«Мы скорректировали оценку в уведомлении, чтобы учесть меры по смягчению последствий на стороне сервера, описанные поставщиком в процессе раскрытия информации».

— написали сегодня Zero Day Initiative.

ZDI CAN (Идентификатор): ZDI-CAN-30207
Поставщик: Telegram
Критичность: CVSS: 7.0
Зарепортили: 2026-03-26 (4 дня назад)
Крайний срок: 2026-07-24

CVSS снизили с 9,8 до 7.0.

🎩 Ничего не понятно, но очень интересно.

✋ @Russian_OSINT

Читать полностью…

🥷ShinyHunters взяла на себя ответственность за взлом Европейской комиссии

24 марта 2026 года облачная инфраструктура Европейской комиссии подверглась кибератаке. Комиссия могла быть взломана группировкой ShinyHunters. Хакерам удалось проникнуть в учетную запись Amazon Web Services, обслуживающую правительственную платформу Europa.eu.

Официальные представители Еврокомиссии заявляют, что внутренние сети не пострадали, а сайты продолжили работу в штатном режиме. Сами злоумышленники заявили о кражи более 350 гигабайт данных, включая серверы электронной почты и личную информацию сотрудников. Взломщики не требуют выкупа, а планируют в будущем выложить весь массив похищенных файлов в открытый доступ.

Сейчас ведётся расследование с оценкой ущерба от деятельности хакеров. Рассылаются уведомления всем европейским ведомствам, чьи данные могли оказаться в руках злоумышленников.

✋ @Russian_OSINT

Читать полностью…

⚖️🇷🇺Суд приговорил 26 членов хакерской группировки Flint24 на сроки от 5 до 15 лет

Как сообщает ТАСС, гарнизонный военный суд приговорил 26 членов хакерского объединения Flint24 на сроки от 5 до 15 лет колонии, признав их виновными в создании организованной преступной группы и иных преступлениях.

Среди осужденных - Алексей Строганов, известный в соответствующих кругах как Флинт. Также срок наказания получил бывший военнослужащий одной из воинских частей Южного военного округа прапорщик запаса Ворошилов И. Н.

Как установлено судом, осужденные создали сайт и продавали через него так называемые дампы - сведения, подлежащие записи на магнитные полосы платежных карт. Во время проверочной закупки оперативников ФСБ они сбыли информацию о реквизитах платежных карт, а также коды CVV и CVC, которых было достаточно для денежных переводов и оплаты товаров и услуг в интернет-магазинах.

В 2006 году Люблинский суд Москвы приговорил Строганова к шести годам лишения свободы за участие в группировке кардеров под руководством гражданина Украины Артура Ляшенко. По данным следствия, ее участники изготовили 5 тыс. поддельных карт Visa, Mastercard и American Express. Затем карты были проданы в России, Белоруссии, на Украине, в Польше, Чехии, Франции, Германии и США.

✋ @Russian_OSINT

Читать полностью…

🥷❗️Госдеп США объявил о награде в размере $10 000 000 за помощь в поимке хакеров, совершивших взлом 📬Gmail-аккаунта главы ФБР Кэша Пателя.

🇺🇸 ФБР подтвердили факт взлома, но заявляют, что похищенная информация не является актуальной и не содержит каких-либо важных государственных сведений.

✋ @Russian_OSINT

Читать полностью…

✋ На официальной странице Zero Day Initiative (ZDI) появилась заметка про 0-day (ZDI-CAN-30207) — 👀 критическую уязвимость в Telegram с оценкой CVSS 9.8

Исследователь Майкл ДеПланте (Michael DePlante) из проекта TrendAI Zero Day Initiative обнаружил уязвимость нулевого дня (0-day) в мессенджере Telegram, которая получила идентификатор ZDI-CAN-30207. Уязвимость нулевого дня представляет собой серьезную угрозу для безопасности пользователей — ↔️9,8 балла из 10 по CVSS. Зарепортили уязвимость вчера (2026-03-26).

Как правило, такие высокие оценки присваиваются уязвимостям, которые позволяют злоумышленникам удаленно выполнить произвольный код, перехватить контроль над устройством или получить доступ к конфиденциальным данным без какого-либо активного взаимодействия со стороны самой жертвы.

На данный момент технические подробности об этой уязвимости строго засекречены в рамках политики ответственного раскрытия информации. Команде разработчиков Telegram предоставлено время до 24 июля 2026 года для того, чтобы устранить брешь и выпустить соответствующее обновление безопасности.

👆До выхода патча пользователям мессенджера остается лишь молиться ждать и быть готовыми установить официальное обновление приложения сразу же, как только оно станет доступно на устройствах.

✋ @Russian_OSINT

Читать полностью…

🈁 Anthropic тестирует новую ИИ-модель Mythos

В результате технической ошибки в открытый доступ попали внутренние документы компании Anthropic с информацией о тестировании новой мощной ИИ-модели под названием Claude Mythos, которая представляет собой новый уровень моделей под названием Capybara.

Capybara — новое имя для нового уровня моделей: более крупных и интеллектуальных, чем Opus. Таким образом, это категория в каталоге, которая обозначает «самый мощный и дорогой сегмент.

Mythos — имя конкретной модели, которая относится к новому семейству ИИ-моделей. LLM Mythos является первой и пока единственным представителем Capybara.

Mythos обладает серьёзным потенциалом в программировании и логике, однако ее исключительная способность находить и эксплуатировать🤖 уязвимости в программном коде представляет собой серьезную опастность с точки зрения кибербезопасности, так как ей могут воспользоваться злоумышленники в злонамеренных целях. Новая модель показывает значительно лучшие результаты, чем Claude Opus 4.6

По этой причине разработчики планируют крайне осторожное внедрение продукта, предоставляя ранний доступ в первую очередь ИБ-специалистам.

