39807
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Злоумышленники перешли к новому варианту метода ClickFix - InstallFix, убеждая пользователей запускать вредоносные команды под предлогом установки легитимных инструментов командной строки (CLI).
Новый разновидность атаки полагается на распространенной практике среди разработчиков скачивать и запускать скрипты с помощью команд curl-to-bash из онлайн-источников, не проводя предварительного тщательного изучения исходных файлов.
Исследователи Push Security обнаружили, что злоумышленники используют новую технику InstallFix с помощью клонированных страниц популярных инструментов командной строки, которые предоставляют вредоносные команды установки.
В своем отчете Push Security обращает внимание на клонированную страницу установки Claude Code от Anthropic, которая имеет тот же дизайн, фирменную символику и боковую панель с документацией, что и легитимный источник.
Разница заключается в инструкциях по установке для macOS и Windows (PowerShell и командная строка), которые распространяют вредоносное ПО с контролируемой злоумышленником конечной точки.
Исследователи утверждают, что, за исключением инструкций по установке, все ссылки на поддельной странице ведут на легитимный сайт Anthropic. Злоумышленники продвигают такие страницы с помощью вредоносных рекламных кампаний в Google Ads.
При поисковом запросе install claude code первым результатом был URL-адрес Squarespace ( claude-code-cmd.squarespace[.]com ), указывающий на точную копию официальной документации Claude Code.
Согласно данным Push Security, в рамках кампании InstallFix распространяется Amatera Stealer - вредоносное ПО, предназначенное для кражи конфиденциальных данных (криптовалютных кошельков, учетных данных) из скомпрометированных систем.
Вредоносные команды InstallFix для macOS включают закодированные в base64 инструкции для загрузки и выполнения исполняемого файла с домена, контролируемого злоумышленником. В одном случае использовался wriconsult[.]com.
Для пользователей Windows вредоносная команда использует легитимную утилиту mshta.exe для получения вредоносного ПО и запускает дополнительные процессы, такие как conhost.exe, для поддержки выполнения конечной полезной нагрузки - стилера Amatera.
В свою очередь, Amatera - это относительно новое семейство вредоносных ПО, предположительно основанное на ACR Stealer, которое реализуется в формате MaaS. Недавно было обнаружено, что вредоносное ПО распространялось в рамках отдельных атак ClickFix.
Amatera способен красть пароли, файлы cookie и токены сеансов, хранящиеся в веб-браузерах, и собирать системную информацию, избегая обнаружения средствами безопасности.
По данным Push Security, эти атаки отличаются особой изощренностью, в том числе потому, что вредоносные сайты размещены на легитимных платформах, таких как Cloudflare Pages, Squarespace и Tencent EdgeOne.
Исследователи также выкатили видео с демонстрацией принципа работы InstallFix, от поискового запроса до копирования вредоносной команды.
На прошлой неделе в ходе кампании злоумышленники также применяли технику InstallFix с фейковыми установщиками OpenClaw, размещенными в репозиториях GitHub, продвигая их в результатах поиска Bing, оптимизированных с помощью ИИ.
Как считают исследователи, поскольку нынешняя модель безопасности сводится к принципу «доверяй домену», а все большее число «нетехнических» пользователей работают с инструментами, ранее предназначенными для разработчиков, InstallFix вскоре может стать более серьезной угрозой.
Уязвимость Rockwell Automation, позволяющая осуществлять удаленный взлом промышленных систем управления (ICS), была выявлена и устранена в 2021 году, но факт её использования в реальных условиях стал известен только сейчас.
В четверг CISA добавила CVE-2021-22681 в свой каталог известных эксплуатируемых уязвимостей (KEV).
Уязвимость в системе безопасности затрагивает Studio 5000 Logix Designer и ряд программируемых логических контроллеров (ПЛК) Logix, включая устройства CompactLogix, ControlLogix, DriveLogix, FlexLogix, GuardLogix и SoftLogix.
Впервые она была обнаружена еще в феврале 2021 года, когда поставщик объявил о мерах по её устранению и выразил благодарность южнокорейскому университету Сунчунхян, Лаборатории Касперского и Claroty за сообщение о ней.
Причем последняя сообщила о проблеме в Rockwell ещё раньше в 2019 году.
Проблема связана с недостаточно защищенным криптографическим ключом и позволяет удаленному неаутентифицированному злоумышленнику обойти проверку и подключиться к целевому контроллеру, имитируя рабочую станцию инженера.
В реальных условиях промышленного производства эта уязвимость может потенциально обеспечить удаленным злоумышленникам манипулировать логикой ПЛК и нарушать производственные процессы или даже наносить физический ущерб оборудованию.
В четверг Rockwell наряду с CISA обновила свое первоначальное предупреждение, упомянув о задействовании CVE-2021-22681 в реальных условиях, однако никакой информации об этих атаках компания не предоставила.
Телеметрия Shodan в настоящее время показывает почти 6000 устройств Rockwell, подключенных к интернету, но неясно, сколько из них могут быть затронуты CVE-2021-22681.
При этом в 2024 году Rockwell также выпускала уведомление о безопасности, настоятельно призывая клиентов убедиться, что их устройства ICS не подключены к интернету.
Одна из уязвимостей, указанных в том предупреждении, - CVE-2021-22681, что указывает на то, что производитель не исключил возможности злонамеренной эксплуатации.
К настоящему времени CVE-2021-22681 - единственная в продуктах Rockwell, включенная в каталог ключевых уязвимостей CISA. Предыдущие уже становились целями APT-атак в 2023 году, как на этот раз обстоят дела - будем посмотреть.
Google Threat Intelligence Group в своем отчете сообщает об отслеживании 90 0-day, которые активно использовались в течение 2025 года, причем почти половина из них - в корпоративном ПО и устройствах.
Причем показатель на 15% выше по сравнению с 2024 годом, когда в реальных условиях было задокументировано 78 случаев использования нулей, но ниже рекордных 100 в 2023 году.
Как отмечают в GTIG, Из 90 нулей в 2025 году - 47 были нацелены на платформы конечных пользователей, а 43 - на корпоративные продукты.
К основным типам используемых уязвимостей относятся RCE, EoP, уязвимости внедрения и десериализации, обход авторизации и ошибки повреждения памяти (использование после освобождения).
Google сообщает, что на проблемы безопасности памяти приходилось 35% всех использованных нулей в прошлом году.
Наиболее уязвимыми корпоративными системами оказались устройства безопасности, сетевая инфраструктура, VPN и платформы виртуализации, поскольку они обеспечивают привилегированный доступ к сети и часто не имеют мониторинга EDR.
По данным GTIG, в прошлом году наиболее часто используемой категорией были ошибки в ОС: в атаках задействовалось 24 нуля в настольных ОС и 15 - в мобильных платформах.
Число 0-day в браузерах, напротив, сократилось до восьми, что является резким снижением по сравнению с предыдущими годами.
Аналитики в Google предполагают, что это может быть связано с усилением мер безопасности в этой категории ПО, либо следствием использования злоумышленниками более совершенных методов обхода защиты и более эффективного сокрытия вредоносной деятельности.
Согласно телеметрии GTIG, Microsoft была лидером среди поставщиков, подвергшихся 0-day атакам (25), за ней следовали Google с 11, Apple с 8, Cisco и Fortinet с 4, а Ivanti и VMware - с 3.
Впервые с тех пор, как Google начал отслеживать 0-day, коммерческие поставщики шпионского ПО оказались крупнейшими пользователями таких незадокументированных уязвимостей, превзойдя APT, которые, возможно, также используют более эффективные методы сокрытия.
В целом, тенденция последних пяти лет не меняется: все большая доля эксплуатации 0-day осуществляется компаниями, предоставляющими услуги по разработке программного обеспечения (CSV), и/или их клиентами, что демонстрирует медленное, но верное движение в этой сфере.
Исследователи Google утверждают, что среди APT-субъектов наиболее активными остаются связанные с Китаем группировки, которые в 2025 году использовали 10 нулей.
Атаки были направлены в основном на периферийные устройства, устройства безопасности и сетевое оборудование с целью получения долговременного постоянного доступа.
Еще одна заметная тенденция, отмеченная в прошлом году, - это рост числа случаев эксплуатации 0-day со стороны лиц, движимых финансовыми мотивами (прежде всего, это банды вымогателей), на долю которых приходится девять таких уязвимостей.
GTIG считает, что использование инструментов ИИ поможет автоматизировать обнаружение уязвимостей и ускорить разработку эксплойтов, поэтому ожидается, что уровень эксплуатации уязвимостей нулевого дня в 2026 году останется высоким.
