🔎 Интересные исследования APT и новости ИБ за неделю

👮‍♀️ Новые TTPs группы Stan Ghouls/Bloody Wolf, ведущей целевые атаки против производственных, ИТ- и финансовых организаций в РФ и Центральной Азии. Основным вектором заражения по-прежнему является качественный целевой фишинг. Появились признаки того, что злоумышленники добавили в свой арсенал модификацию Mirai.

🤨 Разбор масштабной активности APT TGR-STA-1030/UNC6619. В рамках Shadow Campaigns были скомпрометированы 70 государственных организаций и объектов КИИ в 37 странах, а разведка проводилась против 155 стран. Целью является шпионаж и сбор информации о геополитических событиях. Применяются уязвимости N-day, фишинг, Cobalt Strike/VShell/Havoc, а также фирменный eBPF-руткит ShadowGuard.

💾 Подробный технический анализ импланта DKnife, который устанавливается на роутеры и используется для перехвата трафика и установки ВПО жертвам в атаках AitM. ВПО способно подменять обновления на Android и Windows, помогая инсталлировать жертвам известные вредоносы ShadowPad и DarkNimbus, а также вмешиваться в трафик антивирусов.

🔔 Анализ крупной кампании по взлому облачных инфраструктур, в которой группировка TeamPCP взламывает всё, что плохо защищено — от Docker и Kubernetes до Redis и Ray — чтобы воровать данные, разворачивать криптомайнеры и проводить вымогательские атаки.

👀 Многочисленные кластеры ransomware и другого криминального ВПО (LockBit, Qilin, BlackCat, Ursnif, NetSupport) злоупотребляют однотипными шаблонами виртуальных машин, выпущенных через ISPsystem VMmanager. Значительное количество С2 имеют однотипные имена хостов наподобие WIN-J9D866ESIJ2. Исследователи предупреждают, что эта общность прослеживается до нескольких "пуленепробиваемых" хостингов и нельзя на этом основании приписывать активность одному кластеру угроз.

🗿 React2Shell живёт и торжествует — злоумышленники захватывают с его помощью серверы NGINX и переадресуют трафик на собственные домены. Жертвы обнаружены в доменах .gov и .edu, а также азиатских TLD (in, .id, .pe, .bd, .th).

🎃 Платформе «корпоративной автоматизации» n8n явно снятся лавры Ivanti. Снова CVSS 10.0 — CVE-2026-25049 позволяет атакуюющему с базовыми правами полностью захватить сервер.

📠 Редкий, вымирающий вид — ВПО «команды Legion» делает вид, что оно ransomware, хотя на самом деле просто блокирует компьютер, как в невинные нулевые.

💾 Группа Amaranth Dragon, входящая в кластер APT41, вооружилась прошлогодним хитом CVE-2025-8088 (уязвимость WinRAR), чтобы устанавливать жертвам фирменный Amaranth Loader, впоследствии разворачивающий маячок Havoc C2, либо более новое ВПО TGAmaranth RAT, управляемый (вы угадали) через Telegram. Целью кампании является шпионаж за госорганизациями и правоохранительными органами в ЮВА.

⚙️ Свежий кейс борьбы рансомварщиков с EDR — атакующие приносят с уязвимый драйвер от ПО EnCase, применяемого в криминалистике.

💻Технический анализ запутанной цепочки инсталляции ВПО AsyncRAT, сочетающей образы vhd, инфраструктуру IPFS, мудрёные скрипты PowerShell и десяток других трюков.

📱 Печальная статистика от Google — всего 7,5% устройств Android работают на свежей версии ОС.

#дайджест @П2Т

📣Выбор эффективных инструментов SOC в 2026

Когда: 11 февраля 2026 в 11:00 (МСК)

Как собрать центр мониторинга и реагирования так, чтобы он был результативен и не получился зоопарк технологий? Что нужно на старте, что можно добавить позже, как избежать проблем с совместимостью и интеграциями? Что имеет смысл автоматизировать сразу, а что лучше оставить на аналитика?

О реалиях внедрения SOC поговорят заказчики, интеграторы и производители на онлайн-конференции AM-Live! Обсудим:

▶️ как оценить объём работ реалистично и не получить х2 по бюджету и срокам;
▶️ какую архитектуру SOC выбирать в 2026;
▶️ частые проблемы совместимости при импортозамещении и смене вендоров;
▶️ нюансы для промышленных предприятий и объектов КИИ;
▶️ с чего начать при ограниченном бюджете и как развивать его по этапам зрелости;
▶️ какие KPI и SLA действительно имеют смысл для SOC;
▶️ станет ли SOCaaS/MDR нормой для среднего бизнеса и что будет критерием доверия.

👤От «Лаборатории Касперского» выступит Андрей Тамойкин, старший эксперт по сервисам безопасности.

