8264
Про ИБ в бизнесе, промышленности и многом другом 💼 Главный канал Kaspersky: @kasperskylab_ru Связь @KasperskyCrew
Интересные исследования APT и новости ИБ за неделю
📌 Руководство по детектированию AdaptixC2 — фреймворка постэксплуатации, имеющего открытый исходный код и встречающегося и в операциях вымогателей, и у APT. Фреймворк поддерживает несколько каналов связи, включая TCP/mTLS, SMB, DNS, и DoH, для эффективного обнаружения необходимо сочетать телеметрию сети и конечных точек.
🟢Агрессивное рекламное ПО (adware) от Dragon Boss Solutions содержит скрытую нагрузку на PowerShell, которая отключает антивирусную защиту. По данным исследователей, заражено около 23 тыс. систем в 124 странах, в том числе 41 OT‑сеть.
🟣Статистика киберугроз в промышленности за 4‑й квартал 2025: ВПО была заблокирована на 19,7% ICS‑хостов по миру. Главным инцидентом квартала стал червь Backdoor.MSIL.XWorm, обнаруженный во многих странах и распространявшийся через фишинговые письма под видом резюме соискателей. Зловред обеспечивает удалённое управление компьютером.
🔵LLM-шлюзы не просто могут проводить атаки MitM, а уже это делают. Исследователи обнаружили 28 вредоносных API-прокси для доступа к LLM, которые перехватывают и модифицируют трафик между корпоративными системами и ИИ‑провайдерами.
🔵Анализ банковского зловреда JanelaRAT, атакующего пользователей Windows в Бразилии и Мексике. В числе прочего он отслеживает периоды бездействия пользователя, чтобы точно рассчитать время мошеннических транзакций и обхода MFA.
🔵Разбор TTPs вымогательской группировки Payouts King, которая использует виртуалки QEMU для маскировки вредоносных файлов. Первичный доступ обеспечивается через уязвимости SonicWall, Citrix NetScaler и SolarWinds Web Help.
🟣Технический анализ кампании APT37, нацеленной на частных лиц, интересующихся оборонной тематикой. Приманки были замаскированы под военную документацию, требующую «особую программу просмотра PDF» и распространялись через личные сообщения в мессенджерах и соцсетях.
🟢Разбор кампании Stardrop — злоумышленники опубликовали более 200 вредоносных npm‑пакетов под видом ИИ‑инструментов для разработчиков. В реальности ПО конечно крадёт API-ключи и другие секреты. Такими темпами open source в его текущем виде скоро умрёт, качать что-либо новое из публичных репозиториев становится боязно.
🟠Технический анализ загрузчика JitterDropper, написанного на Rust. В известных кампаниях это ВПО в дальнейшем устанавливает жертвам Vidar Stealer.
🟣В Chrome Web store обнаружены ещё 108 вредоносных расширений Chrome с общей инфраструктурой C2 и 20000 установок. Они маскируются под клиенты Telegram и различные утилиты, но на деле воруют токены Google OAuth2‑токены и сессии Telegram Web. Также ВПО может открывать произвольные URL при старте браузера.
#дайджест #APT @П2Т
🤝 Когда продукты работают вместе: MDR 3.0
Обновили решение Managed Detection and Response до версии 3.0. В этом релизе мы сфокусировались на трёх ключевых направлениях: более тесной интеграции продуктов, расширении покрытия MDR и улучшении пользовательского опыта. Это означает меньше ручных действий, быстрее передачу данных и более слаженное взаимодействие инструментов и команд.
В результате MDR объединяет процессы обнаружения, анализа и реагирования в единый поток и сокращает время от выявления угрозы до её устранения. На практике это означает:
🟣сквозной сценарий EDR - MDR: передача инцидентов в один клик и ускоренная эскалация;
🟣автоматическая передача файлов аналитикам MDR из Kaspersky Anti Targeted Attack 8.0 и Kaspersky EDR Expert 8.0;
🟣передача инцидентов в команду Kaspersky Incident Response для оперативного подключения экспертов;
🟣более детализированная телеметрия из Kaspersky Endpoint Security for Linux для контейнерных сред;
🟣 экспорт инцидентов в SIEM KUMA 4.0 для дополнительного анализа.
Также улучшили пользовательский опыт:
🔵расширенные уведомления в Telegram с более подробной информацией об инцидентах;
🔵оптимизация MDR-портала для смартфонов и планшетов - доступ к инцидентам в любое время.
Дополнительно расширено покрытие MDR: платформа теперь поддерживает встраиваемые системы за счёт интеграции с Kaspersky Embedded Systems Security 4.0.
В итоге MDR становится связующим звеном между продуктами и командами, снижая фрагментацию инструментов и ускоряя полный цикл обработки инцидентов.
▶️Подробнее об обновлениях
▶️Запланировать пилот
#MDR #события @П2Т
🗣 Киберугрозы в РФ: уроки и выводы из инцидентов за год
Критические инциденты и вторжения в российские организации, с которыми столкнулись специалисты Kaspersky Security Services в 2025 году, демонстрируют растущую квалификацию атакующих. Злоумышленники используют длинные цепочки техник, атакуют субподрядчиков жертвы и всё чаще действуют вручную, что усложняет обнаружение угроз и реагирование на них.
Мы собрали уроки 2025 года в подробный отчёт, который позволяет детально разобраться, кто атакует компании, какие методы используются и как выявлять эти угрозы до того, как они приведут к серьёзному инциденту.
Уже послезавтра, 16 апреля, вы можете узнать ключевые выводы этого отчёта и задать вопросы авторам!
Сергей Солдатов, руководитель центра мониторинга кибербезопасности, и Константин Сапронов, руководитель отдела оперативного решения компьютерных инцидентов, расскажут:
▶️какие атаки представляли наибольшую опасность для бизнеса;
▶️какие TTPs хакеры стали использовать чаще;
▶️как выстраивать процессы обнаружения и реагирования;
▶️какие меры действительно помогают повысить киберустойчивость.
Встречаемся в четверг: 16 апреля 2026 в 11:00 (МСК).
Нужна предварительная регистрация.
Все участники получат полную версию отчёта!
Зарезервировать место на вебинаре ⟶
#события @П2Т
🤨 Интересные исследования APT за неделю
▶️ Статистика финансовых киберугроз за 2025 год. Отмечен существенный рост инфостилеров на ПК по всему миру (+59%), в полтора раза чаще детектировали и мобильное банковское ВПО. В даркнете можно купить доступ к миллиону (буквально) скомпрометированных банковских аккаунтов. Печально лидируют тут Индия, Испания и Бразилия.
🟢Анализ CMoon — .NET‑червя, применявшегося против российских компаний химпрома и муниципалитетов хактивистской групировкой RGB-Team. Прослеживается связь с конструктором DarkBuilder и вымогательской группой Eternity. RGB-Team фокусируется на краже и публикации данных, а не шифровании.
🔵Разбор ранее неизвестного шпионского фреймворка Canis C2, используемого для управления имплантами на всех настольных и мобильных платформах. Кампания нацелена на Японию.
🔵Совместное заявление американских спецслужб подтвердило, что группа CyberAv3ngers атакует подключённые к интернету ПЛК Rockwell Automation/Allen‑Bradley на объектах водоснабжения/водоотведения и в энергетике. Атакующие модифицируют проектные файлы и взаимодействуют с интерфейсами HMI/SCADA, провоцируя нарушения технологических процессов и финансовый ущерб.