В свою очередь, в своем отчете Brickstorm также делает акцент на том, что хакеры переключают свое внимание с кражи исходного кода на обнаружение уязвимостей в будущих программных продуктах.
Для обнаружения и предотвращения эксплуатации нулей Google рекомендует уменьшать поверхность атаки и уязвимость привилегий, постоянно отслеживать системы на предмет аномального поведения, а также поддерживать процессы обновления ПО и реагирования на инциденты.
Существует пять стадий принятия (модель Кюблер-Росс), включая: отрицание, гнев, торг, депрессия и принятие.
И мы искренне надеемся, что Microsoft найдет в себе силы преодолеть их как можно быстрее.
На этой неделе специалисты компании прошли, пожалуй, самую сложную и ушли в глубокое отрицалово, начав массовый бан упоминаний слова Microslop на официальном Discord-сервере Copilot, что, наоборот, спровоцировало волну мемов на тему внедрения ИИ-контента в Windows 11.
Суть в том, что выражение Microslop объединяет название компании Microsoft и уничижительное название ИИ-контента slop, которое с английского дословно переводится как «помои».
Обычно словом «нейрослоп» в сети называют низкокачественный контент, сгенерированный с помощью ИИ. В русскоязычном сегменте также используется «нейрошлак».
После бана аудитория начала массово спамить словом Microslop, но через слегка измененные варианты. Например, Microsl0p через ноль или раскладками на других языках.
Спустя некоторое время пользовательские чаты на Discord-сервере Copilot были закрыты вовсе, так как модерация не справлялась с недовольством аудитории и большим количеством спама.
На тематических форумах, а также на reddit, появилось большое количество тем, связанных с Microslop.
Многие отметили, что Microsoft, неадекватно отреагировав блокировкой слова в пользовательском сообществе, лишь усугубила ситуацию и побудила аудиторию к более активному его муссированию, столкнувшись с «Эффектом Стрейзанд».
Позже Microsoft выдала официальный комментарий Windows Latest.
По версии компании, сервер подвергся скоординированной спам-атаке: это были полотнища нерелевантного текста, и модераторы ввели временные фильтры по отдельным словам, чтобы замедлить поток.
Блокировка Microslop и других фраз, как утверждает компания, была краткосрочной мерой. В итоге сервер временно закрыли, чтобы внедрить дополнительные механизмы защиты.
Впрочем, по части уязвимостей микромягкие справляются аналогичным образом, часто допуская более серьезные дефекты в ходе попыток закрыть изначальную проблему.
Так что пора бы им уже перескочить еще три ступени и уже принять новую парадигму своего Microslop-бизнеса.
Cisco предупреждает о начале активной волны эксплуатации двух недавно исправленных уязвимостей в Catalyst SD-WAN в реальных условиях.
25 февраля поставщик уведомил клиентов о доступности исправлений для пяти уязвимостей Catalyst SD-WAN, включая критические и серьезные проблемы, которые могут быть использованы для доступа к уязвимым системам и повышения привилегий до уровня root.
По состоянию на 5 марта Cisco обновила свое изначальное уведомление, предупредив о том, что ей стало известно об активной эксплуатации двух из пяти уязвимостей: CVE-2026-20128 и CVE-2026-20122.
Первая, CVE-2026-20128, - это уязвимость, приводящая к раскрытию информации и затрагивающая функцию агента сбора данных (DCA) в Catalyst SD-WAN Manager. Она позволяет авторизованному локальному злоумышленнику получить права пользователя DCA в целевой системе.
Другая, CVE-2026-20122, представляет собой это уязвимость, затрагивающую API Catalyst SD-WAN Manager. Она позволяет удалённому авторизованному злоумышленнику перезаписывать произвольные файлы в системе и получать повышенные привилегии.
В Cisco пока не предоставили никаких подробностей об атаках, нацеленных на эти уязвимости, но в описании указано, что они были объединены с другими ошибками.
Но стоит отметить, что обновление статуса произошло примерно через неделю после того, как Cisco предупредила клиентов об атаках с использованием критической 0-day, затрагивающей Catalyst SD-WAN.
CVE-2026-20127 может быть использована удаленно для обхода аутентификации и получения административных привилегий на уязвимом устройстве.
Тогда CISA сообщала, что уязвимость объединялась в атаках с более старой уязвимостью Catalyst, CVE-2022-20775, для обхода аутентификации, повышения привилегий и обеспечения постоянного присутствия в целевой системе.
Cisco Talos связала эти атаки с UAT-8616, продвинутым злоумышленником, действующим как минимум с 2023 года. Но неясно, были ли все эти уязвимости Catalyst SD-WAN использованы в одной или разных кампаниях.
Кроме того, Cisco также недавно детектила атаки с нулями, проводимыми китайской APT, отслеживаемой как UAT-9686. В общем, будем следить.
Cisco выпустила обновления для устранения двух уязвимостей максимальной степени серьезности в своем программном обеспечении Secure Firewall Management Center (FMC).
Secure FMC -реализует веб-интерфейс или интерфейс SSH, позволяющий администраторам управлять межсетевыми экранами Cisco и настраивать контроль приложений, предотвращение вторжений, фильтрацию URL-адресов и расширенную защиту от вредоносных ПО.
Обе уязвимости могут быть использованы удаленно неаутентифицированными злоумышленниками.
При этом уязвимость обхода аутентификации (CVE-2026-20079) позволяет злоумышленникам получить root-доступ к базовой ОС, а другая CVE-2026-20131 позволяет выполнять произвольный код Java с правами root на незащищенных устройствах.
Злоумышленник может использовать эту уязвимость, отправляя специально сформированные HTTP-запросы на уязвимое устройство.
По части CVE-2026-20079 успешная эксплуатация может позволить злоумышленнику выполнить различные скрипты и команды, обеспечивающие получение root-прав на устройстве.
Злоумышленник может реализовать ее, отправив специально созданный сериализованный Java-объект в веб-интерфейс управления уязвимого устройства. Успешная эксплуатация может позволить злоумышленнику выполнить произвольный код на устройстве и повысить привилегии до уровня root.
Обе уязвимости затрагивают Cisco Secure FMC, но CVE-2026-20131 также влияет и на Cisco Security Cloud Control (SCC) Firewall Management, облачный менеджер политик безопасности, упрощающий управление политиками на межсетевых экранах Cisco и других устройствах.
На данный момент у Cisco PSIRT нет доказательств того, что две уязвимости используются в атаках, равно как и не ясно доступен ли PoC в интернете. Но время покажет.
Помимо указанных проблем Cisco также устранила десятки других уязвимостей, в том числе 15 серьезных уязвимостей в Secure FMC, Secure Firewall Adaptive Security Appliance и Secure Firewall Threat Defense.
Подъехала актуальная аналитика по мобильной вирусологии от Лаборатории Касперского за 2025 год.
Начиная с третьего квартала 2025 года в ЛК изменили методику подсчета статпоказателей на основе телеметрии Kaspersky Security Network. Изменения коснулись всех разделов отчета, кроме статистики по установочным пакетам, на которую они не повлияли.
По данным Kaspersky Security Network, в 2025 году:
- Решения ЛК позволили отбить более 14 059 465 атак с использованием вредоносного, рекламного или нежелательного мобильного ПО.
- Самой распространенной угрозой для мобильных устройств традиционно стало рекламное ПО (AdWare) - 62% от всех обнаруженных угроз.
- Обнаружено более 815 тыс. вредоносных установочных пакетов, из которых 255 тыс. относились к мобильным банковским троянцам.
В 2025 году злоумышленники совершали в среднем около 1,17 млн. атак на мобильные устройства в месяц с использованием вредоносного, рекламного или нежелательного ПО.
В 2025 году, помимо вредоносного ПО из предыдущих отчетов, было найдено множество других знаковых троянцев.
В частности, в четвертом квартале в ЛК обнаружили предустановленный бэкдор Keenadu, попадающий в прошивки устройств еще на этапе сборки.
Вредоносный код встраивается в libandroid_runtime.so - ключевую библиотеку для работы Java-среды на Android, благодаря чему копия бэкдора попадает в адресное пространство всех запущенных приложений на устройстве.
Далее, в зависимости от приложения, зловред может, например, накручивать просмотры рекламы, показывать баннеры от имени других приложений, подменять поисковые запросы.
Функциональность Keenadu не ограничена: модули скачиваются динамически и могут обновляться.
Также исследователи обнаружили IoT-ботнет Kimwolf, нацеленный на приставки Android TV. Зараженные устройства могли проводить DDoS-атаки, а также работать в режиме обратного прокси и выполнять вредоносные действия через реверс-шелл.
Позже выяснилось, что функциональность обратного прокси Kimwolf использовалась провайдерами прокси через домашние устройства в качестве выходных точек (residential proxy).
