39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Pillar Security сообщает о двух критических уязвимостях в n8n, которые могуь быть использованы для RCE и выхода из песочницы, что потенциально приведет к раскрытию всех учетных данных, хранящихся в базе данных n8n.
Первая ошибка, CVE-2026-27493 (CVSS 9,5), описывается как проблема внедрения выражений второго порядка, затрагивающая узлы Form платформы автоматизации рабочих процессов с открытым исходным кодом.
Успешная эксплуатация уязвимости позволяет неавторизованному злоумышленнику внедрить произвольные команды в поле Name и получить результат выполнения команды.
Уязвимость связана с ем, что n8n использовал два прохода оценки выражений для анализа пользовательского запроса, при этом полезная нагрузка злоумышленника оценивалась как новое выражение во время второго прохода.
По данным Pillar Security, эта уязвимость может быть связана со второй критической проблемой, которая отслеживается как CVE-2026-27577 (CVSS 9,4) и позволяет выйти за пределы песочницы n8n для выполнения команд на хосте.
Уязвимость обусловлена тем, что уязвимый узел работает на этапе компиляции, до запуска средств проверки работоспособности во время выполнения.
Обе уязвимости были устранены в конце февраля в n8n 2.10.1, 2.9.3 и 1.123.22.
Патч позволил устранить второй проход оценки выражений и некоторые ранее принятые параметры, включил несколько глобальных идентификаторов в список заблокированных идентификаторов песочницы и усилил анализ идентификаторов с учетом AST.
Обе проблемы затрагивали как локальные, так и облачные развертывания и могли быть использованы для извлечения всех учетных данных из баз данных n8n, включая ключи AWS, пароли, токены OAuth и ключи API.
Как отмечают в Pillar, по своей функции n8n - это хранилище учетных данных, где также располагаются ключи от каждой системы, к которой подключается. Единый выход из песочницы фактически открывает доступ к экземпляру n8n и каждой подключенной системе.
Поскольку конечные точки форм предназначены для доступа из интернета, CVE-2026-27493 может быть использована любым пользователем, отправившим всего одну форму и выполнившим GET-запрос.
В случае развертывания n8n Cloud и многопользовательских систем последствия выходят за рамки отдельного экземпляра.
Обход песочницы в n8n Cloud предоставляет доступ к общей инфраструктуре, создавая риск для разных пользователей: одна общедоступная форма в рабочем процессе одного пользователя может служить точкой входа.
WordFence предупреждает об уязвимости SQL-инъекции в плагине Ally для WordPress от Elementor с более чем 400 000 установками.
Уязвимость отслеживается как CVE-2026-2413 и получила высокий уровень серьезности. Обнаружение приписывается Дрю Вебберому (mcdruid) из компании Acquia.
CVE-2026-2413 затрагивает все версии Ally до 4.0.3 включительно и позволяет неавторизованному злоумышленнику внедрять SQL-запросы через путь URL из-за некорректной обработки предоставленного пользователем параметра URL в критической функции.
Проблема обусловлена недостаточным экранированием параметра URL, предоставленного пользователем, в методе get_global_remediations(), где он напрямую объединяется в оператор SQL JOIN без надлежащей проверки на соответствие контексту SQL.
Хотя функция esc_url_raw() применяется для обеспечения безопасности URL-адресов, она не предотвращает внедрение метасимволов SQL (одиночных кавычек, скобок).
Это позволяет неавторизованным злоумышленникам добавлять дополнительные SQL-запросы к уже существующим запросам, которые могут быть использованы для извлечения конфиденциальной информации из базы данных с помощью методов слепой SQL-инъекции, основанных на времени.
Wordfence отмечает, что использование уязвимости возможно только в том случае, если плагин подключен к учетной записи Elementor и активен модуль «исправление ошибок».
Исследователи подтвердили наличие уязвимости и сообщили о ней поставщику 13 февраля. Elementor исправил уязвимость в версии 4.1.0 (последней), выпущенной 23 февраля, а исследователю было выплачено вознаграждение в размере 800 долларов.
При этом по данным WordPress, только около 36% сайтов с плагином Ally, обновились до версии 4.1.0, так что более 250 000 до сих пор остаются уязвимыми для CVE-2026-2413.
Помимо обновления Ally до версии 4.1.0 администраторам также рекомендуется установить последнее обновление безопасности для WordPress, выпущенное вчера. WordPress 6.9.2 включает исправления 10 уязвимостей, включая XSS, обход авторизации и SSRF.
Исследователи CyFirma также сообщают об обнаружении нового высокоэффективного трояна для удаленного доступа к Android под названием TaxiSpy RAT, который четко нацелен на российские банки, торговые площадки и приложения.
Вредоносная ПО использует передовые методы обхода защиты, такие как шифрование с помощью встроенных библиотек, обфускация строк с помощью скользящего XOR и удаленное управление в реальном времени, аналогичное VNC.
TaxiSpy RAT использует собственную библиотеку sysruntime.so для выполнения критически важных операций, чтобы избежать статического анализа, а также постоянно меняющиеся ключи для адресов C2, учетных данных Firebase и данных конфигурации. Кроме того, скрывает инфраструктуру и конфиденциальные данные до момента выполнения.
Связь с сервером C2 (193.233.112[.]229) реализуется с использованием протоколов HTTP POST и WebSocket, поддерживая динамическое выполнение команд, формирование отчетов о результатах выполнения и обновление конфигурации бота.
Команды Firebase push позволяют TaxiSpy RAT осуществлять удаленное управление и обеспечивать сохранение данных.
Вредоносная ПО обфусцирует обмен данными между контроллером и управляющим устройством (C2) с помощью пользовательских процедур XOR и нелинейных шаблонов доступа к памяти.
Для предотвращения обнаружения используется постоянно меняющиеся ключи шифрования и расшифровка конфиденциальных данных в режиме реального времени.
При этом использует случайные имена пакетов и ориентирован на новейшие API Android, сохраняя при этом обратную совместимость.
Доступ в режиме реального времени, аналогичный VNC, осуществляется через WebSockets, используя API Accessibility и MediaProjection.
Операторы получают возможность фиксировать экран, PIN-коды и действия пользователя на экране блокировки или в банковских приложениях, а также удаленно выполнять действия и осуществлять наблюдение.
Механизмы сохранения и скрытности TaxiSpy RAT включают многоуровневое сохранение данных, сокрытие значка приложения и обход оптимизации батареи, чтобы оставаться активным на устройстве.
Ее конструкция позволяет осуществлять всесторонний мониторинг устройства, включая SMS-сообщения, журналы звонков, контакты, уведомления и мониторинг банковских приложений, что подчеркивает ее финансовую направленность и региональную специфичность.
Исследователи также отмечают операционную гибкость нового трояна, который поддерживает несколько архитектур ЦП: arm64-v8a, armeabi-v7a, x86_64.
Обладает функционалом создания ключей для отдельных участников кампании, обеспечивая разделение партнерских программ или использование одной и той же инфраструктуры С2 сразу несколькими участниками.
TaxiSpy RAT способна похищать различные типы данных на основе команд злоумышленника, включая конфиденциальные пользовательские данные, медиафайлы и метаданные приложений.
Как отмечают в CyFirma, троянская программа разработана для скрытого взлома российских пользователей, сбора конфиденциальной информации и обеспечения удаленного управления с помощью нативных программ и командной инфраструктуры на базе Firebase.
Широкие права доступа, многоуровневое закрепление и логика, нацеленная на приложения, демонстрируют стратегически ориентированную, финансово мотивированную угрозу, что делает ее значительным риском для российских пользователей и банковских систем.
Исследователи Лаборатории Касперского расчехлили новую вредоносную ПО для Android под названием BeatBanker.
Она позволяет захватывать устройства и мимикрирует под приложение Starlink на веб-сайтах, маскирующихся под официальный магазин Google Play.
BeatBanker сочетает в себе функции банковского трояна с поддержкой майнинга Monero, а также способна красть учетные данные и манипулировать криптовалютными транзакциями.
Обнаружить ЛК находку удалось в ходе кампаний, нацеленных на пользователей в Бразилии. Кроме того, установлено, что в последней версии вредоносного ПО вместо банковского модуля используется распространенный троян для удаленного доступа к Android под названием BTMOB RAT.
Он обеспечивает операторам полный контроль над устройством, возможность регистрации нажатий клавиш, записи экрана, доступа к камере, GPS-отслеживания и захвата учетных данных.
BeatBanker распространяется в виде APK-файла, который использует нативные библиотеки для расшифровки и загрузки скрытого кода DEX непосредственно в память с целью обхода защиты.