✋ @Russian_OSINT

Читать полностью…

Опубликованный документ администрации президента Дональда Трампа под названием 📄«President Trump’s Cyber Strategy for America» регламентирует переход от пассивной обороны к превентивному технологическому доминированию с акцентом на наступательный потенциал.

По замыслу стратегов Белого дома обновленная архитектура безопасности базируется на 6 фундаментальных принципах для тотальной защиты как государственных систем, так и частного бизнеса, КИИ и граждан от посягательств авторитарных режимов.

1️⃣ Воздействие на поведение противника. Новая киберстратегия США направлена на активное и упреждающее противодействие киберпреступникам и враждебным государствам за счет объединения правительственных, частных и международных ресурсов. Главная задача союзников состоит в том, чтобы выявлять и уничтожать инфраструктуру противника еще до совершения атак, обеспечивая неотвратимость жесткого ответа для любого агрессора.

2️⃣ Продвижение разумного регулирования. Кибербезопасность не должна сводиться к дорогостоящему выполнению списка формальных требований, который замедляет процесс подготовки, принятия мер и реагирования. Планируется оптимизация нормативно-правовой базы в сфере кибербезопасности, чтобы снизить нагрузку по соблюдению нормативных требований, урегулировать вопросы ответственности и улучшить координацию между регулирующими органами и представителями отрасли на мировом уровне.

3️⃣ Модернизация и обеспечение безопасности сетей федерального правительства. США планируют масштабную модернизацию и защиту правительственных сетей за счет внедрения передовых решений, включая искусственный интеллект, облачные технологии и архитектуру «нулевого доверия». Для этого будут реформированы процессы госзакупок, что позволит ведомствам оперативно приобретать лучшие инструменты для непрерывного выявления и нейтрализации киберугроз.

4️⃣ Обеспечение безопасности КИИ. США намерены всесторонне защитить свою критическую инфраструктуру и цепочки поставок, отказавшись от оборудования из стран-противников в пользу собственных технологий.

5️⃣ Сохранение превосходства в критически важных и новейших технологиях. США планируют защитить свое технологическое лидерство за счет внедрения передовых разработок, включая блокчейн, квантовые вычисления и надежные цепочки поставок. Особый упор делается на безопасное развитие и применение искусственного интеллекта для киберобороны, а также на жесткое противодействие иностранным ИИ-платформам, используемым для цензуры и слежки.

6️⃣ Формирование и развитие кадрового потенциала. Президент Трамп назвал кадровый потенциал Америки в сфере кибербезопасности стратегическим активом, заслуживающим масштабных инвестиций ради защиты страны и обеспечения ее экономического процветания. Планируется объединение усилий со стороны образовательных учреждений, государства и частного бизнеса для создания непрерывной системы подготовки кадров.

В заключении подчеркивается, что любые атаки на американские интересы в киберпространстве обернутся для противника серьезными последствиями.

✋ @Russian_OSINT

Читать полностью…

🥷 TeamPCP организовали «кошмарную» атаку с использованием ИИ-модели от 🈁 Anthropic

Как пишет Forbes, хакеры из группировки TeamPCP рассказали журналистам о том, что ИИ помог им осуществить серию разрушительных атак, но они бы не добились успеха, если бы изначально безопасность разработчиков не была такой слабой.

Forbes удостоверился, что общается с представителем группировки, после того как тот отправил личное сообщение с аккаунта TeamPCP в социальной сети X. Хакеры опубликовали в своем блоге в даркнете пост с уникальной строкой символов, чтобы журналисты смогли убедиться в том.

Представитель под псевдонимом T00001B заявил, что группировка представляет собой неформальное объединение подростков и молодых людей, которые не смогли найти оплачиваемую работу и поэтому занялись киберпреступностью. Чтобы заработать, они продают доступ к сетям своих жертв. Покупатели затем могут либо инициировать атаки с использованием программ-вымогателей (ransomware), либо похитить информацию для ее последующей монетизации. Периодически TeamPCP также берет процент от выкупа или напрямую вымогает деньги у компаний.

T00001B отказался назвать инструмент, который группировка использовала для выявления уязвимости в Trivy. Однако они подтвердили, что применяли ИИ Claude от Anthropic для создания некоторых компонентов, способствовавших распространению вредоносного ПО по зараженным системам. По словам T00001B, многие разработчики ИИ, по всей видимости, скачивали инструменты вроде LiteLLM вслепую, полагаясь на то, что сообщество открытого исходного кода обеспечит их безопасность по дефолту.

👆Руководство LiteLLM сейчас работает в режиме ликвидации последствий и привлекло подразделение Mandiant компании Google для расследования инцидента.

✋ @Russian_OSINT

Читать полностью…

💚 Coruna: фреймворк из 🎩«Операции Триангуляция»

Интересный разбор от Бориса Ларина появился на сайте Securelist:

4 марта 2026 года компании Google и iVerify опубликовали отчеты о технически сложном наборе эксплойтов для компрометации устройств Apple iPhone. По данным Google, этот инструментарий впервые был замечен в целевых атаках, организованных клиентом неназванного поставщика шпионского ПО. Позднее набор использовался другими злоумышленниками в атаках типа watering hole в Украине, а также в финансово мотивированных кампаниях в Китае. Кроме того, исследователи обнаружили отладочную версию набора, анализ которой выявил внутренние имена эксплойтов и авторское название фреймворка — Coruna. В результате исследования выяснилось, что фреймворк эксплуатирует ряд ранее исправленных уязвимостей, в том числе CVE-2023-32434 и CVE-2023-38606. Эти две уязвимости заслуживают особого внимания, так как изначально они использовались в качестве уязвимостей нулевого дня в «Операции Триангуляция».

