39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Исследователи BI.ZONE в своей новой аналитике отметили основные тренды атак на веб‑ресурсы по итогам 2025 года.
В целом, за прошлый год Бизоны зафиксировали значительные изменения в поведении злоумышленников. Атакующие стали пропускать этап разведки и сразу пытаться получить доступ к критическим данным.
По данным экспертов, в 2024 году доля запросов на этапе разведки выросла с 7% в первом полугодии до 22% во втором. В первой половине 2025 года доля автоматического сканирования уязвимостей достигла 38%, однако во второй половине года резко снизилась до 4,5%.
Такой спад может быть связан с тем, что WAF‑сервисы блокируют IP‑адреса с высокой активностью запросов, а это препятствует автоматическим сканированиям.
Дополнительно на снижение активности влияет технологическое развитие защиты. Разработчики все чаще стали использовать статический и динамический анализ кода, а также инструменты на базе AI, устраняя уязвимости еще на этапе разработки.
По результатам злоумышленники теряют «легкие» цели: сканеры сталкиваются с защищенным кодом или подозрительную активность предотвращает WAF.
Количество атак на пользователей с целью кражи учетных данных выросло в 2,4 раза: с 6% в первом полугодии до 15% во втором. Также злоумышленники пытаются получить прямой доступ к данным и служебной информации. Доля таких попыток достигла 42%.
Такая картина связана с общим ростом качества разработки и технической защиты серверов. Сложные атаки на ПО становятся менее эффективными за счет регулярных обновлений и более строгого контроля качества кода.
Также этому способствуют инструменты на базе LLM, которые помогают разработчикам избегать типовых ошибок, корректнее выстраивать логику и снижать риск небезопасных практик на этапе разработки.
Так что атакующие все чаще смещают фокус с эксплуатации уязвимостей в коде на методы XSS и брут учетных данных, стремясь получить легитимный доступ администратора или сотрудника для продолжения атаки изнутри системы.
В I полугодии 2025 злоумышленники атаковали государственные информационные системы, намереваясь получить доступ к служебной информации и документам.
Во втором на первое место уже вышли атаки, направленные на доступ к базам данных: их доля составила 53%, что указывает на попытки массового извлечения данных.
Изменения произошли и в ритейле. Разведывательная активность заметно снизилась: ее доля уменьшилась с 90% в начале года до 35% в конце.
В отраслях с физическими активами (строительство и логистика), Бизоны отметили изменение стратегии атак. Вместо фокусировки на сайты и захвата инфраструктуры злоумышленники сосредоточились на получении доступа к закрытым сегментам порталов и файловых хранилищ.
В сфере строительства число атак, направленных на поиск конфигурационных файлов и чувствительных данных, выросло с 50% до 87%. Попытки взлома серверов (RCE) сократились: их стало менее 5%.
Аналогичная тенденция наблюдается в логистической отрасли: если в первом полугодии 89% атак были на RCE, то во втором их доля упала до 30%. Основное внимание теперь сосредоточено на краже файлов и служебной информации: доля этой тактики выросла с 10% до 53%.
Во II полугодии 2025‑го большинство кибератак совершались с российских IP, составляя 95% случаев RCE и в 98% - кражи пользовательских данных.
Для защиты компании используют геоблокировки трафика, что сопровождается использованием геофильтрации как дополнительного уровня защиты и формированием «белых списков» российских IP, однако эффективность геофильтров за последние годы снизилась.
Главные тренды 2025 свидетельствуют о том, что злоумышленники переходят от массовых атак к более прицельным. В связи с чем, бизнесу важно продолжать защищать веб‑приложения и код, а также контролировать доступ к данным, которые могут быть использованы для дальнейших атак.
💚 «Лаборатория Касперского» предупреждает о новой активной схеме распространения 🐘Mamont в Telegram
Эксперты Kaspersky GReAT (Глобального центра исследований и анализа угроз «Лаборатории Касперского») обнаружили новую схему распространения мобильного банковского троянца Mamont, нацеленную на пользователей Android-смартфонов в России. Злоумышленники маскируют зловред под средства для обхода ограничений и замедления работы Telegram. Кампания активна с 14 февраля и могла затронуть уже тысячи россиян.
Mamont — мобильный банковский троянец, который злоумышленники стали активно применять в 2024 году. Он обладает достаточно широкой функциональностью. В частности, запрашивает доступ к СМС и push-уведомлениям на заражённых устройствах, после чего использует их для кражи денег.
Злоумышленники «приходят» в комментарии к публикациям в популярных Telegram-каналах: они предлагают загрузить приложение, якобы позволяющее ускорять работу замедленного сервиса и обходить ограничения. Для этого нужно перейти в другой канал и скачать 📱APK-файл. На самом деле это Mamont, позволяющий атакующим красть банковскую информацию с Android-устройств.
«Мошенники быстро адаптируются к текущей информационной повестке и используют её в своих вредоносных кампаниях, пытаясь сыграть на эмоциях и доверии пользователей. Существует много способов распространения троянца Mamont. Именно поэтому важно быть крайне осторожными в сети, с особой бдительностью относиться к любым файлам и ссылкам, получаемым от незнакомых людей»
В Palo Alto Networks хотят и рыбку съесть, и не лишиться прочего. Чудеса эквилибристики проявлены в ходе недавнего исследования, в котором ресерчеры изучали новую APT-группу под названием TGR-STA-1030, которой приписали «теневые кампании» кибершпионажа.
Как сообщается в отчете, за последний год эта группа скомпрометировала правительственные организации и объекты критической инфраструктуры в 37 странах, а в период с ноября по декабрь 2025 группа проводила разведку правительственной инфраструктуры в 155 странах.
В данной работе Palo Alto описывает техническую изощренность участников, включая методы фишинга и эксплуатации уязвимостей, используемые инструменты и инфраструктуру группы, а также приводит обширный состав IOCs, включая активную инфраструктуру.
Реализован также углубленный анализ виктимологии по регионам с целью демонстрации предполагаемых мотивов APT. Результаты показывают, что хакеры отдают приоритет атакам на страны, которые установили или изучают определенные экономические партнерства.
Кроме того, Palo Alto предварительно поделилась результатами с коллегами по отрасли, дабы обеспечить надежную межотраслевую защиту от этого злоумышленника.
Но коллег смутило нечто другое: руководство Palo Alto всячески избегает приписывания APT-атаки китайскому актору, даже несмотря на атрибуцию собственных и сторонних отраслевых экспертов.
Такое поведение не осталось незамеченным и представителями СМИ. В частности, источники Reuters, заявляют, что компания пошла на такие казуистические уловки, опасаясь ответных мер со стороны китайского правительства.
Поэтому в отчете ограничилась приписываем «теневой» кампании неназванной APT, действующей из Азии.
Дело в том, что в начале этого года Пекин потребовал от китайских компаний прекратить использование решений по инфобезу десятка западных вендоров.
Palo Alto Networks оказалось в их числе, попав в т.н. черный список, переданный руководству китайских компаний, наряду с CrowdStrike, SentinelOne, Mandiant, Wiz и др.
В ответ на просьбу прокомментировать якобы смягченную формулировку в недавнем отчете, Palo Alto сослались на то, что «указание источника не имеет значения».
Впрочем, как и про активность западных APT, которая также «не имеет значения», чтобы вообще ее указывать.
Популярный IT-предприниматель Ким Дотком вновь выкатился с сенсационными заявлениями, на этот раз по поводу «взлома» Palantir.
Что касается тотальной аффилированности Palantir с ЦРУ США - можно было даже не писать об этом.
Однако прочие утверждения про ядерное оружие для Украины, прослушку первых лиц США и массивы компромата на представителей мировой элиты - воспринимать без скептицизма достаточно сложно.
Кроме поста в X, нет ни дампов, ни скриншотов интерфейсов, ни технических артефактов, ни подтверждений от профильных киберкомпаний.
Автор заявления категорически отрицает свою причастность к возможному инциденту и выступает лишь в качестве информационного партнера.
При этом утверждает, что все якобы украденные у Palantir данные будут переданы в Россию и/или КНР.
В общем, будем посмотреть.
Продолжаем отслеживать наиболее трендовые уязвимости. По состоянию на пятницу 13-ого подборка представлена следующим образом:
1. Исследователи обнаружили 287 расширений для Chrome, похищающие историю просмотров пользователя и установленные более 37 миллионов раз.
Среди них - блокировщики рекламы, ИИ-помощники и офисные приложения.
2. LayerX раскрыла кластер из 30 расширений Chrome, маскирующихся под инструменты ИИ и использующих скрытые iframe для выполнения кода в браузерах пользователей.
3. Quarkslab обвинила Intego в отказе от исправления ряда уязвимостей в своих продуктах безопасности для macOS, несмотря на наличие достаточного времени для этого.
3. RCE Security опубликовала PoC для уязвимости внедрения команд без аутентификации в плагине W3 Total Cache для WordPress - CVE-2025-9501.
При этом плагин является одним из самых популярных в экосистеме WordPress.
4. Раскрыт новый вектор деанонимизации пользователей VPN на основе списков фильтров блокировки рекламы, установленных в их браузере.