🟣Кампания Magecart скомпрометировала около 100 магазинов на платформе Magento/Adobe Commerce, внедрив код, ворующий платёжные карты, в элемент SVG размером 1 пиксель. Для взлома, по оценке исследователей, могла быть использована PolyShell — уязвимость неограниченной загрузки файлов в Magento.
🪲 Разбор атаки «на водопой» через сайт cpuid.com. Ссылки на установку популярных утилит CPU-Z и HWMonitor были заменены на троянские, финальной нагрузкой выступал STX RAT. Атака продолжалась менее суток.
🔵Расследование полугодичного вторжения Shedding Zmiy/(Ex)Cobalt в российскую госорганизацию. Атакующие сохраняли доступ, повторно используя учётки удалённого доступа уже уволенных сотрудников.
🟠В кампании APT-Q-27/ GoldenEyeDog/Dragon Breath, которая обычно атакует игорные бизнесы в ЮВА, примечательно использование EV‑сертификата DigiCert, который выдан всего за 5 дней до публикации ВПО.
🟣Разбор атак CapFix на промышленный и аэрокосмический сектор в РФ, США и Европе с помощью ВПО CapDoor и SectopRAT.
🟣Технический анализ скоростных атак APT Storm-1175 с разворачиванием шифровальщика Medusa. Злоумышленники эксплуатируют уязвимости N‑day в первые дни после публикации. Среди жертв — медицинские, финансовые и консалтинговые компании в Австралии, Великобритании и США.
⚪️Технический анализ очень длинной цепочки заражения ВПО ClipBanker, которое подменяет адреса криптокошельков в буфере обмена на адреса атакующих. Известные жертвы — преимущественно в Индии и Вьетнаме.
🟢Массовая кампания Frostarmada по перехвату запросов DNS через заражение роутеров для малого офиса. При обращении к страницам аутентификации различных сервисов заражённый роутер подсовывал жертве фишинговую страницу. Исследователи предполагают, что кампания шпионская и её организаторы фильтровали полученные учётки в поисках интересных им жертв. Основная география — Северная Африка, Центральная Америка и ЮВА.
🟢Разбор многоэтапной кампании с доставкой ВПО LucidRook, написанного на Lua. ВПО работает только на системах в Тайване.
#дайджест #APT @П2Т
🗿 Уязвимости open source теперь касаются каждого бизнеса
Раньше только производители ПО или крупные компании должны были волноваться о том, каким сторонним кодом пользуется команда разработки. Но цифровая трансформация и внедрение ИИ-помощников привело к тому, что разработкой в том или ином виде теперь занимаются даже микробизнесы. Может, это какой-то простой внутренний сервер отчётов, ИИ-агент, помогающий разбирать почту, или самостоятельно сделанный сайт-визитка. Но это всё равно разработка. И в ней почти всегда используются компоненты open source.
Ситуация с этими компонентами за последний год стала неспокойной. Мы уже писали на днях о крупнейших инцидентах 2025 года, а также о детективной истории с компрометацией разработчика сверхпопулярного Axios. ВПО, кража секретов, программные уязвимости, и просто более неподдерживаемые компоненты могут поджидать в любом реестре и в любом компоненте — от нишевых до сверхпопулярных.
Эти неприятные события происходят на фоне накапливающихся системных проблем в управлении уязвимостями open source. В Sontype посчитали, что 65% open-source-уязвимостей, получивших идентификатор CVE, не имеют оценки критичности (CVSS) в базе NVD, причём 46% из них получили бы высокую оценку критичности. Дефицит корректных данных проявляется не только в этом. Многие CVE неверно описаны, устаревшие версии компонентов не отмечаются как подверженные этим уязвимостям и определяются многими сканерами как чистые. В цепочках зависимостей очень сложно вылавливать компоненты End of Life, их по оценкам в типичном проекте до 15%. Один только Log4j в устаревшей версии, подверженной Log4Shell, за прошлый год скачали 40 млн (!) раз.
Более подробно вопрос систематических проблем сбора данных, оценки и приоритизации уязвимостей open source описан в блоге. Там же разобрали, как усложняет ситуацию написание кода ИИ-системами.
В общем, либо прилетит Дед Мороз инопланетяне ИИ-модель Mythos в голубом вертолёте и починит весь уязвимый софт за нас, либо (что менее реалистично) организации начнут системно внедрять гигиену open source. Её основные принципы мы подробно изложили во втором посте.
#советы #opensource @П2Т
По поводу мощного хайпа насчёт Anthropic Mythos напомним наш пост месячной давности. Узкое место ИБ — не поиск новых уязвимостей, а эффективное закрытие обнаруженных. Пока этот сверхмощный ИИ для избранных не раздадут каждой команде ИБ, оно будет просто множить число никем не установленных обновлений.
Про то, что модель ведёт себя как хитрый сотрудник и ищет, где бы обойти правила, мы тоже писали не так давно — относитесь к ИИ как потенциальному инсайдеру, и принимайте соответствующие меры.
новости @П2Т
🗣Эволюция управления уязвимостями
Когда: 8 апреля 2026 в 11:00 и 15:00 (МСК)
2026 год по всем прогнозам станет рекордным по числу новых уязвимостей, причём не исключён сценарий, что их количество перевалит за сто тысяч. При этом управление уязвимостями (VM) в ИТ-инфраструктуре остаётся одним из самых болезненных вопросов для ИБ-команды. Тут смешано всё: организационные процессы, технологические сложности и взаимоотношения отделов. Отсутствие любого из ингредиентов превращает VM в имитацию. Как правильно организовать VM, сколько это стоит, и какие практические лайфхаки помогают запустить процесс, поговорим на онлайн-конференции AM-Live!
Тема довольно обширная, поэтому мероприятие пройдёт в двух частях.
Темы первой части (в 11:00):
▶️почему компании тонут в уязвимостях и не успевают их закрывать;
▶️как проводить оценку / подтверждение уязвимости;
▶️оценка приоритета и времени на закрытие уязвимости;
▶️сколько стоят платформы VM и как сэкономить бюджет при покупке;
▶️какие регламенты нужны, чтобы процесс работал и не зависел от людей.
Темы второй, практической части (в 15:00):
▶️по каким сигналам понять, что без полноценного процесса управления уязвимостями в компании уже не обойтись;
▶️какие самые частые заблуждения тормозят внедрение управления уязвимостями;
▶️какая типовая ошибка на старте VM встречается чаще всего и как её избежать;
▶️что из задач VM уже можно доверить ИИ.
👤 От «Лаборатории Касперского» выступят Мария Погребняк и Максим Лызаев.
Встречаемся уже завтра: 8 апреля 2026
Нужна предварительная регистрация.
Узнать о конференции и зарегистрироваться ⟶
#события @П2Т
🔥 Новые приключения open source, интересные исследования APT и другие новости ИБ за неделю
🐀 Разбор нового ВПО CrystalX RAT, распространяемого по модели MaaS. Зловред написан на Go и объединяет в одном пакете функции шпионажа, удалённого доступа и редкий нынче жанр prankware. Это всякие розыгрыши: поворот экрана, замена функций кнопки мыши, замена фона рабочего стола, отключение периферии. Более привычные функции — кража учёток из браузеров, приложений Steam, Discord и Telegram, удалённый доступ в стиле VNC и захват видео с веб‑камеры, кража криптовалюты.