Встречаемся уже в среду: 11 февраля 2026
Нужна предварительная регистрация.

Узнать о конференции и зарегистрироваться ⟶

#события @П2Т

🛒 Покупатели требуют ИБ

Потребители избегают покупок в магазинах, которые игнорируют кибербезопасность. Недавнее исследование показало, что 88% потребителей сомневаются перед покупкой у ритейлера, который подвергся кибератаке. Примерно пятая часть заявляет, что полностью прекратит там покупки. Другие изменят своё взаимодействие с магазином — например, избегая его веб-сайта и соцсетей, удалив личные данные в программе лояльности.

Для ритейлеров это создаёт новый бизнес-риск и серьёзную проблему. После вала крупных утечек последних лет люди больше осознают связь между утечками и их реальными последствиями: кражей денег, захватом аккаунтов, мошенничеством.

Эта потребительская сознательность накладывается на сложный ландшафт угроз для сектора торговли:

🟢магазины хранят привлекательные для злоумышленника данные (детали платежей, историю покупок, информацию и баллы программ лояльности);
🟢мелкие и средние ритейлеры часто лишены ресурсов, характерных, например, для финансовой отрасли, становясь более лёгкими мишенями;
🟢даже очень крупные бренды уровня Nike стали недавними жертвами вымогательских атак.

Несмотря на это, многие компании начинают говорить по усиление мер безопасности только после инцидента, заставляя клиентов задумываться, почему такие меры не были приняты раньше.

План действий для ритейлеров должен основываться на двух ключевых приоритетах:

1️⃣Кибербезопасность должна быть базовым, изначальным бизнес-требованием в современном ритейле

Контроль над обработкой данных, безопасностью платежей, защитой учётных записей и прав доступа, управлением устройствами и рисками цепочки поставок должен быть встроен на каждом этапе процессов в ритейле. Комплексные решения безопасности, такие как Kaspersky Symphony XDR Expert, должны быть развёрнуты по всей организации, чтобы позволить командам ИБ своевременно обнаруживать и реагировать на инциденты.

2️⃣ Полная прозрачность, когда что-то пошло не так

Молчание или обтекаемые заявления воспринимаются как безразличие к клиентам или сокрытие информации. Ритейлеры, которые простыми словами объясняют, что произошло, признают последствия, описывают принятые меры защиты клиентов и показывают конкретные улучшения, как правило, быстрее восстанавливают доверие, чем те, кто замолкает и скрывается за юридической защитой.

#советы @П2Т

💘 Февральский Patch Tuesday: ШЕСТЬ 🔥 зиродеев в «горячий» сезон

Microsoft дарит всем влюблённым пакет обновлений, который по количеству патчей выглядит стандартно, но впечатляет числом эксплуатируемых зиродеев. Всего закрыто 58 уязвимостей (62 с учетом сторонних компонентов), из которых 5 критических (3 EoP и 2 утечка информации). Всего 25 дефектов приводят к повышению привилегий, 12 — к выполнению произвольного кода, 7 — спуфингу, 6 — разглашению информации, 5 — к обходу функций безопасности и 3 — к отказу в обслуживании.

Целых 6 уязвимостей активно эксплуатируются злоумышленниками, три из них Microsoft отмечает как разглашённые ещё до выхода патчей, но непонятно, где это разглашение происходило. В любом случае, с установкой обновлений лучше не тянуть.

🔥 Активная эксплуатация

🟢 CVE-2026-21510 (CVSS 8.8) — обход функций безопасности Windows Shell. Атакующему достаточно убедить жертву открыть вредоносный ярлык или ссылку, чтобы обойти SmartScreen и Mark of the Web. За разглашение благодарят внутренние команды, анонимного исследователя и Google TAG, поэтому вероятно эксплуатация относительно масштабна.

🟢 CVE-2026-21513 (CVSS 8.8) — обход функций безопасности в MSHTML (привет, Internet Explorer). Да, IE мёртв, но его компоненты всё еще позволяют злоумышленникам исполнять код. Уязвимость разглашена такой же сборной командой исследователей.

🟢 CVE-2026-21514 (CVSS 7.8) — обход защиты в Microsoft Word. Позволяет запустить опасные COM/OLE объекты. Хорошая новость: через панель предварительного просмотра атака не работает. За обнаружение уязвимости благодарят всё тех же, но непонятно, использовались ли эти три дефекта в одной атаке, или разных.

🟢 CVE-2026-21519 (CVSS 7.8) — EoP в Desktop Window Manager. Второй месяц подряд в DWM находят дыру, которую используют хакеры для получения прав SYSTEM. Возможно, прошлый патч был неполным.