Перед запуском выполняется проверка окружения, после которой BeatBanker отображает фейковый экран обновления Play Store, чтобы обманом заставить жертв предоставить ей разрешение на установку дополнительных вредоносных ПО.
Чтобы избежать срабатываний, BeatBanker на некоторое время после установки приостанавливает вредоносные операции.
Как отмечают в ЛК, вредоносная ПО использует необычный метод для поддержания своего присутствия. В частности, непрерывно воспроизводит практически неслышимую 5-секундную запись китайской речи из MP3-файла с именем output8.mp3.
KeepAliveServiceMediaPlayback обеспечивает непрерывную работу, инициируя бесперебойное воспроизведение через MediaPlayer, поддерживая работу сервиса в фоновом режиме с помощью уведомлений и загружая небольшой непрерывный аудиофайл.
Это позволяет предотвращать приостановку или завершение процесса системой из-за бездействия.
BeatBanker использует модифицированный майнер XMRig версии 6.17.0, скомпилированный для устройств ARM, реализуя майнинг Monero.
XMRig подключается к контролируемым злоумышленниками майнинговым пулам, используя зашифрованные TLS-соединения, и переключается на прокси-сервер, если основной адрес не работает.
Запуск или остановка майнера могут осуществляться динамически в зависимости от состояния устройства, которое операторы тщательно отслеживают для обеспечения оптимальной работы и поддержания скрытности.
Используя Firebase Cloud Messaging (FCM), вредоносная ПО непрерывно отправляет на сервер C2 информацию об уровне заряда батареи и температуре устройства, состоянии зарядки, активности использования, а также о том, не перегрелось ли оно.
Останавливая майнинг во время использования устройства и ограничивая его физическое воздействие, BeatBanker может оставаться скрытой в течение более длительного периода, добывая криптовалюту, только когда позволяют условия.
На текущий момент все случаи заражения BeatBanker ЛК фиксируются только в Бразилии. Но не исключается, что они могут распространиться и на другие страны, если её эффективность будет реализована в этом сегменте.
Но будем посмотреть.
Подкатил мартовский PatchTuesday от Microsoft с исправлением 79 уязвимостей, включая 2 публично раскрытых 0-day.
В рамках обновлений также устранены три критические уязвимости, две из которых представляют собой RCE, а третья - связана с раскрытием информации.
В целом, распределение по категориям представлено следующим образом: 46 - EoP, 2 - обход функций безопасности, 18 - RCE, 10 - раскрытие информации, 4 - DoS, 4 - подмена данных.
Помимо указанных микромягкие в этом месяце закрыли 9 уязвимостей в Microsoft Edge, Mariner, Payment Orchestrator Service, Azure и Microsoft Devices Pricing Program, а также выпустили расширенные обновления безопасности Windows 10 (KB5078885).
К числу двух публично раскрытых нулей относятся:
- CVE-2026-21262: связана с некорректным контролем доступа в SQL Server и позволяет авторизованному злоумышленнику повысить свои привилегии в сети.
Как поясняют в Microsoft, эту проблему обнаружил Эрланд Соммарског, который поделился техническими подробностями у себя на сайте.
- CVE-2026-26127: уязвимость в архитектуре .NET, приводящую к DoS.
Разработчики Microsoft пояснили, что в результате чтения за пределами допустимого диапазона в .NET неавторизованный злоумышленник получает возможность запретить предоставление услуг по сети. Недостаток был приписан анонимному исследователю.
Microsoft также устранила две RCE-уязвимости (CVE-2026-26110 и CVE-2026-26113), обе в Microsoft Office, которые могут быть реализованы через панель предварительного просмотра. Поэтому пользователям следует, в первую очередь. обновить приложение.
Особый интерес представляет уязвимость раскрытия информации в Microsoft Excel (CVE-2026-26144), поскольку она может быть использована для кражи данных через Microsoft Copilot.
Злоумышленник, успешно применивший эту уязвимость, потенциально мог бы заставить Copilot Agent передавать данные через непреднамеренный сетевой трафик, что позволило бы осуществить атаку с раскрытием информации без единого клика.
Полный список с описанием каждой уязвимости и затронутых систем - здесь.
OpenAI приступила к развертыванию Codex Security - агента безопасности на основе ИИ, который нацелен на поиск, проверку и устранение проблем, связанных с уязвимостями.
Эта функция доступна в рамках предварительной исследовательской версии для клиентов ChatGPT Pro, Enterprise, Business и Edu через веб-интерфейс Codex с бесплатным использованием в течение следующего месяца.
Codex Security представляет собой эволюцию Aardvark, который OpenAI анонсировала в рамках закрытых тестов в октябре 2025 года в качестве инструмента для разработчиков по обнаружению и исправлению уязвимостей безопасности в больших масштабах.
За последние 30 дней в ходе бета-тестирования Codex Security просканировал более 1,2 млн. коммитов во внешних репозиториях, выявив 792 критических и 10 561 уязвимость высокой степени серьезности.
К ним относятся уязвимости в различных проектах с открытым исходным кодом, включая OpenSSH, GnuTLS, GOGS, Thorium, libssh, PHP и Chromium, и многих др.
Среди некоторых из них: GnuPG (CVE-2026-24881, CVE-2026-24882), GnuTLS (CVE-2025-32988, CVE-2025-32989), GOGS (CVE-2025-64175, CVE-2026-25242) и Thorium (CVE-2025-35430 - CVE-2025-35436)
По данным OpenAI, последняя версия агента безопасности приложений использует возможности анализа, обеспечиваемые ее передовыми моделями, и сочетает их с автоматической проверкой, минимизируя риски ложных срабатываний и предоставляя более эффективные решения.
Проведенные OpenAI в течение определенного периода времени сканирования одних и тех же репозиториев показали повышение точности и снижение частоты ложных срабатываний, причем последняя уменьшилась более чем на 50% во всех репозиториях.
OpenAI заявляет, что Codex Security разработан для повышения эффективности обнаружения уязвимостей за счет анализа системного контекста и проверки полученных данных перед их предоставлением пользователям.
В частности, агент работает в три этапа: анализирует репозиторий для понимания структуры системы, связанной с безопасностью проекта, генерирует редактируемую модель угроз, которая описывает его действия и места с наибольшими проблемными аспектами.
После создания системного контекста Codex Security использует его в качестве основы для выявления уязвимостей и классифицирует обнаруженные проблемы на основе их реального влияния.
Выявленные проблемы проходят проверку в изолированной среде для подтверждения их эффективности с учетом особенностей проекта и непосредственно в контексте работающей системы.
На заключительном этапе агент предлагает решения, которые наилучшим образом соответствуют поведению системы, уменьшая количество регрессий, упрощая их проверку и внедрение.
В целом, отметим, что сканеры уязвимостей на основе ИИ - не новинка.
Недавно Claude также представила собственный сканер уязвимостей - Claude Code Security. GitHub предлагает подобные возможности уже много лет, а Google утверждает, что добилась значительного прогресса в этой области.
Злоумышленники перешли к новому варианту метода ClickFix - InstallFix, убеждая пользователей запускать вредоносные команды под предлогом установки легитимных инструментов командной строки (CLI).
Новый разновидность атаки полагается на распространенной практике среди разработчиков скачивать и запускать скрипты с помощью команд curl-to-bash из онлайн-источников, не проводя предварительного тщательного изучения исходных файлов.
Исследователи Push Security обнаружили, что злоумышленники используют новую технику InstallFix с помощью клонированных страниц популярных инструментов командной строки, которые предоставляют вредоносные команды установки.
В своем отчете Push Security обращает внимание на клонированную страницу установки Claude Code от Anthropic, которая имеет тот же дизайн, фирменную символику и боковую панель с документацией, что и легитимный источник.
Разница заключается в инструкциях по установке для macOS и Windows (PowerShell и командная строка), которые распространяют вредоносное ПО с контролируемой злоумышленником конечной точки.
Исследователи утверждают, что, за исключением инструкций по установке, все ссылки на поддельной странице ведут на легитимный сайт Anthropic. Злоумышленники продвигают такие страницы с помощью вредоносных рекламных кампаний в Google Ads.
При поисковом запросе install claude code первым результатом был URL-адрес Squarespace ( claude-code-cmd.squarespace[.]com ), указывающий на точную копию официальной документации Claude Code.
Согласно данным Push Security, в рамках кампании InstallFix распространяется Amatera Stealer - вредоносное ПО, предназначенное для кражи конфиденциальных данных (криптовалютных кошельков, учетных данных) из скомпрометированных систем.
Вредоносные команды InstallFix для macOS включают закодированные в base64 инструкции для загрузки и выполнения исполняемого файла с домена, контролируемого злоумышленником. В одном случае использовался wriconsult[.]com.