😱 Появились новые детали громкой атаки на цепочку поставок Axios. UNC1069 (кластер BlueNoroff) провела многоходовую социоинженерную атаку на разработчиков популярных npm‑пакетов, включая Axios, Lodash, dotenv и Express. Атакующие представлялись рекрутёрами крупных компаний, неделями выстраивали доверие, а затем уговаривали перейти в поддельные созвоны Teams или Streamyard, во время которых пытались заразить жертв ВПО. Если вам показалось, что это похоже на ранее описанную нами кампанию GhostHire, вам не показалось.
Учитывая масштаб атаки и перечень атакованных пакетов, любой разработчик просто обязан сделать закрепление версий зависимостей своей базовой инженерной практикой.
🧝♂️Разбор компактного Linux‑бэкдора для кражи учётных данных, используемого APT41. Имплант общается по SMTP с доменами, похожими на названия известных ИТ‑компаний. В реальности все С2 размещены в инфраструктуре Alibaba Cloud в Сингапуре.
🔵APT-группировка UAT-10608 запустила автоматизированную кампанию, в которой хосты компрометируют с помощью CVE-2025-55182 (React2Shell), после чего прочёсывают их в поисках учётных записей БД, API‑ключей Stripe и других секретов.
🔵После утечки исходников Claude Code злоумышленники менее чем за сутки адаптировали свои кампании ИИ-тематики и начали распространять инфостилер Vidar и прокси‑ВПО GhostSocks под видом слитого кода.
🟢Google/Mandiant опубликовали практическое руководство по защите сред VMWare vSphere от ВПО BRICKSTORM. Руководство описывает четырёхфазный план по усилению безопасности и включает готовый скрипт для харденинга vCenter.
🟠APT TA416 возобновила шпионские кампании против дипломатических и госструктур в Европе и на Ближнем Востоке, используя собственную разновидность ВПО PlugX.
🟢Разбор кампании по краже паролей в военных и оборонных структурах Пакистана и Бангладеш. APT Sidewinder задействовала восемь PaaS‑платформ, полностью отказавшись от классического хостинга.
🔵Интересный нюанс в кампании против российских промышленных и оборонных организаций, где APT Cloud Atlas, судя по всему, покупала доступ у брокера Mustard Tempest. Последний использует ВПО SocGholish/FakeUpdates, распространяя его через 500+ взломанных сайтов на WordPress.
🔴Фишинг с компрометацией аккаунтов через коды устройств (device code) стал массовой техникой: в 2026 году уже зафиксирован рост числа фишинговых страниц этой категории в 37,5 раза. Методику, которой раньше пользовались только 2-3 продвинутые APT, взяли на вооружение фишинговые платформы EvilTokens и девять других.
🍏 Стилер SparkCat с OCR‑функциональностью снова вернулся и в App Store, и в Google Play.
📱 Разбор кампании NoVoice с Android‑руткиитом, распространявшимся через 50 приложений в Google Play с общим числом установок минимум 2,3 млн. Приложения профилировали устройство и подгружали подходящий код эксплуатации для получения прав root. На старых версиях Android заражение переживает сброс к заводским настройкам, и очистка возможна только перепрошивкой.
👮♂️Обновлённые TTPs банды Akira. Операторы проводят полный цикл атаки от первичного доступа до шифрования менее чем за один час.
#дайджест #APT @П2Т
👌ИИ и кибербезопасность: что нас ждёт
За последний год ИИ успел серьёзно изменить и мир, и рынок ИБ. Было много шумихи, завышенных обещаний и громких фиаско, но за этой завесой происходят и реальные, весомые перемены. Большие языковые модели стали частью рабочих процессов, и эти процессы теперь уязвимы к новым типам атак. На нашем онлайн-стриме разберёмся, что происходит прямо сейчас, а к чему готовиться в ближайшие годы.
Обсудим:
▶️ удалось ли справиться с prompt-инъекциями или хотя бы снизить их частоту;
▶️ действительно ли киберпреступники уже применяют системы на базе языковых моделей для проведения атак и как на это могут отвечать компании;
▶️ меняет ли ИИ те инструменты обеспечения безопасности организаций, которые доступны ИБ-специалистам;
▶️ роль и задачи центра экспертизы ИИ «Лаборатории Касперского» в новом ландшафте угроз;
▶️ ключевые тренды ИИ в кибербезопасности и то, как они будут формировать 2026 год и последующие годы.
Формат — открытая, но предметная беседа с экспертами: Владиславом Тушкановым, Олегом Горобцом и Андреем Гунькиным.
Встречаемся в следующий четверг: 9 апреля 2026 в 11:00 (МСК).
Нужна предварительная регистрация.
Зарезервировать место на стриме ⟶
#события @П2Т
А теперь шутки в сторону: завели запасной канал в Мах
Всё как здесь — разбираем реальные кейсы, актуальные угрозы, делимся исследованиями и полезным контентом.
Ссылка: https://max.ru/KasperskyB2B
📌 Атаки на iOS, инсайдерские угрозы со стороны ИИ и другие полезные посты марта
Вычистили из бурного 🔥 мартовского новостного потока всё сиюминутное, и осталось самое ценное за месяц! 🎯
Эти статьи помогут выстроить эффективные процессы и системы в ИБ.
Если вы что-то пропустили, самое время наверстать упущенное!
▶️ статистика по ущербу от инцидентов ransomware доказывает, что надёжных резервных копий решительно недостаточно;
▶️ как защищать iOS-смартфоны в организации, когда опасные эксплойт-киты вроде Coruna и DarkSword попадают в руки киберкриминала;
▶️ сравнительный анализ разных LLM для применения в киберразведке;
▶️ тенденции в реальной эксплуатации уязвимостей за год;
▶️ ИИ-агенты могут по своей инициативе совершать несанкционированный доступ к данным — доказано на практике. Это серьёзная инсайдерская угроза;
▶️ неочевидные риски старых API-ключей Google;
▶️ обзор свежих разновидностей атак ClickFix;
▶️ нет, ИИ не заменит вашу команду безопасности ПО;
▶️ как серверы MCP стали одной из самых быстрорастущих угроз в ИБ.
#дайджест @П2Т
Сегодня, 31 марта, айтишники и сочувствующие им граждане отмечают День резервного копирования. В этот день много говорят о необходимости делать бэкапы, чтобы спастись от Дня дурака, который наступит 1 апреля.
А мы для разнообразия напомним другое: не все бэкапы одинаково полезны. В частности,
— сервисы резервного копирования могут быть использованы для компрометации вашей системы, особенно если это сервисы на основе протокола NDMP;
— работа с бэкапами кустов реестра позволяет обойти проверки безопасности и извлекать секреты из реестра Windows без привилегий SYSTEM;
— неприятные последствия может повлечь за собой поспешное восстановление из бэкапов после инцидента, если сами бэкапы были скомпрометированы на момент создания.