🟢 CVE-2026-21533 (CVSS 7.8) — EoP в службе Remote Desktop Services. Не дайте слову Remote вас обмануть — это локальное повышение привилегий до SYSTEM.

🟢 CVE-2026-21525 (CVSS 6.2) — отказ в обслуживании в диспетчере подключений удаленного доступа. Редкий случай, когда в дикой природе используют уязвимость для DoS через разыменование нулевого указателя.

☁️ Облака и ИИ
Примечательно, что все критические уязвимости февраля относятся к Azure. Почти все устранены Microsoft на своей стороне и не требуют действий со стороны пользователя, исключение — CVE-2026-21522, локальное повышение привилегий в ACI Confidential Containers.

Также Microsoft продолжает латать дыры в инструментах разработки с ИИ. Закрыто несколько RCE в GitHub Copilot и Visual Studio (например, CVE-2026-21523 и CVE-2026-21516), которые позволяют выполнить код при работе с IDE. Впрочем, они относятся к классическим типам уязвимостей, это не промпт-инъекции.

🔐 Secure Boot
С этим апдейтом активизируется обновление сертификатов Secure Boot. Старые сертификаты 2011 года истекают в июне 2026, поэтому Windows начинает обновлять их там, где это не создаёт риска «окирпичить» компьютер. В рамках обновления Microsoft идентифицирует машины, где по нескольким признакам установка обновления считается безопасной, и тогда присылает сами сертификаты.

#Microsoft #уязвимости @П2Т

✅ Правила SIEM для детектирования атак на Fortinet

С декабря на устройства Fortinet ведутся систематические автоматизированные атаки, направленные на обход аутентификации, извлечение конфигурации устройства, создание административных и VPN-аккаунтов для закрепления в сети. Декабрьская волна эксплуатировала CVE-2025-59718 и -59719 (CVSS 9.8), позволяющие атакующему, имеющему учётку в FortiCloud, войти в чужое устройство на базе FortiOS/ FortiManager/ FortiAnalyzer/ FortiProxy/ FortiWeb, если у цели активирована функция SSO.

В конце января началась вторая волна атак — атакующие обошли патчи и вооружились зиродеем, впоследствии получившим идентификатор CVE-2026-24858 (CVSS 9.4). В Fortinet даже вынуждены были глобально отключить FortiCloud SSO на пару дней, пока они разбирались, что происходит и выпускали новые патчи.

Хотя производитель на букву F с 2022 года встречается в РФ всё реже, в ряде организаций его решения остаются в строю, и  детектировать систематические попытки эксплуатации очень важно. Пограничные устройства остаются в топе приоритетов атакующих, и Fortinet у них на особом счету. Поэтому мы выпустили пакет правил FortiCloud SSO abuse package для нашей  SIEM-системы KUMA, состоящий из трёх групп:

🔵IOCs известных атак;
🔵опасные действия администраторов;
🔵подозрительная активность.

Все детали правил и дополнительные рекомендации — в посте в блоге.

#советы #угрозы #SIEM @П2Т

🔥 Интересные исследования APT и новости ИБ за неделю

🟣APT Head Mare в начале года вооружилась новыми версиями бэкдора PhantomHeart и прокси-инструмента PhantomProxyLite, переписанными на PowerShell. Это отражает стремление группы активнее использовать LotL. Для первоначального проникновения эксплуатируют  BDU:2025-10114 в  TrueConf Server и рассылают целевой фишинг.

🟢Поминутный разбор TTPs группы Scattered Spider/Muddled Libra, основанный на анализе образа вредоносной виртуалки, созданной после компрометации VMware vSphere  в инфраструктуре жертвы.

🟣Новые штрихи в историю с компрометацией Notepad++ — разбор долгосрочных паттернов в TTPs атакующих. Атаку приписывают APT  Lotus Blossom/G0030.

🟢Группа Storm-2603 эксплуатирует критическую CVE-2026-23760 в  SmarterMail чтобы разворачивать шифровальщик Warlock на поражённых системах.

🟣Новая информация о свежих найденных версиях бэкдора BRICKSTORM (конечно на устройствах Ivanti).

🟣Тенденции спама и фишинга за 2025 год. Кроме статистики, интерес вызывают оригинальные приманки, замеченные за год.

🟢Технический анализ ВПО Lockbit 5.0, работающего на Windows, Linux и ESXi.

🟡Обзор замеченных Google методов применения Gemini злоумышленниками. Многие группы поставили применение ИИ на поток к концу года для исследований уязвимостей, автоматизации разведки, анализа украденных дампов почты и генерации убедительных фишинговых приманок.

🟣Разбор вредоносных кампаний, в которых загрузчик RenEngine доставляет на компьютеры ACR Stealer. Источником заражения преимущественно являются пиратские игры.

🟢После почти годичного затишья возобновилось активное распространение LummaStealer.

