8264
Про ИБ в бизнесе, промышленности и многом другом 💼 Главный канал Kaspersky: @kasperskylab_ru Связь @KasperskyCrew
👻 Девочка-девочка, чёрное SEO уже на твоём сайте
Даже если сайт компании является простой «визиткой» и его компрометация не приводит к утечке ПД и другой важной информации, служба ИБ должна уделять его состоянию пристальное внимание. Злоумышленники в промышленных масштабах компрометируют сайты с хорошей репутацией, чтобы раздавать со скрытых страниц фишинг и вредоносное ПО, а на легитимных и видимых страницах размещают скрытые ссылки для манипуляции поисковыми рейтингами.
Для взлома сайта чаще всего пользуются уязвимостями в CMS и плагинах, а также ошибочной конфигурацией сервера. Получив доступ, злоумышленники незаметно модифицируют страницы сайта и тихо уходят.
Обычные посетители (и администраторы) сайта ничего не замечают, он работает, как обычно. Но со временем появляются тревожные симптомы: снижение трафика, ухудшение позиций в поиске, появление грозных предупреждений браузера или антивируса при попытке перейти на сайт. Чтобы диагностировать проблему, часто достаточно заглянуть в код сайта — там можно сразу увидеть десятки ссылок на очень сомнительные сайты с не менее сомнительными описаниями.
Подробнее о проблеме, её диагностике, а также рекомендациях по предотвращению взлома читайте в нашей статье на Securelist.
#советы @П2Т
Dante, AirStalk, и другие интересные исследования APT с красивыми именами за неделю
➡️ Ну ВДРУГ вы пропустили — мы обнаружили ВПО Dante производства Memento Labs (ex-Hacking Team) в атаках ForumTroll. Но дальше произошло нечто очень редкое — руководитель Memento Labs признал, что это их ВПО 🤯, правда назвал его устаревшим.
🍄 Ранее неизвестная группа CL-STA-1009 атакует аутсорсинговые компании при помощи нового ВПО AirStalk, которое злоупотребляет возможностями MDM AirWatch (ой, то есть Workspace One UEM 🤪) для С2 и эксфильтрации данных. Целью кампании заявлен шпионаж, но ни атакующие страны, ни страны-жертвы не названы.
🔌 А вот жертвами UNC6384 стали дипломатические организации в Венгрии, Бельгии и других европейских странах. Вредоносные lnk-файлы, эксплуатирующие мартовскую уязвимость CVE-2025-9491, позволяли установить жертвам бэкдор PlugX.
👻 Детальный разбор кампаний GhostCall и GhostHire, нацеленных на разработчиков и руководителей криптовалютных компаний, Злоумышленники делают упор на социнженерию и компрометацию Маков, используют 8 цепочек заражения с разнообразным ВПО.
📶 Новые атаки группы Cloud Atlas на российские организации ВПК и агропрома.
🟣Австралийский регулятор ASD выпустил предупреждение о новой волне атак на устройства с Cisco IOS XE. Эксплуатация CVE-2023-20198 приводит к установке импланта BADCANDY. Его применяют как шпионские так и криминальные акторы, охотно заражающие устройства повторно, если уязвимости не устранены. В бюллетене даны конкретные рекомендации по реагированию.
🔵Подробный обзор новой группировки ransomware: под названием Global вероятно скрываются старые знакомцы Mamona и Eldorado.
🟣Разбор шифровальщика Warlock.
🟠Майнинговая банда Kinsing теперь эксплуатирует серверы ActiveMQ
⚪️Анализ новой версии банковского троянца Lampion и кампаний по его распространению. Судя по разнообразию вредоносных образцов, они собираются при помощи автоматизированной системы.
🟢Присмотритесь к этому исследованию про вредоносные пакеты в npm. Есть в нём интересный нюанс — вредоносный код кампании PhantomRaven прячется в «невидимых» зависимостях, которые хостятся на внешнем сервере и не отображаются в счётчике зависимостей проекта.
📱 Разбор новой версии DeliveryRAT для Android, используемой во втором полугодии. Установщики ВПО мимикрируют под все популярные в РФ коммерческие и госсервисы.
👮♀️ Резко выросла активность мобильного ВПО, направленного на кражу данных банковских карт по NFC или осуществление атак NFC relay. Около 760 образцов притворяются мобильными приложениями ведущих финансовых организаций России, Европы, Бразилии США.
#APT #дайджест @П2Т
🔎 Постквантовый Интернет: вы находитесь здесь
Cloudflare опубликовали монструозный обзор (как раз на все длинные выходные) под названием State of the post-quantum Internet in 2025. В нём охвачены все актуальные вопросы про ПКШ — от текущего статуса научных разработок в квантовых вычислениях до конкретных оценок затрат памяти и CPU при вычислении ЭЦП с разными постквантовыми алгоритмами. Затронут и регуляторный аспект, правда с акцентом на США и другие англоязычные страны.
Основная новость в статье — более половины трафика живых людей, который проходит через Cloudflare, защищено постквантовыми алгоритмами согласования ключа. Среди серверов на топ-100k доменов, уже 39% поддерживают ПКШ, хотя всего полгода назад было 28%.
А заканчивается обзор достаточно простой рекомендацией — постквантовое согласование ключей в инфраструктуре надо внедрять уже сейчас, а вот сертификаты на базе ПКШ пока к внедрению не готовы из-за зоопарка стандартов и высоких вычислительных расходов. Тем не менее, нужно готовить инфраструктуру к их внедрению, используя актуальные версии ПО, автоматизируя управление сертификатами и поддерживая конфигурации серверов, которые способны работать одновременно как с доквантовыми, так и постквантовыми сертификатами в зависимости от поддержки на стороне клиента.
#CISO @П2Т
🚖 Почти GTA
В этом году на Security Analyst Summit особое внимание уделяют автомобильной тематике. Целую сессию на конференции открыл Сергей Ложкин, которого привёз на сцену сам Янн Марденборо, прошедший карьерный путь от sim-racing до подиума Ле-Ман. Старенький Мерседес, который на протяжении всей сессии постепенно превращался в арт-объект, был единственной невзламываемой машиной в этот день. Почти все автомобили на дорогах уже очень цифровые, и от цифровых компонентов в них зависит почти всё. Евгений Касперский поделился историей из практики — в одной из поездок автомобиль пришлось бросить посреди Сибири, потому что на него неудачно установили обновление прошивки, и машина превратилась в дорогостоящий кирпич.
Злоумышленники могут сделать нечто подобное в большом масштабе, и это отнюдь не теория. Артём Зиненко из Kaspersky ICS CERT представил историю одного пентеста, в котором команда прошла путь от незакрытого сервиса Wiki у суб-субподрядчика крупного автопроизводителя до возможности централизованно разослать обновление прошивки десяткам тысяч автомобилей. Особенности головного модуля этих машин позволяют такому обновлению взаимодействовать через CAN-шину с основными механизмами авто — двигателем и тормозной системой.