Для пользователей Windows вредоносная команда использует легитимную утилиту mshta.exe для получения вредоносного ПО и запускает дополнительные процессы, такие как conhost.exe, для поддержки выполнения конечной полезной нагрузки - стилера Amatera.
В свою очередь, Amatera - это относительно новое семейство вредоносных ПО, предположительно основанное на ACR Stealer, которое реализуется в формате MaaS. Недавно было обнаружено, что вредоносное ПО распространялось в рамках отдельных атак ClickFix.
Amatera способен красть пароли, файлы cookie и токены сеансов, хранящиеся в веб-браузерах, и собирать системную информацию, избегая обнаружения средствами безопасности.
По данным Push Security, эти атаки отличаются особой изощренностью, в том числе потому, что вредоносные сайты размещены на легитимных платформах, таких как Cloudflare Pages, Squarespace и Tencent EdgeOne.
Исследователи также выкатили видео с демонстрацией принципа работы InstallFix, от поискового запроса до копирования вредоносной команды.
На прошлой неделе в ходе кампании злоумышленники также применяли технику InstallFix с фейковыми установщиками OpenClaw, размещенными в репозиториях GitHub, продвигая их в результатах поиска Bing, оптимизированных с помощью ИИ.
Как считают исследователи, поскольку нынешняя модель безопасности сводится к принципу «доверяй домену», а все большее число «нетехнических» пользователей работают с инструментами, ранее предназначенными для разработчиков, InstallFix вскоре может стать более серьезной угрозой.
Уязвимость Rockwell Automation, позволяющая осуществлять удаленный взлом промышленных систем управления (ICS), была выявлена и устранена в 2021 году, но факт её использования в реальных условиях стал известен только сейчас.
В четверг CISA добавила CVE-2021-22681 в свой каталог известных эксплуатируемых уязвимостей (KEV).
Уязвимость в системе безопасности затрагивает Studio 5000 Logix Designer и ряд программируемых логических контроллеров (ПЛК) Logix, включая устройства CompactLogix, ControlLogix, DriveLogix, FlexLogix, GuardLogix и SoftLogix.
Впервые она была обнаружена еще в феврале 2021 года, когда поставщик объявил о мерах по её устранению и выразил благодарность южнокорейскому университету Сунчунхян, Лаборатории Касперского и Claroty за сообщение о ней.
Причем последняя сообщила о проблеме в Rockwell ещё раньше в 2019 году.
Проблема связана с недостаточно защищенным криптографическим ключом и позволяет удаленному неаутентифицированному злоумышленнику обойти проверку и подключиться к целевому контроллеру, имитируя рабочую станцию инженера.
В реальных условиях промышленного производства эта уязвимость может потенциально обеспечить удаленным злоумышленникам манипулировать логикой ПЛК и нарушать производственные процессы или даже наносить физический ущерб оборудованию.
В четверг Rockwell наряду с CISA обновила свое первоначальное предупреждение, упомянув о задействовании CVE-2021-22681 в реальных условиях, однако никакой информации об этих атаках компания не предоставила.
Телеметрия Shodan в настоящее время показывает почти 6000 устройств Rockwell, подключенных к интернету, но неясно, сколько из них могут быть затронуты CVE-2021-22681.
При этом в 2024 году Rockwell также выпускала уведомление о безопасности, настоятельно призывая клиентов убедиться, что их устройства ICS не подключены к интернету.
Одна из уязвимостей, указанных в том предупреждении, - CVE-2021-22681, что указывает на то, что производитель не исключил возможности злонамеренной эксплуатации.
К настоящему времени CVE-2021-22681 - единственная в продуктах Rockwell, включенная в каталог ключевых уязвимостей CISA. Предыдущие уже становились целями APT-атак в 2023 году, как на этот раз обстоят дела - будем посмотреть.
Google Threat Intelligence Group в своем отчете сообщает об отслеживании 90 0-day, которые активно использовались в течение 2025 года, причем почти половина из них - в корпоративном ПО и устройствах.
Причем показатель на 15% выше по сравнению с 2024 годом, когда в реальных условиях было задокументировано 78 случаев использования нулей, но ниже рекордных 100 в 2023 году.
Как отмечают в GTIG, Из 90 нулей в 2025 году - 47 были нацелены на платформы конечных пользователей, а 43 - на корпоративные продукты.
К основным типам используемых уязвимостей относятся RCE, EoP, уязвимости внедрения и десериализации, обход авторизации и ошибки повреждения памяти (использование после освобождения).
Google сообщает, что на проблемы безопасности памяти приходилось 35% всех использованных нулей в прошлом году.
Наиболее уязвимыми корпоративными системами оказались устройства безопасности, сетевая инфраструктура, VPN и платформы виртуализации, поскольку они обеспечивают привилегированный доступ к сети и часто не имеют мониторинга EDR.
По данным GTIG, в прошлом году наиболее часто используемой категорией были ошибки в ОС: в атаках задействовалось 24 нуля в настольных ОС и 15 - в мобильных платформах.
Число 0-day в браузерах, напротив, сократилось до восьми, что является резким снижением по сравнению с предыдущими годами.
Аналитики в Google предполагают, что это может быть связано с усилением мер безопасности в этой категории ПО, либо следствием использования злоумышленниками более совершенных методов обхода защиты и более эффективного сокрытия вредоносной деятельности.
Согласно телеметрии GTIG, Microsoft была лидером среди поставщиков, подвергшихся 0-day атакам (25), за ней следовали Google с 11, Apple с 8, Cisco и Fortinet с 4, а Ivanti и VMware - с 3.
Впервые с тех пор, как Google начал отслеживать 0-day, коммерческие поставщики шпионского ПО оказались крупнейшими пользователями таких незадокументированных уязвимостей, превзойдя APT, которые, возможно, также используют более эффективные методы сокрытия.
В целом, тенденция последних пяти лет не меняется: все большая доля эксплуатации 0-day осуществляется компаниями, предоставляющими услуги по разработке программного обеспечения (CSV), и/или их клиентами, что демонстрирует медленное, но верное движение в этой сфере.
Исследователи Google утверждают, что среди APT-субъектов наиболее активными остаются связанные с Китаем группировки, которые в 2025 году использовали 10 нулей.
Атаки были направлены в основном на периферийные устройства, устройства безопасности и сетевое оборудование с целью получения долговременного постоянного доступа.
Еще одна заметная тенденция, отмеченная в прошлом году, - это рост числа случаев эксплуатации 0-day со стороны лиц, движимых финансовыми мотивами (прежде всего, это банды вымогателей), на долю которых приходится девять таких уязвимостей.
GTIG считает, что использование инструментов ИИ поможет автоматизировать обнаружение уязвимостей и ускорить разработку эксплойтов, поэтому ожидается, что уровень эксплуатации уязвимостей нулевого дня в 2026 году останется высоким.
В свою очередь, в своем отчете Brickstorm также делает акцент на том, что хакеры переключают свое внимание с кражи исходного кода на обнаружение уязвимостей в будущих программных продуктах.
Для обнаружения и предотвращения эксплуатации нулей Google рекомендует уменьшать поверхность атаки и уязвимость привилегий, постоянно отслеживать системы на предмет аномального поведения, а также поддерживать процессы обновления ПО и реагирования на инциденты.
Существует пять стадий принятия (модель Кюблер-Росс), включая: отрицание, гнев, торг, депрессия и принятие.
И мы искренне надеемся, что Microsoft найдет в себе силы преодолеть их как можно быстрее.
На этой неделе специалисты компании прошли, пожалуй, самую сложную и ушли в глубокое отрицалово, начав массовый бан упоминаний слова Microslop на официальном Discord-сервере Copilot, что, наоборот, спровоцировало волну мемов на тему внедрения ИИ-контента в Windows 11.
Суть в том, что выражение Microslop объединяет название компании Microsoft и уничижительное название ИИ-контента slop, которое с английского дословно переводится как «помои».
Обычно словом «нейрослоп» в сети называют низкокачественный контент, сгенерированный с помощью ИИ. В русскоязычном сегменте также используется «нейрошлак».
После бана аудитория начала массово спамить словом Microslop, но через слегка измененные варианты. Например, Microsl0p через ноль или раскладками на других языках.
Спустя некоторое время пользовательские чаты на Discord-сервере Copilot были закрыты вовсе, так как модерация не справлялась с недовольством аудитории и большим количеством спама.
На тематических форумах, а также на reddit, появилось большое количество тем, связанных с Microslop.
Многие отметили, что Microsoft, неадекватно отреагировав блокировкой слова в пользовательском сообществе, лишь усугубила ситуацию и побудила аудиторию к более активному его муссированию, столкнувшись с «Эффектом Стрейзанд».
