🐈‍⬛ Новые IOCs в атаке Notepad++

Эксперты Kaspersky проанализировали атаку на цепочку поставок с заражёнными обновлениями популярного среди разработчиков ПО редактора Notepad++, которая длилась до декабря 2025 года. Злоумышленники обладали достаточными ресурсами, чтобы регулярно менять используемые адреса С2, значительно модифицировать цепочки заражения и менять финальную вредоносную нагрузку. Судя по нашей телеметрии, с июля по октябрь 2025 года злоумышленники использовали минимум три разные цепочки заражения. Известные жертвы атаки находятся в Австралии, Латинской Америке и ЮВА и включают поставщиков ИТ-услуг, государственные и финансовые организации.

В одной из цепочек очень старая уязвимость в легитимном ПО ProShow используется для запуска нагрузки Metasploit и импланта Cobalt Strike, в другой Metasploit запускается из скрипта Lua, а в третьей техника DLL sideloading используется для подгрузки вредоносного кода в контексте BluetoothService и разворачивания бэкдора Chrysalis. Среди примечательных аспектов, упрощающих детектирование атаки — применение инсталлятора NSIS на первом этапе и обращение к экзотическому домену temp[.]sh во многих цепочках заражения.

Очень длинный список IOC, а также дополнительные рекомендации по детектированию угрозы приведены в посте на Securelist.

#угрозы #APT @П2Т

🤖 Ваши сотрудники уже устанавливают OpenClaw

OpenClaw (он же Clawdbot, он же Moltbot) — это локально устанавливаемый AI-ассистент, автоматизирующий задачи за счёт интеграции с электронной почтой, Slack, WhatsApp, календарями и файловой системой. Он умеет читать файлы, отправлять сообщения, выполнять системные команды и сохранять информацию между сессиями. Бот завирусился в соцмедийном смысле этого слова — по данным опросов, во многих компаниях сотрудники уже установили Moltbot , зачастую без одобрения ИТ.

Эксперты законно называют Moltbot «кошмаром для ИБ»: всего за несколько недель было зафиксировано множество атак и инцидентов.

🟢Moltbot хранит учётные данные в открытом виде в папке ~/.clawdbot/ и получает полные права текущего пользователя. Он способен передавать корпоративные данные в обход DLP — исследователи показали, как агенты способны читать внутренние Slack-каналы и пересылать сводки в личный WhatsApp, полностью обходя все системы аудита;

🟢сотни панелей управления Moltbot были найдены в открытом доступе в интернете. Все желающие мгновенно получали доступ к API-ключам, OAuth-токенам, истории переписки и могли выполнять команды на компьютере жертвы с root-правами;

🟢уже даже появился Moltbook — нечто вроде Reddit для ИИ-агентов, где уже ТОЖЕ успели найти миллионы опубликованных API-ключей и паролей; 🤦‍♂️

🟢вредоносные инструкции, внедрённые в электронные письма или веб-контент, могут отравлять постоянную память Moltbot. Такие отложенные многошаговые атаки могут собираться по кусочкам в течение недель и приводить к утечке данных или исполнению кода, обходя точечные проверки безопасности;

🟢в одном из популярных «навыков» Moltbot в официальном каталоге был обнаружен код для эксфильтрации данных. Вредонос RedLine уже адаптирован для кражи данных из локального хранилища Moltbot. Фальшивое расширение Clawdbot для VS Code устанавливало ScreenConnect RAT. Позднее счёт вредоносных навыков пошёл на десятки;

⚠️ Часть сотрудников почти наверняка попробуют установить Moltbot, несмотря на политику ИБ. Даже если они сделают это только на личных устройствах, это создаёт риски для корпоративных данных. Для снижения рисков сконцентрируйтесь на детектировании и управлении правами доступа:

😎 сканируйте рабочие станции на наличие процессов Moltbot и директорий ~/.clawdbot
😎 отслеживайте в сетевых журналах на характерные API-запросы (Slack, GitHub, серверы навыков);
😎 проводите аудит подключённых OAuth-приложений на корпоративных платформах для выявления несанкционированных интеграций Moltbot;
😎 контролируйте ключевые системы на предмет хранения паролей в открытом виде;
😎 используйте allowlisting для установки приложений и облачных интеграций;
😎 применяйте отдельные сервисные аккаунты с минимальными правами для интеграций;
😎 не выдавайте права администратора без критически важной бизнес-необходимости;
😎 требуйте, чтобы все администраторы (включая ИТ и разработчиков) использовали повышенные привилегии только по мере необходимости и на ограниченное время;
😎 проводите аудит всех доступов и интеграций, выданных внешним приложениям. Лишние разрешения нужно отзывать или требовать отдельного одобрения администратора.
😎 внедрите прозрачные политики по использованию агентского ИИ;
😎 обучайте персонал, рассказывая о рисках утечки данных и опасности теневого ИТ;
😎 предлагайте безопасные, одобренные корпоративные альтернативы с централизованным управлением.