«Операция Триангуляция» — это сложная APT-кампания, направленная на мобильные устройства на базе iOS. Мы обнаружили ее в ходе мониторинга сетевого трафика в нашей собственной корпоративной сети Wi-Fi, когда заметили подозрительную активность, исходящую от iOS-смартфонов. В процессе расследования выяснилось, что в этой кампании был задействован сложный шпионский имплант и множество эксплойтов нулевого дня.

В ходе анализа обнаружено, что эксплойт для уязвимостей ядра CVE-2023-32434 и CVE-2023-38606, входящий в состав Coruna, фактически является обновленной версией того же самого эксплойта, который применялся в «Операции Триангуляция».

В составе Coruna нашлось четыре дополнительных эксплойта уровня ядра, отсутствовавшие в «Операции Триангуляция» — причем два из них были разработаны уже после обнаружения этой кампании. Все упомянутые эксплойты построены на базе единого фреймворка и содержат общий код. Сходства в коде эксплойтов уровня ядра также прослеживаются и в других компонентах Coruna. Такие находки позволяют заключить, что этот набор эксплойтов был не составлен из разрозненных частей, а спроектирован единым образом. Мы предполагаем, что перед нами обновленная версия того же фреймворка, который — как минимум частично — применялся в «Операции Триангуляция».

Эксплойты уровня ядра:
Мы проанализировали все пять эксплойтов уровня ядра из этого набора и установили, что один из них является обновленной версией эксплойта, обнаруженного в «Операции Триангуляция».

Выводы: Описанный случай в очередной раз наглядно продемонстрировал риски, сопряженные с массовым применением подобных вредоносных инструментов. Изначально этот инструментарий разрабатывался в целях кибершпионажа, однако теперь фреймворк оказался в распоряжении других киберпреступников, что ставит под угрозу миллионы пользователей, чьи устройства не имеют актуальных исправлений. Учитывая особенности модульной архитектуры и простоту повторного использования компонентов, мы ожидаем, что и другие злоумышленники начнут применять этот фреймворк в своих атаках. Мы настоятельно рекомендуем пользователям установить все доступные обновления безопасности при первой же возможности, если это еще не было сделано.

✋ @Russian_OSINT

Читать полностью…

🇷🇺 МВД предложило сделать платным для банков доступ к данным граждан из баз полиции

Как сообщает ТАСС, МВД России предложило ввести плату за предоставление коммерческим организациям информации о гражданах из полицейских баз данных, что позволит пополнить бюджет почти на 120 млрд рублей.

"Утвердить прилагаемые правила предоставления организациям, включая банки и иные кредитные организации, информации, содержащейся в банках данных о гражданах, формирование и ведение которых осуществляется полицией, за плату"

— говорится в документе.

Платно предлагается предоставлять в том числе сведения о действительности паспорта и регистрации по месту жительства и пребывания. Стоимость предоставления одной единицы тарификации планируется установить на уровне 💸50 рублей. Под единицей тарификации подразумевается каждый завершенный сеанс обмена информацией.

Планируется, что постановление вступит в силу с 1 сентября 2026 года и будет действовать шесть лет со дня его вступления в силу.

✋ @Russian_OSINT

Читать полностью…

🇬🇧Запрет социальных сетей и цифровой комендантский час протестируют на британских подростках

В Великобритании протестируют запрет на использование социальных сетей, цифровой комендантский час и ограничения по времени работы приложений в семьях сотен британских подростков.

В рамках эксперимента, проводимого правительством Великобритании, у 300 участвующих в нем подростков приложения социальных сетей будут полностью отключены, заблокированы на ночь или ограничены одним часом использования.

Участники со всей Великобритании будут разделены на четыре группы, три из которых на себе испытают различные виды ограничений, а четвертая станет контрольной.

Группа, в которой самые популярные приложения станут полностью недоступными, призвана сымитировать эффект от полного запрета на использование социальных сетей.

Две другие группы должны дать представление о том, как будут работать более мягкие ограничения: будь то лимит на использование приложений до 60 минут в день или блокировка доступа к ним с 21:00 до 07:00.

Участников опросят о том, как ограничение доступа к социальным сетям повлияло на их семейную жизнь, сон и учебу в школе.

Профессор Орбен отмечает, что данное исследование призвано восполнить текущий недостаток качественных данных как о том, какое влияние социальные сети реально оказывают на детей сегодня, так и о том, к каким результатам может привести их ограничение.

✋ @Russian_OSINT

Читать полностью…

🇮🇷Проиранские хактивисты Handala угрожают расправиться с 🇺🇸Дональдом Трампом и 🇮🇱Биньямином Нетаньяху

Противостояние между американскими властями и хакерской группировкой Handala Hack вышло на новой уровень.

Началось все с того, что Министерство юстиции США (DOJ) решило перейти к решительным действиям в отношении хактивистов. Ведомство назначило награду в $10 миллионов за информацию, которая приведет к поимке членов Handala Hack. По заявлению самих хакеров, власти США пригрозили им массированными силовыми (в том числе воздушными) ударами, чтобы навсегда пресечь их деятельность.

Как сообщалось ранее в СМИ, проиранские хакеры Handala парализовали работу медицинского гиганта Stryker.

Вместо того чтобы залечь на дно, группировка выпустила новый дерзкий манифест, в котором не только высмеяла действия американского Минюста, назвав их «признаком слабости и отчаяния», но и подняла ставки ровно в пять раз.

Хакеры объявили собственную награду в размере $50 миллионов. Эти деньги они обещают выплатить тем, кто устранит тех, кого они называют «главными архитекторами угнетения и коррупции». На ИИ-изображений в манифесте сгенерированы лица Дональда Трампа и Биньямина Нетаньяху.

👆В киберпространстве эскалация продолжает набирать обороты. Если раньше хактивисты ограничивались DDOS-атаками, проникновением в сети, сливами баз данных и дефейсом сайтов, то теперь обсуждается физическое насилие в отношении высшего военно-политического руководства Израиля и США.