Позже Microsoft выдала официальный комментарий Windows Latest.
По версии компании, сервер подвергся скоординированной спам-атаке: это были полотнища нерелевантного текста, и модераторы ввели временные фильтры по отдельным словам, чтобы замедлить поток.
Блокировка Microslop и других фраз, как утверждает компания, была краткосрочной мерой. В итоге сервер временно закрыли, чтобы внедрить дополнительные механизмы защиты.
Впрочем, по части уязвимостей микромягкие справляются аналогичным образом, часто допуская более серьезные дефекты в ходе попыток закрыть изначальную проблему.
Так что пора бы им уже перескочить еще три ступени и уже принять новую парадигму своего Microslop-бизнеса.
Cisco предупреждает о начале активной волны эксплуатации двух недавно исправленных уязвимостей в Catalyst SD-WAN в реальных условиях.
25 февраля поставщик уведомил клиентов о доступности исправлений для пяти уязвимостей Catalyst SD-WAN, включая критические и серьезные проблемы, которые могут быть использованы для доступа к уязвимым системам и повышения привилегий до уровня root.
По состоянию на 5 марта Cisco обновила свое изначальное уведомление, предупредив о том, что ей стало известно об активной эксплуатации двух из пяти уязвимостей: CVE-2026-20128 и CVE-2026-20122.
Первая, CVE-2026-20128, - это уязвимость, приводящая к раскрытию информации и затрагивающая функцию агента сбора данных (DCA) в Catalyst SD-WAN Manager. Она позволяет авторизованному локальному злоумышленнику получить права пользователя DCA в целевой системе.
Другая, CVE-2026-20122, представляет собой это уязвимость, затрагивающую API Catalyst SD-WAN Manager. Она позволяет удалённому авторизованному злоумышленнику перезаписывать произвольные файлы в системе и получать повышенные привилегии.
В Cisco пока не предоставили никаких подробностей об атаках, нацеленных на эти уязвимости, но в описании указано, что они были объединены с другими ошибками.
Но стоит отметить, что обновление статуса произошло примерно через неделю после того, как Cisco предупредила клиентов об атаках с использованием критической 0-day, затрагивающей Catalyst SD-WAN.
CVE-2026-20127 может быть использована удаленно для обхода аутентификации и получения административных привилегий на уязвимом устройстве.
Тогда CISA сообщала, что уязвимость объединялась в атаках с более старой уязвимостью Catalyst, CVE-2022-20775, для обхода аутентификации, повышения привилегий и обеспечения постоянного присутствия в целевой системе.
Cisco Talos связала эти атаки с UAT-8616, продвинутым злоумышленником, действующим как минимум с 2023 года. Но неясно, были ли все эти уязвимости Catalyst SD-WAN использованы в одной или разных кампаниях.
Кроме того, Cisco также недавно детектила атаки с нулями, проводимыми китайской APT, отслеживаемой как UAT-9686. В общем, будем следить.
Cisco выпустила обновления для устранения двух уязвимостей максимальной степени серьезности в своем программном обеспечении Secure Firewall Management Center (FMC).
Secure FMC -реализует веб-интерфейс или интерфейс SSH, позволяющий администраторам управлять межсетевыми экранами Cisco и настраивать контроль приложений, предотвращение вторжений, фильтрацию URL-адресов и расширенную защиту от вредоносных ПО.
Обе уязвимости могут быть использованы удаленно неаутентифицированными злоумышленниками.
При этом уязвимость обхода аутентификации (CVE-2026-20079) позволяет злоумышленникам получить root-доступ к базовой ОС, а другая CVE-2026-20131 позволяет выполнять произвольный код Java с правами root на незащищенных устройствах.
Злоумышленник может использовать эту уязвимость, отправляя специально сформированные HTTP-запросы на уязвимое устройство.
По части CVE-2026-20079 успешная эксплуатация может позволить злоумышленнику выполнить различные скрипты и команды, обеспечивающие получение root-прав на устройстве.
Злоумышленник может реализовать ее, отправив специально созданный сериализованный Java-объект в веб-интерфейс управления уязвимого устройства. Успешная эксплуатация может позволить злоумышленнику выполнить произвольный код на устройстве и повысить привилегии до уровня root.
Обе уязвимости затрагивают Cisco Secure FMC, но CVE-2026-20131 также влияет и на Cisco Security Cloud Control (SCC) Firewall Management, облачный менеджер политик безопасности, упрощающий управление политиками на межсетевых экранах Cisco и других устройствах.
На данный момент у Cisco PSIRT нет доказательств того, что две уязвимости используются в атаках, равно как и не ясно доступен ли PoC в интернете. Но время покажет.
Помимо указанных проблем Cisco также устранила десятки других уязвимостей, в том числе 15 серьезных уязвимостей в Secure FMC, Secure Firewall Adaptive Security Appliance и Secure Firewall Threat Defense.
Подъехала актуальная аналитика по мобильной вирусологии от Лаборатории Касперского за 2025 год.
Начиная с третьего квартала 2025 года в ЛК изменили методику подсчета статпоказателей на основе телеметрии Kaspersky Security Network. Изменения коснулись всех разделов отчета, кроме статистики по установочным пакетам, на которую они не повлияли.
По данным Kaspersky Security Network, в 2025 году:
- Решения ЛК позволили отбить более 14 059 465 атак с использованием вредоносного, рекламного или нежелательного мобильного ПО.
- Самой распространенной угрозой для мобильных устройств традиционно стало рекламное ПО (AdWare) - 62% от всех обнаруженных угроз.
- Обнаружено более 815 тыс. вредоносных установочных пакетов, из которых 255 тыс. относились к мобильным банковским троянцам.
В 2025 году злоумышленники совершали в среднем около 1,17 млн. атак на мобильные устройства в месяц с использованием вредоносного, рекламного или нежелательного ПО.
В 2025 году, помимо вредоносного ПО из предыдущих отчетов, было найдено множество других знаковых троянцев.
В частности, в четвертом квартале в ЛК обнаружили предустановленный бэкдор Keenadu, попадающий в прошивки устройств еще на этапе сборки.
Вредоносный код встраивается в libandroid_runtime.so - ключевую библиотеку для работы Java-среды на Android, благодаря чему копия бэкдора попадает в адресное пространство всех запущенных приложений на устройстве.
Далее, в зависимости от приложения, зловред может, например, накручивать просмотры рекламы, показывать баннеры от имени других приложений, подменять поисковые запросы.
Функциональность Keenadu не ограничена: модули скачиваются динамически и могут обновляться.
Также исследователи обнаружили IoT-ботнет Kimwolf, нацеленный на приставки Android TV. Зараженные устройства могли проводить DDoS-атаки, а также работать в режиме обратного прокси и выполнять вредоносные действия через реверс-шелл.
Позже выяснилось, что функциональность обратного прокси Kimwolf использовалась провайдерами прокси через домашние устройства в качестве выходных точек (residential proxy).
Еще одной интересной находкой стал троянец-шпион LunaSpy, мимикрирующий под антивирусное ПО, который ворует пароли из браузеров и мессенджеров, SMS, журналы звонков. Также может записывать звук и видео. Угроза в основном была нацелена на российских пользователей.
В целом, в 2025 году продолжился тренд на снижение общего количества уникальных установочных пакетов нежелательного ПО.
При этом в ЛК отметили значительный рост в детектировании некоторых угроз относительно предыдущего года, в частности мобильных банковских троянцев и шпионов, однако большинство обнаруженных угроз по-прежнему оказалось рекламными приложениями.
Среди зафиксированных мобильных угроз мы стали чаще встречать предустановленные бэкдоры (Triada и Keenadu).
Как и в прошлом году, некоторые мобильные зловреды продолжают распространяться через официальные магазины приложений.
Исследователи также фиксируют интерес со стороны злоумышленников к использованию зараженных устройств в качестве прокси.
Как всегда, четкая инфографика и конкретные статпоказатели - в отчете.
Исследователи Google Threat Intelligence Group (GTIG) сообщили об обнаружении массовой атаки на iPhone, которая была реализована с помощью spyware правительственного уровня для взлома iOS, который просочился в арсеналы киберподполья.
Как отмечают в GTIG, набор эксплойтов, получивший название Coruna, поддерживает пять различных последовательностей атак (цепочек эксплойтов) и в общей сложности 23 эксплойта - необычайно большой и сложный комплект.
Для взлома устройства достаточно посещения жертвой сайта, куда внедряется вредоносный код. При этом заявляется, что Coruna может скрытно взломать iPhone, работающие под управлением версий iOS, выпущенных с 2019 года по декабрь 2023 года. Последняя затронутая версия - 17.2.1.