🔵Около 80% корпоративных ИТ-инфраструктур содержат уязвимую версию WinRAR. Дефектом CVE-2025-8088 активно пользуются злоумышленники.

🟢Мода писать всё подряд на Node.js добралась до ВПО — встречайте LTX stealer.

🟣Обзор ZerodayRAT, продаваемого через Telegram шпионского ПО для Android и iOS. Способы заражения iOS и технические особенности в исследовании толком не описаны, зато есть много скриншотов админки зловреда.

🔵Juniper research и Revolut оценивают объём платной рекламы в соцсетях, которую дали мошенники в 2025 году в одной Европе, в скромные 3,8 млрд. фунтов.

🔴Вот они, простые повседневные ужасы цепочки поставок. Одна утёкшая учётка небольшой фирмы-поставщика, которая обслуживала поставщика покрупнее, давала доступ к ИТ-инфраструктуре 200 (!) аэропортов. Для тех, кто связан с аэропортами, это был учётка к порталу NGOSS (Next Generation Operations Support System).

#дайджест @П2Т

💼 Применяем атрибуцию угроз в работе SOC

Зачем знать, чью вредоносную активность блокирует служба ИБ, если опасные файлы уже заблокированы и удалены?
Это знание критически важно, чтобы снизить вероятность развития атаки и «повторных визитов». Ведь нельзя исключать:

🟢что обнаруженный файл уже сыграл свою роль, и злоумышленники закрепились в сети, например, получив админскую учётку;
🟢что атакующий вернётся завтра с другой версией своего ВПО;
🟢что вредоносных имплантов было два-три, а задетектировали только один.

Чтобы полноценно устранить угрозу, необходимо выявить всю цепь атаки и нейтрализовать её.

Атрибуция киберугроз помогает понять контекст атаки, понять, кто вас атакует и какие TTPs обычно использует. Изучив информацию об атакующем, например на портале Kaspersky Threat Intelligence, можно:

🔵закрыть уязвимости, используемые в атаках этой APT;
🔵добавить в SIEM правила для детектирования известных IOCs, например имён хостов С2;
🔵провести дополнительный поиск угроз с помощью готовых правил Yara;
🔵применить точечные меры харденинга, например заблокировав исполнение конкретных LOLBAS.

Пример с пошаговыми действиями при обнаружении атак APT Mystery Snail, а также описание способов, которыми вредоносную активность атрибутируют конкретному кластеру угроз, читайте в блоге.

#советы #TI #SIEM @П2Т

👽 Управление уязвимостями на третьей космической

Sonatype выпустили гигантский отчёт State of the software supply chain, покрывающий темы от перегрузки публичных реестров зависимостей и закладок Lazarus в проектах open source до современных требований к прозрачности цепочек поставок и состояния управления уязвимостями. Последняя тема наиболее важна для организаций, поэтому мы сосредоточились на ней.

Авторы утверждают, что систематическая проблема уязвимого ПО обостряется на трёх фундаментальных уровнях:
1️⃣Уровень данных. CVE получают не все дефекты, 65% присвоенных CVE не получают CVSS от NVD, при этом почти половина из них при ручной оценке тянет на High и Critical (все цифры только для open source). При этом оценка критичности может расходиться в разных источниках на 3 единицы (не 0,3 а именно 3). Медианное время оценки — 41 день. При этом описания дефектов часто не содержат достаточных данных, чтобы верно и автоматически классифицировать дефект и правильно приоритизировать его устранение.
2️⃣Уровень потребления. ИИ и автоматизированные системы интегрируют в проекты устаревшие версии компонентов даже годы спустя после выпуска исправленных версий. В 2025 (!) году, устаревшая, уязвимая сами знаете к чему версия Log4J была загружена 42 миллиона (!) раз. В 95% случаев, когда из репозитория загружается уязвимый компонент, рядом лежит новая, исправленная версия. Но — в сборке закрепили привычную, стабильную версию, или уязвимая версия скрыта во вложенных зависимостях, а потом ещё и отчёт сканера уязвимостей никто не обработал. Усиливает проблему и разработка с помощью ИИ, поскольку модели зачастую «предпочитают» популярную в прошлом версию пакета, часто встречавшуюся в обучающей выборке.
3️⃣Уровень экосистемы. Постепенно увеличивается число зависимостей и компонентов, которые больше не поддерживаются (EOL). Уязвимости в них сохраняются навечно, а процент таких зависимостей в типичном корпоративном проекте варьируется от 5% до 15%. Острота проблемы нарастает, поэтому появился даже рынок сопровождения устаревших решений open source, в которые разрабатывают или интегрируют патчи известных дефектов.