Пользователей можно отследить до конкретных стран по доменам, включенным в списки блокировщиков рекламы.
5. Microsoft обнаружила, что метод, обычно используемый для тонкой настройки LLM после их развертывания, может быть использован для нейтрализации функций безопасности.
Новую атаку назвали GRP-Obliteration (по названию метода - Group Relative Policy Optimization (GRPO).
Microsoft заявляет, что тесты позволили рассогласовать функции безопасности в 15 наиболее часто используемых на сегодняшний день LLM, от DeepSeek до GPT и Llama.
6. Исследователи LayerX раскрыли RCE-уязвимость в приложении Claude Desktop Extensions (DXT), позволяющую задействовать Google Календарь для компрометации систем, использующих расширения Claude Desktop Extensions.
Проблема затрагивает более 10 000 активных пользователей и 50 расширений DXT.
7. FIRST прогнозирует, что в течение года будет зарегистрировано около 60 000 уязвимостей. Это будет первый год в истории, когда количество глобальных сообщений об ошибках превысит порог в 50 000.
Причем не исключается, что их может оказаться по года более чем 100 000.
8. Positive Technologies выкатила февральский «В тренде VM», отметив среди трендовых: уязвимость, приводящая к RCE, в Microsoft 365 и Microsoft Office (CVE-2026-21509) и ошибку, приводящую к раскрытию информации, в Desktop Window Manager (CVE-2026-20805).
9. Китайский аналог Pwn2Own от Zero Day Initiative - Tianfu Cup после двухлетнего перерыва возобновился в 2026 году. Мероприятие состоялось 29-30 января.
По данным Natto Thoughts, соревнования хакеров организуются МОБ КНР и проходят в еще более засекреченном формате.
10. Microsoft считает, что вновь обнаруженные проблемы с подменой LNK-кода в Windows - это не уязвимости.
На фестивале Wild West Hackin' Fest исследователь Витце Беукема раскрыл несколько уязвимостей в файлах ярлыков Windows, которые позволяют злоумышленникам развертывать вредоносные ПО.
Обнаруженные проблемы связаны с несоответствиями в том, как проводник Windows расставляет приоритеты для конфликтующих целевых путей, указанных в нескольких необязательных структурах данных в файлах ярлыков.
Исследователь также выпустил lnk-it-up - набор инструментов с открытым исходным кодом, который генерирует ярлыки Windows LNK с использованием представленных методов.
Как мы и предполагали ранее, прошло не так много времени после выпуска PoC для критической CVE-2026-1731 (CVSS 9,9) в устройствах BeyondTrust Remote Support и Privileged Remote Access, как киберподполье принялось ее активно эксплуатировать.
Уязвимость затрагивает версии BeyondTrust Remote Support 25.3.1 и более ранние, а также Privileged Remote Access 24.3.4 и более ранние.
BeyondTrust сообщила об уязвимости 6 февраля, предупреждая, что неавторизованные злоумышленники могут даленно выполнять код до аутентификации, отправляя специально сформированные клиентские запросы.
Причем для успешной эксплуатации не требуется аутентификация или взаимодействие с пользователем, она может привести к компрометации системы, включая несанкционированный доступ, утечку данных и сбои в работе сервисов.
Уязвимость обнаружила Hacktron, ответственно проинформировав о ней BeyondTrust 31 января. По данным исследователей, в сети оказалось около 11 000 уязвимых экземпляров BeyondTrust Remote Support, при этом примерно 8 500 из них были развернуты локально.
В свою очередь, watchTowr уже заметила, как злоумышленники начали активно использовать уязвимость, предупреждая, что если устройства не будут обновлены, их следует считать скомпрометированными.
Атаки нацелены на уязвимые порталы BeyondTrust и задействуют функцию get_portal_info для извлечения значения x-ns-company, который затем используется для создания веб-сокета с целевым устройством, что позволяет злоумышленникам выполнять команды на уязвимых системах.
Причем эта уязвимость появилась спустя день после публикации на GitHub демонстрационного эксплойта, ориентированного на ту же самую конечную точку.
WatchTowr настоятельно рекомендует организациям, использующим самостоятельно размещенные устройства BeyondTrust Remote Support или Privileged Remote Access, немедленно установить доступные исправления или обновить систему до последних версий.
В BeyondTrust пока никак не комментируют ситуацию.
Критическая уязвимость в плагине WPvivid Backup & Migration для WordPress на более чем на 900 000 веб-сайтах может быть использована для удаленного выполнения кода путем загрузки произвольных файлов без аутентификации.
Уязвимость отслеживается как CVE-2026-1357, получила оценку серьезности 9,8, затрагивая все версии плагина до 0.9.123 включительно, и приводит в случае успешной эксплуатации к полному захвату веб-сайта.
Несмотря на серьезность проблемы, исследователи Defiant утверждают, что критическое воздействие оказывается только на сайты, у которых включена нестандартная опция «получать резервную копию с другого сайта».
Кроме того, у злоумышленников есть 24-часовой период для эксплуатации уязвимости, который соответствует сроку действия сгенерированного ключа, необходимого другим сайтам для отправки резервных файлов, что ограничивает реальную возможность эксплуатации уязвимости.
Вместе с тем, плагин обычно применяется в процессе миграции сайтов и передачи резервных копий между хостами, поэтому администраторы, скорее всего, активируют эту функцию в какой-то момент, по крайней мере временно.
Исследователь Лукас Монтес (NiRoX) сообщил об этой уязвимости в Defiant 12 января. Основная причина найденной проблемы кровется в некорректной обработке ошибок при расшифровке RSA в сочетании с недостаточной проверкой пути.
В частности, если функция openssl_private_decrypt() завершается с ошибкой, плагин не останавливает выполнение, а вместо этого передает результат ошибки (false) в подпрограмму AES (Rijndael).
Криптографическая библиотека обрабатывает это как строку нулевых байтов, создавая предсказуемый ключ шифрования, который злоумышленник может использовать для создания вредоносных ПО, которые плагин сможет принять.
Кроме того, плагину не удается должным образом проверить имена загружаемых файлов, что позволяет осуществлять обход каталогов, а это открывает возможность записывать файлы за пределы предназначенного для резервного копирования каталога и загружать вредоносные PHP-файлы для RCE.
Defiant уведомила поставщика, WPVividPlugins, 22 января после подтверждения работоспособности предоставленного PoC, а 28 января было выпущено обновление в составе версии 0.9.124.
Оно включает в себя добавление проверки для остановки выполнения в случае сбоя расшифровки RSA, включение проверки чистоты имен файлов и ограничение загрузки только разрешенными типами файлов резервных копий, такими как ZIP, GZ, TAR и SQL.
Пользователям плагина WPvivid Backup & Migration для WordPress следует учитывать риски, связанные с этой уязвимостью, и как можно скорее обновиться до 0.9.124.
Новости про утечки данных, телефонные мошенничества и хакерские атаки уже кажутся постоянным фоном даже тем, кто не занимается кибербезопасностью. Но есть особенные истории, о которых долго говорит вся индустрия.
Пять таких кейсов собрал подкаст «Кибертрукрайм», первый эпизод которого выходит 4 февраля. Это нарративный подкаст — практически пять документальных аудиофильмов о кибератаках, которые стали частью истории мирового кибербеза. О том, как их расследовали, расскажет Kaspersky GReAT. Это команда, которая существует с 2008 года и занимается обнаружением и изучением самых непростых киберугроз во всех точках земного шара. Их репутация и авторитет настолько высоки, что злоумышленники периодически пытаются шпионить и за ними.
Как раз такой попытке посвящён первый эпизод. В нём Kaspersky GReAT рассказывают, как самые подкованные кибершпионы в мире пытались проникнуть в их устройства Apple и остаться незамеченными. Но все закончилось тем, что команда нашла у Apple четыре уязвимости, а о злоумышленниках написали в мировых новостях.
Но сначала команде пришлось исследовать тысячи строк кода, использовать клетки Фарадея и даже заклеивать камеры телефонов, чтобы шпионы не поняли, что их поймали. Крутая история, когда безопасность айфонов работает против жертвы кибератаки.
➡️ Слушаем на Яндекс.Музыке, в Apple Podcasts и на любой другой удобной платформе.
Apple выпустила экстренные обновления для устранения первой в этом году 0-day (в 2025 их было 7), которая задействовалась в «чрезвычайно изощренной атаке», нацеленной на узкий круг лиц на версиях iOS до 26.
Уязвимость отслеживается как CVE-2026-20700 и позволяет выполнять произвольный код в dyld, динамически подключаемом редакторе, используемом операционными системами Apple, включая iOS, iPadOS, macOS, tvOS, watchOS и visionOS.
В бюллетене Apple содержится предупреждение о том, что злоумышленник, обладающий возможностью записи в память, может выполнить произвольный код на затронутых устройствах.
В компании заявляют, что им известно о сообщениях о том, что эта уязвимость, наряду с CVE-2025-14174 и CVE-2025-43529, исправленными в декабре, была использована в одних и тех же инцидентах.
Apple приписала обнаружение CVE-2026-20700 Google TAG, но не предоставила никаких дополнительных подробностей о том, как именно она была использована.