Google утверждает, что хакеры по всему миру используют Coruna в качестве «вторичного» эксплойт-комплекта. Причем многие злоумышленники уже освоили передовые методы эксплуатации, которые можно повторно использовать и модифицировать для вновь выявленных уязвимостей.
Вместе с тем, исследователи не раскрывают, каким образом киберпреступники могли получить доступ к этому мощному арсеналу, к которому прилагается обширная документация, включая docstrings и комментарии на английском языке.
В свою очередь, в iVerify указали в комментариях для The Wired, что изначально её, вероятно, разработали американские спецслужбы или по их непосредственному заказу один из поставщиков коммерческого spyware.
Свои выводы они мотивировали тем, что были обнаружены «сходства с предыдущими системами, разработанными злоумышленниками, связанными с правительством США».
В этом ключе компания проводит параллели с уязвимостью EternalBlue, разработкой АНБ США, которая в конечном итоге была украдена, слита в сеть и использована в кибератаках по всему миру, включая WannaCry и NotPetya.
Однако примечательнее всего то, что Coruna использует две уязвимости Apple, которые Лаборатория Касперского обнаружила в рамках «Операции Триангуляции» в начале 2023 года.
Однако, как отмечает Борис Ларин из ЛК, уязвимость - это не компонент. Им может быть эксплойт или имплант, а не сама уязвимость. Несмотря на заявления Google и iVerify об использовании компонентов Coruna в «Операции Триангуляция», нет никаких доказательств повторного использования кода в технических отчетах, подтверждающих это предположение.
Киберпреступники, по всей видимости, массово используют Coruna, в основном нацеливаясь на пользователей порнографических сайтов и ресурсов, посвященных криптовалютам.
Как только жертва посещает целевой сайт с вредоносным кодом, Coruna незаметно проверяет, находится ли устройство в режиме блокировки или контент загружается в приватном окне браузера - в этих случаях вредоносное ПО прекращает свою работу.
Пользователь видит только обычный ожидаемый контент. Однако код за миллисекунды определяет модель iPhone, версию iOS, подходящую цепочку эксплойтов, запускает атаку и предоставляет злоумышленнику полный контроль над iPhone.
Coruna включает несколько многократно используемых модулей для упрощения эксплуатации уязвимостей и обхода защиты устройства. Киберпреступники используют ее для распространения PlasmaLoader, программы для кражи финансовой информации.
Как отмечают исследователи, по всей видимости, хакеры использовали LLM-модули для создания некоторых обновлений вредоносного ПО. Согласно отчету, Coruna уже использовали несколько злоумышленников.
Исследователи iVerify отмечают, что в результате действий лиц, преследующих финансовые мотивы, Coruna уже затронул около 42 000 устройств.
Так что всем пользователям яблочных девайсов настоятельно рекомендуется обновиться до последних версий, которые включают исправления для задействованных в Coruna уязвимостей.
🏴☠️Казна у пиратов пустеет, милорд!
Специалисты F6 проанализировали рынок онлайн-пиратства в Рунете за 2025 год: объём рынка, динамику доходов, эффективность рекламной монетизации и влияние блокировок.
📊Ключевые факты 2025 года:
Доход пиратских сайтов — $34,4 млн
Доход по всем платформам — $42,5 млн
Заблокированныx страниц — 304 500
Доля легальной рекламы — 89%
Доля слитых премьер — 49,4%
🏴☠️У пиратов сменились якорные рекламодатели: доля показа «черной рекламы» нелегальных казино и букмекеров составила 11%, а реклама легальных брендов — 89%. Для защиты своих ресурсов от блокировок пираты активно использовали шифрование текста рекламы нелегальных фильмов, в том числе азбукой Морзе, а для обхода фильтров поисковиков — DLE-модули с интеграцией искусственного интеллекта для рерайта описаний киноновинок.
Выводы специалистов: Продолжающееся усиление борьбы правообладателей с распространителями пиратского контента сохраняет ежегодный тренд на снижение прибыли пиратов. Но спрос будет оставаться высоким за счет невозможности просмотра большого количества зарубежных фильмов и сериалов из-за отсутствия лицензий на показ у легальных онлайн-кинотеатров. Количество крупных игроков черной рекламы сокращается, разбавляя пиратские порталы рекламой легальных брендов. Брендам стоит внимательнее следить за размещением рекламы от их лица на пиратских ресурсах, так как это может нести различные риски.
✋ @Russian_OSINT
Новые атаки в рамках кампании PhantomRaven, нацеленной на цепочку поставок, обрушились на npm, распространяя десятки вредоносных пакетов, которые похищают конфиденциальные данные у разработчиков JavaScript.
Кампания была впервые обнаружена еще в октябре 2025 исследователями Koi, заметившими, что она действовала с августа и привела к публикации 126 вредоносных пакетов на платформе npm.
В свою очередь, Endor Labs обнаружила три дополнительных волны атак PhantomRaven в период с ноября 2025 года по февраль 2026 года, в ходе которых было распространено 88 пакетов с помощью 50 временных учетных записей.
В большинстве случаев злоумышленники использовали тактику «слопсквоттинга», мимикрируя под такие известные проекты, как Babel и GraphQL Codegen. Причем использовавшиеся имена при публикации вредоносных пакетов генерировались посредством LLM.
По данным Endor Labs, 81 вредоносный пакет PhantomRaven по-прежнему доступен в реестре npm.
PhantomRaven задействует метод обхода обнаружения, называемый удаленными динамическими зависимостями (RDD), при котором в метаданных package.json указывается зависимость по внешнему URL-адресу.
Таким образом, злоумышленнику не нужно внедрять вредоносный код в пакет, обходя автоматическую проверку.
Когда ничего не подозревающий разработчик запускает команду npm install, зависимость, содержащая вредоносное ПО, автоматически загружается с сервера злоумышленника и выполняется.
Согласно исследованию Endor Labs, вредоносная ПО собирает различную конфиденциальную информацию со скомпрометированного компьютера, включая электронные письма из файлов gitconfig, npmrc и переменные окружения.
В качестве целевых объектов также выступают токены CI/CD с платформ GitHub, GitLab, Jenkins и CircleCI.
Исследователи утверждают, что вредоносная ПО также собирает системную информацию, такую как IP-адрес, имя хоста, ОС и версия Node, для идентификации машины.
На заключительном этапе вредоносный пакет передает украденные данные на C2-сервер злоумышленника. Обычно это делается с помощью HTTP GET-запроса, но для большей надежности также используются HTTP POST и WebSocket.
Endor Labs также заметила, что инфраструктура остается стабильной на протяжении всех четырех наблюдаемых волн PhantomRaven: домены, содержащие слово artifact, размещены на платформе Amazon Elastic Compute Cloud (EC2) и не имеют TLS-сертификата.
Полезная нагрузка также была практически идентична во всех волнах, при этом 257 из 259 строк кода остались неизменными.
Однако злоумышленники усовершенствовали свои методы работы, меняя учетные записи npm и электронную почту, изменяя метаданные пакетов и модифицируя конечные точки PHP. Кроме того, они стали публиковать изменения чаще, добавив четыре пакета за один день, 18 февраля.
Несмотря на отсутствие сложных методов, PhantomRaven продолжается и использует все ту же технику, инфраструктурные схемы и структуру полезной нагрузки, оставаясь в рабочем состоянии при минимальных изменениях в доменах, конечных точкках, учетных записях npm и именах зависимостей.
📚 Искусство тестирования на проникновение в сеть.
• По ссылке ниже можно найти руководство по моделированию недостатков внутренней безопасности компании. В роли злоумышленника Вы пройдете все этапы профессионального пентеста, от сбора информации до захвата полного контроля над сетью. Подбирая пароли, обнаруживая открытые порты и повышая права доступа до уровня администратора, вы сможете усвоить, в чем заключаются сетевые уязвимости и как ими воспользоваться.
☁️ Руководство можно скачать бесплатно в нашем облаке.
S.E. ▪️ infosec.work ▪️ VT
По всей видимости, Coruna, сложный набор инструментов для взлома iPhone, раскрытый Google и iVerify на прошлой неделе, является разработкой американского военного подрядчика L3Harris.
Такое предположение допустили двое бывших сотрудников L3Harris, по мнению которых Coruna была, по крайней мере частично, разработана подразделением компании по разработке хакерских и разведывательных технологий, Trenchant.
Они по работе были знакомы с инструментами компании для взлома iPhone и поделились своими выводами на условиях анонимности, поскольку не уполномочены вдаваться в подробности своей работы в компании. Причем Coruna было внутренним названием компонента.