По данным OSINT-исследователей, таких как Cyberknow, поддерживающих Иран хакеров и хактивистких групп может быть свыше 72.

Отдельно стоит отметить и другую новость: Cybersecurity Dive пишут, что компания Lockheed Martin стала объектом атаки проиранской APT Iran и те якобы завладели большим массивом данных, угрожая продать их в даркнете. По информации исследователей в области кибербезопасности, включая компании Flashpoint и Check Point Software, хакеры могли украсть 375 терабайт данных у компании. По неподтвержденным данным, в распоряжении хакеров могут находиться копии чертежей самолета ✈️F-35 — современного американского истребителя, а также другая корпоративная информация.

👆По информации Halcyon, группировка выдвинула требования: выкуп в размере 400 миллионов долларов, иначе информацию продадут «противникам США» на даркнете. Якобы даже есть POC.

«Мы осведомлены о появившихся сообщениях. В нашей компании действуют соответствующие правила и процедуры по снижению рисков киберугроз для нашего бизнеса. Мы по-прежнему уверены в надежности и целостности наших многоуровневых информационных систем, а также безопасности данных»

— спокойно комментирует новость представитель Lockheed Martin.

✋ @Russian_OSINT

Читать полностью…

❗️🥷Новая атака на цепочку поставок затронула библиотеку LiteLLM с 95 млн загрузок в месяц

В результате новой атаки на цепочку поставок (supply chain attack) была скомпрометирована широко используемая Python-библиотека LiteLLM в репозитории PyPI. Злоумышленники внедрили вредоносное ПО для кражи учетных данных в пакеты, которые скачивают более 95 миллионов раз в месяц.

LiteLLM — это библиотека с открытым исходным кодом, предназначенная для унификации доступа к нескольким провайдерам больших языковых моделей (LLM) через единый API. Интеграция в рабочие процессы делает LiteLLM крайне привлекательной мишенью для злоумышленников, так как библиотека функционирует в средах, содержащих ценные учетные данные, API-ключи облачных сервисов и другие конфиденциальные секреты конфигурации.

Данная активность приписывается актору TeamPCP, который также стоит за недавними компрометациями сканера Trivy. По сообщениям компании Endor Labs, два релиза LiteLLM — версии 1.82.7 и 1.82.8 — были опубликованы в PyPI с вредоносным кодом, который отсутствовал в официальном GitHub-репозитории проекта. Скомпрометированные пакеты были доступны в течение короткого времени до их удаления, при этом подтверждено, что версия 1.82.6 является последним «чистым» релизом.

Атака заключалась во внедрении кода (инъекции) в один единственный файл litellm/proxy/proxy_server.py, куда в процессе сборки wheel-пакета или после нее было добавлено всего 12 строк обфусцированного кода.

Организациям настоятельно рекомендуется немедленно проверить, были ли установлены версии LiteLLM 1.82.7 или 1.82.8, и при наличии — удалить их. Системы следует проверить на наличие индикаторов компрометации (IoC), включая присутствие файла litellm_init.pth, файлов закрепления sysmon или подозрительных подов Kubernetes с именами формата node-setup-*. Любую затронутую среду следует рассматривать как полностью скомпрометированную, с обязательной ротацией всех учетных данных.

✋ @Russian_OSINT

Читать полностью…

🔤🔤🔤🔤🔤🔤

🔈 Мои коллеги задержали администратора одной из крупнейших международных хакерских площадок, через которую в течение четырех лет осуществлялась торговля похищенными базами персональных данных.

По имеющейся информации, на платформе размещались сотни миллионов учетных записей пользователей, банковские реквизиты, логины и пароли, а также корпоративные документы, полученные в результате взломов. Свыше 147 тысяч пользователей, зарегистрированных на форуме, могли покупать и продавать эти данные, а также использовать их для совершения мошеннических действий в отношении граждан.

В ходе обыска по адресу проживания задержанного изъяты технические средства и другие предметы, имеющие доказательственное значение.

Следователем ГСУ ГУ МВД России по г. Москве возбуждено уголовное дело по признакам преступлений, предусмотренных частями третьей и шестой статьи 272.1 УК РФ. В отношении фигуранта избрана мера пресечения в виде заключения под стражу.

#РаботаетПолиция #Киберпреступность
Подписаться 💙 ВКонтакте
Поддержать 💬 ТГ-канал
Подписаться 📲 @ivolk в MAX

Читать полностью…

Белый дом опубликовал новый документ A National Policy Framework for Artificial Intelligence (2026), который задает вектор развития американской технологической отрасли, включая ИИ, с акцентом на глобальное доминирование. Согласно законодательным рекомендациям, фундаментом для экономического роста и энергетического превосходства становится оперативное наращивание вычислительной инфраструктуры посредством оптимизации федерального лицензирования.

Особое внимание документ уделяет защите детей в цифровой среде, противодействию мошенничеству и безоговорочной защите свободы слова граждан при взаимодействии с ИИ-системами. Согласно рекомендациям, правоохранительные органы должны усилить борьбу с мошенничеством на базе ИИ, тогда как правительству США будет строго запрещено принуждать технологические компании и поставщиков ИИ-сервисов к модерации контента в угоду идеологическим повесткам. Одновременно Конгрессу рекомендуется обеспечить профильным агентствам национальной безопасности достаточный технический потенциал для глубокого анализа возможностей передовых ИИ-моделей и сопутствующих угроз.

✋ @Russian_OSINT

Читать полностью…

🥷 Автономные ИИ-агенты пугают бизнес риском масштабных кибератак

Как пишет Axios, представители сферы ИИ и правительственные чиновники сообщили генеральному директору Axios Джиму ВандеХею о том, что 🈁 Anthropic, ⭕️ OpenAI и другие ❗️технологические гиганты вскоре выпустят новые ИИ-модели, которые пугающе хорошо справляются со 👺взломом сложных систем в больших масштабах.