🎯 Устранять проблему предлагается, переходя от ускоренной борьбы с конкретными CVE к структурированному решению: обогащать данные об уязвимостях по разным источникам, настраивать в организации безопасный процесс интеграции зависимостей ПО, систематически искоренять зависимости EOL.
Особенно интересен второй компонент: авторы отчёта предлагают использовать "repository firewall", то есть правила и политики, блокирующие загрузку недоверенных и уязвимых версий компонентов. Для ИИ-агентов предлагается чётко инструктировать тех о доверенных источниках и разрешённых версиях программных компонентов.

Полную версию отчёта приложим в следующем сообщении ⬇️

#советы @П2Т

🦀 Автора OpenClaw взяли на работу в OpenAI, но плодить баги open source он не бросит

Если за что и благодарить ракообразное ПО, так это за наглядный урок по безопасности агентского ИИ. Пойти не так может примерно всё — от выжигания API-запросов на сотни долларов при выполнении примитивнейших задач до кражи конфиденциальных данных через инъекцию агента, общающегося в соцсети для ИИ-агентов. А ещё агент удобно складирует в своих папках ключевую информацию, которую так просто красть инфостилерам, не надо ничего искать. Это не гипотетический риск — уже обнаружены живые логи инфостилеров, содержащие данные из папок OpenClaw.

Новости по этой теме поступают ежедневно, но всё, что может быть полезно для оценки рисков и выработки защитных мер, мы собрали в двух постах:

▶️краткая история и риски Clawdbot/Moltbot/OpenClaw для тех, кто решил установить агента в личных целях;
▶️взгляд на OpenClaw с колокольни корпоративной ИБ, советы по детектированию и рекомендации по контролю «теневого агентского ИИ» для организаций.

#советы #ИИ @П2Т

🔥 Discord по паспорту, система разрешений в Windows и другие интересные новости личной ИБ и приватности

🟢Discord начинает проверку возраста пользователей глобально. Вопреки жёлтым заголовкам, у каждого пользователя НЕ будут требовать фото паспорта и анализ крови — в большинстве случаев платформа сможет оценить возраст пользователя без проверки документов, по особенностям общения. В спорных случаях попросят предъявить паспорт или живое фото лица, но клянутся, что сканы лица вообще проверяются прямо на устройстве, а после проверки паспорта сам Discord получает только число (возраст пользователя в годах). То есть в теории аккаунт не ассоциируется с паспортными данными. Как окажется на практике — узнаем. 🗿

🟣Мы обнаружили ещё один Android-троянец, который поступает к жертвам уже в заводской упаковке, в прошивке нового телефона. ВПО Keenadu явно имеет связи с другими похожими угрозами: Triada, BADBOX и Vo1d.

🟣Microsoft обещает внедрить в Windows систему разрешений, похожую на Android и iOS — перед тем, как выдать приложению доступ к файлам, геолокации или фотографиям на компьютере, Windows спросит, хочет ли этого пользователь.
Называется это User Transparency and Consent in Windows. Одновременно анонсировали Windows Baseline Security Mode — режим, в котором запускать можно лишь корректно подписанные приложения.

🟣Google выкатывает полезную фичу — если в поисковой выдаче есть «клубничные» изображения, опубликованные без согласия модели (на английском это политкорректно называется non-consensual explicit images), можно запросить их удаление и заблокировать индексирование новых схожих изображений.

🔴Новые тактики фишинга и спама — теперь его рассылают через Задачи (Google Tasks).

🟡В новой версии Chrome не только устранили зиродеи, но и выкатили новые 🤪. Шутим, про зиродеи пока ничего не известно, но вот появление функции Chrome Autobrowse на базе ИИ-модели Gemini не может не бодрить. Агентские функции заказывали? Нет? Ну всё равно получите.

🔵Также первый зиродей 2026 года устранили в iOS.

🟢287 расширений Chrome с 37 млн. установок зачем-то воруют историю веб-посещений. Авторы признают, что не все эти расширения вредоносны, но поведение разработчиков в любом случае спорное.

🟣Под видом исправленных и ускоренных версий Telegram в России распространяют Android-банкер Mamont.

🟡Блокировщики рекламы адаптировались к Manifest V3. Два немецких исследователя оценили, произошла ли ожидаемая деградация качества «адблокеров» после перехода Chrome и совместимых браузеров на более строгую версию взаимодействия между браузером и расширением. Как выяснилось, не произошла.

🟣 В ChatGPT появился lockdown mode, в котором ИИ ограничен в наборе инструментов и не взаимодействует с открытым интернетом.

🟣Всё, что вы (не) хотели знать про риски, уязвимости и методы защиты личного ИИ-агента Clawdbot/Moltbot/OpenClaw.