Как отметил один из разработчиков, если взглянуть на технические детали, имея в виду некоторые из опубликованных Google артефактов, то многое из этого им оказалось знакомым.
При этом весь набор инструментов Trenchant включал в себя несколько различных компонентов, в том числе Coruna и связанные с ней эксплойты.
Другой бывший сотрудник подтвердил, что некоторые детали, включенные в опубликованный набор инструментов для взлома, были взяты из Trenchant.
L3Harris реализует инструменты для взлома и кибершпионажа, разработанные Trenchant, исключительно правительству США и его союзникам по разведальянсу Five eyes, в который входят Австралия, Канада, Новая Зеландия и Великобритания.
Не так давно в штатах прогремел скандал, связанный с разоблачением бывшего руководителя Trenchant, который получил семь лет тюрьмы за продажу эксплойтов своей компании представителям Operation Zero.
Тем не менее, возможная связь утечки Coruna с задержанием Питера Уильямса в отчете не подтверждается и пока нет оснований утверждать, что Coruna - это именно те инструменты, которые продал бывший руководитель Trenchant.
Но очевидно другое, две использованные Coruna уязвимости, названные Photon и Gallium, задейстововались в качестве нулей в «Операции Триангуляция», нацеленной на российских пользователей iPhone, которую раскрыли в Лаборатории Касперского в 2023 году.
Один из бывших сотрудников Trenchant отметил, что когда в 2023 году впервые была обнаружена Триангуляция, в компании считали, что по крайней мере одна из 0-day, раскрытых ЛК, «была создана нами и, возможно, «вырвана» из общего проекта, в который входила Coruna».
Еще одна подсказка, указывающая на Trenchant, - как отметил исследователь Костин Райу, - это использование названий птиц для некоторых из 23 инструментов.
В 2021 году The Washington Post сообщала, что Azimuth, один из двух стартапов, позже приобретенных L3Harris и объединенных с Trenchant, продал ФБР инструмент для взлома под названием Condor в рамках известного дела о взломе iPhone в Сан-Бернардино.
На фоне новых деталей в кейсе Coruna будет интересно, как на этот раз Apple будет объяснять появление в ее коде Photon и Gallium. Впрочем, вряд ли уже что-то можно добавить. Но будем посмотреть.
О, какие люди, Гостев заехал!
Старый добрый SecAtor никуда не подевался, просто остепенился немного, рубашку с безрукавкой на старые пузырчатые треники натянул и даже матом ругаться перестал (а ведь было, было…)
Но если честно (только тсссс), то самим иногда хочется окунуться в старое доброе веселье и замутить перфоманс типа принадлежности канала ГрИБам (мир их праху) или рассказать восторженной публике что такое фишинг.
К сожалению, согласно Постановлению Правительства номер 1428-6512/2025 все администраторы инфосек каналов, которые будут себя плохо вести в Телеграм, получат пизды.
Поэтому вот как есть.
NadSec выкатили реверс некоторых частей эксплойт-комплекта Coruna для iOS, который, по всей видимости, до сих пор активен и крутится на некоторых китайских порталах.
Google и iVerify подошли к изучению Coruna, используя данные сетевого трафика, бинарный анализ и криминалистические артефакты. А в NadSec подошли к этому с другой стороны - с чистого JavaScript.
Исследователи деобфусцировали более 1250 строк, закодированных с помощью XOR, извлекли модули WebAssembly и восстановили сканеры гаджетов ARM64 на участке кода размером около 1,2 МБ.
По итогу рассказали, что обнаружилось, чего не было в анализе Google и iVerify: о внутренних механизмах эксплуатации, реализованных в JavaScript, включая алгоритм подделки скользящего хеша PACDB, обход PAC-кода с помощью GOT-swap confused-deputy и три параллельных пути удаленного выполнения кода в WebKit, включая путь эксплуатации OfflineAudioContext/SVG, специфичный для iOS.
Полный технический анализ части кода JavaScript и полезных нагрузок стоимостью в миллионы долларов, включающий из 6630 строк, теперь доступен на GitHub (здесь).
Исследователи из Лаборатории Касперского в своем новом отчете констатируют, что 4 квартал 2025 стал одним из самых насыщенных по количеству раскрытий громких критических уязвимостей, которые были обнаружены в популярных библиотеках и приложениях.
Анализируя тенденции в практической эксплуатации уязвимостей, в ЛК отметили, что в этом плане ОС Linux стала слишком популярна. На последний квартал года пришлось более половины всех атак с эксплойтами для Linux от суммарных годовых показателей.
В первую очередь, причиной такого всплеска стало быстрорастущее количество пользовательских устройств под управлением Linux.
Как обычно, картина также сильно различается для целевых и широкозахватных атак. В обоих случаях - динамика значительна.
В случае неизбирательных атак:
- под прицелом в основном старые дефекты Linux, пользователи не обновляются: уязвимость Dirty Pipe, уязвимости в Netfilter (CVE-2022-0847, CVE-2019-13272, CVE-2021-22555, CVE-2023-32233);
- для ОС Windows темпы эксплуатации снизились до самого низкого уровня в 2025 году, но они всё равно превышают начало 2024-го, доминируют также устаревшие CVE-2017-11882 и CVE-2018-0802 в компоненте Equation Editor из Microsoft Office, CVE-2017-0199 в Microsoft Office и WordPad.
Как в целевых, так и массовых атаках, гораздо активнее под удар попадают в ошибки в архиваторах. В 2025 году злоумышленники применяли уязвимости в WinRAR (CVE-2023-38831, CVE-2025-6218 и -8088) и 7-Zip (CVE-2025-11001).
По части целевых атак:
- в основном эксплуатируют свежие дефекты за последние полгода;
- с гигантским отрывом доминирует эксплуатация React4shell, также в тройке лидеров также CVE-2025-61882 в Oracle E-Business Suite и CVE-2025-8088 в WinRAR;
- многие CVE вероятно останутся в рейтинге надолго, для их исправления требуются серьёзные структурные изменения в уязвимых приложениях и пользовательской системе;
- после эксплуатации уязвимости чаще всего разворачивают импланты на базе инструментов Silver, Mythic, Havoc и Metasploit.
Подробная инфографика, статистические показатели и разбор наиболее примечательных уязвимостей - в отчете ЛК.
🈁 Anthropic подает в суд на Пентагон из-за статуса «риск для цепочки поставок»
Anthropic подала иск против Пентагона, утверждая, что присвоение ей статуса «риска для цепочки поставок» нарушает права компании, предусмотренные Первой поправкой, и выходит за рамки полномочий правительства.
Статус «риска для цепочки поставок» обычно присваивается потенциальным иностранным противникам, представляющим угрозу национальной безопасности. Правительству США это может быть сложно обосновать, поскольку военные опирались на ИИ-модель Claude при проведении операций в Иране.
Поданный в Окружной суд США Северного округа Калифорнии иск утверждает, что данный статус является наказанием для Anthropic за открытое высказывание своих взглядов на политику в области ИИ. Anthropic обращается к судебной системе, чтобы защитить свои права и остановить незаконную кампанию возмездия со стороны администрации Трампа. Законы о государственных закупках, принятые Конгрессом, не дают Пентагону или президенту Трампу полномочий вносить компанию в черный список, заявляет Anthropic.
Anthropic заявляет, что по-прежнему готова продолжать обслуживать Пентагон в условиях крупных боевых действий. По словам представителя компании, Anthropic продолжит искать любые пути для урегулирования ситуации, включая диалог с правительством.
👆Тем временем, Белый дом готовит указ, официально предписывающий федеральному правительству полностью исключить ИИ компании Anthropic из своих рабочих процессов, сообщили Axios источники, знакомые с ситуацией. Администрация утверждает, что «меры предосторожности» Anthropic представляют угрозу национальной безопасности в контексте вмешательства частного сектора в ход военных операций.
На фоне всей ситуации в OpenAI (согласились на условия Министерства войны в отличие от Anthropic) пошли первые пертурбации. Занимавшая пост руководителя направления робототехники и потребительского оборудования в OpenAI Кейтлин Калиновски официально объявила о своё уходе в 🦆. Основным мотивом ухода стал этический и управленческий конфликт, спровоцированный контрактом OpenAI с Министерством войны США (Пентагоном).
Слежка за американцами без судебного надзора и смертоносная автономия без разрешения человека — это вопросы, которые заслуживают более тщательного обсуждения.
ФБР США взломали и теперь спецслужба расследует свой собственный инцидент.
Примечательно, что скомпрометировали системы, используемые агентами для управления ордерами на слежку и прослушивание телефонных разговоров.