OpenClaw — это новое измерение внутренних угроз. Автоматизированная система с широкими правами доступа к конфиденциальной информации, возможностью действовать и одновременно получать данные из внешних недоверенных источников. Что может пойти не так? 🤪

#советы #угрозы @П2Т

🔎 Интересные исследования APT и новости ИБ за неделю

👮‍♀️ Новые TTPs группы Stan Ghouls/Bloody Wolf, ведущей целевые атаки против производственных, ИТ- и финансовых организаций в РФ и Центральной Азии. Основным вектором заражения по-прежнему является качественный целевой фишинг. Появились признаки того, что злоумышленники добавили в свой арсенал модификацию Mirai.

🤨 Разбор масштабной активности APT TGR-STA-1030/UNC6619. В рамках Shadow Campaigns были скомпрометированы 70 государственных организаций и объектов КИИ в 37 странах, а разведка проводилась против 155 стран. Целью является шпионаж и сбор информации о геополитических событиях. Применяются уязвимости N-day, фишинг, Cobalt Strike/VShell/Havoc, а также фирменный eBPF-руткит ShadowGuard.

💾 Подробный технический анализ импланта DKnife, который устанавливается на роутеры и используется для перехвата трафика и установки ВПО жертвам в атаках AitM. ВПО способно подменять обновления на Android и Windows, помогая инсталлировать жертвам известные вредоносы ShadowPad и DarkNimbus, а также вмешиваться в трафик антивирусов.

🔔 Анализ крупной кампании по взлому облачных инфраструктур, в которой группировка TeamPCP взламывает всё, что плохо защищено — от Docker и Kubernetes до Redis и Ray — чтобы воровать данные, разворачивать криптомайнеры и проводить вымогательские атаки.

👀 Многочисленные кластеры ransomware и другого криминального ВПО (LockBit, Qilin, BlackCat, Ursnif, NetSupport) злоупотребляют однотипными шаблонами виртуальных машин, выпущенных через ISPsystem VMmanager. Значительное количество С2 имеют однотипные имена хостов наподобие WIN-J9D866ESIJ2. Исследователи предупреждают, что эта общность прослеживается до нескольких "пуленепробиваемых" хостингов и нельзя на этом основании приписывать активность одному кластеру угроз.

🗿 React2Shell живёт и торжествует — злоумышленники захватывают с его помощью серверы NGINX и переадресуют трафик на собственные домены. Жертвы обнаружены в доменах .gov и .edu, а также азиатских TLD (in, .id, .pe, .bd, .th).

🎃 Платформе «корпоративной автоматизации» n8n явно снятся лавры Ivanti. Снова CVSS 10.0 — CVE-2026-25049 позволяет атакуюющему с базовыми правами полностью захватить сервер.

📠 Редкий, вымирающий вид — ВПО «команды Legion» делает вид, что оно ransomware, хотя на самом деле просто блокирует компьютер, как в невинные нулевые.

💾 Группа Amaranth Dragon, входящая в кластер APT41, вооружилась прошлогодним хитом CVE-2025-8088 (уязвимость WinRAR), чтобы устанавливать жертвам фирменный Amaranth Loader, впоследствии разворачивающий маячок Havoc C2, либо более новое ВПО TGAmaranth RAT, управляемый (вы угадали) через Telegram. Целью кампании является шпионаж за госорганизациями и правоохранительными органами в ЮВА.

⚙️ Свежий кейс борьбы рансомварщиков с EDR — атакующие приносят с уязвимый драйвер от ПО EnCase, применяемого в криминалистике.

💻Технический анализ запутанной цепочки инсталляции ВПО AsyncRAT, сочетающей образы vhd, инфраструктуру IPFS, мудрёные скрипты PowerShell и десяток других трюков.

📱 Печальная статистика от Google — всего 7,5% устройств Android работают на свежей версии ОС.