Примечательна и работа команды сингапурских исследователей Джорджа Чена, Чи Пэня и Алины Тан. Изучив особенности нескольких популярных видеорегистраторов, они научились компрометировать эти устройства на лету, пользуясь дефектами в аутентификации Wi-Fi и системных сервисов видеорегистратора. Вредоносный код может автоматически инфицировать другие устройства поблизости, поэтому название "ботнет на колесах" действительно подходит этому проекту. Учитывая широкий доступ видеорегистраторов к таким данным, как геолокация в реальном времени, запись изображения и звука снаружи и внутри автомобиля, возможности для злоумышленников открываются гигантские.
Хотя автомобильная индустрия уделяет значительное внимание вопросам безопасности, устранить дефекты в ПО пока получается не всегда. Сергей Ануфриенко из Kaspersky ICS CERT завершил сессию обзором найденных его командой уязвимостей в различных ECU автомобиля, среди которых есть такие жемчужины как RCE в подсистеме телематики, срабатывающие при получении SIM-картой автомобиля специально сформированного SMS.
Системный обзор темы и советы автопроизводителям (и их поставщикам) есть на сайте ICS CERT.
#TheSAS2025 @П2Т
Развиваем киберзащиту и измерям её эффективность
Задач в ИБ всегда больше, чем ресурсов и времени, поэтому критически важны правильная приоритизация задач и постоянный поиск способов работать эффективней и быстрей.
Помогаем вам по обоим направлениям!
1️⃣ Оцениваем эффективность защиты, опираясь на данные
Новый, комплексный подход к оценке основан на матрице покрытия MITRE ATT&CK. Вместо простого «да/нет» покрытие оценивается по нескольким факторам, что позволяет определить и широту, и глубину покрытия с учётом внедрённых в организации средств и мер ИБ. Инструмент помогает моделировать разные комбинации решений «Лаборатории Касперского», чтобы найти оптимальную конфигурацию и закрыть «слепые зоны».
2️⃣ Приоритизируем уязвимости
Центр анализа уязвимостей поможет превратить бесконечные CVE в управляемый список критичных угроз, позволяя фильтровать их по статусу эксплуатации, EPSS и другим практичным метрикам. Для уязвимостей построены связи с техниками ATT&CK и описаниями групп злоумышленников, эксплуатирующих каждый дефект.
3️⃣Прокачиваем SOC
Новая версия нашей SIEM, KUMA 4.0 снабжена батареей практичных ИИ-технологий – от обнаружения попыток DLL Hijacking до помощи в разборе алертов. Новые дэшборды, синхронизация данных с помощью RAFT и интеграция с DFI ускоряют расследования и повышают эффективность работы аналитиков.
▶️Прямо сейчас регистрируйтесь и подключайтесь, чтобы подробно изучить новшества KUMA на онлайн-стриме «Безопасность в четырех измерениях: что нового в KUMA 4.0?»
▶️А все возможности Kaspersky Threat Landscape обсудим и покажем на стриме 30 октября в 11:00 (Вопросы по эффективности вашей защиты уже сейчас можно задать в чате сообщества).
#события @П2Т
🟢 Новые приключения итальянцев Hacking Team в России
Эксперты GReAT реконструировали цепочку заражения, применённую в атаках ForumTroll на российские организации. Короткоживущие веб-страницы, эксплуатировавшие 0day CVE-2025-2783 в Chrome, запускали на компьютере жертвы вредоносное ПО LeetAgent, примечательное тем, что все команды с С2 поступают в виде leetspeak. Поиски других атак, в которых использовался LeetAgent, позволили обнаружить случаи применения другого, гораздо более сложного вредоносное ПО Dante. Оно имеет преемственность с последними известными версиями коммерческого шпионского ПО RCS, созданного печально известной итальянской компанией Memento Labs (в девичестве Hacking Team).
Напомним, что Hacking Team были одними из пионеров коммерческого spyware и одними из первых в этой индустрии стали жертвами хактивизма — в 2015 году инфраструктура компании была взломана анонимными хакерами , а внутренняя переписка и исходные коды ВПО опубликованы. После этого компанию продали и переименовали в Memento Labs. Новые владельцы заявляли, что им придётся начинать работу компании с чистого листа.
Судя по всему, Dante и есть результат «начатого сначала». Имплант имеет модульную структуру, использует шифрование модулей с уникальными для каждой жертвы ключами и множество антиотладочных техник, при отсутствии команд со стороны С2 через некоторое время самоуничтожается.
О результатах исследования рассказал Борис Ларин в докладе на ИБ-конференции Security Analyst Summit. Полный технический анализ использованных уязвимостей и логических ошибок, анализ ВПО, а также IoC опубликованы на Securelist.
#APT #TheSAS2025 @П2Т
🔎 И снова он, безопасный ИИ в каждый дом каждую организацию
IBM и Anthropic выпустили руководство под названием «Проектирование безопасных корпоративных AI-агентов с использованием MCP». Оно определяет жизненный цикл разработки агентов (ADLC) на основе привычных принципов DevSecOps и эталонную архитектуру для создания, управления и эксплуатации безопасных, соответствующих регуляторным требованиям ИИ-агентов в корпоративных масштабах с использованием протокола (MCP).
Ключевые моменты:
🔵 Переход от «is it up» к «is it right». Агенты — это вероятностные, адаптивные системы, способные давать разные ответы на один и тот же запрос. Поэтому в разработке нужно явно определять границы полномочий, давать человеку удобные инструменты отслеживания решений и действий ИИ-агента. В дополнение к стандартному DevSecOps, жизненный цикл включает экспериментирование и оптимизацию во время работы, тестирование поведения (галлюцинации, предвзятость, дрейф), песочницы и защитные механизмы, а также постоянный мониторинг использования моделью инструментов.
🔵 Принципы проектирования для предприятий: Допустимый уровень автономности, конструктивная безопасность (security by design), интероперабельность через открытые стандарты, сильные наблюдаемость и управление (observability and governance).
🔵 Модель безопасности для агентов: Новые риски включают отравление памяти, промпт-инъекции, неправильное использование инструментов/API, повышение привилегий, дрейф поведения агентов. Эти риски снижаются за счёт внедрения идентификации и ролевой модели прав агентов, глубокой фильтрации на уровне MCP-шлюза, постоянного контроля рисков и регуляторного соответствия.
🔵 Управление и сертификация: Корпоративные каталоги содержат описание целей, владельцев, инструментов, политик и других данных по каждому ИИ-агенту. Также необходимы подпись артефактов, SBOM, отслеживание и версионирование, которые обеспечивают возможность аудита и отката изменений.