Trivy и LiteLLM под ударом, эволюция BPFdoor и другие исследования APT за неделю
🔥Вероятно, самая значимая новость месяца, которая ещё не раз нам аукнется — компрометации библиотеки по работе с ИИ-системами LiteLLM, сканеров безопасности Trivy и Checkmarx. Инциденту присвоен CVE-2026-33634 (CVSS 9.4). Вредоносное ПО, напомним, тащит SSH‑ключи, секреты CI/CD, учётные данные AWS и GCP, секреты k8 и даже криптокошельки. Следом на просторы npm был выпущен червь CanisterWorm.
📱APT Red Menshen продолжает развивать BPFDoor, скрытный Linux‑бэкдор, который злоупотребляет eBPF и активируется только при получении специально сформированного «волшебного» пакета. В новых версиях триггеры встраиваются в HTTPS‑трафик, что делает детектирование заметно сложнее. Группа чётко нацелена на телеком‑операторов и госструктуры. Проникают в сеть через уязвимые пограничные устройства Ivanti, Cisco, Fortinet и Palo Alto. Для сетевых устройств используются учётные данные и настройки, характерные именно для эксплуатации телеком-провайдерами. Некоторые версии BPFDoor способны инспектировать трафик сигнального протокола SCTP, позволяя атакующим следить за всеми перемещениями абонентов телеком-оператора.
🔻Анализ экспертов «Лаборатории Касперского» подтвердил связь между эксплойт‑китом Coruna и операцией «Триангуляция».
🟢 Технический анализ атаки на финансовую организацию в ЮВА: связка бэкдора Brushworm и кейлоггера Brushlogger распространяется через USB‑носители, похищает документы и архивы электронной почты.
🟢Разбор ВПО PRISMEX, предположительно используемого APT28. Оно было замечено в атаках, эксплуатирующих две уязвимости нулевого дня в Microsoft Office (CVE-2026-21509 и CVE-2026-21513). PRISMEX использует стеганографию, технику COM hijacking для закрепления и злоупотребляет облачным сервисом Filen io в качестве С2.
🟣APT Silver Fox проводит фишинговые кампании под видом налоговых уведомлений по странам Юго‑Восточной Азии, доставляя ValleyRAT вместе с подписанным драйвером, а также модифицированный Gh0st RAT под названием HoldingHands и инфостилер на Python, замаскированный под WhatsApp. Группа продолжает сочетать финансово мотивированные атаки со шпионажем.
🤪Не путаем PaaS и PaaS! EvilTokens, платформа «фишинг как услуга» (Phishing as a Service) злоупотребляет инфраструктурой провайдера Railway.com (Platform as a Service) для кражи токенов аутентификации Microsoft 365 у сотен организаций в США, Канаде, Австралии, Новой Зеландии и Германии.
🔴Анализ атак с использованием PXA Stealer, нацеленных на финансовые организации по всему миру.
📱 Обзор 12 новых семейств стилеров, распространяемых через Telegram‑ботов.
#дайджест #APT @П2Т
📚 Давайте поговорим о культуре!
Культуре безопасности, конечно. Сегодня мы не будем давать вам советов, а вместо этого хотим спросить, как обстоят дела в вашей организации.
Мы проводим совместный с hh.ru опрос, чтобы разобраться:
▶️как руководители и сотрудники оценивают уровень ИБ в организации;
▶️кто отвечает за случившиеся инциденты и есть ли практика за них наказывать;
▶️кто должен обучать сотрудников, и какое оно, идеальное обучение киберграмотности.
Опрос анонимный, короткий, выдавать подробности и секреты не требуется.
🔽🔽🔽🔽🔽
Помогите нам понять реальную картину!
Пройдите опрос до 5 апреля.
🔼🔼🔼🔼🔼
#события @П2Т
🚨 Компрометация Trivy, Checkmarx и LiteLLM
Инструмент для поиска уязвимостей стал точкой входа для одной из наиболее масштабных атак на цепочку поставок за последнее время. Trivy, популярный сканер с открытым исходным кодом, был скомпрометирован: в его официальные рабочие процессы GitHub Actions и образы Docker 19 марта было внедрено вредоносное ПО. Каждый автоматизированный запуск сканирования затем извлекал ключи SSH, токены доступа к облакам AWS и GCP, .env-файлы, конфигурации конвейера CI/CD, а также кошельки криптовалют из систем, на которых он работал. Эти украденные данные немедленно использовались для компрометации новых сред разработки. Инцидент получил свой собственный CVE-2026-33634 (CVSS4B 9.4).
Примечательно, что 44 репозитория, принадлежащих Aqua Security, поддерживающей Trivy, были захвачены менее чем за две минуты.
Пользуясь свежеукраденными доступами, злоумышленники загрузили в PyPI троянизированные версии LiteLLM, популярной библиотеки Python для подключения приложений к ИИ-моделям. Любая система, которая использовала версии 1.82.7 или 1.82.8, автоматически оказалась скомпрометированной. Далее вредоносное ПО развернуло бэкдоры в кластерах Kubernetes у жертв и выпустило саморазмножающегося червя CanisterWorm на просторы npm.
Параллельно те же атакующие скомпрометировали ещё одно решение безопасности, действие GitHub для Checkmarx KICS и AST. Эта атака была обнаружена в понедельник, 23 марта.
Нападающие заявляют, что они украли сотни гигабайт данных и более 500 000 учетных записей. Теперь они якобы шантажируют несколько крупных организаций.
Немного выводов:
▶️существующие статические проверки и сканирование зависимостей в публичных реестрах недостаточны. Вредоносный код был внедрён в доверенные, подписанные действия. Проблему помогли выявить поведенческий мониторинг и анализ в реальном времени;
▶️ конвейеры CI/CD стали новым периметром (извините за пафос). Автоматизированные системы сборки, которые загружают зависимости, не указывая точные версии, структурно подвержены этому классу атак;
▶️ эффект поражения одного скомпрометированного компонента огромен. Более 20,000 репозиториев оцениваются как потенциально уязвимые к подобным техникам.
Атаку нельзя считать редким исключением. Постоянные читатели нашего канала и новостей ИБ в целом легко припомнят несколько похожих, хотя и менее масштабных инцидентов за прошлый год. Например, исследователи «Лаборатории Касперского» обнаружили кампанию в том же репозитории PyPI, в которой пакеты, маскирующиеся под клиентов ChatGPT и Claude, устанавливали ВПО, крадущее данные, тысячам разработчиков.
Кратко о реагировании: зафиксируйте (pin) точные версии зависимостей во всех конвейерах и Dockerfile, переходите на учётные данные с коротким сроком действия при помощи менеджера секретов, включите MFA, восстанавливайте затронутые атакой среды из проверенных источников. Также потребуется проактивный поиск угроз (threat hunting) — предполагайте состоявшуюся компрометацию и быстрое продвижение злоумышленников в затронутых системах.
Больше деталей — в нашем блоге.
#новости @П2Т
🔥 Четвёртые сутки вторую неделю пылают споры про Mythos
Насколько мощная эта модель на самом деле, можно ли делать тоже самое с опенсорсной квантизированной Llama, когда поломают банковские мейнфреймы IBM, а главное, что делать посреди этого цирка CISO организации, не относящейся к Fortune 500?
Не претендуя на полный обзор темы, соберём несколько полезных мыслей, практических рекомендаций и неочевидных нюансов.