Компания Anthropic в частном порядке предупреждает высших правительственных чиновников о том, что ее еще не выпущенная модель «Mythos» значительно повышает вероятность крупномасштабных кибератак в 2026 году.

Модель позволяет агентам действовать самостоятельно с невероятной сложностью и точностью для проникновения в корпоративные, правительственные и муниципальные системы. Новые LLM расширяют возможности агентов, позволяя им самостоятельно мыслить, действовать, рассуждать и импровизировать без отдыха, пауз или ограничений. Это оружие мечты хакера.

Угроза больше не является теоретической, и она будет усугубляться тем, что сотрудники тестируют агентов, не осознавая, что тем самым облегчают киберпреступникам взлом своей компании.

Опрос Dark Reading показал, что 48% специалистов по кибербезопасности сейчас ставят агентный ИИ на первое место среди векторов атак на 2026 год (выше, чем дипфейки и всё остальное).

✋ @Russian_OSINT

Читать полностью…

🇷🇺 БСТМ МВД России провели успешную спецоперацию по закрытию 🥷теневого форума LeakBase.

✋ @Russian_OSINT

Читать полностью…

🇮🇹Национальное агентство по кибербезопасности (Италия) рекомендует удалить Telegram до выхода патча, исправляющего RCE уязвимость ZDI-CAN-30207

Ранее:

✋ На официальной странице Zero Day Initiative (ZDI) появилась заметка про 0-day (ZDI-CAN-30207) — 👀 критическую уязвимость в Telegram с CVSS 9.8 — /channel/Russian_OSINT/6926

✋ Cразу после появления новости в СМИ Telegram опроверг уязвимость — /channel/Russian_OSINT/6927

👮Agenzia per la cybersicurezza nazionale cо ссылкой на ZDI пишет, что в популярном мессенджере Telegram обнаружена уязвимость типа «0-click» (не требующая взаимодействия с пользователем). Данная уязвимость может позволить злоумышленнику выполнить произвольный код в приложениях для Android и Linux путем отправки специально подготовленных мультимедийных файлов.

Тип уязвимости: Удаленное выполнение кода (Remote Code Execution) — 9.8 по шкале CVSS
Затронутые версии: ↘️ Telegram для 📱 Android и ↘️ Telegram для 😁Linux

Агентство утверждает, что, в частности, уязвимость может позволить удаленно выполнить произвольный код посредством отправки специально созданных мультимедийных файлов — анимированных стикеров. Поскольку это 0-click, выполнение вредоносного кода происходит автоматически при получении файла, без необходимости какого-либо взаимодействия или подтверждения со стороны получателя.

✋ Эксплуатация этой уязвимости может предоставить злоумышленнику контроль над устройством и доступ к конфиденциальным данным, включая сообщения, контакты и активные сессии, связанные с учетной записью Telegram.

Для бизнес-аккаунтов Telegram и организаций, использующих платформу для рабочих коммуникаций, рекомендуется ограничить получение сообщений от новых собеседников. Разрешить сообщения только от Контактов или Premium-пользователей.

Из радикальных мер предлагается до выхода патча помолиться рассмотреть возможность временного удаления официального приложения из Android, чтобы исключить потенциальный риск компрометации. Делать, конечно же, этого никто не будет!

Агентство в крайнем случае рекомендует использовать веб-версию Telegram Web через популярные браузеры (Chrome, Firefox, Safari) и следить за актуальностью их обновлений.

✋ @Russian_OSINT

Читать полностью…

💻Команда Telegram отреагировала на появление новости об уязвимости ZDI-CAN-30207:

Данной уязвимости не существует. Исследователь ложно утверждает, что поврежденный стикер Telegram может быть использован в качестве вектора атаки — это совершенно не учитывает тот факт, что все стикеры, загружаемые в Telegram, проходят проверку на серверах, прежде чем приложения Telegram смогут их воспроизвести.

— 🤔пишет официальный аккаунт Telegram в X.

✋ @Russian_OSINT

Читать полностью…

🎖🇺🇸Anthropic «нагибают» Пентагон в суде

Отдельно стоит обратить внимание на свежую статью FT, которая по горячим следам пишет, что Федеральный судья США запретил администрации Трампа применять штрафные санкции в отношении Anthropic за отказ компании предоставить неограниченный доступ к своим технологиям для ведения боевых действий.

Судья Северного округа Калифорнии Рита Лин заявила, что «финансовый и репутационный ущерб» для Anthropic в результате признания ее правительством США угрозой для цепочки поставок (мера национальной безопасности, обычно применяемая к компаниям, связанным с иностранными противниками) может «нанести непоправимый урон» компании.

Администрация Трампа в лице Пита Хегсета назвала Anthropic угрозой для цепочки поставок — мера, которая ранее никогда не применялась к американскому бизнесу. Судья Лин отметила, что попытка признать Anthropic угрозой для цепочки поставок «вероятно, противоречит закону, а также является произвольной и необоснованной».

«Ничто в действующем законодательстве не поддерживает оруэлловскую идею о том, что американская компания может быть названа потенциальным противником и саботажником США за выражение несогласия с правительством»

— добавила она.

Судья вынесла временный судебный запрет, заблокировав попытку администрации Трампа реализовать решение о признании компании «угрозой для цепочки поставок».

Заместитель министра обороны по исследованиям и разработкам Эмиль Майкл назвал это решение «позором».

Представители компании Anthropic поблагодарили калифорнийский суд «за оперативность».