К числу затронутых устройств относятся: iPhone 11 (и более поздние модели), iPad Pro 12,9 дюйма (3-го поколения), iPad Pro 11 дюймов (1-го поколения), iPad Air (3-го поколения), iPad (8-го поколения), iPad mini (5-го поколения и более поздних версий), а также Mac на macOS Tahoe.
Apple устранила уязвимость в iOS 18.7.5, iPadOS 18.7.5, macOS Tahoe 26.3, tvOS 26.3, watchOS 26.3 и visionOS 26.3.
Пользователям рекомендуется оперативно накатить последние обновления для защиты своих устройств.
Сингапурское агентство по кибербезопасности (CSA) выступило с официальным заявлением и обвинениями в адрес китайских хакеров, которым удалось взломать системы всех четырех крупнейших телекоммуникационных компаний страны - M1, SIMBA Telecom, Singtel и StarHub.
CSA приписала атаки APT-группе, которую они отслеживают как UNC3886. Названный инцидент произошел в прошлом году, с тех пор на протяжении 11 месяцев специалисты CSA пытались вытравить китайских кибершпионов из скомпрометированных сетей.
По версии следствия, злоумышленники украли «небольшое количество технических данных» в рамках подготовки в будущим кампаниям, при этом расследователи, как заявляется, не обнаружили доказательств кражи личных данных клиентов.
Предполагается, что для обеспечения постоянного присутствия в сети использовались 0-day в межсетевых экранах телекоммуникационных компаний и руткиты.
Согласно представленным отчетам Google, Sygnia и Trend Micro (1, 2 и 3 соответственно), APT-группа имеет большой опыт по части умелого применения уязвимостей в сетевом и корпоративном оборудовании Fortinet, Juniper, Ivanti SecureConnect, а также VMware ESXi и vCenter.
Как отмечается, UNC3886 считается одной из самых активных китайских шпионских группировок за последние два-три года, наряду с более известной Salt Typhoon, еще одной китайской APT-группировкой, специализирующейся на взломе телекоммуникационных компаний.
Учитывая столь продолжительный период локализации инцидента, можно констатировать, что достичь своих целей китайским хакерам определено удалось.
Исключать их возвращения не стоит, но пока основные усилия будут направлены на реализации полученных данных в ходе дальнейших наступательных операций. Но будем посмотреть.
Исследователи Flare обнаружили ботнет под управлением Linux под названием SSHStalker, который задействует протокол связи IRC (Internet Relay Chat) для организации C2.
Он был разработан еще в 1988 году, а пик его распространения пришелся на 1990-е годы, став основным текстовым средством обмена мгновенными сообщениями для группового и личного общения.
Технические сообщества по-прежнему ценят его за простоту реализации, совместимость, низкие требования к пропускной способности и отсутствие необходимости в графическом интерфейсе пользователя.
SSHStalker использует классические механизмы IRC вместо современных C2-фреймворков, отдавая приоритет отказоустойчивости, масштабируемости и низкой стоимости, а не скрытности и технической новизне.
По данным исследователей, этот подход распространяется и на другие особенности работы SSHStalker, такие как использование «шумных» SSH-сканирований, заданий cron с интервалом в одну минуту и обширный каталог уязвимостей CVE 15-летней давности.
Во Flare его описывают как громоздкий, кое-как собранный ботнет, сочетающий в себе управление IRC из старой школы, компиляцию бинарных файлов на хостах, массовый взлом SSH и сохранение активности на основе cron. Другими словами, в этой масштабируемая операция - надежность важнее скрытности.
SSHStalker получает первоначальный доступ посредством автоматического сканирования SSH и брута паролей, используя исполняемый файл на Go, который маскируется под популярную утилиту nmap.
Затем скомпрометированные хосты используются для сканирования на наличие дополнительных целей SSH, что напоминает механизм распространения ботнета, подобный червю.
Исследователи Flare также заметили файл с результатами почти 7000 сканирований ботов, проведенных в январе и в основном направленных на поставщиков облачного хостинга в инфраструктуре Oracle Cloud.
После заражения устройства вредоносной ПО SSHStalker она загружает на него инструмент GCC для компиляции вредоносных ПО, что обеспечивает лучшую персистентность и обход защиты.
Первыми полезными нагрузками являются IRC-боты на языке C с жестко запрограммированными серверами С2, которые подключают новую жертву к IRC-инфраструктуре ботнета.
Далее вредоносная ПО загружает архивы с именами GS и bootbou, содержащие варианты ботов для организации и последовательности выполнения.
Постоянное сохранение обеспечивается с помощью заданий cron, которые запускаются каждые 60 секунд, активируя механизм обновления, подобный таймеру, который проверяет, запущен ли основной процесс бота, и перезапускает его, если он завершен.
Ботнет также содержит эксплойты для 16 уязвимостей CVE, нацеленных на все версии ядра Linux 2009-2010 годов, что обеспечивает повышение привилегий.
По части монетизации во Flare заметили, что ботнет реализует сбор ключей AWS и сканирование сайтов, а также включает в себя наборы для майнинга крипты (в том числе Ethereum PhoenixMiner).
Также функционал позволяет проводить DDoS, н подобные активности исследователи не наблюдали. Фактически, боты SSHStalker к настоящему времени просто подключаются к C2, а затем переходят в режим ожидания.
Так что пока Flare не приписала SSHStalker какой-либо конкретной группе угроз, но тем не менее, отметила сходство с экосистемой ботнетов Outlaw/Maxlas.
В рамках февральского PatchTuesday в этом месяце Microsoft устранила 58 уязвимостей, в том числе 6 активно используемых и трех публично раскрытых 0-day: CVE-2026-21510, CVE-2026-21514, CVE-2026-21513, CVE-2026-21519, CVE-2026-21533 и CVE-2026-21525.
В новом обновлении также исправлены пять критических уязвимостей, три из которых связаны с EoP, а две - с раскрытием информации. В целом распределение по категориям выглядит следующим образом: 25 - EoP, 5 - обход функции безопасности, 12 - RCE, 6 - раскрытие информации, 3 - DoS и 7 - подмена данных.
Кроме того, 3 уязвимости исправлены в Microsoft Edge, обновлены сертификаты Secure Boot, которые заменят оригинальные от 2011 года, срок действия которых истекает в июне 2026 года, а также выпущены расширенные обновления безопасности Windows 10.
Среди нулей на этот раз кучно:
- CVE-2026-21510: обход запросов безопасности Windows SmartScreen и Windows Shell.
Проблема позволяет обойти функцию безопасности Windows и может быть активирована при открытии специально созданной ссылки или файла ярлыка. Вероятно, приводит к обходу Mark of the Web.
Злоумышленник может обойти запросы безопасности Windows SmartScreen и Windows Shell, используя некорректную обработку в компонентах Windows Shell, что позволяет выполнять контент, контролируемый злоумышленником, без предупреждения или согласия пользователя.
Обнаружение приписывается Microsoft MSTIC и MSRC, группе безопасности Office, Google и анонимному исследователю, которые также раскрыли
CVE-2026-21513 и CVE-2026-21514.
- CVE-2026-21513: уязвимость в Internet Explorer для обхода средств защиты и потенциального выполнения кода через вредоносные HTML- или LNK-файлы.
Уязвимость связана со сбоем в механизме защиты MSHTML Framework, открывая неавторизованному злоумышленнику возможность обойти функцию безопасности в сети. Данные о том, как именно она была использована не раскрываются.
- CVE-2026-21514: уязвимость в Microsoft Word, позволяющая злоумышленнику обойти меры защиты OLE.
Для эксплуатации злоумышленнику необходимо отправить пользователю вредоносный файл Office и убедить его открыть его.
Microsoft заявляет, что уязвимость невозможно использовать в панели предварительного просмотра Office. Поскольку никаких подробностей не было приведено, предполагается, что CVE-2026-21510, CVE-2026-21513 и CVE-2026-21514 могли быть использованы в рамках одной кампании.
- CVE-2026-21519: уязвимость повышения привилегий в диспетчере окон рабочего стола Windows.
Злоумышленник, успешно использовавший эту уязвимость, может получить системные привилегии. Никаких подробностей о том, как именно была совершена атака, не сообщается.
Microsoft упоминает лишь то, что обнаружение уязвимости приписывается центрам Microsoft MSTIC и MSRC.
- CVE-2026-21525: DoS-уязвимость в диспетчере подключений удаленного доступа Windows.
Разыменование нулевого указателя в диспетчере подключений удаленного доступа Windows позволяет неавторизованному злоумышленнику запретить локальное обслуживание.
Microsoft приписала обнаружение ACROS, работающей с 0patch.
Исследователи отыскали уязвимость в общедоступном репозитории вредоносного ПО в ходе поиска эксплойта для CVE-2025-59230, но он не осведомлены, как именно она используется в атаках. Однако качество комбинированного эксплойта для обеих уязвимостей говорит о «профессионально проделанной работе».
- CVE-2026-21533: EoP-уязвимость в службах удаленного рабочего стола Windows.