🔵 Серверы MCP представлены как ключевой инструмент для контроля над агентами и их доступом к ИТ-ресурсам организации. На уровне MCP-шлюза должны быть реализованы принцип наименьших привилегий, управляемые и аудируемые вызовы инструментов. Основные функции MCP-шлюза: управление идентификацией и доступами агента, маршрутизация запросов и проверки состояния модели, ограничения скорости и квоты, обеспечение соблюдения политик, аудит, а также аварийное отключение ИИ.
В документе приведена эталонная архитектура и требования для платформы агентского ИИ, учитывающие вопросы безопасности, наблюдаемости, управления, устойчивости и переносимости, а также возможности для хранения памяти/состояний, планирования/выполнения, интероперабельности, управления знаниями (RAG), взаимодействия человека и агента.
IBM и Anthropic утверждают, что компании могут безопасно расширять использование AI-агентов, внедряя ADLC на всех этапах — от создания агента до управления им. При этом обязательно обеспечить многослойную защиту, управление агентами и серверами MCP через каталоги, сертификационные механизмы, подписанные артефакты и так далее. Принятие MCP в качестве стандартного интерфейса инструментов, строгий контроль за рисками и наблюдаемость позволяют применять ИИ-агентов в соответствии с бизнес-целями и регуляторными требованиями.
#AI @П2Т
🔎 Windows 11: что нового для DFIR?
Доля Windows 11 в корпоративных парках компьютеров всё ещё мала, но с прекращением поддержки W10 наверняка начнёт расти. Это повлияет на работу специалистов по реагированию — некоторые привычные криминалистические артефакты претерпели изменения, и появились совершенно новые источники информации.
🔵Блокнот, Проводник и Командная строка обзавелись вкладками, причём Блокнот сохраняет данные между перезагрузками.
🟣Поиск Windows переехал на SQLite, и БД из одного файла превратилась в три.
🟣Помощник совместимости приложений (PCA) создаёт больше файлов, по которым можно изучить историю запуска программ.
🟣Спорная функция Recall по умолчанию отключена на корпоративных компьютерах, но нужно быть готовым к тому, что злоумышленники включат её для сбора данных в своих интересах, и знать, как эти данные хранятся.
Подробный обзор изменений с описанием всех новых и изменённых структур данных читайте в обзоре на Securelist.
#советы @П2Т
▶️ Кражи из WhatsApp, новые Linux-руткиты и другие интересные исследования APT за неделю
🐘 Эволюция APT Mysterious Elephant, систематически проводящей шпионские атаки на дипломатические структуры и госорганы в АТР. Группа обновила свой арсенал, перейдя от известного ВПО к комбинации PowerShell-скриптов и модифицированных инструментов open source, чтобы извлекать документы с компьютеров жертв. Особое внимание уделяется похищению файлов и переписки из WhatsApp desktop и Chrome (в том числе WhatsApp web). Для этого применяются инструменты UpIo exfiltrator, Storm exfiltrator и ChromeStealer. Прослеживается активный обмен ресурсами и кодом с группами Origami Elephant, Confucius и SideWinder.
👾 Досталось десктопному WhatsApp и в Латинской Америке — там эксперты GReAT обнаружили банковский троянец Maverick, использующий open source код WPPConnect для массовой рассылки WhatsApp-контактам жертвы. Ограничения в коде узко нацеливают найденную версию на жертв в Бразилии, но дальше вероятен экспорт угрозы злоумышленникам в других странах.
🔥 Новые подробности про мощный взлом F5 продолжают поступать, повышая уровень кортизола в крови ИБ-специалистов. Атакующие провели в сети F5 не менее года, поэтому клиентам компании нужно искать угрозы за довольно продолжительный период. Рекомендации по threat hunting нацелены на известное ВПО Brickstorm, о котором Google/Mandiant писали в сентябре. Тем временем GreyNoise отмечает резкий всплеск попыток сканирования устройств F5.
🔵 APT Jewelbug/REF7707/Earth Alux расширяет географию своих атак, теперь под прицелом и российские организации. Согласно отчету, после компрометации крупного поставщика ИТ-услуг злоумышленники пытаются атаковать его клиентов. Эксфильтрация данных ведётся в облако Яндекса. Среди других примечательных жертв — госорганы в Южной Америке и тайваньские производители ПО.
🟢Постэксплуатационный фреймворк AdaptixC2 появился только в начале года, но уже весной он использовался злоумышленниками. А в октябре обнаружен поддельный пакет в реестре npm, доставляющий агента AdaptixC2 жертвам.
🟢 Технический анализ сложного ВПО LinkPro, использующего два модуля eBPF для скрытия своего присутствия в Linux-системах и активации при получении «волшебного» пакета по сети. Среди функций ВПО — прямой и обратный шелл и доступ к файлам. Руткит был обнаружен при расследовании инцидента и жил в инфраструктуре жертвы в Amazon EKS. В цепочке заражения используется загрузчик vShell, указывая на возможную причастность APT UNC5174 к инциденту.
🔎 Подробный отчёт о деятельности хактивистских группировок на Ближнем Востоке и в Северной Африке, которые впрочем атакуют жертв по всему земному шару. Отчёт основан на анализе их общения на различных онлайн-площадках. Основным профилем хактивистов остаётся DDoS, а львиная доля угроз, хвастовства и попыток координировать действия происходит в Telegram, а не в даркнете.
👽 Детальный технический анализ мультиплатформенного бэкдора StealthServer, используемого группировкой APT36/Transparent Tribe.
🤦♂️Пользователям VSCode приготовиться: более 500 расширений VSCode с 150000 загрузок содержали в файлах конфигурации токены доступа Open VSX/VS marketplace, с помощью которых посторонние могут публиковать троянизированные обновления этих расширений.
👻 Новые инструменты APT Librarian Likho/Librarian ghouls. Группа отошла от 100% ориентации на LotL и написала себе ВПО на С#, вероятно с помощью ИИ.
🔵Разбор нового фишкита Whisper 2FA, нацеленного на сервисы MS 365.
🟡Предположительно северокорейская APT UNC5342 (Contagious interview) взяла на вооружение технику EtherHiding — фрагменты вредоносных нагрузок хранятся в смарт-контрактах Ethereum и BNB smart chain.
📱 На русскоговорящих форумах начали продавать доступ к новому Android-бэкдору HyperRat.
🚀 Впервые в нашем дайджесте (и возможно в истории TI): анализ эмодзи-паков Telegram! Это не шутка — коллекции логотипов компаний используются злоумышленниками при общении, чтобы не писать названия текстом, а также возможно в рамках фишинговых кампаний.
#APT #дайджест @П2Т
🤖🔃🎃 Что появляется быстрее вайбкода? Только ошибки в вайбкоде
Этот пост в блоге пришлось дописывать три раза, потому что всё время появлялись новые материалы по теме. Уж очень она горячая — уязвимости и ошибки в программном коде, сгенерированном с помощью ИИ-ассистентов, а также риски для разработчиков, применяющих ИИ-инструменты.