Судебный запрет означает, что правительству не нужно немедленно прекращать коммерческое партнерство с Anthropic. На слушаниях во вторник адвокат Пентагона заявил, что военные подрядчики по-прежнему могут использовать услуги компании для работы, не связанной с Министерством обороны. Военные смогут и дальше использовать Claude для поддержки своих операций в Иране, но только в сценариях, которые компания считает приемлемыми.

Некоторые блогеры и медиа уже задаются вопросом: будет ли Пентагон тестировать новое поколение ИИ-моделей семейства Capybara в секретных средах?

✋ @Russian_OSINT

Читать полностью…

🇮🇷Проиранские хакеры Handala утверждают, что смогли взломать директора 🇺🇸 ФБР

В блоге проиранских хактивистов появилась заметка о том, что им якобы удалось 👺похекать действующего главу ФБР Кэша Пателя.

Так называемые «неуязвимые» системы ФБР были поставлены на колени нашей командой за считанные часы. Вся личная и конфиденциальная информация Кэша Пателя, включая электронные письма, переписки, документы и даже секретные файлы, теперь доступна для публичного скачивания.

— утверждают хакеры.

В качестве пруфов выложен некий POC и фотографии, возможно, из личного архива.

🚬♋️Курение вредит вашему здоровью.

--------------------------

СNN пишут со ссылкой на свой источник, что главу ФБР действительно взломали. Хакеры получили доступ к личной электронной почте директора, где были его личные фотографии и документы. Украденные электронные письма, судя по всему, датируются периодом примерно с 2011 по 2022 год.

✋ @Russian_OSINT

Читать полностью…

🐍 Популярный пакет telnyx в репозитории PyPI был скомпрометирован ❗️TeamPCP в результате очередной атаки на цепочку поставок

Как пишут специалисты Aikido, утренняя компрометация telnyx — очередной шаг в продолжающейся уже несколько недель кампании TeamPCP по атаке на цепочки поставок (supply chain attack). Trivy. Checkmarx. LiteLLM.

27 марта (сегодня): Telnyx. Сегодня утром в PyPI появились две вредоносные версии официального Python SDK Telnyx. За последний месяц пакет Telnyx был скачан 742 тысячи раз.

Внедрение кода (injection) находится в файле telnyx/_client.py, который выполняется во время импорта. Нет ни хуков установки, которые можно было бы отключить, ни postinstall-скриптов, которые можно было бы заблокировать. Достаточно выполнить импорт telnyx, и вредоносное ПО запустится.

Два пути выполнения в зависимости от ОС:

❗️ Windows: Вредоносный скрипт скачивает hangup.wav с адреса 83[.]142[.]209[.]203:8080, декодирует обфусцированный с помощью XOR исполняемый файл из аудиофреймов и сохраняет (дропает) его как msbuild.exe в папке автозагрузки Windows. Незаметно запускается при каждом входе в систему с 12-часовым тайм-аутом на повторное сохранение, который контролируется скрытым файлом .lock.

😁 Linux/Mac: Полноценный Python-скрипт второй стадии жёстко закодирован в виде base64-блоба в файле _client.py на строке 459. Он скачивает ringtone.wav с того же C2, декодирует скрипт-сборщик третьей стадии из аудиофреймов WAV с использованием той же техники XOR, запускает его через команду sys.executable '-', передавая в стандартный ввод (stdin), затем шифрует вывод с помощью AES-256-CBC и эксфильтрует его. Сеансовый ключ зашифрован открытым ключом злоумышленника RSA-4096 (OAEP), поэтому расшифровать украденные данные может только сам злоумышленник.

Архив с эксфильтрованными данными называется tpcp.tar.gz и отправляется с заголовком X-Filename: tpcp.tar.gz.

↔️Специалисты рекомендуют немедленно удалить telnyx>=4.87.1 и жестко зафиксировать версию telnyx==4.87.0.

Если вы установили любую из вредоносных версий, считайте свою среду скомпрометированной: проведите ротацию API-ключей, учетных данных баз данных, SSH-ключей и любых секретов, доступных с этой машины. В Windows проверьте наличие msbuild.exe по пути %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\ и удалите его. Отслеживайте исходящий HTTP-трафик на адрес 83[.]142[.]209[.]203:8080.

— пишут специалисты.

Еще можно почитать тут.

В версиях 4.87.1 и 4.87.2 пакета telnyx на PyPI содержится ⚠️вредоносный код, внедренный в файл telnyx/_client.py. Эти версии были опубликованы на PyPI 27 марта 2026 года без соответствующих релизов или тегов на GitHub, что свидетельствует о компрометации учетных данных для публикации в PyPI. В настоящее время обе версии доступны на PyPI в качестве последних релизов.

И тут.

✋ @Russian_OSINT

Читать полностью…

🇺🇸Stryker заявляет, что потихоньку восстанавливается после кибератаки

Производитель медицинского оборудования Stryker заявил, что его операционная деятельность восстанавливается после того, как кибератака привела к масштабным сбоям в работе бизнеса.

Связанная с Ираном хакерская группа под названием 🇮🇷Handala взяла на себя ответственность за ✈️ атаку, заявив, что это была месть за удар по школе для девочек в Минабе на юге Ирана.

✋ @Russian_OSINT

Читать полностью…

🈁 Сделка Anthropic с Пентагоном может быть возобновлена

Как пишет Axios, ИИ от Anthropic гораздо лучше подходит для военных целей, чем любой другой ИИ на рынке. По словам инсайдеров, ChatGPT, Gemini или Grok потребуются месяцы, чтобы хотя бы приблизиться к таким показателям. Anthropic понесет колоссальные долгосрочные финансовые потери, если останется в правительственном черном списке как «угроза национальной безопасности в цепочке поставок».