Неправильное управление привилегиями в Windows Remote Desktop позволяет авторизованному злоумышленнику повысить привилегии локально. Обнаружение приписывается CrowdStrike.
По данным CrowdStrike, эксплойт для CVE-2026-21533 изменяет ключ конфигурации службы, заменяя его ключом, контролируемым злоумышленником, что может позволить повысить привилегии и добавить нового пользователя в группу админов.
CrowdStrike не связывает эту активность с конкретным актором, но полагают, что разработчики эксплойта, вероятно, ускорят свои попытки использовать или перепродать его в ближайшее время.
Полное описание каждой уязвимости и затронутых ею систем - здесь.
Fortinet выпустила обновления для устранения критической уязвимости в FortiClientEMS, которая может привести к выполнению произвольного кода в уязвимых системах.
Проблема отслеживается как CVE-2026-21643 и имеет рейтинг CVSS 9,1 из 10 возможных. Она связана с неправильной нейтрализацией специальных элементов, используемых в уязвимости SQL-команды в FortiClientEMS, позволяя неавторизованному злоумышленнику выполнить несанкционированный код или команды с помощью специально сформированных HTTP-запросов.
Обнаружение приписывается Гвендалу Геньо из команды Fortinet. Недостаток затрагивает FortiClientEMS 7.4.4 (обновить до версии 7.4.5 или выше), FortiClientEMS 7.2 и FortiClientEMS 8.0 отмечены как незатронутые.
К настоящему времени Fortinet не упоминает об использовании этой уязвимости в реальных условиях, аналогично недавней CVE-2026-24858 в FortiOS, FortiManager, FortiAnalyzer, FortiProxy, FortiWeb, позволявшей злоумышленнику с учетной записью FortiCloud и зарегистрированным устройством входить в систему на других устройствах с активной FortiCloud SSO.
Впоследствии Fortinet признала, что злоумышленники активно использовали ее для создания локальных админских учетных записей для постоянного доступа, внесения изменений в конфигурацию, предоставляющих доступ к VPN, и кражи конфигурационных данных межсетевого экрана.
Исследователи Huntress Security сообщают об обнаружении вредоносной активности, связанной с нацеливанием на уязвимости в SolarWinds Web Help Desk (WHD) для развертывания легитимных инструментов удаленного мониторинга и управления Zoho ManageEngine.
Злоумышленник атаковал как минимум три организации, а также использовал туннели Cloudflare для обеспечения постоянного доступа к системе и Velociraptor для C2. Все в рамках общей кампании, начавшейся 16 января и использующей недавно обнаруженные уязвимости SolarWinds WHD.
По данным компании, злоумышленник использовал уязвимости CVE-2025-40551, которые CISA на прошлой неделе отметила как используемые в атаках, а также CVE-2025-26399.
Обе проблемы безопасности получили критическую оценку серьезности и могут быть использованы для RCE на хост-машине без аутентификации.
Свою очередь, исследователи Microsoft также задетектили «многоэтапное вторжение, в ходе которого злоумышленники использовали доступные через интернет экземпляры SolarWinds Web Help Desk (WHD)», но не подтвердили использование обеих уязвимостей.
Получив первоначальный доступ, злоумышленник установил агент Zoho ManageEngine Assist с помощью MSI-файла, загруженного с файловой платформы Catbox.
Затем настроил инструмент для автоматического доступа и зарегистрировал скомпрометированный хост в учетной записи Zoho Assist, привязанной к анонимному Proton Mail.
Этот инструмент используется для непосредственной ручной работы и разведки Active Directory (AD), также применяется для развертывания Velociraptor, загружаемого в виде MSI-файла из хранилища Supabase.
Velociraptor - это легитимный инструмент DFIR, который, как недавно предупредила Cisco Talos, активно используется не по назначению в атаках с применением ransomware.
В наблюдаемых Huntress атаках, платформа DFIR используется в качестве системы C2, которая взаимодействует с злоумышленниками через Cloudflare Workers.
Исследователи отмечают, что злоумышленник использовал устаревшую версию Velociraptor, 0.73.4, которая имеет EoP-уязвимости, позволяющие увеличить права доступа к хосту.
Злоумышленник также установил Cloudflared из официального репозитория на GitHub, используя его в качестве дополнительного канала доступа на основе туннелей для обеспечения резервирования C2.
В некоторых случаях сохранение доступа обеспечивалось с помощью запланированной задачи (TPMProfiler), которая открывает бэкдор SSH через QEMU.
Атакующие также отключили Windows Defender и брандмауэр с помощью изменений в реестре, гарантируя загрузку дополнительных вредоносных ПО.
Системным администраторам рекомендуется обновить SolarWinds Web Help Desk до версии 2026.1 или более поздней, отключить доступ к административным интерфейсам через публичный интернет и сбросить все учетные данные, связанные с продуктом.
Huntress также поделилась правилами Sigma и IOCs, которые помогают обнаруживать активность туннелей Zoho Assist, Velociraptor, Cloudflared и VS Code, скрытые установки MSI и зашифрованное выполнение PowerShell.
Пока ни Microsoft, ни Huntress не связали наблюдаемые атаки с какими-либо конкретными группами угроз или другими подробностями по части мотивации актора.
Группа исследователей из ETH Zurich выкатила результаты нового исследования, согласно которому многие облачные менеджеры паролей, включая Bitwarden, LastPass, Dashlane и 1Password, уязвимы для компрометации хранилища при использовании вредоносного сервера.
Проанализировав популярные менеджеры паролей, исследователи нашли способы, с помощью которых злоумышленники могут скомпрометировать хранилища паролей пользователей и получить доступ к конфиденциальным данным.
При этом устойчивость к внешним или клиентским атакам не тестировалась, вместо этого в фокусе оказалось - шифрование с нулевым разглашением - модель безопасности, при которой поставщик услуг не имеет доступа к зашифрованным данным пользователя, и данные должны быть защищены даже в случае компрометации серверов поставщика.
В связи с этим в ETH Zurich провели анализ популярных облачных менеджеров паролей, исходя из предположения, что серверы, хранящие пользовательские хранилища, являются «полностью вредоносными».
На каждом из указанных менеджеров обкатывались различные типы атак, направленных на снижение уровня безопасности, подрыва ожидаемой защиты и полной компрометации учетных записей пользователей.
Эксперты сосредоточились на восстановление учетных записей и входе через SSO, а также на функциях, разработанных для обеспечения обратной совместимости.
Они проводили атаки, используя некорректную целостность хранилища и полагаясь на функцинал совместного использования, который позволяют семьям или предприятиям использовать одни и те же учетные данные.
Почти в каждом из исследованных менеджеров исследователям удалось добиться компрометации хранилища, включая полную компрометацию (Bitwarden и LastPass), а также компрометацию общего хранилища (Dashlane).
Причем они на практике продемонстрировали, что во многих случаях злоумышленник способен не только просмотреть учетные данные пользователей, но и модифицировать их.
Некоторые их поставщиков отметили, что методы атаки, реализованные исследователями, требуют полного взлома серверов менеджера паролей и продвинутых навыков для осуществления криптографических атак.
Dashlane считает, что для получения ряда представленных результатов необходимы «либо особые обстоятельства, либо чрезвычайно значительный промежуток времени».
Кроме того, в случае обмена данными и шифрования симметричных ключей с помощью открытых ключей получателя, как и в большинстве систем сквозного шифрования (E2EE) с участием сервера, создает структурную зависимость от подлинности каталога открытых ключей.
При подмене открытого ключа злоумышленник получить доступ к содержимому общих файлов, зашифрованных с помощью вредоносного открытого ключа, а это, как полагают в Dashlane, уже широко распространенная в отрасли проблема.
Тем не менее, после уведомления поставщики выпустили исправления и меры по устранению многих уязвимостей, но отметив, что некоторые проблемы решить достаточно затруднительно.
В свою очередь, Bitwarden отметила, что из 10 выявленных проблем, выявленных (каждая из которых оценена как имеющая среднее или низкое влияние), семь были или находятся в процессе устранения.
Однако три из этих недостатков «были признаны преднамеренными проектными решениями, необходимыми для обеспечения функциональности продукта».
LastPass также «высоко оценило» проведенное исследование, но также выразила несогласие с некоторыми оценками исследователей, однако внедрила ряд краткосрочных мер по усилению защиты, а также разработала планы по исправлению соответствующих компонентов.
В 1Password считают, что выявленные исследователями векторы атак уже были задокументированы в общедоступном документе компании «Security Design White Paper». Компанией используется технология SRP для аутентификации пользователей без передачи ключей шифрования, что помогает смягчить целые классы атак на стороне сервера.
Резко набирающий тренд повсеместного внедрения агентного ИИ-помощника OpenClaw также оседлали в киберподполье, представители которого уже успели разработать инфостилер, нацеленный на эту платформу для кражи ключей API, токенов аутентификации и другие секретов.
OpenClaw (ранее ClawdBot и MoltBot) - это локально работающая платформа для ИИ-агентов с поддержкой постоянной конфигурации и среды памяти на компьютере пользователя.
Инструмент способен получать доступ к локальным файлам, входить в почтовые и коммуникационные приложения на хосте, а также взаимодействовать с онлайн-сервисами.