По этой теме уже есть всё: реальные (увы, успешные) атаки, PoC уязвимостей, даже научные работы с систематическим анализом. И разработчикам, и командам ИБ нужно ознакомиться с темой подробно, но несколько моментов для затравки дадим здесь:
😱 ИИ-код всё чаще успешно компилируется, но уязвимостей в нём столько же, сколько и два года назад — 45% кода с CVE;
😱 в вайбкоде опасны не только уязвимый код, но и мисконфигурации приложения. Самая типичная на сегодня — внутреннее приложение организации на самом деле доступно любым посторонним;
😱 при итеративной доработке число критических уязвимостей растёт на 37% после пяти раундов промптинга. А в жизни их бывает гораздо больше;
😱 через ИИ-ассистентов уже проводят и эксфильтрацию данных, и запуск вредоносного кода;
😱 уязвимости в MCP-серверах + промпт-инъекции — запомните этот рецепт. Очень вероятно, что это один из будущих фаворитов злоумышленников.
Читать
#советы #AI @П2Т
😱 У F5 утащили исходники
F5 повинилась в отчётности для SEC и опубликовала информацию об инциденте, обнаруженном ещё в августе. Злоумышленники получили доступ к среде разработки и платформе управления знаниями, и извлекли оттуда части исходного кода систем BIG-IP. А заодно и информацию об уязвимостях, которые находились в процессе устранения и ещё не были опубликованы.
Дальше F5 делает много успокоительных заявлений: среди этих дефектов не было критических уязвимостей и RCE, две внешние IR-команды не обнаружили несанкционированных модификаций исходного кода, нет признаков доступа к исходным кодам NGINX, нет признаков эксплуатации украденных дефектов.
Это всё конечно успокаивает, но не очень. Учитывая профиль предыдущих атак на устройства F5, вполне вероятно что новые CVE в их исходниках хорошо обеспеченные ресурсами атакующие ищут прямо сейчас. Судя по тону директивы CISA, там тоже не очень спокойны.
F5 выпустила обновления для BIG-IP, F5OS, BIG-IP Next for Kubernetes и BIG-IQ, чтобы закрыть все уязвимости, бывшие в работе на момент инцидента. Кроме очень срочной их установки, рекомендуют стримить события с BIG-IP в SIEM, вести проактивную охоту на угрозы и сильно бояться заниматься харденингом.
#уязвимости @П2Т
⏰ Y2K38 — это не баг, а рекордно масштабная уязвимость
Описание проблемы Epochalypse звучит очень знакомо для тех, кто достаточно стар, чтобы помнить проблему-2000. Переполнение 32-битных знаковых целых чисел, в которых *nix-системы хранят число секунд, прошедших с начала «юникс-эпохи» 1 января 1970 года, наступит 19 января 2038 года. Все не обновлённые системы окажутся в 1970 году, что непредсказуемо повлияет на их работу.
Ключевое отличие от 2000 года — масштаб. Число систем, которые надо обновить, на несколько порядков выше числа компьютеров в ХХ веке. Кажется, что запас времени огромен, больше 12 лет. Но этого скорее всего недостаточно, особенно с учётом того, что никаких правительственных и международных групп, централизованно решающих эту проблему, пока вроде бы нет.
Исследователи ИБ отмечают, что для эксплуатации эффектов переполнения не обязательно ждать 2038 года. Системы, временем в которых можно манипулировать либо напрямую, либо через подмену данных протокола NTP, либо GPS-спуфингом, будут уязвимы. Уже есть живые примеры в АСУ ТП: CVE-2025-55068 (CVSS4-B 8.8) в системах дистанционного управления заправкой топлива Dover ProGauge MagLink приводит к отказу в обслуживании. Ждём в ближайшие годы гораздо больше похожих CVE.
В том, чтобы думать о проблеме-2038, как об уязвимости, есть практическая польза — можно применять методологии, созданные для приоритизации и устранения уязвимостей. Это очень полезно, поскольку устранить Y2K38 вообще везде вряд ли получится. Начинаем с начала: инвентаризация активов с указанием версий *nix и ПО. Не забываем IoT и IIoT 🤗
Бонус-трек: аналогичная проблема-2036 основана на переполнении в ряде реализаций NTP. Y2K36 наступит 7 января 2036 г.
#угрозы @П2Т
🔥 Обновили Kaspersky NGFW до версии 1.1
Уже завтра расскажем о расширении функциональности и модельного ряда железа — узнайте все подробности на нашем стриме.
Всего за пару месяцев после релиза 1.0 мы добавили много важных функций по запросам клиентов: RBAC, расширенные сценарии интеграции, политики на базе Geo-IP, синхронизация сессий и маршрутов в кластере, антивирусная проверка архивов и миграция политик с популярных зарубежных NGFW.
Приходите задать свои вопросы, посмотреть демо интерфейса в прямом эфире и узнать про новые аппаратные платформы KX-1000 и KX-100-KB1.
Начинаем в 11:00 завтра, 14 октября.
Зарегистрироваться
#события @П2Т
Атаки в AWS, новые инструменты вымогателей и другие исследования APT за неделю
🟣Технический анализ атак на среды AWS, проводимых вымогательской группировкой Crimson Collective. Самой известной жертвой на сегодня является Red Hat.
🟣В атаках ransomware замечено использование Velociraptor — предназначенного для цифровой криминалистики ПО с открытым исходным кодом. Группа Storm-2603, ассоциирующая с шифровальщиками Warlock, LockBit и Babuk, использовала старую версию ПО, уязвимую к повышению привилегий, для захвата сети и установки VSCode, в которой им, конечно, нужны были только туннели.
🔴А в атаках, компрометирующих веб-сервисы при помощи шелла China Chopper, на следующих этапах вторжения стали использовать китайский open source инструмент Nezha, в норме предназначенный для мониторинга серверов администраторами.
🟢Разбор шпионских атак, проводимых группировкой UTA0388 на организации Европы, Азии и США. Целевой фишинг готовят предположительно с помощью LLM, поскольку письма рассылали на пяти языках. При этом в них есть странности, присущие ИИ-агентам, такие как спорадическая смена языка или попытки отправить письмо на явно несуществующий адрес. В случае успешного фишинга у жертвы разворачивают ВПО GOVERSHELL.
🔵У МСБ выманивают деньги в качестве «залога», предлагая стать поставщиком крупных авиакомпаний. Схема целиком социоинженерная, ВПО не используется.
🟣Разбор обновлённого ботнета RondoDox, который теперь эксплуатирует почти 60 уязвимостей в 50 разных устройствах (в основном роутеры, веб-серверы, NAS и IP-камеры) для целей DDoS и майнинга.
🟠Новая интересная разновидность ClickFix — вредоносная веб-страница содержит ВПО под видом картинки, а скрипт PowerShell активизирует его, сначала разыскав в кэше браузера.
🔵Кстати, атаки ClickFix теперь интегрируют прямо в фишинг-киты.