В частных беседах некоторые руководители в федеральном правительстве выражают желание использовать ИИ от Anthropic как для ведения боевых действий, так и для киберзащиты. Чиновники считают, что именно благодаря Anthropic США опережают Китай на 6–12 месяцев в ИИ-технологиях, которые используются в интересах национальной обороны. Модель Claude активно используется в ходе войны с Ираном.

Кроме того, в частном порядке многие сотрудники Anthropic или консультанты генерального директора Дарио Амодеи считают, что они были в шаге от сделки, которая могла и должна была удовлетворить обе стороны. Они подталкивают Амодеи и Пентагон к негласному возобновлению переговоров.

Так или иначе, готовящиеся к выпуску новые модели, вероятно, заставят правительство действовать более оперативно в вопросе заключения хоть какой-то сделки. В частных беседах с представителями власти Anthropic предупреждает, что следующий крупный прорыв многократно усилит наступательные и оборонительные кибервозможности.

Если Anthropic продолжит превосходить другие модели, то правительственные 🎩кибервойска будут настаивать на сохранении доступа к Claude.

✋ @Russian_OSINT

Читать полностью…

🦠Реагирование и стратегии защиты от CVE-2026-33634

Как сообщают специалисты 💚 «ЛК», существующие сигнатурные проверки и сканирование зависимостей в публичных реестрах больше не являются достаточными, так как вредоносный код был внедрен напрямую в доверенные подписанные действия и ускользнул от обнаружения, пока не был применен поведенческий мониторинг. CI/CD-конвейеры стали «новым периметром» безопасности.

Немедленные действия. Убедитесь, что все рабочие процессы используют безопасные версии (Trivy binary 0.69.3, trivy-action 0.35.0, setup-trivy 0.2.6).

Администраторы конвейеров CI/CD и команды ИБ должны немедленно проверить свои ссылки на решения Checkmarx (kics-github-action, ast-github-action) и Trivy (setup-trivy и trivy-action). Если ваши рабочие процессы ссылались на тег версии, а не на конкретный SHA-хеш, тщательно проверьте ваши журналы исполнения рабочих процессов в период уязвимости.

Также необходимо проверить сетевые журналы на наличие трафика к доменам scan.aquasecurtiy[.]org, checkmarx[.]zone и models.litellm[.]cloud. Его наличие свидетельствует об успешной эксфильтрации конфиденциальных данных.

Если в вашей организации на GitHub появился репозиторий с именем docs-tpcp, это также может указывать на успешную кражу данных.

В любом случае необходимо провести проактивный поиск угроз (threat hunting), предполагая успешную компрометацию и быстрое продвижение злоумышленников в затронутых системах.

Рекомендовано восстановить затронутые окружения из проверенных архивов.

Фиксация зависимостей и управление секретами. Убедитесь, что точные версии зависимостей закреплены с помощью криптографических хешей во всех конвейерах и Dockerfile. Переходите от долгоживущих токенов к краткосрочным учетным данным, используя для этого менеджер секретов, а также применяя интеграции OIDC там, где это поддерживается. Минимизируйте инъектирование секретов в окружение запущенных процессов — делайте это только с необходимыми секретами. Убедитесь, что секреты не сохраняются на диск и во временные файлы, а также не используются повторно в различных процессах.

Другие меры защиты. Разрешайте запуск GitHub Actions только из закрытого списка, одобренного в организации, блокируйте новые и непроверенные процессы. Настройте GITHUB_TOKEN и другие ключи доступа с соблюдением принципа наименьших привилегий. Не давайте разрешений на запись, если в этом нет прямой необходимости.

Для повышения безопасности GitHub Actions существует несколько инструментов с открытым исходным кодом:

▪️zizmor — инструмент статического анализа и поиска ошибок конфигурации в GitHub Actions;
▪️gato и Gato-X — две версии инструмента, помогающего выявлять структурно уязвимые конвейеры;
▪️allstar — приложение GitHub, разработанное OpenSSF для настройки и внедрения политик безопасности в организациях и репозиториях GitHub.

⬇️ Подробный разбор атаки через цепочку поставок Trivy и LiteLLM в блоге ЛК.

✋ @Russian_OSINT

Читать полностью…

🇷🇺Эксперты Лаборатории цифровой криминалистики F6 проанализировали активность 🥷проукраинской группы

Компания F6 проанализировала атаки проукраинской группы 🇺🇦Bearlyfy, которая провела более 70 атак на 🇷🇺российские компании с момента своего появления в январе 2025 года. Первоначальные суммы запрашиваемого группой выкупа достигают сотен тысяч долларов. С марта 2026 года Bearlyfy стали использовать 🔒программы-вымогатели собственной разработки, для Windows – шифровальщик под названием GenieLocker.

Bearlyfy (также известная как Labubu) является группой двойного назначения для нанесения максимального ущерба российскому бизнесу: целями атак является как вымогательство для получения финансовой выгоды, так и совершение диверсий.

По данным экспертов Лаборатории цифровой криминалистики F6, атаки Bearlyfy являются весьма болезненными для российских компаний, в среднем каждая пятая жертва Bearlyfy оплачивает выкуп. При этом за последний год первоначальные запрашиваемые суммы выкупа стали достигать сотен тысяч долларов.

Изначально для шифрования данных Bearlyfy использовали LockBit 3 Black и свою доработанную версию Babuk. С мая 2025 года в некоторых атаках злоумышленниками применялась незначительно модифицированная версия программы-вымогателя PolyVice известной партнерской программы (RaaS) Vice Society.

С начала марта 2026 года участники стали использовать в атаках свои самописные программы-вымогатели. Для Windows это программа-вымогатель, получившая от разработчиков название GenieLocker. Как отмечают эксперты Лаборатории цифровой криминалистики F6, используемая GenieLocker криптосхема и подходы явно позаимствованы у программ-вымогателей семейств Venus/Trinity. Эксперты F6 полагают, что авторы ВПО слишком увлеклись желанием удивить своими познаниями и наработками в криптографии и техниках антианализа, а также превзойти своей поделкой тот же LockBit 3.