С момента своего выпуска OpenClaw получил широкое распространение по всему миру: пользователи стали активно полагаться на него для решения повседневных задач и в качестве ИИ-помощника.
Однако вслед за стремительной популярностью фреймворка возросли и связанные с ним риски, прежде всего по части потенциальной уязвимости для атак, нацеленных на конфигурационные файлы с секретными ключами аутентификации для доступа к облачным сервисам и платформам ИИ.
В свою очередь, Hudson Rock удалось задокументировать первый в реальных условиях инцидент с кражей файлов, связанных конфигурационной средой OpenClaw, с целью извлечения содержащихся в них секретов.
Таким образом, индустрия инфокрадов реализует переориентирование: с краж учетных данных браузера на персональные агенты ИИ.
Причем в HudsonRock предсказывали это еще в конце прошлого месяца, называя OpenClaw «новой более привлекательной целью для инфостилеров», в виду крайне конфиденциальных данных, с которыми работают агенты, и их относительно слабой защиты.
Как полагают в Hudson Rock, по всей видимости, в поле зрения исследователей попал одна из модификации Vidar.
При этом вредоносная ПО не нацелена конкретно на OpenClaw, а вместо этого выполняет обширную процедуру кражи файлов, сканируя их на наличие конфиденциальных файлов и каталогов, содержащих ключевые слова, такие как «токен» и «закрытый ключ».
Поскольку файлы в конфигурационном каталоге openclaw содержали и эти, и другие ключевые слова, вредоносная ПО их отработала. Среди них оказались следующие:
- openclaw.json (раскрыт адрес электронной почты жертвы, путь к рабочему пространству и токен аутентификации шлюза, что может позволить удаленное подключение к локальному экземпляру OpenClaw или выдачу себя за другого клиента в аутентифицированных запросах).
- device.json (содержал как publicKeyPem, так и privateKeyPem, используемые для сопряжения и подписи, которые позволяют обходить проверки «безопасного устройства» и получать доступ к зашифрованным журналам или облачным сервисам).
- soul.md, AGENTS.md, MEMORY.md (определяют поведение агента и хранят постоянные контекстные данные, включая журналы ежедневной активности, личные сообщения и события календаря).
Проанализировав все данные, в HudsonRock пришли к выводу, что украденных данных оказалось достаточно для потенциальной полной компрометации цифровой личности жертвы.
Исследователи прогнозируют, что злоумышленники будут и дальше фокусироваться на OpenClaw по мере того, как этот инструмент будет все глубже интегрироваться в профессиональные рабочие процессы и получать новый функционал.
Microsoft раскрыла подробности новой версии ClickFix, в которой злоумышленники обманом заставляют ничего не подозревающих пользователей запускать команды, выполняющие поиск в DNS для получения следующего этапа вредоносного кода.
Атака основана на использовании команды nslookup (nameserver lookup) для выполнения пользовательского поиска DNS через диалоговое окно "Выполнить" в Windows.
ClickFix остается достаточно популярным в киберподполье методом, традиционно реализуемым посредством фишинга, вредоносной рекламы или вредоносных ПО, часто перенаправляющих жертв на фейковые целевые страницы с фальшивой проверкой CAPTCHA или специальными инструкциями для выполнения команд через «Выполнить» в Windows или «Терминал» в macOS.
Этот метод получил широкое распространение за последние два года, поскольку основан на заражении жертвами собственных компьютеров вредоносным ПО, позволяя злоумышленникам обходить средства защиты.
Эффективность социнженерного ClickFix оказалась настолько высока, что привела к появлению сразу нескольких разновидностей, включая FileFix, JackFix, ConsentFix, CrashFix и GlitchFix.
В последней наблюдаемой версии развертывания на основе DNS с использованием ClickFix начальная команда выполняется через cmd.exe и осуществляет поиск DNS-сервера, жестко заданного внешним DNS-сервером, а не стандартным системным резолвером.
При этом вывод фильтруется для извлечения DNS-ответа Name:, который выполняется в качестве полезной нагрузки второго этапа.
Microsoft отмечает, что новая разновидность ClickFix задействует DNS в качестве «легковесного канала для подготовки или передачи сигналов», позволяя злоумышленнику получить доступ к контролируемой инфраструктуре, а также создать новый уровень проверки перед выполнением полезной нагрузки второго этапа.
Такое использование DNS снижает зависимость от традиционных веб-запросов и может обеспечить интеграцию вредоносной активности в обычный сетевой трафик.
Загруженная полезная нагрузка впоследствии запускает цепочку атак, которая приводит к загрузке ZIP-архива с внешнего сервера (azwsappdev[.]com).
Затем извлекается и запускается вредоносный скрипт на Python для проведения разведки, выполнения команд обнаружения и внедрения VBScript, ответственного за запуск ModeloRAT на основе Python, ранее распространявшегося через CrashFix.
Для обеспечения постоянного присутствия вредоносная ПО создает в папке автозагрузки Windows файл ярлыка, указывающий на VBScript, для автоматического запуска каждый раз при старте операционной системы.
Исследователи из Лаборатории Касперского продолжают отслеживать активность проукраинскую Head Mare, которая в период конца 2025 – начала 2026 года провернула новую кампанию.
Новая волна атак продемонстрировала дальнейшее развитие инструментария группировки. Ключевой находкой стал новый бэкдор PhantomHeart, который изначально распространялся в виде DLL-библиотеки, а позднее был переработан в PowerShell-скрипт.
PowerShell-бэкдор реализует канал удаленного доступа, сочетающий HTTP-коммуникацию с C2 и возможность развертывания SSH-туннеля по запросу оператора.
На этапе инициализации вредоносное ПО формирует идентификатор жертвы и затем использует его как для дальнейшей коммуникации с C2, так и для привязки конфигурации бэкдора к конкретному хосту.
Список управляющих серверов хранится в зашифрованном виде и расшифровывается во время выполнения. Для этого используется алгоритм AES-128-CBC, при этом ключ генерируется на основе MAC-адреса зараженной системы.
После расшифровки адресов PhantomHeart переходит в основной цикл взаимодействия с C2. Для обмена данными используются HTTP POST-запросы, содержащие вредоносную нагрузку в формате JSON. Запросы отправляются через встроенные PowerShell-механизмы.
Ключевой функциональной возможностью PhantomHeart является развертывание SSH-туннеля по указанию C2-сервера. Отдельного внимания заслуживает механизм закрепления: бэкдор запускался через планировщик задач под видом легитимного скрипта обновления, размещенного в директории LiteManager.
Новая волна активности Head Mare затронула широкий спектр российских компаний, включая как организации из госсектора, так и в строительной и промышленной отраслях.
Замеченный переход отражает стремление Head Mare активнее применять подход Living-off-the-Land и опираться на нативные механизмы Windows для постэксплуатации.
Такая стратегия прослеживается и в остальном арсенале группы: в рамках текущей кампании прокси-инструмент PhantomProxyLite, характерный для атак группы, также получил реализацию на PowerShell, сохранив при этом сохраняет ту же архитектурную логику.
Вместо фонового сервиса закрепление теперь осуществляется через задачу планировщика Windows с тем же именем, SSHService, настроенную на запуск при старте системы от имени учетной записи SYSTEM.
Кроме того, исследователи ЛК выявили новые кастомизированные утилиты с ограниченной, узкой функциональностью, используемые для закрепления в инфраструктуре жертв и повышения привилегий.
При этом подходы к первоначальному доступу остаются прежними. Head Mare продолжает эксплуатировать уязвимость в TrueConf Server, а в отдельных случаях - фишинговые рассылки, сочетая проверенные векторы проникновения с постепенно обновляемым арсеналом.
Выявленная активность Head Mare показывает, что группировка продолжает перестраивать свой инструментарий и цепочки атак.
Появление нового PhantomHeart и все более активное использование средств автоматизации позволяют ей реплицировать и масштабировать свои операции.
Все технические подробности и актуальные IOCs - в отчете.
Google выпустила экстренные обновления для устранения серьезной уязвимости в Chrome, которая активно задействуется в атаках в качестве 0-day (первая с начала этого года, в прошлом их было восемь).
CVE-2026-2441 связана с использованием памяти после освобождения в компоненте CSS, о ней сообщил исследователь Шахин Фазим, которому в прошлом году также приписывалось раскрытие ряда ошибок.
Уведомление об активно используемой уязвимости было направлено поставщику 11 февраля, всего за два дня до того, как она была исправлена.
Она обусловлена проблемой недействительности итератора в CSSFontFeatureValuesMap, реализации Chrome значений характеристик шрифтов CSS.
Успешная эксплуатация может позволить злоумышленникам вызвать сбои в работе браузера, проблемы с отображением, повреждение данных или другое непреждсказуемое поведение.
Как отмечается, патч CVE-2026-2441 решает «непосредственную проблему», но требуется доработка (483936078). Это свидетельствует о том, что текущее исправление может носить временный характер или же связанные дефекты все еще нуждаются в решении.
Google подтверждает, что ей известно об использовании 0-day в реальных условиях, но предоставить дополнительные подробности об этих инцидентах отказалась.