#дайджест @П2Т

📣Выбор эффективных инструментов SOC в 2026

Когда: 11 февраля 2026 в 11:00 (МСК)

Как собрать центр мониторинга и реагирования так, чтобы он был результативен и не получился зоопарк технологий? Что нужно на старте, что можно добавить позже, как избежать проблем с совместимостью и интеграциями? Что имеет смысл автоматизировать сразу, а что лучше оставить на аналитика?

О реалиях внедрения SOC поговорят заказчики, интеграторы и производители на онлайн-конференции AM-Live! Обсудим:

▶️ как оценить объём работ реалистично и не получить х2 по бюджету и срокам;
▶️ какую архитектуру SOC выбирать в 2026;
▶️ частые проблемы совместимости при импортозамещении и смене вендоров;
▶️ нюансы для промышленных предприятий и объектов КИИ;
▶️ с чего начать при ограниченном бюджете и как развивать его по этапам зрелости;
▶️ какие KPI и SLA действительно имеют смысл для SOC;
▶️ станет ли SOCaaS/MDR нормой для среднего бизнеса и что будет критерием доверия.

👤От «Лаборатории Касперского» выступит Андрей Тамойкин, старший эксперт по сервисам безопасности.

Встречаемся уже в среду: 11 февраля 2026
Нужна предварительная регистрация.

Узнать о конференции и зарегистрироваться ⟶

#события @П2Т

🛒 Покупатели требуют ИБ

Потребители избегают покупок в магазинах, которые игнорируют кибербезопасность. Недавнее исследование показало, что 88% потребителей сомневаются перед покупкой у ритейлера, который подвергся кибератаке. Примерно пятая часть заявляет, что полностью прекратит там покупки. Другие изменят своё взаимодействие с магазином — например, избегая его веб-сайта и соцсетей, удалив личные данные в программе лояльности.

Для ритейлеров это создаёт новый бизнес-риск и серьёзную проблему. После вала крупных утечек последних лет люди больше осознают связь между утечками и их реальными последствиями: кражей денег, захватом аккаунтов, мошенничеством.

Эта потребительская сознательность накладывается на сложный ландшафт угроз для сектора торговли:

🟢магазины хранят привлекательные для злоумышленника данные (детали платежей, историю покупок, информацию и баллы программ лояльности);
🟢мелкие и средние ритейлеры часто лишены ресурсов, характерных, например, для финансовой отрасли, становясь более лёгкими мишенями;
🟢даже очень крупные бренды уровня Nike стали недавними жертвами вымогательских атак.

Несмотря на это, многие компании начинают говорить по усиление мер безопасности только после инцидента, заставляя клиентов задумываться, почему такие меры не были приняты раньше.

План действий для ритейлеров должен основываться на двух ключевых приоритетах:

1️⃣Кибербезопасность должна быть базовым, изначальным бизнес-требованием в современном ритейле

Контроль над обработкой данных, безопасностью платежей, защитой учётных записей и прав доступа, управлением устройствами и рисками цепочки поставок должен быть встроен на каждом этапе процессов в ритейле. Комплексные решения безопасности, такие как Kaspersky Symphony XDR Expert, должны быть развёрнуты по всей организации, чтобы позволить командам ИБ своевременно обнаруживать и реагировать на инциденты.

2️⃣ Полная прозрачность, когда что-то пошло не так

Молчание или обтекаемые заявления воспринимаются как безразличие к клиентам или сокрытие информации. Ритейлеры, которые простыми словами объясняют, что произошло, признают последствия, описывают принятые меры защиты клиентов и показывают конкретные улучшения, как правило, быстрее восстанавливают доверие, чем те, кто замолкает и скрывается за юридической защитой.

#советы @П2Т

💘 Февральский Patch Tuesday: ШЕСТЬ 🔥 зиродеев в «горячий» сезон

Microsoft дарит всем влюблённым пакет обновлений, который по количеству патчей выглядит стандартно, но впечатляет числом эксплуатируемых зиродеев. Всего закрыто 58 уязвимостей (62 с учетом сторонних компонентов), из которых 5 критических (3 EoP и 2 утечка информации). Всего 25 дефектов приводят к повышению привилегий, 12 — к выполнению произвольного кода, 7 — спуфингу, 6 — разглашению информации, 5 — к обходу функций безопасности и 3 — к отказу в обслуживании.

