводить вымогательские атаки.

👀 Многочисленные кластеры ransomware и другого криминального ВПО (LockBit, Qilin, BlackCat, Ursnif, NetSupport) злоупотребляют однотипными шаблонами виртуальных машин, выпущенных через ISPsystem VMmanager. Значительное количество С2 имеют однотипные имена хостов наподобие WIN-J9D866ESIJ2. Исследователи предупреждают, что эта общность прослеживается до нескольких "пуленепробиваемых" хостингов и нельзя на этом основании приписывать активность одному кластеру угроз.

🗿 React2Shell живёт и торжествует — злоумышленники захватывают с его помощью серверы NGINX и переадресуют трафик на собственные домены. Жертвы обнаружены в доменах .gov и .edu, а также азиатских TLD (in, .id, .pe, .bd, .th).

🎃 Платформе «корпоративной автоматизации» n8n явно снятся лавры Ivanti. Снова CVSS 10.0 — CVE-2026-25049 позволяет атакуюющему с базовыми правами полностью захватить сервер.

📠 Редкий, вымирающий вид — ВПО «команды Legion» делает вид, что оно ransomware, хотя на самом деле просто блокирует компьютер, как в невинные нулевые.

💾 Группа Amaranth Dragon, входящая в кластер APT41, вооружилась прошлогодним хитом CVE-2025-8088 (уязвимость WinRAR), чтобы устанавливать жертвам фирменный Amaranth Loader, впоследствии разворачивающий маячок Havoc C2, либо более новое ВПО TGAmaranth RAT, управляемый (вы угадали) через Telegram. Целью кампании является шпионаж за госорганизациями и правоохранительными органами в ЮВА.

⚙️ Свежий кейс борьбы рансомварщиков с EDR — атакующие приносят с уязвимый драйвер от ПО EnCase, применяемого в криминалистике.

💻Технический анализ запутанной цепочки инсталляции ВПО AsyncRAT, сочетающей образы vhd, инфраструктуру IPFS, мудрёные скрипты PowerShell и десяток других трюков.

📱 Печальная статистика от Google — всего 7,5% устройств Android работают на свежей версии ОС.

#дайджест @П2Т