Однако, судя информации, предоставленной Google, эту уязвимость, вероятно, можно использовать для выполнения произвольного кода, заставив целевого пользователя перейти на вредоносный веб-сайт.
Однако код будет выполняться в изолированной среде, и для выхода из этой среды и полного захвата системы, вероятно, потребуется дополнительная уязвимость.
Компания устранила уязвимость для пользователей стабильного канала Desktop, и в ближайшие дни или недели новые версии будут распространяться для пользователей Windows, macOS (145.0.7632.75/76) и Linux (144.0.7559.75) по всему миру.
Ресерчеры из Лаборатории Касперского препарировали новый загрузчик вредоносного ПО под названием RenEngine, обнаруженный в сети в этом месяце.
Киберподполье достаточно часто продвигает зловреды под видом читов для игр и пиратского ПО, но случается так, что иногда таким образом распространяются сложные штаммы с применением продвинутых техник и запутанных цепочек заражения.
В феврале этого года исследователи Howler Cell обнаружили массовую кампанию по распространению пиратских игр, троянизированных образцом ранее неизвестного семейства вредоносного ПО.
Им как раз и оказался загрузчик RenEngine, который доставлялся на устройство при помощи модифицированной версии лаунчера игры на базе движка Ren’Py.
Решения ЛК детектируют угрозу как Trojan.Python.Agent.nb и HEUR:Trojan.Python.Agent.gen.
Как оказалось, на самом деле эта угроза не новая: решения ЛК начали детектировать первые образцы загрузчика RenEngine еще в марте 2025 года, когда таким образом распространялся инфостилер Lumma (Trojan-PSW.Win32.Lumma.gen).
В текущих наблюдаемых инцидентах в качестве конечной полезной нагрузки распространяется ACR Stealer (Trojan-PSW.Win32.ACRstealer.gen).
Тогда в марте 2025 года злоумышленники распространяли вредоносное ПО под видом взломанной игры на популярном игровом ресурсе с двумя кнопками: Free Download Now и Direct Download: функциональность была одинаковой - пользователя перенаправляли в MEGA для укачивания архива с «игрой».
При запуске «игры» процесс загрузки якобы останавливается, достигнув 100%. Можно было подумать, что игра зависла, но это не так - «настоящий» вредоносный код только что начал свою работу.
Проанализировав исходные файлы, ЛК обнаружила скрипты на Python, которые начинают первоначальное заражение устройства, имитируя бесконечную загрузку игры.
Кроме того, в них содержатся функции обхода песочницы is_sandboxed и расшифровки вредоносной нагрузки xor_decrypt_file.
При помощи последней скрипт расшифровывает ZIP, распаковывает его содержимое в директорию .temp и запускает распакованные файлы.
Всего в директорию .temp грузятся пять файлов.
Исполняемый DKsyVGUJ.exe не является вредоносным, а является легитимным приложением для систематизации генеалогических данных с оригинальным именем Ahnenblatt4.exe.
Библиотека borlndmm.dll также не содержит вредоносный код, реализуя необходимый для запуска ехе-файла менеджер памяти.
Другая библиотека, cc32290mt.dll, содержит пропатченный злоумышленниками участок кода, перехватывающий управление при запуске приложения и развертывающий в памяти процесса первую стадию вредоносной нагрузки.
В качестве «контейнера» для запуска первой стадии вредоносной нагрузки используется системная библиотека dbghelp.dll.
Она перезаписывается в памяти расшифрованным шелл‑кодом, полученным из файла gayal.asp, при помощи библиотеки cc32290mt.dll.
Полученная нагрузка является загрузчиком HijackLoader - относительно новое средство доставки и развертывания вредоносной нагрузки, впервые обнаруженное летом 2023 года.
Отличительной особенностью этого семейства является модульность и гибкость настроек.
Внедрение итоговой нагрузки осуществляется двумя разными способами в зависимости от параметров конфигурации вредоносного образца. Она представляет собой EXE-файл, а параметры конфигурации настроены на ее инъекцию в дочерний процесс explorer.exe.
В дополнение к сайтам с играми, в ЛК обнаружили, что злоумышленники создали десятки различных сайтов для распространения RenEngine под видом пиратских ПО.
Картина распространения этого загрузчика говорит о том, что атаки не носят целевой характер, а наибольшее число инцидентов зафиксировано в России, Бразилии, Турции, Испании и Германии.
Другие технические подробности, IOCs и рекомендации - в отчете.
GreyNoise сообщает о 417 сеансах эксплуатации недавно обнаруженной уязвимости в Ivanti Endpoint Manager Mobile (EPMM), совершенных с 8 IP в период 1-9 февраля, из которых 346 (83% от всех попыток) приходились на один 193.24.123[.]42 в хостинговой инфраструктуре PROSPERO.
Вредоносная активность нацелена на CVE-2026-1281 (CVSS: 9,8), одну из двух критических уязвимостей в EPMM, наряду с CVE-2026-1340, которая может быть использована злоумышленником для RCE.
В конце прошлого месяца Ivanti признала, что «очень ограниченное число клиентов» пострадало в результате эксплуатации 0-day.
С тех пор ряд европейских госструуктур, включая Управление по защите данных Нидерландов (AP), Судебный совет, Европейскую комиссию и финскую компанию Valtori, стали жертвами атак неизвестных злоумышленников, использующих эти уязвимости.
Дальнейший анализ показал, что на тот же хост одновременно отрабатывал три другие уязвимости в: CVE-2026-21962 (Oracle WebLogic) - 2902 сессии; CVE-2026-24061 (GNU InetUtils telnetd) - 497 сеансов и CVE-2025-24799 (GLPI) - 200 сеансов.
IP переключается между 300 уникальными строками пользовательских агентов, охватывающими Chrome, Firefox, Safari и множество вариантов ОС.
Как полагают в GreyNoise, такое разнообразие фингерпринтов в сочетании с одновременной эксплуатацией четырех несвязанных ПО соответствует признакам автоматизированного тестирования.
По некоторым данным, PROSPERO связан с другой автономной системой под названием Proton66, которая известна распространением вредоносных ПО для ПК и Android, включая GootLoader, Matanbuchus, SpyNote, Coper (Octo) и SocGholish.
GreyNoise также отметила, что в 85% случаев атаки осуществлялась через DNS для подтверждения того, что "цель пригодна для атаки", без развертывания вредоносного ПО или кражи данных.
Стоит отметить, что несколько дней ранее Defused Cyber также сообщила о кампании с использованием «спящей оболочки», в рамках которой в скомпрометированные экземпляры EPMM по пути /mifs/403.jsp был развернут неактивный загрузчик классов Java в оперативной памяти.
При этом обратные вызовы OAST указывают на то, что кампания нацелена на каталогизацию уязвимых целей, без развертывания полезных нагрузок, что может указывать на проведение операции первоначального доступа.
Пользователям Ivanti EPMM исследователи рекомендовали установить патчи, провести аудит инфраструктуры MDM, доступной из интернета, просмотреть журналы DNS на предмет обратных вызовов по шаблону OAST, отслеживать путь /mifs/403.jsp на экземплярах EPMM и заблокировать автономную систему PROSPERO (AS200593) на уровне периметра сети.
В свою очередь, Ivanti предоставила «высокоточные» IOCs, технический анализ на момент обнаружения угроз, а также скрипт для обнаружения эксплойтов, который был разработан совместно с NCSC-NL в рамках противодействии этой угрозе. И, еще новый мерч с коричневым оттенком.
Microsoft устранила RCE-уязвимость в Блокноте Windows 11, которая позволяла злоумышленникам запускать локальные или удаленные программы, обманом заставляя пользователей переходить по ссылкам Markdown без отображения каких-либо предупреждений безопасности.
Блокнот появился с выходом еще Windows 1.0 и представлял собой простой и удобный текстовый редактор, который с годами стал популярен для быстрого создания заметок, чтения текстовых файлов, составления списков дел или в качестве редактора кода.
Позже Microsoft предложила пользователям Windows Write с поддержкой различных шрифтов, размеров и инструментов форматирования, а затем и WordPad. Однако с выходом Windows 11 компания решила прекратить поддержку WordPad и удалить его из Windows.
Вместо этого Microsoft переписала Блокнот, объединив в нем функционал простого текстового редактора и редактора RTF, а также добавив поддержку Markdown, которая позволяет форматировать текст и вставлять кликабельные ссылки.
Поддержка Markdown позволяет Блокноту открывать, редактировать и сохранять файлы Markdown (.md), которые представляют собой традиционные текстовые файлы с простыми символами для форматирования текста, списками или ссылками.
В рамках февральского PatchTuesday Microsoft исправила серьезную уязвимость удаленного выполнения кода в Notepad, которая отслеживается как CVE-2026-20841.
Как отмечено в бюллетене, некорректная нейтрализация специальных элементов, используемых в команде («внедрение команд») в приложении Блокнот Windows позволяет неавторизованному злоумышленнику выполнять код по сети.
Microsoft приписала обнаружение уязвимости Кристиану Папе, Аласдеру Горняку и Чену.