«Мы наблюдаем коллаборацию Bearlyfy с другими более опытными проукраинскими группами, такими как Head Mare, но при этом она имеет свой индивидуальный почерк с самого начала своей деятельности. Если на ранних этапах участники Bearlyfy демонстрировали неумелые действия и явно экспериментировали с техниками и инструментарием, то за год эта группировка стала настоящим кошмаром для российского бизнеса, в том числе крупного. Возможно, перевооружение в виде использования программ-вымогателей собственной разработки вызвано желанием выделиться на фоне других группировок, но в любом случае Bearlyfy планируют дальше расширять свою преступную деятельность в Российской Федерации».

— комментирует Антон Величко, руководитель Лаборатории цифровой криминалистики F6.

Подробности исследования группы Bearlyfy можно узнать здесь. По ссылке — реализация декриптора на Python и примеры зашифрованных файлов.

Дополнительную информацию о семействах программ-вымогателей и группировках можно найти на гитхабе.

✋ @Russian_OSINT

Читать полностью…

⚖️Суд в Нью-Мексико обязал компанию Meta* выплатить $375 миллионов по иску об эксплуатации детей и безопасности пользователей

Суд присяжных штата Нью-Мексико признал компанию Meta Platforms виновной в нарушении закона штата по иску генерального прокурора, который обвинил компанию во введении пользователей в заблуждение относительно безопасности Facebook, Instagram и WhatsApp, а также в пособничестве сексуальной эксплуатации детей на этих платформах. Компанию обязали выплатить 375 миллионов долларов.

Стремясь любой ценой максимизировать вовлеченность пользователей и прибыль, компания создала алгоритмы, которые предоставляют озабоченным беспрепятственный доступ для общения с потенциальными детьми-жертвами. Руководство Meta достоверно знало о масштабах распространения материалов сексуального характера и торговли людьми из внутренних отчетов, но намеренно избегала внедрения базовых защитных барьеров (например, строгой проверки возраста), поскольку такие ограничения могли бы снизить общие метрики активности аудитории.

*Meta (соцсети Facebook, Instagram) запрещена в РФ как 🏴‍☠️экстремистская.

✋ @Russian_OSINT

Читать полностью…

⭕️ OpenAI отказывается от Sora

OpenAI планирует закрыть свое приложение Sora для работы с видео [1,2], которое было популярно лишь короткое время. Компания хочет сэкономить человеческие и вычислительные ресурсы. Sora дебютировала в начале 2024 года, а в сентябре 2025 года компания создала отдельное приложение, которое позволяло людям вставлять себя в короткие видеоролики.

Приложение для iOS, API и веб-версия Sora будут закрыты, хотя точные сроки еще не объявлены.

Решение по Sora означает конец громкой сделки на 1 миллиард долларов между Disney и создателем ChatGPT, о которой было объявлено чуть более трех месяцев назад. В рамках трехлетнего соглашения Disney заявляла, что инвестирует в OpenAI 1 миллиард долларов и предоставит более 200 своих культовых персонажей для использования в коротких видеороликах, сгенерированных искусственным интеллектом.

Некоторые сотрудники OpenAI из команды Sora были удивлены решением компании. Заявление было сделано всего через день после того, как OpenAI опубликовала в своем блоге пост о стандартах безопасности Sora.

Теперь руководство OpenAI сосредотачивает cвоё внимание на других областях исследований, включая робототехнику и создание общего искусственного интеллекта (AGI). Закрытие Sora происходит на фоне усиливающегося давления на OpenAI со стороны других гигантов, имеющих более интересные корпоративные продукты и инструменты для программирования (Claude).

✋ @Russian_OSINT

Читать полностью…

🇷🇺 Разъяснения ФАС России в части контроля законодательства о рекламе: ✋ Telegram и 📲 Youtube необходим переходный период до конца 2026 года

ФАС опубликовали дополнение к ранее опубликованному пресс-релизу ФАС по вопросу ответственности за размещение рекламы на интернет-ресурсах, доступ к которым ограничен в соответствии с законодательством Российской Федерации:

Согласно части 10.7 статьи 5 Федерального закона «О рекламе» не допускается распространение рекламы на информационных ресурсах, доступ к которым ограничен в соответствии с законодательством Российской Федерации. Направленная Роскомнадзором информация находится на рассмотрении в ФАС.

По фактам размещения рекламы в Telegram и Youtube ФАС анализирует содержание рекламы, дату заключения договора, дату введения ограничений на работу платформы, дату публикации рекламы, основания её размещения, в том числе договоры и платежные поручения.

Очевидно, что хозяйствующим субъектам требуется время для адаптации к новым правилам и переориентированию на другие рекламные каналы. Поэтому в отношении рекламы в Telegram и Youtube необходим переходный период до конца 2026 года, в течение которого меры ответственности за распространение рекламы на таких ресурсах применяться не будут.

При этом контроль за соблюдением законодательства о рекламе при размещении рекламы на платформах, ограничения в отношении которых были введены ранее (Instagram*, FaceBook**), а также на VPN-сервисах будет продолжен с применением соответствующих мер ответственности. Размещение рекламы на таких ресурсах не допускается.

*,** принадлежит Meta, чья деятельность признана в Российской Федерации экстремистской и запрещена на территории Российской Федерации

Выдыхаем...

✋ @Russian_OSINT

Читать полностью…

👀 В полку GEOINT-инструментов прибыло!

В Gemini AI Studio появилась фича ❗️Grounding with Google Maps, которая позволяет определить координаты локации по 🗺фотографии.

🔎Gemini анализирует автомобильные номера, вывески, здания, объекты, ракурс и многое другое.

✋ @Russian_OSINT

Читать полностью…