🟢Технический анализ инфостилера Shuyal, который умеет красть данные из 19 браузеров.
🟠Крупная утечка паспортных данных пользователей Discord. Злоумышленники утащили из Zendesk не то 70 тысяч (версия Discord), не то 5,5 миллионов (версия хакеров) фото документов. Если вход на сайты по паспорту будет продолжать своё победное шествие по планете, таких инцидентов станет больше.
🟢По оценкам Elliptic, кластер Lazarus в этом году украл более $2 млрд. крипты.
🟣Docker сделал свою программу Docker Hardened Images (DHI) доступной по подписке для МСБ. В DHI входят оперативно обновляемые образы с разумно ограниченным набором сервисов и прав, и конечно минимумом известных уязвимостей.
Стоимость публично не называют, но она affordable, то есть доступная.
#дайджест #APT @П2Т
💾 Съёмные носители в АСУ ТП
NIST опубликовал рекомендации по безопасному использованию съёмных носителей в ОТ. Всего две странички, всё продиктовано здравым смыслом, но как же часто не выполняется на практике и приводит к неприятным инцидентам с нарушением изоляции ОТ-сети.
Рекомендации охватывают все основные аспекты:
🟢процедуры и регламенты;
🟢рекомендации по закупкам;
🟢журналирование;
🟢тренинги;
🟢меры при транспортировке;
🟢физические средства контроля;
🟢технические меры контроля (allowlists, отключения лишних портов, детекты, форматирование).
Полезно изучить.
#советы #OT #ICS @П2Т
⚡️ RCE в WSUS: эксплуатация в атаках и дефектные патчи
Закрытый в рамках октябрьского Patch Tuesday дефект CVE-2025-59287 (CVSS 9.8) в Windows Server Update Service, приводящий к выполнению произвольного кода, продолжает трепать нервы службам ИТ и ИБ.
1️⃣ Спустя девять дней после Patch Tuesday исполнилось наше предсказание, и уязвимость начали применять в реальных атаках.
2️⃣ Microsoft в тот же день выпустила внеочередной хотфикс, «полноценно исправляющий этот дефект» (KB5070881), как бы намекая, что в рамках вторника патчей его закрыли не до конца.
3️⃣ Применение этого патча нарушило функциональность hotpatching в Windows Server 2025, часть серверов потеряли возможность оперативно получать патчи.
4️⃣ Взамен Редмонд выпустил KB5070893, который не нарушает работу хотпатчинга.
5️⃣ Правда, с новым патчем WSUS перестаёт показывать детальные данные об ошибках синхронизации, это не баг а временная фича.
6️⃣ Тем, кто успел установить дефектный патч, хотпатчи не будут прилетать весь ноябрь и декабрь, и только в январе запланировано восстановление нормального цикла оперативных обновлений. Разовые ежемесячные обновления можно будет установить как обычно.
В целом серверам WSUS совершенно не обязательно быть доступными в Интернете, провоцируя эксплуатацию.
Тем не менее, ShadowServer насчитали 2600 уязвимых хостов в Интернете, а CyberOK — 150 в Рунете.
До момента установки обновлений, для митигации рекомендовано отключить на сервере роль WSUS, либо заблокировать на хосте входящий трафик с портов 8530 и 8531. Разумеется, оба варианта приемлемы, только если сервер не раздаёт обновления.
#Microsoft #уязвимости @П2Т
☝️ Денежный ущерб от кибератак, криминалистика в Windows 11, безопасные корпоративные ИИ-агенты, и другие полезные посты октября
Октябрь был богат на новости ИБ, поэтому среди них могли затеряться материалы, полезные долгосрочно. Мы собрали самое ценное за месяц — эти статьи помогут выстроить эффективные процессы и системы в ИБ.
Если что-то пропустили, на длинных выходных как раз можно наверстать упущенное!
🔵 статистика киберрисков: взгляд страховщиков;
🔵 разговоры про ИБ с CISO ведущих российских компаний;
🔵 подробности о новом spyware Hacking Team/Memento Labs;
🔵 новые классы атак на ИИ-ассистентов;
🔵 криминалистический анализ артефакта AM Cache;
🔵 какие сервисы включают ИИ-ассистентов принудительно и как дела у ChatControl.
🔵 рекомендации IBM/Anthropic по безопасным корпоративным ИИ-агентам;
🔵 где в Windows 11 появились полезные для DFIR артефакты;
🔵 что такое Y2K38 и почему его надо устранять как уязвимость;
🔵 как и где уже развёрнуто постквантовое шифрование.
#дайджест @П2Т
Дайджест SAS-2025.
По результатам голосования экспертов на конфе вот такие доклады первого дня получили наивысшую оценку:
1️⃣ Питер Гейсслер (независимый исследователь) об атаке на принтеры, а следом – и дальше на корпоративную сеть с помощью специального шрифта (точнее файла в формате TTF).
2️⃣ Наш Боря Ларин из команды GReAT про наследников Hacking Team – уже репостил.
3️⃣ Паоло Кавалия (компания Shielder) с докладом под названием «Влажная мечта банд-шифровальщиках» о 13 уязвимостях в менеджере привилегированного доступа (PAM-платформы) от Broadcom.
Вообще в первый день было 23 выступления, много было интересного. По традиции выступающие после доклада у нас выпивают на сцене, всего было выпито 59 рюмок (спикеров бывает больше одного + ведущий помогает).
На конференцию приехали 210 человек из 25 стран, включая ИБ-специалистов разнообразной специализации (реверс-инженеры, пентестеры, исследователи безопасности автомобилей, промышленных и бытовых умных устройств и т.д.), правоохранители, в том числе из Интерпола, представители бизнеса, а также журналисты. И один автогонщик, с которым я и Володя Дащенко на сцене обсудили вопросы автокибербеза. И выпили с капота старого мерседеса, да.
Мы делаем SAS всегда с элементом хулиганства, в этот раз оформлена конференция в стиле игры GTA: Vice City, которая, оказывается, вышла в свет ровно 23 года назад (29.10.2002). Я не играл, но оформление игры и нашей конференции оцениваю положительно:-).
Мерседес S-класса 1998 года купили тут, в Таиланде, если что. Завтра попробуем на нём тут проехать по округе, надеюсь, не подведёт, будут фото и видео:-)
😎 Новые детали о Bluenoroff и других финансово мотивированных атаках
Хотя Security Analyst Summit открылся докладом о сложной шпионской APT, многие другие доклады конференции посвящены не менее изощрённым атакам с финансовой мотивацией.