Еще одной интересной находкой стал троянец-шпион LunaSpy, мимикрирующий под антивирусное ПО, который ворует пароли из браузеров и мессенджеров, SMS, журналы звонков. Также может записывать звук и видео. Угроза в основном была нацелена на российских пользователей.
В целом, в 2025 году продолжился тренд на снижение общего количества уникальных установочных пакетов нежелательного ПО.
При этом в ЛК отметили значительный рост в детектировании некоторых угроз относительно предыдущего года, в частности мобильных банковских троянцев и шпионов, однако большинство обнаруженных угроз по-прежнему оказалось рекламными приложениями.
Среди зафиксированных мобильных угроз мы стали чаще встречать предустановленные бэкдоры (Triada и Keenadu).
Как и в прошлом году, некоторые мобильные зловреды продолжают распространяться через официальные магазины приложений.
Исследователи также фиксируют интерес со стороны злоумышленников к использованию зараженных устройств в качестве прокси.
Как всегда, четкая инфографика и конкретные статпоказатели - в отчете.
Исследователи Google Threat Intelligence Group (GTIG) сообщили об обнаружении массовой атаки на iPhone, которая была реализована с помощью spyware правительственного уровня для взлома iOS, который просочился в арсеналы киберподполья.
Как отмечают в GTIG, набор эксплойтов, получивший название Coruna, поддерживает пять различных последовательностей атак (цепочек эксплойтов) и в общей сложности 23 эксплойта - необычайно большой и сложный комплект.
Для взлома устройства достаточно посещения жертвой сайта, куда внедряется вредоносный код. При этом заявляется, что Coruna может скрытно взломать iPhone, работающие под управлением версий iOS, выпущенных с 2019 года по декабрь 2023 года. Последняя затронутая версия - 17.2.1.
Google утверждает, что хакеры по всему миру используют Coruna в качестве «вторичного» эксплойт-комплекта. Причем многие злоумышленники уже освоили передовые методы эксплуатации, которые можно повторно использовать и модифицировать для вновь выявленных уязвимостей.
Вместе с тем, исследователи не раскрывают, каким образом киберпреступники могли получить доступ к этому мощному арсеналу, к которому прилагается обширная документация, включая docstrings и комментарии на английском языке.
В свою очередь, в iVerify указали в комментариях для The Wired, что изначально её, вероятно, разработали американские спецслужбы или по их непосредственному заказу один из поставщиков коммерческого spyware.
Свои выводы они мотивировали тем, что были обнаружены «сходства с предыдущими системами, разработанными злоумышленниками, связанными с правительством США».
В этом ключе компания проводит параллели с уязвимостью EternalBlue, разработкой АНБ США, которая в конечном итоге была украдена, слита в сеть и использована в кибератаках по всему миру, включая WannaCry и NotPetya.
Однако примечательнее всего то, что Coruna использует две уязвимости Apple, которые Лаборатория Касперского обнаружила в рамках «Операции Триангуляции» в начале 2023 года.
Однако, как отмечает Борис Ларин из ЛК, уязвимость - это не компонент. Им может быть эксплойт или имплант, а не сама уязвимость. Несмотря на заявления Google и iVerify об использовании компонентов Coruna в «Операции Триангуляция», нет никаких доказательств повторного использования кода в технических отчетах, подтверждающих это предположение.
Киберпреступники, по всей видимости, массово используют Coruna, в основном нацеливаясь на пользователей порнографических сайтов и ресурсов, посвященных криптовалютам.
Как только жертва посещает целевой сайт с вредоносным кодом, Coruna незаметно проверяет, находится ли устройство в режиме блокировки или контент загружается в приватном окне браузера - в этих случаях вредоносное ПО прекращает свою работу.
Пользователь видит только обычный ожидаемый контент. Однако код за миллисекунды определяет модель iPhone, версию iOS, подходящую цепочку эксплойтов, запускает атаку и предоставляет злоумышленнику полный контроль над iPhone.
Coruna включает несколько многократно используемых модулей для упрощения эксплуатации уязвимостей и обхода защиты устройства. Киберпреступники используют ее для распространения PlasmaLoader, программы для кражи финансовой информации.
Как отмечают исследователи, по всей видимости, хакеры использовали LLM-модули для создания некоторых обновлений вредоносного ПО. Согласно отчету, Coruna уже использовали несколько злоумышленников.
Исследователи iVerify отмечают, что в результате действий лиц, преследующих финансовые мотивы, Coruna уже затронул около 42 000 устройств.
Так что всем пользователям яблочных девайсов настоятельно рекомендуется обновиться до последних версий, которые включают исправления для задействованных в Coruna уязвимостей.
🏴☠️Казна у пиратов пустеет, милорд!
Специалисты F6 проанализировали рынок онлайн-пиратства в Рунете за 2025 год: объём рынка, динамику доходов, эффективность рекламной монетизации и влияние блокировок.
📊Ключевые факты 2025 года:
Доход пиратских сайтов — $34,4 млн
Доход по всем платформам — $42,5 млн
Заблокированныx страниц — 304 500
Доля легальной рекламы — 89%
Доля слитых премьер — 49,4%
🏴☠️У пиратов сменились якорные рекламодатели: доля показа «черной рекламы» нелегальных казино и букмекеров составила 11%, а реклама легальных брендов — 89%. Для защиты своих ресурсов от блокировок пираты активно использовали шифрование текста рекламы нелегальных фильмов, в том числе азбукой Морзе, а для обхода фильтров поисковиков — DLE-модули с интеграцией искусственного интеллекта для рерайта описаний киноновинок.
Выводы специалистов: Продолжающееся усиление борьбы правообладателей с распространителями пиратского контента сохраняет ежегодный тренд на снижение прибыли пиратов. Но спрос будет оставаться высоким за счет невозможности просмотра большого количества зарубежных фильмов и сериалов из-за отсутствия лицензий на показ у легальных онлайн-кинотеатров. Количество крупных игроков черной рекламы сокращается, разбавляя пиратские порталы рекламой легальных брендов. Брендам стоит внимательнее следить за размещением рекламы от их лица на пиратских ресурсах, так как это может нести различные риски.
✋ @Russian_OSINT
Солары поделились новой аналитикой по ландшафту вредоносных атак на инфраструктуру российских организаций, собранную с сенсоров сервиса PDNS в 4-м квартале (сравнивая с результатами третьего квартала и четвертого квартала 2024), и включая краткие итоги за 2025 год.
По мнению исследователей, отслеживание изменений в ландшафте угроз на основе данных PDNS позволяет прийти к общему пониманию того, какие угрозы представляют наибольшую опасность. Подробно обозревать не будем, отчет достаточно объемный, остановимся на главном.
Общая статистика:
- Общее число срабатываний продолжило снижаться. Если в 3-м квартале оно вернулось на уровень 4-го квартала 2024 года, то в 4-м квартале 2025-го снизилось на 44,6% год к году.
- Количество атакованных организаций также значительно снизилось.
- После снижения в 3-м квартале интенсивность атак (среднее число заражений на одну организацию) увеличилась более чем на 50%, а по сравнению с 4-м кварталом 2024 года этот показатель возрос почти в четыре раза.
Основные результаты 4-го квартала 2025 года:
- Интенсивность заражений различным вредоносным ПО в 4-м квартале после снижения активности в 3-м квартале выросла на 51%. В среднем каждая компания сталкивается со 157 потенциальными заражениями в месяц.
- Интенсивность подобных атак выросла во всех исследуемых индустриях, кроме образования и IT. Больше всего (более чем на 200%, до 1205 срабатываний) она выросла в ТЭК.
- Общее число организаций, в которых было зарегистрировано хотя бы одно событие потенциального заражения, во 4-м квартале сократилось на 160% - до 5305. На это в том числе повлияло снижение бизнес-активности в 4-м квартале, обусловленное наступлением праздничного периода.
- Стилеры - вновь главная угроза. В 4-м квартале их доля выросла на 11 п. п., до 41,7% - и это после снижения числа заражений, которое длилось с лета по конец 3-го квартала. На втором и третьем месте - инструменты APT-группировок и средства удаленного доступа.
- Госсектор, IT, ТЭК, телеком и образование стали отраслями, в которых увеличилась доля событий, связанных с заражением посредством почти всех отслеживаемых типов угроз.
Основные результаты 2025 года
- Всего за год Солары зафиксировали 9 326 764 срабатывания в сетях 38 493 организаций. В среднем каждую организацию атаковали 242 раза.
- Стилеры стали самой часто встречающейся угрозой в 2025 году - на них пришлось 36% срабатываний. Индикаторы APT-группировк (27%) - на втором месте. Средства удаленного доступа (19%) - на третьем.