#дайджест @П2Т

🗿 Интересные исследования APT и новости ИИ ИБ за неделю

🔴Разбор инфостилера Arcanix, распространявшегося по модели MaaS в двух разных модификациях: С++ и Python, вторая отличается более гибкой конфигурацией.

🔵Технический анализ крупной кампании по распространению Winos 4.0 (ValleyRat) среди жертв в ЮВА, заражения зачастую перерастают в атаки ransomware.

🔵Разбор цепочки заражения, в которой через ClickFix распространяется «премиумный» загрузчик Matanbuchus 3.0, который в свою очередь устанавливает жертвам AstarionRAT. Высокая цена этих компонентов на чёрном рынке намекает на целевой характер кампании. Это подтверждается и тем, что после успешного заражения быстро последовали уже управляемые человеком атаки, дошедшие до контроллера домена менее чем за 40 минут.

🔵Массовая компрометация устройств Fortinet проводилась последние несколько месяцев. Атакующий — видимо брокер первоначального доступа, целился в устройства со слабыми паролями и небезопасными настройками. Таких нашлось более 600 штук. В атаках применялись ИИ-ассистенты (вероятно Claude и Deepseek) для написания скриптов при разведке и развитии атаки.

👻 Бэкдор Keenadu примечателен тем, что жертвы получают его прямо с новым смартфоном, в заводской прошивке. Наш анализ показывает, что новое ВПО имеет определённую связь с предыдущими угрозами такого же типа — Android-ботнетами Triada, BADBOX и Vo1d.

🟢Разбор новых версий RAT Remcos, в которых найденная информация выгружается на С2 почти в прямом эфире, а методы шпионажа включают трансляцию с веб-камеры и анализ геолокации.

🟣Новые IOCs в атаках, эксплуатирующих CVE-2026-1731 в BeyondTrust и разворачивающих у жертв VShell и SparkRAT. Изначально атаки были шпионскими, но сейчас к празднику жизни подключились и вымогатели.

🟣С пятницы в реестре npm распространяется новый червь SANDWORM_MODE, отличающийся большей скрытностью, комбинацией самораспространения с извлечением секретов CI и ключей LLM API через GitHub Action. Также червь запускает вредоносный MCP-сервер, который инструктирует ИИ-агенты разработки на машине жертвы собрать и отправить все секреты в файлах конфигурации.

🔴Эксперимент по использованию популярных ИИ-сервисов в качестве платформы С2. Работает не хуже чем с Discord и Telegram.

🟡В наших широтах Copilot 365 по понятным причинам не очень популярен, но мы уверены, что подобное ждёт любого ИИ-ассистента. В феврале пользователи замечали, что он обрабатывает письма с грифом «конфиденциально», которые ИИ-ассистенту должны быть категорически недоступны.

🔵Анализ новых кампаний Cloud Atlas. Группировка мало меняет свои TTPs, но остаётся эффективной — целевой фишинг по-прежнему работает.

🟢Разбор нового фишкита Starkiller, поддерживающего все современные технологии включая обратный прокси, ретрансляция кодов MFA и похищение куки.

🟢Нашумевшее ВПО для Android Promptspy использует запросы к ассистенту Gemini прямо на устройстве, чтобы сгенерировать подходящий набор команд и выполнить их через сервис accessibility, закрепив ВПО в списке недавних приложений и защитив его таким образом от диспетчеров задач. В остальном ВПО скучное, но тактика индивидуальной генерации скриптов прямо у жертвы наверняка будет широко использоваться в будущем.

🟢Российские организации атакует неизвестная группа, пытающаяся подделываться под Angry Likho/Sticky Werewolf.

🟣Microsoft подтверждает, что очевидную, но мало обсуждаемую тактику «отравления» ИИ-рекомендаций промпт-инъекциями на веб-страницах уже используют нечистоплотные компании разных калибров.

🟣Саму компанию Ivanti скомпрометировали ещё в 2021 году через дефект в её же продукте. В той же кампании были скомпрометированы военные подрядчики в Европе и США.

🔵CISA подтвердила эксплуатацию дефектов RoundCube CVE-2025-49113 и -68461 в атаках.

#дайджест #APT @П2Т

🏭 Практические рекомендации по защите промышленных предприятий

После каждой исследованной атаки на промышленные предприятия и системы промышленной автоматизации мы пишем рекомендации. Это меры и средства защиты, которые при верном применении могли бы остановить атаку или значительно снизить ущерб от неё. Со временем мы заметили, что рекомендации часто повторяются, потому что защитники допускают похожие ошибки, а атакующие стараются их эксплуатировать.

Поэтому мы решили составить основанный на практике список наиболее часто рекомендуемых мер ИБ. Он не претендует на полноту, не заменяет странового, отраслевого и международного регулирования, но им вполне можно пользоваться как самостоятельным справочником при выборе и планировании защитных мер.