Эксперты GReAT Омар Амин и Соджун Риу рассказали о неизвестных ранее подробностях атак группировки BlueNoroff/APT38/Stardust Chollima/TA444. В кампании GhostCall, где разработчиков и участников рынка криптовалюты и Web3 заражают вредоносным ПО под прикрытием конференц-звонков, документированы 8 (!) цепочек заражения. В них используется совершенно разное ВПО — от уже известного CosmicDoor до ранее не замеченного набора скриптов SilentSiphon. Примечательно, что в арсенале атакующих есть ВПО для всех основных платформ, но доминируют вредоносы для MacOS, поскольку жертвы обычно предпочитают именно эту ОС. В посте на Securelist также документирована менее известная кампания GhostHire, новая фаза которой вероятно началась в апреле. Здесь к разработчикам через Telegram приходят приходят фейковые рекрутёры и выдают им "тестовое задание" с сюрпризом, хранящееся на GitHub. Жертвы этих атак обнаружены в Индии, Турции, Австралии и других странах Европы и Азии.
Исследователь Та Данг Вин из VNPT Cyber immunity описал сложную атаку на вьетнамские компании финансового сектора. Две разные цепочки заражения, основанные на применении LOLBAS и COM Hijacking, приводят к развёртыванию ВПО SPECTRALVIPER. В нём применены несколько необычных способов обфускации и шифрования. Например коммуникации с С2 зашифрованы ключом на основе уникального пути, в котором хранится ВПО на компьютере конкретной жертвы.
Афанасиос Гиатсос дал практические рекомендации защитникам по анализу и мерам ИБ против набирающей обороты угрозы — троянизированных расширений Chrome. Кража данных расширениями весьма эффективна, учитывая изобилие SaaS-приложений, работающих в браузере. При этом автоматические обновления расширений и практика перепродажи и кражи популярных расширений усложняют применение обычных защитных мер вроде "белых списков".
Пол Паджарес из Интерпола поделился интересными фактами о прошедшей недавно Operation Serengeti 2.0 и практическими нюансами взаимодействия ИБ-фирм и правоохранительных органов при борьбе с международной киберпреступностью.
#theSAS2025 #APT @П2Т
💠 Суета вокруг Китая, новые жертвы Triangulation и другие интересные исследования APT за неделю
🔵 Подробное исследование новых атак PassiveNeuron с применением фирменного импланта Neursite. Узко таргетированные атаки затронули правительственные, финансовые и промышленные организации в Азии, Африке и Латинской Америке. Атакующие компрометируют Windows-серверы и, судя по всему, относятся к кластеру китаеязычных группировок, частично пересекаясь с APT41 по инструментарию.
🔎 Интересная попытка классифицировать взаимодействие и совместную работу APT на примере китаеязычных групп, в которых отделить одну активность от другой наиболее сложно. Авторы придумали термин Premier Pass as a Service для ситуаций, когда одна APT выжала из жертвы достаточно интересной информации и устанавливает основное рабочее ВПО другой группы, пользуясь накопленными данными о сети.
🔵Продолжая китайскую тему, телеком-компании на Ближнем Востоке и госорганы в Африке и Южной Америке атакуют, эксплуатируя Toolshell, а затем разворачивая ShadowPad, Zingdoor и KrustyLoader.
🍏 Найденные нами iOS-импланты Triangulation применялись при атаке на китайский национальный сервис точного времени. Автором атаки в китайском CERT прямо называют АНБ, которое всё отрицает.
🆔 Обзор наиболее популярных техник фишинга, применяемых в атаках на организации в этом году. Среди них календарные приглашения, QR-коды в PDF-файлах и другие.
🔔 В атаках APT MuddyWater на организации по международному сотрудничеству замечена четвёртая версия фирменного бэкдора Phoenix. Целевой фишинг рассылают со взломанного легитимного ящика на рабочие и личные адреса жертв, демонстрируя глубокое знание целей.
⚪️Анализ новых имплантов Yesrobot, Norobot, Mayberobot, применяемых APT Coldriver.
🟡Технический анализ ВПО FoalShell и StallionRAT, используемого в атаках Cavalry Werewolf/Silent Lynx на российские промышленные компании и госорганизации. Метод доставки жертвам — целевой фишинг.
🚓 Звучит смешно, но это серьёзно — вымогатели Qilin иногда разворачивают Linux-версию своего шифровальщика на Windows-системах через инструмент Spashtop Remote. Расчёт на то, что исполнимые файлы Linux будут плохо отслеживаться некоторыми EDR-решениями.
🟣Два отчёта о вредоносной кампании Tollbooth / HijackServer, компрометирующей серверы IIS для целей чёрного SEO и вредоносного хостинга.
🤖 Эта музыка будет вечной: в IDE для ленивых продуктивных, то есть Windsurf и Cursor, используется сильно устаревшая версия Electron и Chromium, поэтому там есть 94 CVE разной степени критичности.
🔵 Идея червеобразного ВПО, инфицирующего разработчиков, понравилась злоумышленикам. В репозиториях расширений для VSCode распространяется GlassWorm, который кроме размножения пытается красть криптовалюту.
🟣Новая версия Vidar Stealer полностью переписана на С и способна обходить новые защитные механизмы браузеров.
📡 Starlink отключили более 2500 терминалов в Мьянме, расположенных поблизости от известных скам-ферм (их уже можно смело называть скам-городами).
@П2Т #дайджест
Пятница — оптимальное время для фишинговых учений!
#ИБ_мем @П2Т
Forrester об MDR
(вложение, reprint)
Я стараюсь почитывать подобные публикации от аналитических агенств, чтобы понимать современные тенденции, анализировать адекватность своего решения и, возможно, корректировать наш бесконечный бэклог.
Forrester пишет, что MDR - это еще не прошлое и что он продолжает эволюционировать, и если раньше провайдеры больше фокусировались (и мерились этим) на реагировании, то сегодня мы должны быть максимально проактивными и нести доказательную бизнес-пользу для корпоративной безопасности:
An MDR provider’s ability to positively influence the security of its customers now matters as much as its ability to find threats
Про кибербезопасность из первых рук
Как справляются с современными проблемами ИБ в крупнейших компаниях, и чему можно научиться у их CISO? Чтобы ответить на эти вопросы, руководители различных подразделений «Лаборатории Касперского» примерили необычную роль телеведущих канала «ПРО БИЗНЕС» и побеседовали с лидерами ИБ, работающими в компаниях, наверняка вам известных — от Северстали и ВымпелКома до ОТП Банка и Газпром-медиа.
🎬 Проект «Уютные разговоры про кибербез» насчитывает уже два сезона, записи которых можно посмотреть на наших видеоплатформах:
1. О DDoS-атаках и трендах в кибербезопасности. Алексей Жуков, Газпром-Медиа Холдинг.
2. Про обучение ИБ для сотрудников и тренды ИИ. Дмитрий Балдин, РусГидро; Сергей Гусев, Северсталь Менеджмент.
3. О цифровой трансформации, ИИ в IT-найме. Всеслав Соленик, Сбербанк-Технологии.
4. О вызовах безопасности в банковском секторе и отечественных технологиях. Вячеслав Касимов, Московский Кредитный Банк.
5. О социальной инженерии и защите телефонов. Алексей Волков, ВымпелКом.