1️⃣Появление продвинутых ИИ-моделей, ищущих уязвимости, уже сейчас (до Mythos) значительно увеличило количество находимых дефектов и патчей. Mythos и его последователи лишь ускорят и масштабируют этот процесс. Это главное, к чему нужно подготовиться организациям — увеличение количества, сложности и частоты обновлений всего ПО и инфраструктуры. На патч-менеджмент и управление уязвимостями придётся выделять дополнительные ресурсы и делать их приоритетом ближайших лет. И конечно приоритизация уязвимостей начинает играть новыми красками.
2️⃣При этом с помощью ИИ можно ковыряться в коде, на который у топовых живых экспертов просто не хватало времени: прошивках экзотического оборудования, проприетарных протоколах, глубоко устаревшем коде ПО. Если раньше в банковских мейнфреймах разбиралось сто человек в мире и находили одну уязвимость в десятилетие, то теперь картина может измениться. Поэтому болезненные обновления, полную изоляцию или списание этого оборудования тоже придётся вытащить из бэклога и начинать принимать меры. Или начать переписывать риск-модели и повышать оценку вероятности простоев.
3️⃣Значительно сгладить асимметрию атаки и защиты могло бы внедрение автономного агентского ИИ в процессы управления уязвимостями и обновлениями. Но хороший ИИ, который ходит ругаться к главному технологу за окно обновления ПО, ещё предстоит создать.
4️⃣Ещё одна скучная, но актуальная вещь касается атак, в которых ИИ-модель класса Mythos непосредственно продвигается по сети жертвы. В текущих тестах и полигонах атакам ИИ не оказывают противодействия, поэтому весьма вероятно, что модель проводит атаки шумно, вызывает срабатывание многочисленных СЗИ, и останавливается теми же инструментами, которые эффективны против атак LotL. Поэтому инвестиции в знакомые меры защиты — от 2FA и принципа наименьших привилегий до allowlisting и XDR — сильно повышают устойчивость организации в том числе к ИИ-атакам.
Про эти скучные меры хорошо расписано в экстренном обзоре Cloud Security Alliance The “Ai Vulnerability Storm”: Building a Mythos-ready” Security Program. (pdf)
5️⃣Возможности модели известны мало кому, но понятно, что они решающим образом зависят от бюджета. На сложных задачах значительный отрыв Mythos от предшественников виден только при огромных затратах на токены (бюджет 100 млн токенов). Это доказывает способности модели, но ограничивает масштаб её применения.
6️⃣Mythos вероятно является шагом вперёд в качестве поиска уязвимостей, но не революцией. Значительные успехи в ИИ-поиске уязвимостей уже продемонстрировали XBOW, Aisle и другие компании. Поиск уязвимостей при помощи ИИ зависит не только и не столько от качества модели, а от организации всего процесса: широкое сканирование кода в поисках интересных мест, глубокий анализ потенциальных уязвимостей, оценка критичности и возможности проэксплуатировать, построение и применение корректного патча. Далеко не все этапы требуют мощного ИИ, кое-где его роль вообще минимальна.
#советы @П2Т
💻 Апрельский вторник патчей: цунами обновлений Windows
Microsoft выпустила один из крупнейших пакетов обновлений в своей истории, закрыв 163 уязвимости в своих продуктах. Если посчитать ещё и большой пакет устранённых дефектов в стороннем софте, например, в Chromium, то апрельский счёт патчей приближается к шокирующей отметке 250. С учётом успехов ИИ в поиске уязвимостей, к таким цифрам теперь видимо придётся привыкать.
Одна уязвимость эксплуатировалась до раскрытия, одна была досрочно разглашена, ещё 8 относятся к критическим. Абсолютное большинство багов (131) устранены в Windows, далее следует Office с дюжиной ошибок.
93 уязвимости приводят к повышению привилегий, 20 — к исполнению произвольного кода, 20 — утечкам информации, 12 — к обходу функций безопасности, 9 — DoS, 8 — spoofing.
Уязвимости нулевого дня
В живой природе выловили CVE-2026-32201 (CVSS 6.5) в SharePoint, которая приводит как раз к спуфингу. Редмонд исключительно лаконичен в описании уязвимости, отмечая только что атакующие могут получить доступ информации или изменить её. Где эксплуатировалась, кто её нашёл — ни слова.
Примечательна также CVE-2026-33825 (CVSS 7.8), приводящая к повышению привилегий через Defender. Её разгласили до устранения, потому что исследователь и Microsoft не смогли договориться о порядке разглашения и важности дефекта. Учитывая наличие PoC на GitHub, пользователям Defender стоит поторопиться с обновлениями.
Критические дефекты
В обновлении есть две неприятных уязвимости, работающие по сети и не требующие действий жертвы.
CVE-2026-33827 — это RCE в TCP/IP (должны быть активны IPv6 и IPSec), а CVE-2026-33824 — RCE в службе Windows Internet Key Exchange (IKE). Первая потянула на CVSS 8.1, а вторая аж на 9.8.
Не обошлось и без RCE в Office (CVE-2026-32190 -33114 -33115, все CVSS 8.4), работающих в том числе из панели предварительного просмотра. Снова умоляем её уже отключить наконец.
#новости #Microsoft @П2Т
✔️ Защищаем инструменты ИБ
Любая часть ИТ-инфраструктуры, позволяющая централизованно видеть узлы сети и управлять ими, будет приоритетной мишенью злоумышленников. Глубокая эшелонированная защита нужна не только Active Directory, но и консоли управления СЗИ. Ведь при её компрометации атакующий получит доступ к централизованной настройке политик, мониторингу состояния конечных точек инфраструктуры и многому другому. Чтобы снизить вероятность такого события, важны безопасные настройки консоли управления.
Многие компании в своих программах харденинга упускают консоль СЗИ из внимания — кажется, что раз это инструмент ИБ, то он защищён по умолчанию. На самом деле усилить защиту можно и нужно на нескольких уровнях: от установки средства администрирования на выделенный сервер (отличный от доменного контроллера, терминального сервера, и т.п.) и корректной настройки межсетевого экрана до принудительной многофакторной аутентификации и минимизации числа администраторов. Плюс интеграция с SIEM, харденинг ОС на сервере и многое другое.
Подробнее о харденинге средств управления написали в блоге, а для Kaspersky Security Center даже подготовили удобный чеклист.
#советы @П2Т
💾 Компрометация через CPU-Z / HWMonitor
Эксперты «Лаборатории Касперского» проанализировали атаку, в которой на легитимном сайте cpuid[.]com разместили ссылки на троянизированные инсталляторы популярных утилит CPU-Z, HWMonitor, HWMonitor Pro и Perfmonitor 2. Атака продолжалась менее суток, с 9 по утро 10 апреля.
Злоумышленники ограничились минимальным вмешательством в официальный сайт и просто заменили ссылки — вредоносное ПО было размещено на сторонних ресурсах. Инсталлятор по ссылке содержал настоящую, немодифицированную утилиту, а также дополнительную вредоносную библиотеку, которая загружалась по технологии DLL sideloading и разворачивала в системе жертвы STX RAT. Это ВПО даёт атакующему скрытный удалённый доступ к компьютеру жертвы (HVNC), позволяет красть широкий спектр учётных данных, а также загружать и запускать дополнительные вредоносные модули. Ранее то же ВПО распространялось через сайты-двойники популярных утилит вроде FileZilla, но здесь злоумышленники подняли планку и скомпрометировали официальный сайт. При этом они не стали обновлять ни вредоносный код, ни свои домены, поэтому атаку удалось обнаружить и остановить достаточно быстро.