Список разделён на две большие группы.
🏭 Базовые меры ИБ: сегментация и изоляция технологических сетей, развёртывание современных защитных решений для ОТ и ИТ-узлов, многофакторная аутентификация для административных консолей и критичных систем, требования к сложности паролей, строгие групповые политики домена, автономные неизменяемые резервные копии и так далее.

🏭 Специализированные меры, критически важные для противодействия отдельным типам угроз или TTP: целевым атакам, техникам BYOVD и DLL hijacking, вредоносному ПО для AutoCAD, атакам на гипервизоры, эксплуатации устаревших ОС.

Команда Kaspersky ICS CERT планирует регулярно уточнять список рекомендаций по мере изменения ландшафта угроз, поэтому сохраняйте в избранное!

#OT #советы @П2Т

🔵 А вы готовы к ста тысячам CVE?

В этом году количество уязвимостей побьёт все рекорды — по прогнозу FIRST, в 2026 году медианное значение составит около 59000 CVE, а в некоторых сценариях эта цифра может достичь 118000. Для сравнения, в 2025 году было зарегистрировано 48186 дефектов. Конечно, доля реально эксплуатируемых уязвимостей крайне мала — около 700 дефектов за 2025, а реестр CISA KEV пополнился лишь на 245 новых уязвимостей за год.

Но двукратный рост общего числа CVE (а ещё плюс BDU и EUVD!) безусловно будет вызовом для команд ИБ:

🟢объёмы растут потому, что всё больше CNAs, платформ баг баунти и исследовательских групп регистрируют уязвимости, в том числе древние ошибки и дефекты в open-source коде. Всплеск также связан с использованием ИИ для анализа крупных кодовых баз;
🟢 только небольшой процент (по оценкам FIRST, примерно 5%) уязвимостей создаёт серьёзные риски для бизнеса;
🟢 по мере абсолютного роста числа CVE сложнее становится выявлять действительно значимые баги — соотношение «сигнал/шум» ухудшается.

Командам ИБ придётся прокачать фокус и поставить приоритизацию на промышленные рельсы:

◾️ приоритизировать не по CVSS-баллам, а по реальным рискам: вероятность эксплуатации, наличие активных эксплойтов, критичность активов и влияние на бизнес;
◾️ автоматизировать первичный анализ (triage) в масштабах всей инфраструктуры. Алгоритмы могут справляться с объёмом в 50 или 100 тысяч CVE, человеку это не под силу. Человеческое время должно быть зарезервировано для небольшого подмножества уязвимостей с высоким реальным риском;
◾️ использовать ИИ «в обе стороны». Те же технологии искусственного интеллекта, которые ускоряют поиск багов для исследователей и злоумышленников, позволяют защитникам эффективнее коррелировать данные об эксплуатации и отсекать шум. Однако эффективность ИИ напрямую зависит от качества данных, поэтому обогащение и перекрёстная проверка метаданных уязвимостей критически важны;
◾️ быть готовыми к росту шума. Открытие новых уязвимостей сейчас опережает темпы их эксплуатации. Вся существующая экосистема (MITRE, NVD и региональные аналоги, CNAs) испытывает нагрузку и со временем может деградировать (очереди, неполные данные), но вряд ли станет неработоспособна.

Вывод прост: 2026 год — это не столько про «залатать побольше», сколько про качественное принятие решений. Успех CISO будет зависеть от того, смогут ли они выстроить управление уязвимостями вокруг автоматизации, контекста и грамотного распределения ресурсов, чтобы резкий рост числа CVE не приводил к потере контроля над рисками эксплуатации.

#CISO #уязвимости @П2Т

📌 Рекомендации по харденингу VMware от ФСТЭК

ФСТЭК продолжает публиковать практические рекомендации по безопасной настройке инфраструктуры, на сей раз по средам виртуализации на базе VMWare.

Никаких общих слов нет — с места в карьер выдают два десятка практических советов с конкретными именами флагов и настроек:

- подробное журналирование событий;
- отправка журналов на удалённый сервер;
- отправка конкретных журналов в SIEM и их мониторинг;
- список событий, которые обязательно должны создавать оповещение в SIEM;
- резервное копирование;
- многофакторная аутентификация;
- запрет привилегированного доступа по SSH или его харденинг, если запрет невозможен;
- ограничение VMware Network API;
- запрет установки VMware Installation Bundles;
- ограничение использования HTTPS, vSphere и vMotion;
- регулярные обновления ПО;
- минимизация привилегий;
- регулярная смена паролей;
- настроенные безопасная загрузка и безопасный режим ESXi;
- запрет запуска неподписанного кода (execInstalledOnly);
- корректная настройка политик безопасности Portgroup;
- сегментирование сети;
- ограничение сетевого доступа по чёрным и белым спискам.