6. О совместной работе клиентов и вендоров и программе «Киберкультура». Алексей Мартынцев, Норникель.
7. О киберугрозах в образовании и атаках на цепочку поставок. Илья Яблоков, РАНХиГС.
8. О компетенциях ИБ-специалистов и реагировании на инциденты. Антон Замараев, ОТП Банк.
9. О динамике цифровой среды и подборе кадров. Александр Ковалевский, ИКС Холдинг.
10. О совмещении удобства и безопасности, внедрении ИИ и дефиците кадров. Андрей Заикин, К2 Кибербезопасность.
Ведущие проекта:
🔵Анна Кулашова, вице-президент «Лаборатории Касперского» по развитию бизнеса в России и странах СНГ;
🔵Марина Усова, директор по корпоративным продажам в России;
🔵Джабраил Матиев, директор по маркетингу в России и странах СНГ.
Смотрите все выпуски на любой удобной платформе!
Первый сезон: VK Видео | RuTube
Второй сезон: VK Видео | RuTube
🫠 Принуждение к ИИ в Chrome и Windows, фундаментальная уязвимость в Android и и другие важные новости конфиденциальности и личной ИБ
🔄 Как мы и предсказывали, насильственное внедрение ИИ в популярные приложения и сервисы всё ускоряется. Google объявили о включении ассистента Gemini в Chrome на всех основных платформах, включая iOS. В будущем обещают агентские функции и вообще райские кущи, но уже сейчас собирают при веб-браузинге вдвое больше данных пользователя, чем даже другие браузеры с ИИ-функциями.
💻 Microsoft не отстаёт, планируя принудительно установить приложение Copilot всем пользователям, у которых есть десктопные приложения Office, или вернее Microsoft 365 desktop client apps, как теперь это называет Редмонд.
👀 Кроме рисков конфиденциальности, поспешная интеграция LLM в массовые приложения создаёт новые возможности мошенникам и киберпреступникам — как насчёт вредоносных инструкций ИИ-ассистенту прямо в календарном приглашении? Таких сценариев атак уже десятки.
🛡 Есть в Chrome и полезные новшества — у редко посещаемых сайтов будут автоматически отзывать разрешение на отправку уведомлений на десктоп. Схема обкатана на разрешениях приложений в Android, она вполне рабочая и удобная большинству пользователей.
🌐 Евросоюз остановил продвижение спорной инициативы о принудительном массовом сканировании переписки в мессенджерах, которую обычно называют Chatcontrol. Против высказались несколько крупных стран, включая Германию, поэтому инициативу можно считать мёртвой. Пишут, что такой волны гневных писем парламентариям не было уже давно.
🍏 Тем временем парижская прокуратура расследует деятельность Apple — поступила информация, что многочисленные записи разговоров с Siri прослушивали подрядчики Купертино в рамках программы улучшения качества ассистента.
👮♀️ Сюжет с утечкой паспортных данных пользователей Discord развивается — хакеры утверждают, что у них есть данные 5,5 млн. пользователей.
🆔 Google запустили-таки сквозное шифрование в Gmail. Правда, только для корпоративных пользователей. Если у получателя нет Gmail, ему предложат создать «гостевой» аккаунт, чтобы прочитать сообщение.
📱 Крупная кампания по распространению шпионского ПО ClayRAT для Android имитирует магазины приложений и предлагает установить популярное ПО наподобие TikTok. Одной из приоритетных целей является Россия, вредоносные ссылки распространяются в Telegram.
🐥 Не успели фанаты Windows 10 отгоревать о прекращении поддержки этой ОС 14 октября, как Microsoft напомнила, что Windows 11 23H2 тоже перестанет получать обновления 11 ноября. Ей богу, они всех пересадят на Linux.
⚠️ Новая уязвимость под названием Pixnapping позволяет Android-приложениям попиксельно считывать содержимое экрана, вообще не требуя особых разрешений. Google пыталась устранить дефект CVE-2025-48561 в сентябрьских патчах, но исследователи сразу же нашли обходной путь — следующая попытка патчинга ожидается в декабре.
👍 Чтение на выходные: подробное руководство по удалению лишней цифровой информации о себе в сети.
#дайджест @П2Т
Случился крупный инцидент ИБ. Что делать?
Ущерб от серьёзного инцидента и скорость восстановления бизнеса зависят от действий защитников в первые часы после обнаружения инцидента. У крупных компаний со зрелой ИБ иногда есть план на этот счёт и проводятся учения. А что делать среднему и малому бизнесу, и всем тем, чьи ресурсы ограничены?
Как действовать во время инцидента и быстро вернуть компанию к работе? Обсудим на онлайн-стриме 21 октября!
В программе – только конкретика:
▪️ландшафт киберугроз сегодня;
▪️рекомендации при инциденте ИБ: пошаговое реагирование и превентивные меры;
▪️решения «Лаборатории Касперского» для работы с инцидентами.
Все слушатели получат методичку с рекомендациями, разработанную экспертами Сергеем Головановым («Лаборатория Касперского») и Константином Титковым (Центр ИБ дочерних обществ, «Газпромбанк»)
Встречаемся во вторник, 21 октября, в 11:00 (Мск). Нужна предварительная регистрация.
Получить план на случай инцидента
#События @П2Т
💪 Рекордный Patch Tuesday
Microsoft прощается с Windows 10 выпуском самого крупного в своей истории набора заплаток — в нём устранено 168 уязвимостей, если не считать дефекты Azure, Github, а также курьёз с закрытием CVE-2016-9535 в LibTIFF.
Из этого набора три уязвимости эксплуатировались, и ещё две были разглашены до устранения. 5 уязвимостей получили статус критических, одна — moderate, остальные important. 77 дефектов приводят к повышению привилегий, 31 — к RCE, 11 — DoS, 28 — разглашению информации и 11 — обходу функций безопасности.
Зиродеи
В реальных атаках эксплуатировались два дефекта, приводящих к повышению привилегий — CVE-2025-59230 в Windows Remote Access Connection Manager и CVE-2025-24990 в доисторическом драйвере Agere Modem, который до сегодняшнего дня продолжал поставляться с Windows. Первый 0day позволяет поднять привилегии до админских, второй — до system. Подробностей об атаках, в которых использовались эти уязвимости, пока нет.
Третий зиродей — это обход Secure boot через уязвимость CVE-2025-47827 в IGEL OS, о которой мы, признаться, до сегодняшнего дня не слышали.
Разглашённые, но не использовавшиеся в атаках уязвимости:
CVE-2025-24052 — ещё один дефект повышения привилегий в том же драйвере факсмодема ltmdm64.sys
CVE-2025-2884 — ошибка с утечкой данных в референсном коде TCG TPM2.0. Интересно, что Intel оценивает дефект иначе и считает, что он может приводить к отказу в обслуживании.