- Индустрии, в которых зафиксировано больше всего срабатываний, - промышленность (29%), здравоохранение (20%) и ТЭК (15%).
Картина заражений в индустриях, полученная с помощью PDNS, позволяет сделать несколько выводов.
Похищение конфиденциальной информации остается основной целью злоумышленников, а интенсивность атак, даже несмотря на снижение их общего количества, растет.
В фокусе атакующих - отрасли, оперирующие большим количеством конфиденциальных сведений. Как и предполагалось, ТЭК, промышленность и госсектор продолжают быть наиболее подверженными угрозам прежде всего шпионских атак.
Инфографика и рекомендации - в отчете.
Помимо Пентагона ИИ-помощник Claude Code от Anthropic не менее активно задействуется и киберподпольем.
Как отмечают в израильской Gambit Security, хакеры использовали уязвимость в коде Claude Code для разработки эксплойтов, собственных инструментов и автоматичзации кражи 150 ГБ данных в ходе кибератаки на системы правительства Мексики.
Инцидент ярко демонстрирует, как генеративный ИИ может быть использован в качестве оружия для ускорения проведения реальных кибер-операций.
Злоумышленники взломали 10 мексиканских правительственных учреждений, включая налоговую службу, избирательный институт, правительства штатов, гражданский реестр Мехико и водопроводную компанию Монтеррея, а также финансовое учреждение в декабре 2025 года.
Gambit Security обнаружила, что злоумышленники отправили более 1000 запросов в Claude Code, а затем применили GPT-4.1 от OpenAI для анализа украденных данных.
Обходя средства защиты ИИ и представляя действия как санкционированные, злоумышленники автоматизировали написание эксплойтов и кражу данных, добравшись таким образом до 195 млн. личных данных.
Выдавая себя за пентестеров, они создали подсказки для обхода защитных механизмов. Claude поначалу сопротивлялся, отмечая удаление журналов и инструкции по скрытному доступу как тревожные сигналы, прежде чем полностью лечь под манипуляций и провернуть операцию.
Как отметил директор по стратегии Gambit Security Кертис Симпсон, в общей сложности система сгенерировала тысячи подробных отчетов, включающих готовые к выполнению планы, точно указывающие оператору, какие внутренние цели следует атаковать и какие учетные данные использовать.
Когда Claude перестал выполнят команды, злоумышленники переключились на ChatGPT, дабы получить указания по дальнейшему проникновению в сеть и манипулированию учетными данными.
По мере развития взлома они неоднократно спрашивали, где еще можно найти государственные удостоверения личности и связанные с ними данные, а также какие еще системы следует атаковать.
Причем ранее нечто подобное провернули китайские хакеры, задействовав Claude Code в шпионской кампании, направленной против почти 30 организаций по всему миру.
Набирающий обороты тренд, как полагают исследователи, меняет все правила игры. Особенно это актуально, если принять в расчет, что Claude без каких-либо ограничений уже функционирует в интересах спецслужб и военных США.
Теперь к резонансным процессам, задержаниям и разоблачениям, которые сотрясли инфосек за минувшие дни.
Немецкий суд приговорил владельца сети мошеннических колл-центров к семи с половиной годам тюремного заключения.
Гражданин Грузии и Израиля Михаил Биниашвили руководил сетью Milton Group из Албании в период с 2017 по 2019 год.
Колл-центры обманом заставляли жертв вкладывать свои средства в платформы, контролируемые Биниашвили и его сообщниками.
Кроме того, он приторговывал программным обеспечением для управления мошенническими колл-центрами другим злоумышленникам.
В США предъявили обвинение гражданину Украины в управлении порталом, посредством которого реализовались поддельные удостоверения личности. Юрий Назаренко заработал более 1,2 млн. долл. на OnlyFake.
Он признал свою вину и ему грозит до 15 лет лишения свободы.
Продолжая свое расследование Брайан Кребс смог выследить администратора ботнета Kimwolf, причастного к крупнейшим DDoS-атакам.
Им оказался 23-летний житель Оттавы, Канада.
Джейкоб Батлер, предположительно, является хакером под псевдонимом Дорт, который создал и к настоящему времени управляет ботнетом.
Сам Батлер сообщил Кребсу, что не использовал псевдоним Дорт с 2021 года и утверждает, что кто-то выдает себя за него.
В общем, уже по привычке напрашивается: да что себе позволяют эти русские хакеры?!
Одна из крупнейших утечек настигла Францию, хакеры украли личные данные 15 млн. граждан непосредственно из национального Министерства здравоохранения.
Инцидент произошел еще в конце 2025 года и помимо прочего затронул высокопоставленных политических деятелей. Причем новый анонс последовал вслед за недавним заявлением властей по взлому данных 1,2 млн. французских банковских счетов.
Среди украденных и к настоящему времени слитых в сеть данных фигурируют медицинские карты пациентов, записи врачей, домашние адреса и номера телефонов.
Кроме того, часть скопрометированной информации включала сведения о том, имел ли пациент нетрадиционную ориентацию (в России движение ЛГБТ запрещено) или болел ли СПИДом.
По сообщению Минздрава, информация была получена примерно из 1500 медучреждений, использовавших программное обеспечение от компании Cegedim Sante.
Пока не разглашается, какая из группировок взяла на себя ответственность за взлом, но хакеры, по всей видимости, уже обозначили себя.
Причем в октябре прошлого года Cegedim Sante подавала заявление в полицию по поводу инцидента. Тогда в компании отмечали, что в результате атаки пострадали около 1500 из 3800 врачей, которые использовали ее ПО.
В консалтинговой компании Wavestone последствия инцидента уже называют «крупнейшей утечкой во Франции» в секторе здравоохранения, которая может иметь «непоправимые последствия».
Возможно даже, мир, наконец-то, узнает всю правду в отношении семейства Макронов. Но будем посмотреть.
Juniper Networks выпустила экстренное обновление для Junos OS Evolved на маршрутизаторах серии PTX, с исправлением критической уязвимости, которая позволяет неавторизованному злоумышленнику удаленно выполнять код с правами root.
Маршрутизаторы серии PTX - это высокопроизводительные устройство для ядра сети и пиринга, разработанные для обеспечения высокой пропускной способности, низкой задержки и масштабируемости. Широко используются на объектах связи.
CVE-2026-21902 обусловлена некорректным назначением разрешений в рамках системы «обнаружения аномалий на устройстве», которая должна быть доступна внутренним процессам только через внутренний маршрутный интерфейс.
Как поясняет Juniper Networks, эта ошибка позволяет получить доступ к платформе через внешний порт. Поскольку служба запускается от имени root и включена по умолчанию, успешная эксплуатация позволяет находящемуся в сети злоумышленнику получить полный контроль над устройством без аутентификации.
Проблема затрагивает Junos OS Evolved до 25.4R1-S1-EVO и 25.4R2-EVO на маршрутизаторах серии PTX. Более старые версии также могут быть затронуты, но производитель не оценивает версии, разработка которых завершена или срок поддержки которых истек.
Версии до 25.4R1-EVO, а также стандартные (не Evolved) версии Junos OS не затронуты CVE-2026-21902. Компания выпустила исправления для версий 25.4R1-S1-EVO, 25.4R2-EVO и 26.2R1-EVO продукта.
Поставщик рекомендует помимо обновления ограничить доступ к уязвимым конечным точкам только доверенными сетями, используя фильтры брандмауэра или ACL. В качестве альтернативы администраторы могут полностью отключить уязвимую службу.
Группа реагирования Juniper SIRT заявляет, что на текущий момент ей не известно о злонамеренном использовании уязвимости. Однако в киберподполье подобные CVE всегда как вишенка на торте, особенно когда в основе столь «аппетитное» сетевое оборудование.
В частности, в марте 2025 китайские APT активно развертывали бэкдоры на маршрутизаторах Junos OS MX, внедряя разновидности TinyShell, а месяцами ранее J-magic окучивал трафик на объектах в сфере полупроводников, IT и энергетики.
Но более востребованы такие CVE по другую сторону киберландшафта. Последнее время неоднократно становились свидетелями, как вопреки интересам клиентов и принципам инфосека американские технологические гиганты негласно сотрудничали с национальными спецслужбами.
С Juniper в этом плане все очень показательно: все никак не забудется скандал с АНБэшными бэкдорами в ОС ScreenOS брандмауэра Juniper Netscreen.
Исследователи раскрыли подробности новой атаки (точнее серии атак) под названием AirSnitch, нацеленную на вновь выявленные уязвимости Wi-Fi, которая позволяет эффективно обходить изолированность в сетях.
Результаты исследования были представлены на Симпозиуме по сетевой и распределенной безопасности на этой неделе.