Прямая ссылка на PDF.

#советы @П2Т

📌 Защита 1С, ужасы OpenClaw и другие полезные посты февраля

Вычистили из февральского новостного потока всё сиюминутное, и осталось самое ценное за месяц! 🎯
Эти статьи помогут выстроить эффективные процессы и системы в ИБ.
Если вы что-то пропустили, на выходных как раз можно наверстать упущенное!

▶️актуальные трюки злоумышленников в атаках на email и методы защиты;
▶️язык ИБ для совета директоров;
▶️правила SIEM для обнаружения компрометации устройств Fortinet;
▶️как (можно было) избежать компрометации систем на базе 1С;
▶️какие угрозы несут бизнесу онлайн-двойники бренда, почему это может быть началом целевой атаки, и как с этим бороться;
▶️как когнитивные искажения влияют на аналитиков SOC и что с этим делать;
▶️советы по защите промышленных предприятий и систем АСУ ТП;
▶️всё, что вы (не) хотели знать про угрозы ИИ-агента OpenClaw и способы его защиты.

#дайджест @П2Т

🌻 Интересные исследования продвинутых угроз (APT) и новости ИБ за неделю

📘 Хакерская группировка Librarian Likho перешла от целевых атак к массовым операциям, разослав более 1000 вредоносных писем в адрес госструктур, строительных и промышленных компаний РФ. В атаке используются установщики на базе программы Smart Install Maker, которые ставят жертве приложения для удалённого доступа AnyDesk. В дальнейшем «Лихо» ворует учётные данные и почту с помощью легитимных инструментов, таких как программа WebBrowserPassView.

📠 В новой кампании хакерской группы APT37 задействовано пять ранее неизвестных вредоносных инструментов, предназначенных для краж из изолированных сетей. Среди них — THUMBSBD, использующий устройства хранения данных как двусторонний скрытый канал связи, и RESTLEAF, создающий механику управления (C2) на базе облачного ПО Zoho WorkDrive.

🪟 Компания Google отключила инфраструктуру UNC2814 — шпионской угрозы, которая скомпрометировала как минимум 53 организации в 42 странах. Злоумышленники использовали ВПО GRIDTIDE, которое применяло онлайн-сервис для работы с Google Таблицами в качестве двустороннего скрытого канала связи: команды считывались из ячейки A1, а статусы записывались в соседние ячейки. В числе целей были телекоммуникационные компании и государственные органы.

🐎 Новая кампания от хакерской группировки Head Mare затрагивает российские организации в сфере логистики, финансов и промышленности. Приманкой являются защищённые паролем архивы, якобы содержащие договоры и счета. На самом деле там скрыт обновлённый зловред PhantomCore, дающий злоумышленникам возможность подключиться к сети жертвы и атаковать другие компьютеры через туннель.

🔻 Разбор новой вымогательской «партнёрской программы» C77L, авторы называют её персидской. 🧐

👽 Разбор новой модификации ВПО PlugX, распространяемой хакерской группой UNC6384, которая частично пересекается с другой группировкой злоумышленников — Mustang Panda. Кампания нацелена на государственные организации и дипломатов в Юго-Восточной Азии, для заражения используется техника «злоумышленник посередине» (AitM) и компрометация портала авторизации.

🚛 Группировка Diesel Vortex запустила платформу GlobalProfit, работающую по модели коммерческих фишинговых решений (phishing-as-a-service). Примечательная узкая специализация — фишинг ориентирован на грузовые и логистические компании США и ЕС. Преступники развернули 52 фишинговых домена и похищали учетные данные пользователей онлайн-порталов Truckstop, Teleroute и Penske Logistics.

👻 В новой фишинговой кампании GTFire онлайн-инструментарий для разработчиков Google Firebase используется для хостинга вредоносных страниц, а онлайн-переводчик Google Переводчик — для маскировки ссылок и обхода фильтров электронной почты. Анализ инфраструктуры управляющих серверов показал компрометацию учётных данных более чем тысячи организаций из сотни стран.

🔆 Любопытная атака на цепочку поставок в электронной коммерции c использованием техники typosquatting. Фальшивый пакет в галерее NuGet (.NET) имитирует легитимную библиотеку Stripe.net и похищает ключи программного интерфейса приложений (API) при инициализации. Злоумышленники искусственно раздули количество загрузок до 180 тысяч, чтобы вызвать доверие жертв.

🔵 Тем временем в хранилище пакетов npm всё стабильно — вредоносный пакет ambar-src был загружен 50 тысяч раз, хотя инфицированную версию удалили уже через пять часов. Аккуратный универсальный скрипт устанавливает жертвам ВПО на базе универсальной программной платформы MythicAgents или обратной оболочки.

#APT #дайджест @П2Т