Среди уязвимостей, пока не эксплуатирующихся, но вызывающих озабоченность, стоит обратить первоочередное внимание на:
CVE-2025-59287 (CVSS 9.8). Это RCE в Windows Server Update Service (WSUS), позволяющий удалённому неаутентифицированному атакующему выполнить на уязвимой системе свой код, сразу с высокими привилегиями. Потенциал эксплуатации высокий, поэтому стоит обновиться поскорее.
Другая уязвимость, которую Microsoft оценивает, как кандидата на массовую эксплуатацию — CVE-2025-55680 в драйвере минифильтра Windows Cloud Files, приводящая к повышению привилегий.
Также критическими признаны RCE в Office — CVE-2025-59227 и -59234.
#уязвимости #Microsoft @П2Т
🗣Реальное применение Offensive Security
Когда: 15 октября 2025 в 11:00 (МСК)
Наступательная безопасность, которая когда-то интересовала лишь крупные ИТ-компании, сегодня востребована любым бизнесом со зрелой ИБ. Но pentest, red team и bug bounty эффективны только тогда, когда они разумно интегрированы в общую стратегию ИБ и проведены правильно. Где такие практики помогли предотвратить инциденты, а где — не сработали? Обсудим примеры и дадим советы на онлайн-конференции AM-Live! Поговорим:
▶️ что лучше — закупка сервиса или собственная команда;
▶️ когда оправдано проведение red team, а когда достаточно пентестов и автоматизированного сканирования;
▶️ как вовлечь бизнес, ИТ и ИБ в один проект;
▶️ что госведомства и КИИ обязаны проверять по закону, что проверяют в реальности;
▶️ кейсы, в которых offensive security помогла предотвратить инцидент;
▶️ как результаты Red Team помогают строить культуру безопасности, а не искать виноватых.
👤От «Лаборатории Касперского» выступит Вячеслав Васин, руководитель центра компетенции по анализу защищенности.
Встречаемся в среду — 15 октября 2025
Нужна предварительная регистрация.
Узнать о конференции и зарегистрироваться ⟶
#события @П2Т
Новость одной картинкой.
Тревожно, учитывая, что W10 до сих пор установлена как минимум на трети Windows-устройств.
Но на самом деле ещё год поддержки для личных копий доступен по программе extended security updates, но только для Windows 10 22H2 и только самое критичное — устранение уязвимостей.
Для организаций ESU тоже есть, он будет стоить $61 за первый год, $122 за второй, $244 за третий.
Впрочем, в наших реалиях главное, что обновления будут выпускаться в принципе.
#Windows @П2Т
🧭 Глобальный регуляторный ландшафт: наступательные операции и ужесточение требований
В очередном выпуске Global Cyber Policy Radar эксперты NCC Group обращают внимание на несколько глобальных тенденций, которые подкреплены новым законодательством и денежными вливаниями. Это постепенно изменит как ландшафт угроз, так и подходы к ИБ в организациях. Итак, чего ждём:
«Нападение как защита». Правительства нормализуют offensive в качестве инструмента отражения киберугроз и выделяют бюджеты на соответствующие подразделения. Приведены примеры США, Великобритании и Южной Кореи. В бюджетах Евросоюза, Тайваня и некоторых других регионов выделены существенные суммы на повышение ИБ, но конкретная доля offensive не указана. Большой открытый вопрос — где для решения подобных задач будут использоваться только госслужбы, а где — лицензируемый частый бизнес.
Государственное финансирование растёт, но ответственность бизнеса тоже. Несмотря на крупные госинвестиции в ИБ критической инфраструктуры, от компаний ожидается больший денежный и организационный вклад. Требования NIS2 и DORA включают личную ответственность руководителей за их неисполнение и игнорирование обязанностей по управлению киберрисками. Авторы призывают готовиться к повышению регуляторного давления на крупные организации во всём мире.
Контроль цепочек поставок и суверенитет. ЕС, Великобритания, Сингапур и другие страны расширяют обязательства компаний в области защиты критической инфраструктуры и работы с третьими сторонами. Усиливается акцент на суверенные облачные и ИИ-решения, активизируется переход на ПО с открытым исходным кодом. В Европе планируют значительно повысить требования ко всем поставщикам ПО и умных устройств при помощи Cyber Resilience Act и Product Liability Directive.
Особое место в отчёте занимает обзор перехода к постквантовому шифрованию. Проблема очень остра из-за огромного масштаба требуемых изменений, необходимости инвентаризировать все устройства, приложения и сервисы, требующие обновления, а также продолжающейся стандартизации и разных подходов к ПКШ, что создаёт потенциал для снижения интероперабельности систем в будущем.
Полная версия отчёта во вложении ⬆️
#CISO @П2Т
ENISA THREAT LANDSCAPE 2025
Агентство Европейского союза по кибербезопасности (ENISA) опубликовало отчет "Обзор угроз ENISA 2025". В отчете анализируется почти 4900 киберинцидентов, коснувшихся европейских организаций в период с июля 2024 года по июнь 2025 года.
Основные тенденции:
1. Фишинг — главный вектор атаки (60%): Остается основным методом первоначального проникновения. Эволюционирует за счет таких техник, как ClickFix, фишинг-as-a-service (PhaaS, например, Darcula), и квишинг (QR-код фишинг).
2. Цепочки поставок и доверительные отношения. Злоумышленники все чаще атакуют сторонних поставщиков услуг (IT-компании, Телекомы) и цепочки поставок (вредоносные пакеты npm, расширения браузеров) для усиления эффекта атак.
3. Атаки на мобильные устройства: угрозы для Android-устройств растут, включая шпионские программы (KoSpy, BoneSpy), банковские трояны (Medusa) и эксплуатацию уязвимостей в телекоммуникационной инфраструктуре (SS7, Diameter).
4. Конвергенция групп угроз: Стираются границы между хактивизмом, киберпреступностью и спонсируемыми государствами группировками.
5. Ожидаемое использование ИИ: ИИ активно используется для создания более убедительных фишинговых писем (более 80% фишинга используют ИИ), генерации качественных подделок (deepfakes), разработки вредоносного ПО и обхода обнаружения. Также наблюдаются атаки на сам ИИ - джейлбрейки, отравление модели и атаки на цепочку поставок моделей ИИ.
Чаще всего ломают:
- Государственное управление - 38,2%
- Транспорт - 7,5%
- Цифровая инфраструктура и услуги - 4,8%
- Финансы - 4,5%
- Производство - 2,9%
Основные типы угроз:
1. Киберпреступность - 13,4% инцидентов
2. Государственные группы - 7,2%
3. Хактивизм - 79%
4. Манипулирование информацией (Foreign information manipulation and interference, FIMI) - остальное
Оригинальная ссылка на документ
Суммаризацию можно также почитать здесь:
State-aligned cyber threats against EU intensify, ENISA warns
Many Attacks Aimed at EU Targeted OT, Says Cybersecurity Agency
#MDR #vCISO