AirSnitch использует особенности работы маршрутизаторов на первых двух уровнях модели OSI, а не их ПО. Собственно, поэтому различные варианты атаки работают на широком спектре устройств, включая Netgear, D-Link, Ubiquiti, Cisco, а также под управлением DD-WRT и OpenWrt.
Исследователи протестировали следующие 11 устройств и каждый протестированный маршрутизатор был уязвим как минимум для одной атаки.
Предыдущие атаки на Wi-Fi затрагивали существующие средства защиты, такие как WEP и WPA и работали за счет использования уязвимостей в базовом шифровании.
AirSnitch, напротив, нацелен на ранее игнорируемую поверхность атаки - самые нижние уровни сетевого стека, иерархию архитектуры и протоколов, основанную на их функциях и поведении.
По мнению исследователей, AirSnitch, возможно, лучше описать как «обход» шифрования Wi-Fi, «в том смысле, что она позволяет обойти изоляцию клиента без взлома аутентификацию или шифрование.
AirSnitch полагается на ключевые особенности уровней 1 и 2, а также на неспособность привязать и синхронизировать клиент на этих и более высоких уровнях, с другими узлами и другими сетевыми именами, такими как SSID.
Такая межуровневая десинхронизация идентификации является ключевой основой атак AirSnitch.
Исследователи продемонстрировали, как AirSnitch позволила им физически прослушивать все каналы связи, нацеливаться на кражу cookie, отравление DNS и кэша.
Так что гостевая сеть, которую вы настроили для своих соседей, может быть не такой безопасной, как вам кажется.
В целом же, возможности AirSnitch по взлому глобального шифрования Wi-Fi безусловно могут способствовать совершению сложных кибератак.
Некоторые производители маршрутизаторов уже выпустили обновления, смягчающие некоторые из анонсированных атак.
Но другие отмечают, что устранение системных уязвимостей возможно лишь при полной модификации базовых микросхем.
🈁 Anthropic подает в суд на Пентагон из-за статуса «риск для цепочки поставок»
Anthropic подала иск против Пентагона, утверждая, что присвоение ей статуса «риска для цепочки поставок» нарушает права компании, предусмотренные Первой поправкой, и выходит за рамки полномочий правительства.
Статус «риска для цепочки поставок» обычно присваивается потенциальным иностранным противникам, представляющим угрозу национальной безопасности. Правительству США это может быть сложно обосновать, поскольку военные опирались на ИИ-модель Claude при проведении операций в Иране.
Поданный в Окружной суд США Северного округа Калифорнии иск утверждает, что данный статус является наказанием для Anthropic за открытое высказывание своих взглядов на политику в области ИИ. Anthropic обращается к судебной системе, чтобы защитить свои права и остановить незаконную кампанию возмездия со стороны администрации Трампа. Законы о государственных закупках, принятые Конгрессом, не дают Пентагону или президенту Трампу полномочий вносить компанию в черный список, заявляет Anthropic.
Anthropic заявляет, что по-прежнему готова продолжать обслуживать Пентагон в условиях крупных боевых действий. По словам представителя компании, Anthropic продолжит искать любые пути для урегулирования ситуации, включая диалог с правительством.
👆Тем временем, Белый дом готовит указ, официально предписывающий федеральному правительству полностью исключить ИИ компании Anthropic из своих рабочих процессов, сообщили Axios источники, знакомые с ситуацией. Администрация утверждает, что «меры предосторожности» Anthropic представляют угрозу национальной безопасности в контексте вмешательства частного сектора в ход военных операций.
На фоне всей ситуации в OpenAI (согласились на условия Министерства войны в отличие от Anthropic) пошли первые пертурбации. Занимавшая пост руководителя направления робототехники и потребительского оборудования в OpenAI Кейтлин Калиновски официально объявила о своё уходе в 🦆. Основным мотивом ухода стал этический и управленческий конфликт, спровоцированный контрактом OpenAI с Министерством войны США (Пентагоном).
Слежка за американцами без судебного надзора и смертоносная автономия без разрешения человека — это вопросы, которые заслуживают более тщательного обсуждения.
ФБР США взломали и теперь спецслужба расследует свой собственный инцидент.
Примечательно, что скомпрометировали системы, используемые агентами для управления ордерами на слежку и прослушивание телефонных разговоров.
Безусловно, в ФБР отказываются сообщать более подробную информацию о масштабах и общих последствиях инцидента, оно уверенно заявляют, что ситуация уже локализована с использованием всех технических возможностей для реагирования.
Первыми об инциденте сообщили репортеры CNN со ссылкой на анонимный источник, который и поведал, что взлом непосредственно затронул технические системы, предназначенные для организации прослушки телефонных переговоров, а также задействуемые в контрразведке.
На данный момент неясно, связан ли этот инцидент с предыдущим, когда китайская Salt Typhoon проникла в системы федерального правительства США, используемые для запросов на прослушивание телефонных разговоров, санкционированных судом, в 2024 году.
Ничего не понятно, но очень интересно, в общем будем следить.
Помимо ФБР щупальца киберподполья добрались и до платформы KodexGlobal, которая для безопасного обмена данными между технологическими компаниями и правоохранительными органами по запросам последних.
Она служит единым порталом для обработки всех оперативно-следственных запросов о предоставлении информации, объединяя более 15 000 государственных структур.
Как заявляет селлер, доступ к аккаунтам силовиков на платформе реализуется по цене в 2000 долл.
По всей видимости, новая атака на цепочку мудаков уже на подходе.
Как передают, более 100 000 серверов (из них более половины - в США, однако и в России имеются - почти 3 тыс.) автоматизации n8n с искусственным интеллектом находятся в сети и не имеют критически важных обновлений безопасности.
На горизонте вовсю маячит CVE-2026-27495, обнаруженная на прошлой неделе, которая позволяет злоумышленникам выйти за пределы песочницы сервера.
В конфигурации по умолчанию это может привести к «полной компрометации хоста n8n».
Силовики вновь кучно прошлись по киберподполью, прихлопнув LeakBase и Tycoon2FA.
Сообщается, что в результате совместной операции правоохранитеоей был ликвидирован LeakBase, один из крупнейших в форумов, где шла активная торговля утечками и инструментами для совершения кибернападений.
В скоординированном заявлении Европол сообщил, что LeakBase специализируется на продаже логов киберпреступников, содержащих архивы учетных данных, полученных с помощью инфостилеров, которые затем используются для взлома аккаунтов, мошенничества и других кибератак.
По данным Минюста США, по состоянию на декабрь 2025 года LeakBase насчитывал более 142 000 участников и более 215 000 сообщений. Ходовым товаром выступали слитые базы данных, финансовая и банковская информация, пользовательские сведения.
LeakBase - это один из псевдонимов Чакки, который также известен в даркнете под никами Chuckies и Sqlrip.
По данным SOCRadar, он известен тем, что распространял обширные коллекции баз данных, часто содержащих конфиденциальную информацию крупнейших компаний в мире.
Более того, в начале прошлого месяца SpyCloud сообщала, что форум не работал несколько дней, а Chuckies искал нового хостинг-провайдера.
Среди других известных администраторов и модераторов LeakBase - BloodyMery, OrderCheck и TSR.
Форум был активен с июня 2021 года. Теперь при попытке доступа к сайту leakbase[.]la висит традиционная плашка о конфискации ресурса ФБР США в рамках международной операции по обеспечению правопорядка.
Как заявили в ФБР, весь контент форума, включая учетные записи пользователей, посты, переписку и IP-адреса, задокументирован и будет оформлен в качестве доказательств для дальнейшего расследования в отношении фигурантов.
В рамках операции, получившей условное наименование «Operation Leak», в период 3-4 марта силовики провели обыски, аресты и допросы в США, Австралии, Бельгии, Польше, Португалии, Румынии, Испании и Великобритании.
В Европоле отметили, что по всему миру было проведено около 100 оперативно-следственных мероприятий, включая принятие «неуказанных» мер в отношении 37 наиболее активных пользователей платформы.
Другим трофеем силовиков стала Tycoon2FA, крупная PhaaS-платформа с ежемесячной отработкой до десяткой миллионов фишинговых сообщений.
В общей сложности в ходе этой совместной операции при координации Европола было изъято и отключено 330 доменов, входящих в инфраструктуру криминальной службы (включая панели управления и фишинговые страницы).
Технически взлом провернула Microsoft при поддержке коалиции из частных партнеров, а захват инфраструктуры и оперативный блок отработали правоохранители Латвии, Литвы, Португалии, Польши, Испании и Великобритании.
Операция стартовала после того, как Trend Micro поделилась развединформацией. Европол ретранслировал их через свои консультативные группы EC3 и оперативные сети, что позволило выработать скоординированную оперативную стратегию.
