39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Популярный IT-предприниматель Ким Дотком вновь выкатился с сенсационными заявлениями, на этот раз по поводу «взлома» Palantir.
Что касается тотальной аффилированности Palantir с ЦРУ США - можно было даже не писать об этом.
Однако прочие утверждения про ядерное оружие для Украины, прослушку первых лиц США и массивы компромата на представителей мировой элиты - воспринимать без скептицизма достаточно сложно.
Кроме поста в X, нет ни дампов, ни скриншотов интерфейсов, ни технических артефактов, ни подтверждений от профильных киберкомпаний.
Автор заявления категорически отрицает свою причастность к возможному инциденту и выступает лишь в качестве информационного партнера.
При этом утверждает, что все якобы украденные у Palantir данные будут переданы в Россию и/или КНР.
В общем, будем посмотреть.
Продолжаем отслеживать наиболее трендовые уязвимости. По состоянию на пятницу 13-ого подборка представлена следующим образом:
1. Исследователи обнаружили 287 расширений для Chrome, похищающие историю просмотров пользователя и установленные более 37 миллионов раз.
Среди них - блокировщики рекламы, ИИ-помощники и офисные приложения.
2. LayerX раскрыла кластер из 30 расширений Chrome, маскирующихся под инструменты ИИ и использующих скрытые iframe для выполнения кода в браузерах пользователей.
3. Quarkslab обвинила Intego в отказе от исправления ряда уязвимостей в своих продуктах безопасности для macOS, несмотря на наличие достаточного времени для этого.
3. RCE Security опубликовала PoC для уязвимости внедрения команд без аутентификации в плагине W3 Total Cache для WordPress - CVE-2025-9501.
При этом плагин является одним из самых популярных в экосистеме WordPress.
4. Раскрыт новый вектор деанонимизации пользователей VPN на основе списков фильтров блокировки рекламы, установленных в их браузере.
Пользователей можно отследить до конкретных стран по доменам, включенным в списки блокировщиков рекламы.
5. Microsoft обнаружила, что метод, обычно используемый для тонкой настройки LLM после их развертывания, может быть использован для нейтрализации функций безопасности.
Новую атаку назвали GRP-Obliteration (по названию метода - Group Relative Policy Optimization (GRPO).
Microsoft заявляет, что тесты позволили рассогласовать функции безопасности в 15 наиболее часто используемых на сегодняшний день LLM, от DeepSeek до GPT и Llama.
6. Исследователи LayerX раскрыли RCE-уязвимость в приложении Claude Desktop Extensions (DXT), позволяющую задействовать Google Календарь для компрометации систем, использующих расширения Claude Desktop Extensions.
Проблема затрагивает более 10 000 активных пользователей и 50 расширений DXT.
7. FIRST прогнозирует, что в течение года будет зарегистрировано около 60 000 уязвимостей. Это будет первый год в истории, когда количество глобальных сообщений об ошибках превысит порог в 50 000.
Причем не исключается, что их может оказаться по года более чем 100 000.
8. Positive Technologies выкатила февральский «В тренде VM», отметив среди трендовых: уязвимость, приводящая к RCE, в Microsoft 365 и Microsoft Office (CVE-2026-21509) и ошибку, приводящую к раскрытию информации, в Desktop Window Manager (CVE-2026-20805).
9. Китайский аналог Pwn2Own от Zero Day Initiative - Tianfu Cup после двухлетнего перерыва возобновился в 2026 году. Мероприятие состоялось 29-30 января.
По данным Natto Thoughts, соревнования хакеров организуются МОБ КНР и проходят в еще более засекреченном формате.
10. Microsoft считает, что вновь обнаруженные проблемы с подменой LNK-кода в Windows - это не уязвимости.
На фестивале Wild West Hackin' Fest исследователь Витце Беукема раскрыл несколько уязвимостей в файлах ярлыков Windows, которые позволяют злоумышленникам развертывать вредоносные ПО.
Обнаруженные проблемы связаны с несоответствиями в том, как проводник Windows расставляет приоритеты для конфликтующих целевых путей, указанных в нескольких необязательных структурах данных в файлах ярлыков.
Исследователь также выпустил lnk-it-up - набор инструментов с открытым исходным кодом, который генерирует ярлыки Windows LNK с использованием представленных методов.
Как мы и предполагали ранее, прошло не так много времени после выпуска PoC для критической CVE-2026-1731 (CVSS 9,9) в устройствах BeyondTrust Remote Support и Privileged Remote Access, как киберподполье принялось ее активно эксплуатировать.