Пользователи, загружавшие сегодня и вчера утилиты с сайта cpuid, должны проверить свою систему на признаки компрометации и провести реагирование. В организациях это проще всего сделать, проверив историю DNS-запросов и просканировав диски для поиска вредоносных инсталляторов.
Подробности и индикаторы компрометации опубликованы на Securelist.
#новости @П2Т
⚡️ В Android появится постквантовое шифрование, день Q перенесён на 2029
В Google анонсировали глубокую поддержку постквантовой криптографии (ПКШ) в Android 17. Процесс безопасной загрузки Android (Android Verified Boot, AVB), будет подписан с помощью алгоритма ML-DSA, одного из уже стандартизованных американским NIST. В хранилище ключей Android также внедрена поддержка этого алгоритма, что позволит в ближайшем будущем начать подписывать приложения в Google Play цифровыми подписями, устойчивыми к взлому на квантовом компьютере.
Хотя этим компьютером грозят уже лет двадцать, в последнее время Маунтин Вью явно что-то подозревает, потому что регулярно приближает оценки «дня Q» (Q-day), когда квантовый компьютер станет проводить полезные прикладные вычисления в области криптографии быстрее классического. Одновременно с анонсами ПКШ в Android сотрудники Google опубликовали отдельный краткий пост, в котором этот день назначен теперь уже на 2029 год.
Среди свежих научных работ, которые вызывают тревогу крупных ИТ-игроков (не только Google), отметим:
🟢исследование по «квантовым» атакам на ECDLP;
🟢работу, в которой продемонстрирована возможность атаки на RSA-2048 при помощи квантового компьютера с менее чем 10 тыс. «переконфигурируемых» кубитов;
🟢продолжающиеся работы по оптимизации алгоритмов Шора и Регева.
О том, что со всем этим делать организациям, мы уже писали в блоге.
#советы #новости @П2Т
🔼 Эволюция Эскалация атак на цепочку поставок в 2025 году
В последние дни открывать мировые новости ИБ уже даже как-то страшновато — после Trivy, LiteLLM и Axios возникает неприятный вопрос «а что дальше». Чтобы немного снизить стресс, посмотрим в другую сторону. Мы собрали крупнейшие и самые значимые инциденты с атаками supply chain за прошлый год, и на такой временной шкале явно видна тенденция. Атаки нарастают в частоте, масштабе и сложности. Злоумышленники поняли все преимущества атак на open source, а главное — научились проводить их более гладко. От эффектной, но неэффективной атаки s1ngularity до вполне себе убойного Shai Hulud 2.0 прошло всего три месяца.
О сложных, но всё более важных мерах, помогающих предотвратить подобные атаки, мы отдельно писали здесь.
#советы @П2Т
😵💫 Дипфейки и передел ИИ-собственности
Мы обычно не пишем про взломы и утечки, но тут заваривается интересная каша, поэтому сделаем исключение. Среди жертв атаки на цепочку поставок с компрометацией LiteLLM, о которой мы писали, отметился модный стартап Mercor. Их иногда называют «AI recruiting startup», но на самом деле их бизнес — производство обучающих данных для крупнейших игроков ИИ, включая OpenAI и Anthropic. Mercor находят нишевых экспертов в различных областях и платят им за производство данных и оценку ответов модели. Компания заявляла, что ежедневно выплачивает таким экспертам около 2 млн. дол. Сам Mercor подтвердил утечку и назвал первопричиной взлом LiteLLM, но наотрез отказался сообщить что-либо о последствиях (а спрашивали ведущие мировые СМИ).
Впрочем, за Mercor это сделали злоумышленники, опубликовав от имени Lapsus$ объявление о продаже 4 Тб слитых данных, включая 211 Гб баз данных, резюме кандидатов и фото их паспортов, записи видеоинтервью, почти терабайт исходных кодов, и тому подобное. Конечно, анонсам злоумышленников веры нет, но как минимум пару видеоинтервью посмотрели в TechCrunch.
Это означает, что в руки злоумышленников вероятно попала качественная база данных, в которой реальные документы реальных людей, экспертов в различных областях, сопровождаются видео этих людей, создавая обширные возможности для производства убедительных дипфейков. Применять их можно как в мошенническом трудоустройстве, освоенном Lazarus, так и в финансовых аферах. Службам антифрода приготовиться.
Другое возможное последствие утечки — публикация интеллектуальной собственности ведущих ИИ-лабораторий. Причём не исходников (интересно, но вряд ли уникально), а информации, напрямую связанной с обучением их моделей. Многие из них поставили сотрудничество с Mercor на паузу, но в утечке скорее всего уже есть информация о том, какие наборы данных, в каких областях, и каким образом они собирают. А возможно и сами размеченные данные.
Интересно и то, что продают данные Lapsus$, тогда как компрометацию LiteLLM осуществила группировка TeamPCP/UNC6780. Опрошенные Wired эксперты называют маловероятным, что объявление об утечке дала оригинальная банда Lapsus$, вероятней всего, это просто прикрытие.
Будем следить за развитием сюжета.
#новости @П2Т
📠 Методичка по защите DNS
NIST впервые с 2013 года обновил рекомендации по защите DNS. Нам, конечно, NIST не указ, но вещи внутри написаны полезные, поэтому стоит внимательно их изучить и использовать на практике.
SP 800-81r3 отражает практические изменения в том, как DNS используется, подвергается атакам, как эволюционировали подходы к защите. Отметим три тенденции:
1️⃣ DNS перестал быть просто частью «трубопровода Интернета» и стал самостоятельным уровнем контроля и применения политик ИБ. Обновлённые рекомендации формально позиционируют DNS как активную точку управления: блокировка вредоносных доменов, категорийная фильтрация, генерация журналов для расследования инцидентов. Организациям предлагается выстраивать безопасную инфраструктуру DNS в гибридной модели: облачный сервис плюс серверы on-prem, чтобы временная недоступность провайдера не обнуляла защиту. Критически важно, чтобы журналы запросов DNS поступали в SIEM и коррелировались с DHCP‑записями — это позволяет при реагировании на инциденты привязать IP‑адреса к конкретным устройствам.
2️⃣ Шифрованный DNS сдвигает точку применения политик и контроля. Рекомендации охватывают DoT, DoH и DoQ. После внедрения зашифрованного DNS, сам сервер становится основным узлом детектирования и контроля политик, а его защита и мониторинг — приоритетным задачами. Отдельно подчёркнута практическая проблема: браузеры и приложения с собственными реализациями DoH/DoT могут тихо обходить корпоративный DNS, нарушая централизованный аудит и управление доступом.
3️⃣ Обновлены рекомендации по алгоритмам DNSSEC. В приоритете теперь ECDSA, Ed25519 и Ed448 вместо RSA — в первую очередь из‑за меньшего размера ключей, что позволяет укладываться в лимиты UDP. Для подписей RRSIG предлагаются сроки действия в 5–7 дней, чтобы сузить окно, когда возможно причинение ущерба при компрометации ключа. Для хранения приватных ключей NIST рекомендует использовать аппаратные криптографические модули HSM. Постквантовый DNSSEC пока не описан в виде конкретных рекомендаций. В документе прямо говорится, что миграция будет необходима, как только стандарты и инструментарий дозреют.