Поучастовали также Cloudflare, Coinbase, Intel471, Proofpoint, Shadowserver Foundation, SpyCloud, eSentire, Crowell, Resecurity и Health-ISAC.
Tycoon 2FA действовала как минимум с августа 2023 и использовалась хакерами для обхода MFA и компрометации учетных записей почти 100 000 организаций по всему миру. Доступный прайс (120 долл. за 10 дней доступа) обеспечил порог вхождения для неопытных преступников.
Она действовала как платформа "adversary-in-the-middle", используя обратный прокси-сервер для перехвата учетных данных и сессионных файлов cookie жертв в режиме реального времени в атаках, направленных на пользователей Microsoft и Google.
По данным Microsoft, к середине 2025 Tycoon2FA ежемесячно генерировала десятки млн. фишинговых писем, поражая более 500 000 организаций и обеспечивая 60% всех заблокированных фишинговых попыток.
Исследователи BI.ZONE в своем новом отчете анализируют активность Forbidden Hyena в декабре 2025 - январе 2026 года, раскрывая в арсенале группировки ранее неизвестный троян удаленного доступа, который BlackReaperRAT.
Кроме того, им удалось выявить и изучить обновленную версию шифровальщика Blackout Locker, который злоумышленники переименовали в Milkyway.
В декабре 2025 года специалисты выявлили распространяемые Forbidden Hyena RAR-архивы, каждый из которых содержал два файла.
Первый, batch-скрипт 1.bat, предназначался для запуска VBS-скрипта 1.vbs из того же архива. В одном из вариантов Batch-скрипта запуск VBS-файла осуществлялся с использованием cscript.exe, в другом дополнительно применялся запуск через wscript.exe.
В свою очередь, обфусцированный VBS-скрипт 1.vbs представлял собой вредоносный загрузчик. Скрипт предназначен для загрузки и запуска отвлекающего документа, а также VBS-скрипта следующей стадии - BlackReaperRAT.
Последний относится к троянам удаленного доступа, реализован в виде VBS-скрипта и выполняется в контексте процесса wscript.exe или cscript.exe.
Он поддерживает широкий функционал: передает системную информацию, генерирует собственную копию, закрепляется в системе различными способами, поддерживает выполнение команд, грузит и запускает исполняемые файлы, а также способен распространяться через съемные носители информации.
Обнаруженный BI.ZONE в январе 2026 года новый вариант Blackout Locker подвергся незначительным изменениям. Помимо смены названия основное преобразование коснулось визуализации записки с требованиями о выкупе.
При этом исследователи отмечают, что в образце Blackout Locker, представленном в отчете Лаборатории Касперского, записки о выкупе сохранялись на хосте жертвы рекурсивно в каждом каталоге каждого диска.
В новом же исполнении шифровальщик сохраняет записку по следующим путям: C:\Windows\Temp\README.txt, C:\Users\Public\README.txt, C:\README.txt и C:\Users\Public\Desktop\README.txt. Также в новом варианте Blackout Locker увеличился список завершаемых процессов и сервисов.
В целом, как отмечают в BI.ZONE, продолжает фиксироваться интерес злоумышленников к использованию AI-инструментов.
В частности, некоторые из обнаруженных образцов имеют признаки генерации с помощью ИИ.
Атакующие активно злоупотребляют легитимными инструментами и штатными средствами ОС для решения задач на разных этапах жизненного цикла кибератаки.
В ряде случаев это позволяет им избежать обнаружения.
В арсенале по-прежнему присутствуют вайперы и ransomware, которые используются как для вывода IT-инфраструктуры из строя, так и для получения финансовой выгоды.
Технические подробности цепочки атак, разбор инфраструктуры/инструментария и IOCs Forbidden Hyena - в отчете.
👩💻 Kubernetes Security Guide.
• С ростом популярности Kubernetes все больше компаний стремятся использовать его для облегчения управления контейнеризованными приложениями. Вместе с этой тенденцией наблюдается рост числа неправильно сконфигурированных кластеров, что создает большие риски в части обеспечения безопасности.
• В этом руководстве вы найдете информацию по безопасной настройке кластера k8s. Материал вышел очень объемным и включает в себя практические примеры. Содержание следующее:
• Prerequisites;
• Test Environment – your own cluster in minutes using a ready-made script;
• Kubernetes Architecture;
• STRIDE for Kubernetes;
• Node Security – Start with the Basics:
➡Attack Surface;
➡Identifying Vulnerabilities;
➡Reducing the Attack Surface (Firewall);
➡Looking Inside – Whitebox Audit.
• Cluster Components Security:
➡Update of key components;
➡Anonymous Access;
➡Users, Authentication and Authorization;
➡Emergency Access (Break-Glass);
➡Verification of Granted Access;
➡Authorization;
➡Authorization – Automating the Permission Verification Process;
➡Other Authentication and Authorization Methods (static tokens, Node, ABAC, and Webhook);
➡etcd Security;
➡Secrets;
➡Namespaces;
➡Network Policies;
➡Metrics API and Avoiding Shortcuts;
➡Automated Tools.
• Security of Images, Containers, and Pods:
➡Minimal Images – The Fewer Dependencies, the Better;
➡Specifying a Specific Image Version;
➡Vulnerability Scanners;
➡Learning About Admission Controllers – Automating the Vulnerability Scanning Process;
➡Own Registry;
➡OPA Gatekeeper - Registry Under Control;
➡Security Context - Additional Hardening;
➡AppArmor;
➡Other Capabilities;
➡Pod Security Standards;
➡gVisor;
➡Resource Quotas;
➡Auditing;
➡Falco - Detection and Analysis of Suspicious Activities.
• Debugging - Essentials for Troubleshooting;
• Additional Resources.
S.E. ▪️ infosec.work ▪️ VT
Как мы и предполагали, эксплуатация недавно исправленной CVE-2026-22719 в VMware Aria Operations (ранее vRealize Operations) не заставила себя ждать.
Напомним, CVE-2026-22719 представляет собой серьезную проблему внедрения команд, которую можно использовать без аутентификации.
Как отметила Broadcom, злоумышленник может использовать эту уязвимость для выполнения произвольных команд, что может привести к удаленному выполнению кода в VMware Aria Operations во время миграции продукта с помощью службы поддержки
Предупреждение о задействовании ошибки в реальных атаках поступило от CISA, которая во вторник добавила CVE-2026-22719 в свой каталог известных эксплуатируемых уязвимостей (KEV).
В обновленной версии первоначального уведомления компания Broadcom пояснила: «Компания осведомлена о сообщениях о потенциальной эксплуатации уязвимости CVE-2026-22719 в реальных условиях, но мы не можем независимо подтвердить их достоверность».
В открытом доступе пока нет информации, описывающей атаки, использующие данную уязвимость. Так что неясно, узнала ли компания Broadcom об использовании уязвимости в реальных условиях от CISA или из другого источника.
Равно как и неизвестно, началось ли использование уязвимости после выпуска патча или же CVE-2026-22719 использовалась в качестве 0-day.
Тем не менее, стоит отметить в лучшую строну Broadcom за оперативность в обновлении статуса потенциальной эксплуатации.
Ведь ранее поставщик неоднократно подвергался критике за задержку подобных предупреждений, даже когда об эксплуатации уязвимости было известно в течение длительного времени.
Будем следить за появлением подробностей атак.
Ox Security предупреждает о критической уязвимости в решении FreeScout, использующем открытый исходный код для служб поддержки и общих почтовых ящиков, которая может быть использована для атак с удаленным выполнением кода (RCE) без клика.
Уязвимость отслеживается как CVE-2026-28289 (CVSS 10/10) и представляет собой обходной путь для CVE-2026-27636, недавно исправленной серьезной уязвимости удаленного выполнения кода с аутентификацией.
Первоначальная проблема, описанная как отсутствие файла .htaccess в списке ограничений на загрузку файлов, позволяет авторизованному злоумышленнику загрузить файл .htaccess, вмешаться в обработку файла и осуществить RCE.
Патч для первоначальной уязвимости CVE, обнаруженной Ox Security, можно обойти, используя символ пробела нулевой ширины, который невидим и проходит проверку на точку, в результате чего на диск сохраняется корректное имя файла .htaccess.
По мнению разработчиков FreeScout, CVE-2026-28289 - это уязвимость, связанная с проверкой времени использования (TOCTOU) в функции очистки имен файлов, «где проверка префикса точки происходит до того, как в процессе очистки удаляются невидимые символы».
Исправление CVE-2026-27636 было направлено на блокировку имен файлов с ограниченными расширениями или начинающиеся с точки («.») путем добавления подчеркивания к расширению файла.