Потенциальный злоумышленник может обманом заставить пользователя перейти по вредоносной ссылке внутри файла Markdown, открытого в Блокноте, что приведет к запуску приложением непроверенных протоколов, которые загружают и выполняют удаленные файлы.
Вредоносный код будет выполняться в контексте безопасности пользователя, открывшего файл Markdown, предоставляя злоумышленнику те же права доступа, что и этому пользователю.
Уязвимость вызвала широкий резонанс в социальных медиа после того, как исследователи выяснили, насколько легко ее использовать.
Все, что нужно было сделать, это создать файл Markdown, например test.md, и создать ссылки file://, указывающие на исполняемые файлы, или использовать специальные URI, такие как ms-appinstaller://.
При открытии этого файла Markdown в Блокноте Windows 11 версии 11.2510 и более ранних версиях и просмотре в режиме Markdown, приведенный выше текст отобразится как кликабельная ссылка.
При нажатии на ссылку с помощью Ctrl+Click файл будет автоматически запущен без предупреждения со стороны Windows, а что в Microsoft рассматривают как уязвимость удаленного выполнения кода.
Ведь это потенциально может позволить злоумышленникам создавать ссылки на файлы в удаленных SMB-ресурсах, которые затем будут выполняться без предупреждения.
После исправления уязвимости в Блокноте Windows 11 при нажатии на ссылку отображаются предупреждения, если она не использует протокол http:// или https://. Это также касается таких типов ссылок URI, как file, ms-settings, ms-appinstaller, mailto и ms-search.
Правда непонятно, почему Microsoft просто не заблокировала нестандартные ссылки, оставляя возможность для применения методов социнженерии, чтобы заставить пользователей одобрить соответствующие запросы.
Исследователи из Лаборатории Касперского выкатили свой ежегодный отчет с аналитикой по спаму и фишингу за 2025 год (предыдущие исследования за: 2021, 2022, 2023 и 2024).
Основная статистика представлена следующим образом:
- 44,99% писем по всему миру и 43,27% писем в Рунете были спамом;
- 32,50% всех спам-писем были отправлены из России;
- Почтовый антивирус ЛК заблокировал 144 722 674 вредоносных почтовых вложений;
- Система «Антифишинг» предотвратила 554 002 207 попыток перехода по фишинговым ссылкам.
В целом, ландшафт фишинга и скама изменился. В 2024 году наблюдалось множество массовых атак, а в 2025 их частота сократилась. Кроме того, в 2024 году онлайн-мошенники часто использовали схемы с редиректами, тогда как в 2025 этот инструмент оказался менее распространенным.
Страной с наибольшим процентом пользователей, столкнувшихся с фишинговыми атаками, остается Перу (17,46%). Второе место занимает Бангладеш (16,98%), а третье - Малави (16,65%). Далее - Тунис (16,19%), Колумбия (15,67%), Бразилия (15,48%) и Эквадор (15,27%).
В 2025 году, в отличие от тенденции, сохранявшейся на протяжении нескольких последних лет, большинство фишинговых страниц размещалось в доменной зоне XYZ - 21,64%, что в три раза больше показателя 2024 года.
Второй по популярности оказалась зона TOP (15,45%), после которой следует BUZZ (13,58%). На четвертой строчке расположился домен COM (10,52%), ранее занимавший первое место рейтинга. Такое снижение частично вызвано популярностью атак с использованием тайпсквоттинга).
Фишинговые страницы, имитирующие веб-сервисы (27,42%) и глобальные интернет-порталы (15,89%), не изменили свои позиции в TOP 10: они по-прежнему занимают первое и второе место соответственно.
Традиционно популярные у злоумышленников онлайн-магазины вернулись на третью строчку с долей 11,27%. В 2025 году интерес фишеров возрос к пользователям онлайн-игр: веб-сайты, имитирующие игровые, поднялись с девятой строчки рейтинга на пятую (7,58%).
За ними следуют банки (6,06%), платежные системы (5,93%), мессенджеры (5,70%) и службы доставки (5,06%). Также фишинговые атаки были нацелены на учетные записи в соцсетях (4,42%) и госсервисах (1,77%).
В 2025 году средняя доля спама в мировом почтовом трафике составила 44,99%, что на 2,28 п. п. меньше значения предыдущего года. В российском сегменте наблюдалось более значительное снижение: средняя доля спама сократилась на 5,3 п. п. и составила 43,27%.
Первые три страны в рейтинге 2025 года по количеству отправляемого спама повторяют распределение предыдущего года: это Россия, Китай и США. На четвертое место поднялась Германия (3,46%), ранее занимавшая шестую строчку, сместив Казахстан с долей 2,89%.
Как полагают исследователи, 2026 год определенно ознаменуется новыми способами злоупотребления технологией ИИ. Аккаунты мессенджеров останутся все такой же желанной добычей для злоумышленников.
Появление новых схем не исключит использования старых уловок и приемов, а это значит, что помимо использования надежного ПО необходимо соблюдать бдительность и внимательно относиться к любым предложениям в сети, которые могут вызвать хотя бы минимальное подозрение.
Повышенный интерес злоумышленников к кредам для порталов госуслуг сигнализирует об увеличении потенциального ущерба: доступ к таким сервисам может привести к краже средств, данных и личности.
Участились случаи злоупотребления легитимными инструментами и многоуровневые атаки, которые начинаются с безобидных файлов или ссылок: мошенники пытаются усыпить бдительность пользователей, в итоге преследуя злонамеренные цели.
В целом, отчет достаточно объемный, включает много инфографики и примеров, так что настоятельно рекомендуем ознакомиться в оригинале.
🎩Кибершпионы стали в два раза чаще атаковать 🇷🇺инженерные предприятия
По данным портала киберразведки BI.ZONE Threat Intelligence, доля атак на российские организации, совершаемых с целью шпионажа, значительно выросла. В 2025 году этот показатель составил 37%, тогда как в 2024 году — только 21%.
🥷❗️С целью шпионажа совершается уже не каждая пятая, а каждая третья кибератака.
В киберподполье активно продвигается новая коммерческая платформа для слежки за мобильными устройствами ZeroDayRAT, которая позиционируется как инструмент, обеспечивающий полный удаленный контроль над скомпрометированными устройствами Android и iOS.
Вредоносная ПО предоставляет покупателям полнофункциональную панель для управления зараженными устройствами, которая, как сообщается, поддерживает Android с 5 по 16 и iOS до версии 26 включительно.
Препарировали новинку исследователи iVerify, которые полалагют, что ZeroDayRAT не только крадет данные, но и позволяет осуществлять слежку в режиме реального времени и совершать финансовые кражи.
Согласно данным iVerify, панель управления отображает перечень скомпрометированных устройств, а также информацию о модели, версии ОС, состоянии батареи, данных SIM-карты, стране и состоянии блокировки.
Вредоносная ПО может регистрировать использование приложений, хронологию активности, обмен SMS и предоставлять оператору общий обзор.
На других вкладках панели отображаются все полученные уведомления, а также представленные на зараженном устройстве учетные записи, включая адреса электронной почты и идентификатора пользователя, что потенциально открывает возможности для брута и угона аккаунтов.
В случае наличия разрешений на доступ к GPS вредоносная ПО также позволяет отслеживать жертву в режиме реального времени и отображать ее текущее местоположение на Google Maps с полной историей перемещений.
Помимо пассивной регистрации данных ZeroDayRAT также поддерживает активные операции, включая активацию камер (фронтальной и тыловой) и микрофона для получения доступа к видеопотоку в реальном времени, или же запись экрана жертвы для раскрытия других секретов.
Более того, если права доступа к SMS защищены, вредоносная ПО может перехватывать входящие одноразовые пароли (OTP), что позволит обойти 2Fa, а также отправлять SMS с устройства жертвы.
Разработчик вредоносного ПО также включил в программу кейлоггер, способный считывать ввод пользователя, например, пароли, жесты или графические ключи разблокировки экрана.
Помимо этого ZeroDayRAT содержит модуль для кражи криптовалюты, который активирует сканер приложений-кошельков для поиска MetaMask, Trust Wallet, Binance и Coinbase, регистрирует идентификаторы и балансы кошельков, а также реализует подмену адресов из буфера обмена.
Кроме того, ZeroDayRAT позволяет нацеливаться на банковские приложения, платформы UPI, такие как Google Pay и PhonePe, а также платежные сервисы Apple Pay и PayPal. Кража учетных данных происходит путем наложения поддельных экранов.
В iVerify не уточнили конкретные способы распространения вредоносного ПО, но отметили, что ZeroDayRAT поддерживает полноценный набор инструментов для компрометации различных мобильных устройств.
Intel в сотрудничестве с Google реализовала проверку безопасности своей технологии Trust Domain Extensions (TDX), в результате которой были обнаружены десятки уязвимостей и ошибок.
TDX - аппаратная технология вычислений, предназначенная для защиты конфиденциальных рабочих нагрузок и данных в облачных и многопользовательских средах, даже от взлома гипервизора или действий инсайдеров.
Intel TDX создает конфиденциальные виртуальные машины (также называемые доверенными доменами или TD), которые представляют собой аппаратно изолированные виртуальные машины, обеспечивающие надежную защиту как конфиденциальности, так и целостности данных.