Помимо криптографии, руководство поднимает важные, но часто игнорируемые вопросы гигиены DNS: устаревшие записи CNAME, указывающие на уже несуществующие домены, «lame delegations», создающие возможность перехвата поддоменов, риск повторной регистрации выведенных из эксплуатации доменов злоумышленниками. Все эти проблемы регулярно эксплуатируются в реальных атаках и при этом систематически не попадают в списки проверок на аудитах.
NIST также повторно подчеркнул рекомендацию из версии 2013 года — разделять функции авторитетных и рекурсивных DNS на внешних DNS‑серверах. Тот факт, что совет приходится повторять, недвусмысленно намекает, что это по‑прежнему массово игнорируется.
📌 Полный PDF
#советы @П2Т
📦 Правильный DevSecOps в эпоху Glassworm и CanisterWorm
Атаки на инфраструктуру разработки ПО приобрели промышленный масштаб. Следом за резонансным «червём» Shai-Hulud последовали более изощрённые угрозы, такие как идущие прямо сейчас кампании GlassWorm и CanisterWorm, охватившие сотни репозиториев в GitHub, npm и VSCode. Зловреды такого типа оптимизированы под рабочие процессы в разработке ПО, выуживая секреты CI, компрометируя сборочный конвейер и решая широкий спектр задач — от шпионажа до криптомайнинга. Число инфицированных пакетов перевалило за миллион.
Кроме вредоносных образов, серьёзной ежедневной проблемой являются ошибки в конфигурации облачных сред, из-за которых происходят утечки данных или злоупотребление вычислительной инфраструктурой. По статистике Wiz, 54% облачных сред открывают ошибочный доступ к важным данным, а 35% критически уязвимы и одновременно содержат важные данные.
Учитывая, что современная инфраструктура чаще всего выглядит как набор контейнеров, эшелонированная защита должна быть адаптирована к этим реалиям. Например, Kaspersky Container Security обеспечивает комплексную защиту контейнерных сред и приложений, объединяя контроль оркестрации, реестров, образов и конвейеров разработки. Решение покрывает полный цикл жизни ПО, благодаря модулю сканирования образов (сканирование на ВПО, уязвимости, секреты, ошибки конфигурации, нарушения политик) и агентам защиты выполняемых контейнеров и оркестратора (входной контроль, контроль трафика, процессов и файловых операций во время работы, профилирование контейнеров, и т.п.).
Но даже с такой «круговой» защитой, узким горлышком остаётся дефицит времени у команды ИБ для детального разбора ситуации с каждым образом и предупреждением, порой мешает и отсутствие нишевой экспертизы. Обе проблемы решают новые функции, появившиеся в Kaspersky Container Security 2.4.
В решении можно подключить фирменного ИИ-ассистента «Лаборатории Касперского», KIRA, или любую LLM, используемую в компании и работающую по API OpenAI. Модель может интерпретировать результаты сканирования образа контейнер, преобразовав их а в понятный текст с описанием функций, процесса работы образа, найденных рисков безопасности и рекомендаций по их устранению.
Для использования KIRA нужно приобрести лицензию KCS Advanced Pro. В ней же в 3 квартале появится механизм «лучших практик», позволяющий задать собственные политики Rego через наглядный редактор и анализировать контейнерные образы на соответствие особым, внутренним политикам безопасности, комбинировать новые и существующие виды проверок.
В новой версии есть и другие улучшения, такие как оптимизированная проверка крупных образов и поддержка корпоративных порталов аутентификации (SSO). Подробнее об этом можно узнать на странице продукта.
#советы @П2Т
⛓️ Новые приключения в open source: компрометация Axios
Axios — самый популярный JavaScript‑клиент для HTTP со 100 миллионами загрузок в неделю, используемый в проектах на Node.js почти по умолчанию. Вчера он стал очередным скомпрометированным звеном цепочки поставок, поставив под удар любые системы, где в трёхчасовое окно с 00:20 UTC до ~3:15 UTC 31 марта выполнялся npm install этого пакета.
Злоумышленники опубликовали в реестре npm скомпрометированные версии Axios (1.14.1 и 0.30.4), угнав аккаунт главного мейнтейнера. Под удар одновременно попали обе ветки — современная 1.x и устаревшая 0.x, вредоносные релизы вышли с разрывом в 39 минут. Любой проект, где не были закреплены известные версии зависимости, при сборке автоматически подтягивал скомпрометированный пакет.
При этом в самом коде Axios не появилось ни одной строки вредоносной логики. Вместо этого в отравленных релизах была внедрена «фантомная» зависимость (plain-crypto-js@4.2.1), созданная исключительно ради postinstall‑скрипта. Он разворачивал ВПО для удалённого доступа на поражённой системе macOS, Windows и Linux. На первой фазе заражения дроппер связывался с сервером С2, подтягивал платформенно‑зависимое ВПО второго этапа, а затем подчищал следы, подменяя свой package.json «чистой» версией. После заражения обычная проверка node_modules не показывала ничего подозрительного.
Операция явно была тщательно спланирована: вредоносная зависимость была загружена за 18 часов до атаки, три отдельных нагрузки под разные ОС были подготовлены заранее, а публикация скомпрометированных версий обошла штатный CI/CD‑пайплайн проекта за счёт украденного npm‑токена доступа, фактически ломая цепочку доверия OIDC, в которой подписываются легитимные релизы.
Администраторы npm сняли обе версии с публикации примерно через три часа, а вредоносная зависимость вскоре была переведена в статус security hold.
Если ваш проект устанавливал любую из затронутых версий, систему следует считать скомпрометированной: откатиться на axios@1.14.0 или 0.30.3, удалить plain-crypto-js из node_modules, провести смену всех учётных данных, доступных в момент установки, и внимательно проверить журналы CI/CD на предмет запуска сборочных пайплайнов, которые могли подтянуть троянизированные пакеты. Также необходимо провести проактивный поиск угроз в предположении о компрометации системы.
#новости @П2Т
P.S. Если верить утекшим исходникам Claude Code, то он примерно целиком написан на TypeScript, и в нём тоже используется Axios.
🎯 Уроки реальных инцидентов в «Анатомии ландшафта киберугроз»
Киберинциденты высокой критичности случаются реже, но становятся технически сложнее и изощрённее. Например, растёт доля атак через доверенные отношения и длина цепочек компрометации.
Это ключевые выводы нового глобального отчёта Kaspersky Security Services, который впервые объединяет данные сервисов Managed Detection and Response, Incident Response, Compromise Assessment и SOC consulting, давая широкий срез того, как атаки разворачиваются в разных отраслях и регионах.
💠 Несколько показательных трендов:
🔻 Доверенные отношения — самый быстрорастущий вектор первоначального доступа. Его доля за год выросла с 12,8% до 15,5%. Исследователи фиксировали случаи, когда злоумышленники поочерёдно взламывали две промежуточные компании только ради выхода на третью, основную цель.
▶️ Эксплуатация публично доступных приложений и использование действительных учётных записей замыкают тройку лидеров, которая используется в более чем 80% всех атак.
🔻 Атакующие делают ставку на технику LotL и типовые утилиты разведки. Стандартные исполняемые файлы Windows (powershell.exe, rundll32.exe, mshta.exe) остаются основным инструментом продвижения по скомпрометированной инфраструктуре. Среди наиболее популярных инструментов — знакомые Mimikatz, PsExec и AnyDesk.