Для обхода патча злоумышленник добавляет к имени файла символ нулевой ширины (Unicode U+200B). Поскольку этот символ не рассматривается как видимое содержимое, оно обходит проверку, символ U+200B удаляется, и файл сохраняется как настоящий точечный файл.
Атака реализуется путем отправки вредоносного электронного письма с любого адреса на почтовый ящик, настроенный в FreeScout.
Важно отметить, что для этого не требуется аутентификации и взаимодействия с пользователем. Вредоносная ПО записывается на диск на сервере FreeScout, после чего может быть использована для удаленного выполнения команд.
Как отмечает Ox Security, злоумышленник может предсказать, где файл будет сохранен на диске, что позволяет ему получить доступ к вредоносному коду и выполнять команды на сервере.
Успешная эксплуатация новой уязвимости позволяет злоумышленнику получить полный контроль над серверами, перехватить заявки в сапорт, содержимое почтовых ящиков и другие конфиденциальные данные из FreeScout, а также потенциально перейти на другие системы в сети.
Все установки FreeScout 1.8.206 затрагиваются при работе на Apache с включенной опцией AllowOverride All (распространенная конфигурация). CVE-2026-28289 была устранена в FreeScout 1.8.207.
Пользователям рекомендуется как можно скорее обновить свои развертывания.
Позитивы подвели итоги своей работы по отслеживанию трендовых уязвимостей в самых разных и широко используемых в России продуктах и сервисах за 2025 год, обобщив наиопаснейшие из них.
Согласно классификации исследователей, это именно те уязвимости, которые активно применяются в атаках или с высокой степенью вероятности будут эксплуатироваться злоумышленниками в определенной перспективе.
Всего в 2025 году к трендовым было отнесено 66 уязвимостей в ОС, прикладном ПО, почтовых серверах, сетевых устройствах и других продуктах.
Из них по 54 (82%) фиксировались признаки эксплуатации в атаках, а 12 (18%) имели публичные эксплойты, но без следов эксплуатации.
Большинство (47%) трендовых уязвимостей было связано с RCE (31) и EoP (20 уязвимостей, что составило 30%).
В отечественных коммерческих решениях выявлено 4 трендовые уязвимости: 1 RCE в CommuniGate Pro (BDU:2025-01331) и цепочка из трех в TrueConf Server.
Все остальные касаются зарубежных коммерческих продуктов и проектов с открытым кодом.
Microsoft остается лидером в категории трендовых уязвимостей.
В 2025 году продукты вендора содержали 31 такую ошибку, что составило 46% от общего числа.
Среди них: 18 - EoP в ядре Windows и стандартных компонентах; 2 - RCE в Microsoft SharePoint; 2 - RCE в стандартных компонентах Windows, эксплуатирующиеся через взаимодействие с сетевым хостом, а также 9 - в стандартных компонентах Windows, которые могут эксплуатироваться в фишинговых атаках.
Кроме того, в фишинговых атаках могут использоваться 8 RCE в 7-Zip, WinRAR и XSS в MDaemon Email Server, Zimbra Collaboration.
По части Linux-систем - это 2 трендовые уязвимости повышения привилегий в Sudo и Linux Kernel.
3 трендовые уязвимости затрагивают широко используемые библиотеки и фреймворки: RCE в React Server Components, expr-eval, а также уязвимость межсайтового скриптинга в Django.
Еще 13 трендовых уязвимостей ставят под угрозу сетевую безопасность организации и могут являться точками проникновения злоумышленников.
Это RCE в Cisco ASA и FTD, CommuniGate Pro, TrueConf Server, Roundcube, XWiki Platform, Control Web Panel, Redis и Erlang/OTP, а также обход аутентификации в FortiOS и PAN-OS.
Среди трендовых уязвимостей, которые позволяют злоумышленникам скомпрометировать разработку ПО: RCE в Apache HTTP Server и Apache Tomcat, а также раскрытие информации в MongoDB.
Компрометация виртуальной инфраструктуры возможна благодаря 4 проблемам в ESXi (RCE, раскрытие информации и повреждение памяти) и Kubernetes(RCE).
Также злоумышленники могут воспользоваться двумя RCE в SAP NetWeaver для взлома системы управления предприятием.
Конкретные идентификаторы и вся сводная аналитика по всем трендовым багам доступна в расширенном отчете.
Исследователи из Испании, Швейцарии и Люксембурга раскрыли подробности метода для отслеживания автомобилей через датчики давления в шинах.
Как показали исследования, передаваемые датчиками давления в шинах данные можно регистрировать с помощью доступного оборудования, размещая его вдоль дорог.
Система контроля давления в шинах (TPMS), которая теперь является обязательной для всех автомобилей во всем мире, передает уникальный идентификатор в открытом виде, что делает эти передачи уязвимыми для прослушивания и потенциального отслеживания.
Ученые смогли задействовать недорогие приемники для захвата этих незашифрованных пассивных передач и определения закономерностей передвижений автотранспорта.
В тестовом режиме они установили пять приемников, которые в течение 10 недель перехватили более 6 млн. сообщений от систем TPMS примерно от 20 000 автомобилей.
Поскольку уникальный идентификатор, передаваемый системой TPMS, не меняется на протяжении всего срока службы шины, исследователи смогли сопоставить сигналы с автомобилями и отследить группу контролируемых автомобилей.
Результаты показывают, что данные TPMS вполне себе пригодны для систематического получения потенциально конфиденциальной информации, включая наличие, тип, вес или стиль вождения автомобилиста.
Как объясняют исследователи, система слежения легко развертывается, каждый приемник стоит не более 100 долларов, что делает ее достаточно доступной и демонстрирует, что автопроизводителям следует пересмотреть использование беспроводной передачи данных.
Передача телеметрии TPMS осуществляется без шифрования или каких-либо механизмов защиты и включает уникальный идентификатор, позволяя через доступное оборудование, например, недорогой приемник Spectrum со стандартной антенной, записывать и отслеживать эти данные во времени и пространстве.
Исследователи утверждают, что злоумышленники могли бы развертывать такие приемники в широких масштабах для массового отслеживания водителей.
По их мнению, злоумышленники могли бы сочетать пассивное отслеживание с активной подменой сигналов датчиков, отправляя грузовикам ложные оповещения о проколе шины, заставляя водителей предпринимать остановку и получая таким образом доступ к нужной машине.
Злоумышленник также может связать датчики TPMS с конкретным интересующим его лицом для целенаправленного отслеживания, используя общедоступные программно-определяемые радиосистемы.
Google выкатила обновления безопасности для устранения 129 уязвимостей в Android, включая активно используемую 0-day в компоненте дисплея Qualcomm.
Несмотря на то, что Google не предоставила дополнительной информации об атаках на CVE-2026-21385, Qualcomm в своем бюллетене сообщила, что уязвимость представляет собой переполнение целочисленного значения в подкомпоненте Graphics, которое локальные злоумышленники могут использовать для вызова повреждения памяти.
Qualcomm получила уведомление об этой серьезной уязвимости 18 декабря и уведомила клиентов 2 февраля.
Согласно февральскому уведомлению, в котором пока не указано, что CVE-2026-21385 используется в атаках, уязвимость затрагивает 235 чипсетов Qualcomm.
Помимо упомянутой CVE-2026-21385 Google исправила 10 критических уязвимостей в компонентах System, Framework и Kernel, которые злоумышленники могут использовать для RCE, EoP или инициирования DoS.
Наиболее серьезной из них является критическая уязвимость в компоненте System, которая может привести к RCE без необходимости получения дополнительных прав на выполнение.
Причем для эксплуатации не требуется взаимодействие с пользователем.
Google традиционно выпустила два набора исправлений: уровни 01.03.2026 и 05.03.2026.
Последний включает в себя все исправления из первого, а также исправления для закрытых сторонних и ядерных компонентов, которые могут быть неприменимы ко всем устройствам Android.
Для устройств Google Pixel обновления поступят немедленно, другим производителям потребуется больше времени для тестирования и настройки их под конкретные аппаратные конфигурации.
Американские военные все же задействовали инструменты ИИ компании Anthropic во время ударов по Ирану, причем через несколько часов спустя после того, как сам же Трамп официально запретил федеральным ведомствам использовать технологии этой компании.
Как сообщает Wall Street Journal со ссылкой на источники, инструменты Anthropic используются ЦРУ США на Ближнем Востоке, а также другими командованиями по всему миру для оценки развединформации, идентификации целей и моделирования боевых сценариев.
Вместе с тем, подробности того, в каких масштабах использовался Claude AI в крупномасштабных боевых действиях против Ирана, пока не разглашаются. Ранее технологию успешно апробировали в ходе операции по захвату президента Венесуэлы Николаса Мадуро.