Безусловно, в ФБР отказываются сообщать более подробную информацию о масштабах и общих последствиях инцидента, оно уверенно заявляют, что ситуация уже локализована с использованием всех технических возможностей для реагирования.
Первыми об инциденте сообщили репортеры CNN со ссылкой на анонимный источник, который и поведал, что взлом непосредственно затронул технические системы, предназначенные для организации прослушки телефонных переговоров, а также задействуемые в контрразведке.
На данный момент неясно, связан ли этот инцидент с предыдущим, когда китайская Salt Typhoon проникла в системы федерального правительства США, используемые для запросов на прослушивание телефонных разговоров, санкционированных судом, в 2024 году.
Ничего не понятно, но очень интересно, в общем будем следить.
Помимо ФБР щупальца киберподполья добрались и до платформы KodexGlobal, которая для безопасного обмена данными между технологическими компаниями и правоохранительными органами по запросам последних.
Она служит единым порталом для обработки всех оперативно-следственных запросов о предоставлении информации, объединяя более 15 000 государственных структур.
Как заявляет селлер, доступ к аккаунтам силовиков на платформе реализуется по цене в 2000 долл.
По всей видимости, новая атака на цепочку мудаков уже на подходе.
Как передают, более 100 000 серверов (из них более половины - в США, однако и в России имеются - почти 3 тыс.) автоматизации n8n с искусственным интеллектом находятся в сети и не имеют критически важных обновлений безопасности.
На горизонте вовсю маячит CVE-2026-27495, обнаруженная на прошлой неделе, которая позволяет злоумышленникам выйти за пределы песочницы сервера.
В конфигурации по умолчанию это может привести к «полной компрометации хоста n8n».
Силовики вновь кучно прошлись по киберподполью, прихлопнув LeakBase и Tycoon2FA.
Сообщается, что в результате совместной операции правоохранитеоей был ликвидирован LeakBase, один из крупнейших в форумов, где шла активная торговля утечками и инструментами для совершения кибернападений.
В скоординированном заявлении Европол сообщил, что LeakBase специализируется на продаже логов киберпреступников, содержащих архивы учетных данных, полученных с помощью инфостилеров, которые затем используются для взлома аккаунтов, мошенничества и других кибератак.
По данным Минюста США, по состоянию на декабрь 2025 года LeakBase насчитывал более 142 000 участников и более 215 000 сообщений. Ходовым товаром выступали слитые базы данных, финансовая и банковская информация, пользовательские сведения.
LeakBase - это один из псевдонимов Чакки, который также известен в даркнете под никами Chuckies и Sqlrip.
По данным SOCRadar, он известен тем, что распространял обширные коллекции баз данных, часто содержащих конфиденциальную информацию крупнейших компаний в мире.
Более того, в начале прошлого месяца SpyCloud сообщала, что форум не работал несколько дней, а Chuckies искал нового хостинг-провайдера.
Среди других известных администраторов и модераторов LeakBase - BloodyMery, OrderCheck и TSR.
Форум был активен с июня 2021 года. Теперь при попытке доступа к сайту leakbase[.]la висит традиционная плашка о конфискации ресурса ФБР США в рамках международной операции по обеспечению правопорядка.
Как заявили в ФБР, весь контент форума, включая учетные записи пользователей, посты, переписку и IP-адреса, задокументирован и будет оформлен в качестве доказательств для дальнейшего расследования в отношении фигурантов.
В рамках операции, получившей условное наименование «Operation Leak», в период 3-4 марта силовики провели обыски, аресты и допросы в США, Австралии, Бельгии, Польше, Португалии, Румынии, Испании и Великобритании.
В Европоле отметили, что по всему миру было проведено около 100 оперативно-следственных мероприятий, включая принятие «неуказанных» мер в отношении 37 наиболее активных пользователей платформы.
Другим трофеем силовиков стала Tycoon2FA, крупная PhaaS-платформа с ежемесячной отработкой до десяткой миллионов фишинговых сообщений.
В общей сложности в ходе этой совместной операции при координации Европола было изъято и отключено 330 доменов, входящих в инфраструктуру криминальной службы (включая панели управления и фишинговые страницы).
Технически взлом провернула Microsoft при поддержке коалиции из частных партнеров, а захват инфраструктуры и оперативный блок отработали правоохранители Латвии, Литвы, Португалии, Польши, Испании и Великобритании.
Операция стартовала после того, как Trend Micro поделилась развединформацией. Европол ретранслировал их через свои консультативные группы EC3 и оперативные сети, что позволило выработать скоординированную оперативную стратегию.
Поучастовали также Cloudflare, Coinbase, Intel471, Proofpoint, Shadowserver Foundation, SpyCloud, eSentire, Crowell, Resecurity и Health-ISAC.
Tycoon 2FA действовала как минимум с августа 2023 и использовалась хакерами для обхода MFA и компрометации учетных записей почти 100 000 организаций по всему миру. Доступный прайс (120 долл. за 10 дней доступа) обеспечил порог вхождения для неопытных преступников.
Она действовала как платформа "adversary-in-the-middle", используя обратный прокси-сервер для перехвата учетных данных и сессионных файлов cookie жертв в режиме реального времени в атаках, направленных на пользователей Microsoft и Google.
По данным Microsoft, к середине 2025 Tycoon2FA ежемесячно генерировала десятки млн. фишинговых писем, поражая более 500 000 организаций и обеспечивая 60% всех заблокированных фишинговых попыток.
Исследователи BI.ZONE в своем новом отчете анализируют активность Forbidden Hyena в декабре 2025 - январе 2026 года, раскрывая в арсенале группировки ранее неизвестный троян удаленного доступа, который BlackReaperRAT.
Кроме того, им удалось выявить и изучить обновленную версию шифровальщика Blackout Locker, который злоумышленники переименовали в Milkyway.
В декабре 2025 года специалисты выявлили распространяемые Forbidden Hyena RAR-архивы, каждый из которых содержал два файла.
Первый, batch-скрипт 1.bat, предназначался для запуска VBS-скрипта 1.vbs из того же архива. В одном из вариантов Batch-скрипта запуск VBS-файла осуществлялся с использованием cscript.exe, в другом дополнительно применялся запуск через wscript.exe.
В свою очередь, обфусцированный VBS-скрипт 1.vbs представлял собой вредоносный загрузчик. Скрипт предназначен для загрузки и запуска отвлекающего документа, а также VBS-скрипта следующей стадии - BlackReaperRAT.
Последний относится к троянам удаленного доступа, реализован в виде VBS-скрипта и выполняется в контексте процесса wscript.exe или cscript.exe.
Он поддерживает широкий функционал: передает системную информацию, генерирует собственную копию, закрепляется в системе различными способами, поддерживает выполнение команд, грузит и запускает исполняемые файлы, а также способен распространяться через съемные носители информации.
Обнаруженный BI.ZONE в январе 2026 года новый вариант Blackout Locker подвергся незначительным изменениям. Помимо смены названия основное преобразование коснулось визуализации записки с требованиями о выкупе.
При этом исследователи отмечают, что в образце Blackout Locker, представленном в отчете Лаборатории Касперского, записки о выкупе сохранялись на хосте жертвы рекурсивно в каждом каталоге каждого диска.
В новом же исполнении шифровальщик сохраняет записку по следующим путям: C:\Windows\Temp\README.txt, C:\Users\Public\README.txt, C:\README.txt и C:\Users\Public\Desktop\README.txt. Также в новом варианте Blackout Locker увеличился список завершаемых процессов и сервисов.
В целом, как отмечают в BI.ZONE, продолжает фиксироваться интерес злоумышленников к использованию AI-инструментов.
В частности, некоторые из обнаруженных образцов имеют признаки генерации с помощью ИИ.
Атакующие активно злоупотребляют легитимными инструментами и штатными средствами ОС для решения задач на разных этапах жизненного цикла кибератаки.
В ряде случаев это позволяет им избежать обнаружения.
В арсенале по-прежнему присутствуют вайперы и ransomware, которые используются как для вывода IT-инфраструктуры из строя, так и для получения финансовой выгоды.
Технические подробности цепочки атак, разбор инфраструктуры/инструментария и IOCs Forbidden Hyena - в отчете.
👩💻 Kubernetes Security Guide.
• С ростом популярности Kubernetes все больше компаний стремятся использовать его для облегчения управления контейнеризованными приложениями. Вместе с этой тенденцией наблюдается рост числа неправильно сконфигурированных кластеров, что создает большие риски в части обеспечения безопасности.