Целых 6 уязвимостей активно эксплуатируются злоумышленниками, три из них Microsoft отмечает как разглашённые ещё до выхода патчей, но непонятно, где это разглашение происходило. В любом случае, с установкой обновлений лучше не тянуть.

🔥 Активная эксплуатация

🟢 CVE-2026-21510 (CVSS 8.8) — обход функций безопасности Windows Shell. Атакующему достаточно убедить жертву открыть вредоносный ярлык или ссылку, чтобы обойти SmartScreen и Mark of the Web. За разглашение благодарят внутренние команды, анонимного исследователя и Google TAG, поэтому вероятно эксплуатация относительно масштабна.

🟢 CVE-2026-21513 (CVSS 8.8) — обход функций безопасности в MSHTML (привет, Internet Explorer). Да, IE мёртв, но его компоненты всё еще позволяют злоумышленникам исполнять код. Уязвимость разглашена такой же сборной командой исследователей.

🟢 CVE-2026-21514 (CVSS 7.8) — обход защиты в Microsoft Word. Позволяет запустить опасные COM/OLE объекты. Хорошая новость: через панель предварительного просмотра атака не работает. За обнаружение уязвимости благодарят всё тех же, но непонятно, использовались ли эти три дефекта в одной атаке, или разных.

🟢 CVE-2026-21519 (CVSS 7.8) — EoP в Desktop Window Manager. Второй месяц подряд в DWM находят дыру, которую используют хакеры для получения прав SYSTEM. Возможно, прошлый патч был неполным.

🟢 CVE-2026-21533 (CVSS 7.8) — EoP в службе Remote Desktop Services. Не дайте слову Remote вас обмануть — это локальное повышение привилегий до SYSTEM.

🟢 CVE-2026-21525 (CVSS 6.2) — отказ в обслуживании в диспетчере подключений удаленного доступа. Редкий случай, когда в дикой природе используют уязвимость для DoS через разыменование нулевого указателя.

☁️ Облака и ИИ
Примечательно, что все критические уязвимости февраля относятся к Azure. Почти все устранены Microsoft на своей стороне и не требуют действий со стороны пользователя, исключение — CVE-2026-21522, локальное повышение привилегий в ACI Confidential Containers.

Также Microsoft продолжает латать дыры в инструментах разработки с ИИ. Закрыто несколько RCE в GitHub Copilot и Visual Studio (например, CVE-2026-21523 и CVE-2026-21516), которые позволяют выполнить код при работе с IDE. Впрочем, они относятся к классическим типам уязвимостей, это не промпт-инъекции.

🔐 Secure Boot
С этим апдейтом активизируется обновление сертификатов Secure Boot. Старые сертификаты 2011 года истекают в июне 2026, поэтому Windows начинает обновлять их там, где это не создаёт риска «окирпичить» компьютер. В рамках обновления Microsoft идентифицирует машины, где по нескольким признакам установка обновления считается безопасной, и тогда присылает сами сертификаты.

#Microsoft #уязвимости @П2Т

✅ Правила SIEM для детектирования атак на Fortinet

С декабря на устройства Fortinet ведутся систематические автоматизированные атаки, направленные на обход аутентификации, извлечение конфигурации устройства, создание административных и VPN-аккаунтов для закрепления в сети. Декабрьская волна эксплуатировала CVE-2025-59718 и -59719 (CVSS 9.8), позволяющие атакующему, имеющему учётку в FortiCloud, войти в чужое устройство на базе FortiOS/ FortiManager/ FortiAnalyzer/ FortiProxy/ FortiWeb, если у цели активирована функция SSO.

В конце января началась вторая волна атак — атакующие обошли патчи и вооружились зиродеем, впоследствии получившим идентификатор CVE-2026-24858 (CVSS 9.4). В Fortinet даже вынуждены были глобально отключить FortiCloud SSO на пару дней, пока они разбирались, что происходит и выпускали новые патчи.

Хотя производитель на букву F с 2022 года встречается в РФ всё реже, в ряде организаций его решения остаются в строю, и  детектировать систематические попытки эксплуатации очень важно. Пограничные устройства остаются в топе приоритетов атакующих, и Fortinet у них на особом счету. Поэтому мы выпустили пакет правил FortiCloud SSO abuse package для нашей  SIEM-системы KUMA, состоящий из трёх групп:

🔵IOCs известных атак;
🔵опасные действия администраторов;
🔵подозрительная активность.

Все детали правил и дополнительные рекомендации — в посте в блоге.

#советы #угрозы #SIEM @П2Т