Тем не менее, несмотря на столь эффективное применение за день до событий на Ближнем Востоке Трамп приказал правительству немедленно прекратить использование Claude.
В свою очередь, министр войны Пит Хегсет подтвердил, что поручил министерству признать Anthropic угрозой национальной безопасности и «риском цепочке поставок», на что в самой компании заверили о готовности оспорить этом решение в судебном порядке.
Одиозное решение со стороны Трампа последовало после нескольких недель напряженных переговоров между Anthropic и Пентагоном.
Компания отказалась предоставить военным разрешение на использование своего ИИ для организации массового наблюдения или применения для автономных систем вооружения.
Пентагон установил для компании крайний срок: либо она согласится с условиями, либо столкнется с последствиями.
По итогу Трамп дал ведомствам 6 месяцев на поэтапное прекращение сотрудничества с Anthropic, подчеркнув, что последней «лучше бы взять себя в руки и оказывать помощь в течение этого периода», если не желает «серьезных гражданских и уголовных последствий».
Как бы то ни было, уйти от симбиоза с военными и «отмыться» после ударов по Венесуэле и Ирану представителям Anthropic уже вряд ли удастся, так что судьба дальнейшей разработки очевидна, как очевидно и то, что противоречит всем заявленным «благим» этическим целям и правилам.
Исследователи Oasis Security обнаружили серьезную уязвимость, названную ClawJacked, в популярном ИИ-агенте OpenClaw, которая позволяла вредоносному сайту незаметно взламывать локально запущенный экземпляр и получать над ним полный контроль.
О проблеме оперативно проинформировали OpenClaw 26 февраля, предоставив технические подробности и PoC. После чего в течение 24 часов в рамках версии 2026.2.26 было выпущено исправление.
По данным исследователей, уязвимость вызвана тем, что служба шлюза OpenClaw по умолчанию привязывается к localhost и предоставляет интерфейс WebSocket.
Поскольку политики междоменных запросов браузеров не блокируют соединения WebSocket с localhost, посещаемый пользователем OpenClaw сайт может использовать JavaScript для незаметного соединения с локальным шлюзом и аутентификации без каких-либо предупреждений.
OpenClaw хоть и включает ограничение скорости для предотвращения брута, адрес обратной связи (127.0.0.1) по умолчанию исключен из этого ограничения, поэтому локальные сеансы командной строки не будут ошибочно заблокированы.
В связи чем, исследователям удалось осуществить перебор паролей управления OpenClaw со скоростью в сотни попыток за секунду, используя только JavaScript браузера. При этом неудачные попытки никак не ограничивались и не регистрировались.
При такой скорости список распространенных паролей исчерпывается менее чем за секунду, а на создание большого словаря ушло бы всего несколько минут.
После успешного подбора пароля злоумышленник может незаметно зарегистрироваться в качестве доверенного устройства, поскольку шлюз автоматически подтверждает сопряжение устройств с localhost без необходимости подтверждения со стороны пользователя.
Получив аутентифицированную сессию и права администратора, злоумышленник теперь может напрямую взаимодействовать с платформой ИИ, извлекать учетные данные, получать список подключенных узлов, красть учетные данные и считывать журналы приложений.
Как пороагают в Oasis, это позволит злоумышленнику ориентировать агента на поиск конфиденциальной информации в истории сообщений, похищать файлы с подключенных устройств или выполнять произвольные команды оболочки на сопряженных узлах.
Фактически это все в совокупности приведет к полной компрометации рабочей станции, инициированной из вкладки браузера. Весь процесс, в том числе кражи конфиденциальных данных через уязвимость OpenClaw, в Oasis решили продемонстрировать визуально (здесь).
В исправлении реализована более глубокая проверка безопасности WebSocket и добавлены дополнительные средства защиты по части контроля локальных соединений для подбора паролей или перехвата сессий, даже если эти соединения настроены без ограничения скорости.
Пользователям OpenClaw следует немедленно обновить его до версии 2026.2.26 или более поздней, дабы предотвратить взлом своих установок.
Исследователи Group-IB расчехлили новую фишинговую схему GTFire, позволяющую злоумышленникам избегать обнаружения с помощью сервисов Google.
Как отмечают в Group-IB, за последние несколько лет фишинговые кампании эволюционировали от простых поддельных электронных писем и незамысловатых страниц авторизации.
Современные злоумышленники все чаще используют легитимные облачные сервисы, доверенные домены и известные технологические платформы для маскировки вредоносной активности под обычный интернет-трафик.
Одна из таких кампаний, GTFire, демонстрирует, как злоумышленники могут систематически злоупотреблять легитимной инфраструктурой для размещения фишинговых страниц (Google Firebase) и маскировки вредоносных URL-адресов и обхода фильтров безопасности (Google Translate).
Объединяя эти сервисы, злоумышленники создают фишинговые ссылки, которые выглядят безобидными, используют репутацию Google и динамически перенаправляют жертв на страницы входа, имитирующие страницы брендов.
Причем GTFire примечательна не только своей технической изощренностью, но и масштабом.
Выявлено, что более 120 уникальных фишинговых доменов и более 1000 организаций пострадали от этой атаки.
Наблюдаемое использование других легитимных сервисов и инструментов, таких как веб-сервер LiteSpeed и скрипты All-in-1 PHP, дополнительно повышает масштабируемость и скорость развертывания этой фишинговой кампании.
Анализ инфраструктуры C2 позволил Грибам выявить тысячи украденных учетных данных, связанных с более чем тысячей организаций из более чем 200 отраслей, расположенных в более чем ста странах.
Злоумышленники продемонстрировали высокую оперативную дисциплину: повторное использование фишинговых шаблонов для разных брендов, многоступенчатый сбор учетных данных и централизованные серверы, которые упорядоченно хранят собранные данные.
Кроме того, перенаправление с поддельных страниц авторизации обратно на легитимные сайты брендов часто не позволяло жертвам вообще понять, что их учетные данные уже украдены.
С точки зрения защиты, GTFire открыла ряд неприятных моментов:
- доверенные сервисы могут быть задействованы с минимальными усилиями,
- традиционное обнаружение на основе URL неэффективно,
- злоупотребление брендом остается - наиболее эффективным способов социнженерии.
Технические подробности реализации GTFire и рекомендации - в отчете.
Клиенты японской Trend Micro опять в зоне риска в виду двух критических уязвимостей в Apex One, которые позволяют потенциальному злоумышленнику получить доступ к RCE в уязвимых системах Windows.
Apex One - это платформа для защиты конечных точек, которая обнаруживает угрозы безопасности и реагирует на них, включая вредоносное ПО, шпионские ПО, вредоносные инструменты и уязвимости.
Первая уязвимость Apex One отслеживается как CVE-2025-71210 и связана с уязвимостью обхода пути в консоли управления Trend Micro Apex One, позволяя злоумышленникам без привилегий выполнять вредоносный код в незащищенных системах.
Вторая CVE-2025-71211 представляет собой еще одну уязвимость обхода пути в консоли управления Apex One, аналогичную по масштабу CVE-2025-71210, но затрагивающую другой исполняемый файл.
Как пояснила Trend Micro в своем уведомлении, для успешной эксплуатации злоумышленникам необходимо «иметь доступ к консоли управления Trend Micro Apex One, поэтому клиентам, IP-адрес их консоли которых доступен извне, следует рассмотреть возможность применения мер по снижению рисков, таких как ограничения на доступ к источникам данных, если они еще не применены».
Несмотря на то, что для использования уязвимости может потребоваться выполнение ряда конкретных условий, Trend Micro настоятельно рекомендует клиентам как можно скорее обновить ПО до последних версий.
Для устранения этих проблем Trend Micro исправила уязвимости в версиях SaaS Apex One и выпустила критическое обновление Build 14136, которое также устраняет две серьезные уязвимости, приводящие к EoP в агенте Windows, и еще четыре, затрагивающие агент для macOS.
Пока в Trend Micro не зафиксировали использования этих уязвимостей в реальных условиях, но, как показывает практика, злоумышленники ранее весьма эффективно использовали уязвимости в Apex One в своих атаках на протяжении последних нескольких лет.
В частности, в августе 2025 Trend Micro также предупреждала клиентов о необходимости устранения RCE (CVE-2025-54948) в Apex One, которая активно использовалась на тот момент, а также устранила две 0-day, которые задействовались злоумышленниками в сентябре 2022 (CVE-2022-40139) и в сентябре следующего года (CVE-2023-41179).
При этом на карандаше в CISA к настоящему время находится 10 уязвимостей Trend Micro Apex, которые были или до сих пор используются злоумышленниками.