• В этом руководстве вы найдете информацию по безопасной настройке кластера k8s. Материал вышел очень объемным и включает в себя практические примеры. Содержание следующее:
• Prerequisites;
• Test Environment – your own cluster in minutes using a ready-made script;
• Kubernetes Architecture;
• STRIDE for Kubernetes;
• Node Security – Start with the Basics:
➡Attack Surface;
➡Identifying Vulnerabilities;
➡Reducing the Attack Surface (Firewall);
➡Looking Inside – Whitebox Audit.
• Cluster Components Security:
➡Update of key components;
➡Anonymous Access;
➡Users, Authentication and Authorization;
➡Emergency Access (Break-Glass);
➡Verification of Granted Access;
➡Authorization;
➡Authorization – Automating the Permission Verification Process;
➡Other Authentication and Authorization Methods (static tokens, Node, ABAC, and Webhook);
➡etcd Security;
➡Secrets;
➡Namespaces;
➡Network Policies;
➡Metrics API and Avoiding Shortcuts;
➡Automated Tools.
• Security of Images, Containers, and Pods:
➡Minimal Images – The Fewer Dependencies, the Better;
➡Specifying a Specific Image Version;
➡Vulnerability Scanners;
➡Learning About Admission Controllers – Automating the Vulnerability Scanning Process;
➡Own Registry;
➡OPA Gatekeeper - Registry Under Control;
➡Security Context - Additional Hardening;
➡AppArmor;
➡Other Capabilities;
➡Pod Security Standards;
➡gVisor;
➡Resource Quotas;
➡Auditing;
➡Falco - Detection and Analysis of Suspicious Activities.
• Debugging - Essentials for Troubleshooting;
• Additional Resources.
S.E. ▪️ infosec.work ▪️ VT
Как мы и предполагали, эксплуатация недавно исправленной CVE-2026-22719 в VMware Aria Operations (ранее vRealize Operations) не заставила себя ждать.
Напомним, CVE-2026-22719 представляет собой серьезную проблему внедрения команд, которую можно использовать без аутентификации.
Как отметила Broadcom, злоумышленник может использовать эту уязвимость для выполнения произвольных команд, что может привести к удаленному выполнению кода в VMware Aria Operations во время миграции продукта с помощью службы поддержки
Предупреждение о задействовании ошибки в реальных атаках поступило от CISA, которая во вторник добавила CVE-2026-22719 в свой каталог известных эксплуатируемых уязвимостей (KEV).
В обновленной версии первоначального уведомления компания Broadcom пояснила: «Компания осведомлена о сообщениях о потенциальной эксплуатации уязвимости CVE-2026-22719 в реальных условиях, но мы не можем независимо подтвердить их достоверность».
В открытом доступе пока нет информации, описывающей атаки, использующие данную уязвимость. Так что неясно, узнала ли компания Broadcom об использовании уязвимости в реальных условиях от CISA или из другого источника.
Равно как и неизвестно, началось ли использование уязвимости после выпуска патча или же CVE-2026-22719 использовалась в качестве 0-day.
Тем не менее, стоит отметить в лучшую строну Broadcom за оперативность в обновлении статуса потенциальной эксплуатации.
Ведь ранее поставщик неоднократно подвергался критике за задержку подобных предупреждений, даже когда об эксплуатации уязвимости было известно в течение длительного времени.
Будем следить за появлением подробностей атак.
Ox Security предупреждает о критической уязвимости в решении FreeScout, использующем открытый исходный код для служб поддержки и общих почтовых ящиков, которая может быть использована для атак с удаленным выполнением кода (RCE) без клика.
Уязвимость отслеживается как CVE-2026-28289 (CVSS 10/10) и представляет собой обходной путь для CVE-2026-27636, недавно исправленной серьезной уязвимости удаленного выполнения кода с аутентификацией.
Первоначальная проблема, описанная как отсутствие файла .htaccess в списке ограничений на загрузку файлов, позволяет авторизованному злоумышленнику загрузить файл .htaccess, вмешаться в обработку файла и осуществить RCE.
Патч для первоначальной уязвимости CVE, обнаруженной Ox Security, можно обойти, используя символ пробела нулевой ширины, который невидим и проходит проверку на точку, в результате чего на диск сохраняется корректное имя файла .htaccess.
По мнению разработчиков FreeScout, CVE-2026-28289 - это уязвимость, связанная с проверкой времени использования (TOCTOU) в функции очистки имен файлов, «где проверка префикса точки происходит до того, как в процессе очистки удаляются невидимые символы».
Исправление CVE-2026-27636 было направлено на блокировку имен файлов с ограниченными расширениями или начинающиеся с точки («.») путем добавления подчеркивания к расширению файла.
Для обхода патча злоумышленник добавляет к имени файла символ нулевой ширины (Unicode U+200B). Поскольку этот символ не рассматривается как видимое содержимое, оно обходит проверку, символ U+200B удаляется, и файл сохраняется как настоящий точечный файл.
Атака реализуется путем отправки вредоносного электронного письма с любого адреса на почтовый ящик, настроенный в FreeScout.
Важно отметить, что для этого не требуется аутентификации и взаимодействия с пользователем. Вредоносная ПО записывается на диск на сервере FreeScout, после чего может быть использована для удаленного выполнения команд.
Как отмечает Ox Security, злоумышленник может предсказать, где файл будет сохранен на диске, что позволяет ему получить доступ к вредоносному коду и выполнять команды на сервере.
Успешная эксплуатация новой уязвимости позволяет злоумышленнику получить полный контроль над серверами, перехватить заявки в сапорт, содержимое почтовых ящиков и другие конфиденциальные данные из FreeScout, а также потенциально перейти на другие системы в сети.
Все установки FreeScout 1.8.206 затрагиваются при работе на Apache с включенной опцией AllowOverride All (распространенная конфигурация). CVE-2026-28289 была устранена в FreeScout 1.8.207.
Пользователям рекомендуется как можно скорее обновить свои развертывания.
Позитивы подвели итоги своей работы по отслеживанию трендовых уязвимостей в самых разных и широко используемых в России продуктах и сервисах за 2025 год, обобщив наиопаснейшие из них.
Согласно классификации исследователей, это именно те уязвимости, которые активно применяются в атаках или с высокой степенью вероятности будут эксплуатироваться злоумышленниками в определенной перспективе.
Всего в 2025 году к трендовым было отнесено 66 уязвимостей в ОС, прикладном ПО, почтовых серверах, сетевых устройствах и других продуктах.
Из них по 54 (82%) фиксировались признаки эксплуатации в атаках, а 12 (18%) имели публичные эксплойты, но без следов эксплуатации.
Большинство (47%) трендовых уязвимостей было связано с RCE (31) и EoP (20 уязвимостей, что составило 30%).
В отечественных коммерческих решениях выявлено 4 трендовые уязвимости: 1 RCE в CommuniGate Pro (BDU:2025-01331) и цепочка из трех в TrueConf Server.
Все остальные касаются зарубежных коммерческих продуктов и проектов с открытым кодом.
Microsoft остается лидером в категории трендовых уязвимостей.
В 2025 году продукты вендора содержали 31 такую ошибку, что составило 46% от общего числа.
Среди них: 18 - EoP в ядре Windows и стандартных компонентах; 2 - RCE в Microsoft SharePoint; 2 - RCE в стандартных компонентах Windows, эксплуатирующиеся через взаимодействие с сетевым хостом, а также 9 - в стандартных компонентах Windows, которые могут эксплуатироваться в фишинговых атаках.
Кроме того, в фишинговых атаках могут использоваться 8 RCE в 7-Zip, WinRAR и XSS в MDaemon Email Server, Zimbra Collaboration.
По части Linux-систем - это 2 трендовые уязвимости повышения привилегий в Sudo и Linux Kernel.
3 трендовые уязвимости затрагивают широко используемые библиотеки и фреймворки: RCE в React Server Components, expr-eval, а также уязвимость межсайтового скриптинга в Django.
Еще 13 трендовых уязвимостей ставят под угрозу сетевую безопасность организации и могут являться точками проникновения злоумышленников.
Это RCE в Cisco ASA и FTD, CommuniGate Pro, TrueConf Server, Roundcube, XWiki Platform, Control Web Panel, Redis и Erlang/OTP, а также обход аутентификации в FortiOS и PAN-OS.
Среди трендовых уязвимостей, которые позволяют злоумышленникам скомпрометировать разработку ПО: RCE в Apache HTTP Server и Apache Tomcat, а также раскрытие информации в MongoDB.
Компрометация виртуальной инфраструктуры возможна благодаря 4 проблемам в ESXi (RCE, раскрытие информации и повреждение памяти) и Kubernetes(RCE).
Также злоумышленники могут воспользоваться двумя RCE в SAP NetWeaver для взлома системы управления предприятием.
Конкретные идентификаторы и вся сводная аналитика по всем трендовым багам доступна в расширенном отчете.