Google Cloud Security в течение пяти месяцев сотрудничала с исследователями Intel INT31, используя ручной анализ кода, собственные инструменты и готовые решения на основе ИИ для анализа кода модуля TDX 1.5, который обрабатывает высокоуровневые функции TDX.
В результате анализа было выявлено пять уязвимостей, а также 35 ошибок, слабых мест и потенциальных проблем, которые следует устранить для повышения уровня безопасности.
Intel устранила все уязвимости, опубликовав соответствующее уведомление по безопасности и выпустив версию 1.5 TDX, которая также включает две новые функции: Live Migration и Trust Domain Partitioning.
Выявленные проблемы отслеживаются как CVE-2025-32007, CVE-2025-27940, CVE-2025-30513, CVE-2025-27572 и CVE-2025-32467 и могут быть использованы для EoP и раскрытия информации.
В свою очередь, Google обращает внимание на CVE-2025-30513, которая позволяет ненадёжному оператору полностью скомпрометировать гарантии безопасности TDX.
В частности, CVE-2025-30513 способна преобразовывать мигрируемый TD в отлаживаемый TD в процессе миграции при импорте его неизменяемого состояния.
После срабатывания все расшифрованное состояние TD становится доступным с хоста. На этом этапе злонамеренный хост может создать другой TD с расшифрованным состоянием или осуществлять мониторинг в режиме реального времени.
Поскольку миграция может произойти в любой момент жизненного цикла TD, атака может быть выполнена после завершения аттестации TD, что гарантирует наличие секретов в его состоянии.
По результатам своих изысканий Google выкатила полный технический отчет, а Intel у себя в блоге отразила общее описание исследовательского проекта.
Позитивы решили забомбить отчетами.
В продолжение к прошлому исследованию в отношении мировых трендов IT и ИБ, сложившихся в 2025 году, Позитивы представили свое видение будущего отрасли, исходя из обозначенных ранее тенденций.
Отчет объемен и не менее информативен, включая аналитику по массовым и целевым атакам, ИИ, двойному вымогательству, кроссплатформенным угрозам, вирусы-трансформерам, AV/EDR-киллерам, фишкитам, дипфейкам, социнженерии, вишингу, AllFix, уязвимостям/эксплойтам, новым угрозам на периметре, RMM-решениям и IAB 2.0.
Исследователи Positive Technologies также продолжают отслеживать и обозревать активность хакерских группировок, нацеленных на российские организации.
Новый отчет включает аналитику по двум основным направлениям: шпионской активности и финансово мотивированным атакам.
Основное внимание сосредоточено на выявлении и сопоставлении повторяющихся паттернов атак, TTPs и штаммов вредоносного ПО с ретроспективой (для более точной фиксации преемственности инструментов и изменений в тактике).
Такой подход позволил не только описать отдельные инциденты, но и подтвердить устойчивые паттерны группировок на примере сопоставимых цепочек, как это показано в материалах по APT31 и NetMedved.
Параллельно анализировалась эволюция инструментария группировок в динамике отчетного года, включая изменения в составе инструментов, способах закрепления и скрытного управления, а также в подходах к получению первичного доступа.
Наиболее показательным примером в этой части является ExCobalt, для которой характерна регулярная модификация компонентов и адаптация техник под конкретные инфраструктуры и условия эксплуатации.
Отдельно фиксировались кейсы активности группировок, ранее не проявлявших выраженного фокуса на российском направлении, включая кампании Silver Fox с использованием фишинговых уведомлений от государственных ведомств.
Накопленные наблюдения по инцидентам и инструментарию дополнены анализом общей динамики за 2025 год: рост числа атак и увеличение объема уникальных вредоносных семплов, ассоциированных с APT, указывают на ускорение цикла разработки и модификации вредоносного ПО.
Одним из факторов, влияющих на эту тенденцию, является расширение возможностей по созданию и адаптации кода с использованием LLM, которые упрощают разработку и повышают вариативность реализаций при сохранении типовых тактик и техник.
С учетом указанных тенденций квартальная аналитика обобщает краткие описания цепочек компрометации, используемых инструментов и ключевых IOCs для: АРТ31, ExCobalt, QuietCrabs, Rare Werewolf, PseudoGamaredon, а также Werewolves, NetMedved, Silver Fox и Hive0117.
Ivanti снова в тренде киберподполья: клиентам пора примерять новый фирменный мерч в коричневых тонах.
Управление по защите данных Нидерландов (AP) и Совет судебной власти официально подтвердили, что стали жертвами кибератак в виду эксплуатации недавно выявленных уязвимостей в Ivanti Endpoint Manager Mobile (EPMM).
Как сообщается, к рабочим данным сотрудников AP, включая установочные данные, адреса рабочей электронной почты и номера телефонов, получили доступ посторонние лица.
Немного ранее Европейская комиссия также сообщила о том, что ее центральная инфраструктура, управляющая мобильными устройствами, пострадала от кибератаки, которая могла привести к получению неправомерного доступа к именам и номерам телефонов ее сотрудников.
Инцидент был локализован в течение девяти часов, а компрометации мобильных устройств обнаружено не было.
Название поставщика при этом не называлось, но, предполагается, что это связано со вредоносной деятельностью, нацеленной на уязвимости в Ivanti EPMM.
Кроме того, финская госкомпания Valtori, предоставляющая информационные и коммуникационные технологии, также 30 января сообщила о взломе сервиса управления мобильными устройствами, в результате которого были раскрыты рабочие данные 50 000 госслужащих.
При этом, обновления были установлены 29 января, в тот же день, когда Ivanti выпустила исправления для CVE-2026-1281 и CVE-2026-1340 (CVSS: 9,8), которые потенциально могли быть использованы злоумышленником для несанкционированного RCE.
Ivanti в свойственной манере была вынуждена наконец признать, что уязвимости задействуется в качестве 0-day, но затрагивают «очень ограниченное число клиентов». Однако раскрыть точные данные о количестве жертв отказалась.
Расследование показало, что система управления не удаляла удаленные данные окончательно, а лишь помечала их как удаленные.
В результате данные устройств и пользователей, принадлежащие всем организациям, которые использовали сервис в течение его жизненного цикла, могли быть скомпрометированы.
В watchTowr полагают, что эти атаки не носят случайных характер, а скорее всего являются делом рук «высококвалифицированного, хорошо обеспеченного ресурсами злоумышленника, проводящего целенаправленную кампанию».
Впрочем, клиентов Ivanti уже ничем не удивить. Новый сезон приключений можно считать открытым.
BeyondTrust предупредила клиентов о необходимости устранения критической уязвимости в системе безопасности своего ПО для удаленной поддержки (Remote Support, RS) и привилегированного удаленного доступа (Privileged Remote Access, PRA).
Проблема отслеживается как CVE-2026-1731 и представляет собой уязвимость удаленного выполнения кода до аутентификации, которая обусловлена недостатком внедрения команд операционной системы.
Обнаружение приписывается Харшу Джайсуалу и команде Hacktron AI. Уязвимость затрагивает BeyondTrust Remote Support 25.3.1 или более ранние версии и Privileged Remote Access 24.3.4 или более ранние версии.
Злоумышленники, не обладающие привилегиями, могут использовать это для осуществления вредоносных запросов к клиенту. Успешная эксплуатация позволяет неавторизованному удалённому злоумышленнику выполнять команды ОС в контексте пользователя сайта.
При этом эксплуатация не требует аутентификации или взаимодействия с пользователем и может привести к компрометации системы, включая несанкционированный доступ, утечку данных и сбои в работе сервисов.
BeyondTrust обеспечила безопасность всех облачных систем RS/PRA к 2 февраля и рекомендовала всем клиентам, использующим локальные системы, вручную обновить их до Remote Support 25.3.2 и Privileged Remote Access 25.1.1 (или более поздней).
Как отмечают исследователи, приблизительно 11 000 экземпляров подключены к интернету (как облачные, так и локальные развертывания). При этом около 8500 из них - это локальные развертывания, которые остаются потенциально уязвимыми, если не будут установлены обновления.
BeyondTrust отметила, что на данный момент известных активных случаев эксплуатации уязвимости CVE-2026-1731 в реальных условиях не зафиксировано.
Однако в последние годы другие уязвимости безопасности BeyondTrust RS/PRA не раз становились объектами атак.
В частности, два года назад злоумышленники использовали украденный ключ API для компрометации 17 экземпляров SaaS-сервиса удаленной поддержки, взломав системы BeyondTrust с помощью двух 0-day RS/PRA (CVE-2024-12356 и CVE-2024-12686).
Тогда благодаря этим нулям под каток Silk Typhoon попало Министерство финансов США, у которого китайские хакеры выкрали информацию и конфиденциальные документы из взломанной системы BeyondTrust.
Так что, принимая во внимание, что у BeyondTrust более чем 20 000 клиентов в более чем 100 странах, включая 75% компаний из списка Fortune 100 по всему миру, новую CVE-2026-1731 в киберподполье точно будут отрабатывать. Но будем посмотреть.