▶️ Уязвимости Microsoft доминируют в атаках. Половина всех эксплуатируемых CVE приводит к удалённому выполнению кода.
🔻Среди атакуемых индустрий IT‑сектор вышел на третье место, обойдя отрасль финансовых услуг в рейтинге отраслей, где инциденты чаще всего требуют полноценного реагирования. При этом госструктуры и промышленные организации по‑прежнему остаются главными целями.
📌 Полный отчёт даёт более детальную картину того, кто именно атакует, какими средствами пользуется и по каким поведенческим признакам можно выявлять эту активность.
#CISO #MDR #IR #статистика @П2Т
⚙️ Интересные материалы блога KasperskyOS
Для тех, кто интересуется безопасной разработкой, подходом Secure by Design и новинками на KasperskyOS, мы собрали подборку полезных статей с блога:
🟣четыре модели корпоративной мобильности — от BYOD до архитектурного подхода с конструктивно безопасной средой;
🟣какие решения в Kaspersky Automotive Secure Gateway препятствуют инцидентам наподобие нашумевшего отказа систем охранной сигнализации авто;
🟣как укреплять защиту системы (то есть заниматься харденингом) без ущерба производительности.
#дайджест #про_кибериммунитет @П2Т
🍏 Новая эпоха массовых атак на iOS
Неизвестные опубликовали на GitHub полный эксплойт-кит DarkSword, способный взломать сотни миллионов iPhone с iOS 18.4–18.7. Эксперты, изучившие архив, говорят, что эксплойты работают из коробки — никакой экспертизы в iOS не требуется. Поэтому вероятна массовая эксплуатация этих дефектов широким кругом злоумышленников. При этом, по данным Apple, около четверти iPhone до сих пор работают как раз на версии iOS 18. Американская CISA уже приказала федеральным агентствам срочно установить обновления или перестать пользоваться уязвимыми устройствами.
Coruna и DarkSword: краткая предыстория
Coruna — сложный набор для эксплуатации уязвимостей, включающий 5 цепочек из 23 уязвимостей для iOS 13.0–17.2.1. Изначально он, по данным Wired, создавался как государственное шпионское ПО для «западного правительства», но за последний год попал в руки спецслужб других стран, а также финансово мотивированных преступников, крадущих криптовалюту в ЮВА.
После появления информации о Coruna, эксперты Kaspersky GReAT смогли собрать, расшифровать и изучить все компоненты Coruna и подтвердили, что этот набор эксплойтов не был составлен из разрозненных частей, а спроектирован единым образом. Вероятно, это обновлённая версия того же фреймворка, который — как минимум частично — применялся в «Операции Триангуляция». Подробный анализ Coruna опубликован сегодня на Securelist.
DarkSword — более свежая разработка, нацеленная на iOS 18.x. Эксплойт-кит использует цепочку из 6 уязвимостей для побега из песочницы, повышения привилегий и выполнения кода. Среди операторов DarkSword замечены турецкий коммерческий поставщик средств слежки PARS Defense, а также группы UNC6478 и UNC6353, предположительно сочетающие шпионаж и кражи критовалюты.
Модель «огороженного сада» больше не работает
Годами iOS считалась наиболее безопасной мобильной ОС без критических, массовых инцидентов ИБ. Но тревожные тенденции последних лет трудно игнорировать:
🔴 две мощных платформы эксплуатации перетекли из арсеналов спецслужб к рядовым киберпреступникам;
🟡 в App Store проникли инфостилеры, а установка вредоносного ПО через корпоративные профили (enterprise provisioning) стала массовой практикой;
🟢 производители коммерческого шпионского ПО, например Predator, систематически находят бреши в защите iOS. Они не только заражают устройства с минимальным или нулевым участием жертвы, но и научилось отключать индикаторы работы камеры и микрофона в iOS.
В общем, пора забыть мантру «мой айфон могут взломать только спецслужбы». Уязвимости iOS всё чаще будут применяться массово, поэтому о защите нужно позаботиться прямо сейчас.
Что делать?
Пользователям:
🈁 обновить iOS до последней версии (iOS 26) или применить целевые патчи, если свежую iOS установить невозможно;
🈁 завести привычку регулярно обновлять iOS и основные приложения;
🈁 включить новую функцию "фоновые улучшения безопасности" (background security improvements);
🈁 включить Lockdown Mode для усиленной защиты;
🈁 периодически перезагружать устройство;
🈁 установить надёжное защитное решение на все используемые iOS-устройства.
Организациям:
1️⃣ При выборе платформы для корпоративного парка устройств учитывайте возможности мониторинга, сбора телеметрии и оперативного реагирования. Apple исторически ограничивает эти возможности для сторонних поставщиков ИБ. У злоумышленников таких ограничений нет.
2️⃣ Настройте MDM-политики для принудительного обновления iOS — многие атаки работают именно на устаревших версиях, а сотрудники склонны откладывать обновления.
3️⃣ Для топ-менеджеров и сотрудников с доступом к критичным данным включите Lockdown Mode централизованно. Именно эти люди являются приоритетными целями.
4️⃣ Ограничьте доступ к наиболее важным корпоративным системам с мобильных устройств — если iPhone скомпрометирован, ущерб должен быть локализован.
#новости #Apple @П2Т
🗣 Эволюция защиты от DDoS-атак
Когда: 25 марта 2026 в 11:00 и 15:00 (МСК)
Буквально в пятницу пришла новость, что правоохранительные органы смогли нарушить операции крупных и агрессивных ботнетов Aisuru, KimWolf, с помощью которых проводились рекордные по мощности атаки в конце 2025 года. Противостоять им было крайне сложно даже гигантам Cloudflare и Microsoft. Но свято место пусто не бывает, поэтому считать проблему DDoS решённой, конечно, нельзя. Сложные и мощные атаки дешевеют, в итоге даже крупные компании и государственные сервисы продолжают сталкиваться с простоями и потерями.
Об эволюции DDoS в 2026 году, типовых ошибках компаний и архитектуре современной защиты поговорим на онлайн-конференции AM-Live!
Тема довольно обширная, поэтому мероприятие пройдёт в двух частях.
Темы первой части (в 11:00):
▶️ потери бизнеса и государства от DDoS-атак в 2025 году;
▶️ что собой представляют современные ботнеты;
▶️ специфика защита инфраструктурных сервисов;
▶️ чем защита API отличается от классической защиты сайта.
Темы второй, практической части (в 15:00):
▶️ когда можно использовать защиту on-demand;
▶️ как подготовить инфраструктуру к скачкам легитимной нагрузки;
▶️ DNS или BGP — что лучше?
▶️что чаще всего «ломается» при подключении защиты (TLS, маршрутизация, зависимости);
▶️ что должно быть закреплено в SLA и внутренних регламентах, чтобы вовремя справиться с атакой;
▶️популярные методы обходы защиты.
👤 От «Лаборатории Касперского» выступит Вячеслав Кириллов, мvенеджер по продукту Kaspersky DDoS Protection.
Встречаемся уже в среду: 25 марта 2026
Нужна предварительная регистрация.
Узнать о конференции и зарегистрироваться ⟶
#события @П2Т