Уязвимость затрагивает версии BeyondTrust Remote Support 25.3.1 и более ранние, а также Privileged Remote Access 24.3.4 и более ранние.
BeyondTrust сообщила об уязвимости 6 февраля, предупреждая, что неавторизованные злоумышленники могут даленно выполнять код до аутентификации, отправляя специально сформированные клиентские запросы.
Причем для успешной эксплуатации не требуется аутентификация или взаимодействие с пользователем, она может привести к компрометации системы, включая несанкционированный доступ, утечку данных и сбои в работе сервисов.
Уязвимость обнаружила Hacktron, ответственно проинформировав о ней BeyondTrust 31 января. По данным исследователей, в сети оказалось около 11 000 уязвимых экземпляров BeyondTrust Remote Support, при этом примерно 8 500 из них были развернуты локально.
В свою очередь, watchTowr уже заметила, как злоумышленники начали активно использовать уязвимость, предупреждая, что если устройства не будут обновлены, их следует считать скомпрометированными.
Атаки нацелены на уязвимые порталы BeyondTrust и задействуют функцию get_portal_info для извлечения значения x-ns-company, который затем используется для создания веб-сокета с целевым устройством, что позволяет злоумышленникам выполнять команды на уязвимых системах.
Причем эта уязвимость появилась спустя день после публикации на GitHub демонстрационного эксплойта, ориентированного на ту же самую конечную точку.
WatchTowr настоятельно рекомендует организациям, использующим самостоятельно размещенные устройства BeyondTrust Remote Support или Privileged Remote Access, немедленно установить доступные исправления или обновить систему до последних версий.
В BeyondTrust пока никак не комментируют ситуацию.
Критическая уязвимость в плагине WPvivid Backup & Migration для WordPress на более чем на 900 000 веб-сайтах может быть использована для удаленного выполнения кода путем загрузки произвольных файлов без аутентификации.
Уязвимость отслеживается как CVE-2026-1357, получила оценку серьезности 9,8, затрагивая все версии плагина до 0.9.123 включительно, и приводит в случае успешной эксплуатации к полному захвату веб-сайта.
Несмотря на серьезность проблемы, исследователи Defiant утверждают, что критическое воздействие оказывается только на сайты, у которых включена нестандартная опция «получать резервную копию с другого сайта».
Кроме того, у злоумышленников есть 24-часовой период для эксплуатации уязвимости, который соответствует сроку действия сгенерированного ключа, необходимого другим сайтам для отправки резервных файлов, что ограничивает реальную возможность эксплуатации уязвимости.
Вместе с тем, плагин обычно применяется в процессе миграции сайтов и передачи резервных копий между хостами, поэтому администраторы, скорее всего, активируют эту функцию в какой-то момент, по крайней мере временно.
Исследователь Лукас Монтес (NiRoX) сообщил об этой уязвимости в Defiant 12 января. Основная причина найденной проблемы кровется в некорректной обработке ошибок при расшифровке RSA в сочетании с недостаточной проверкой пути.
В частности, если функция openssl_private_decrypt() завершается с ошибкой, плагин не останавливает выполнение, а вместо этого передает результат ошибки (false) в подпрограмму AES (Rijndael).
Криптографическая библиотека обрабатывает это как строку нулевых байтов, создавая предсказуемый ключ шифрования, который злоумышленник может использовать для создания вредоносных ПО, которые плагин сможет принять.
Кроме того, плагину не удается должным образом проверить имена загружаемых файлов, что позволяет осуществлять обход каталогов, а это открывает возможность записывать файлы за пределы предназначенного для резервного копирования каталога и загружать вредоносные PHP-файлы для RCE.
Defiant уведомила поставщика, WPVividPlugins, 22 января после подтверждения работоспособности предоставленного PoC, а 28 января было выпущено обновление в составе версии 0.9.124.
Оно включает в себя добавление проверки для остановки выполнения в случае сбоя расшифровки RSA, включение проверки чистоты имен файлов и ограничение загрузки только разрешенными типами файлов резервных копий, такими как ZIP, GZ, TAR и SQL.
Пользователям плагина WPvivid Backup & Migration для WordPress следует учитывать риски, связанные с этой уязвимостью, и как можно скорее обновиться до 0.9.124.
Новости про утечки данных, телефонные мошенничества и хакерские атаки уже кажутся постоянным фоном даже тем, кто не занимается кибербезопасностью. Но есть особенные истории, о которых долго говорит вся индустрия.
Пять таких кейсов собрал подкаст «Кибертрукрайм», первый эпизод которого выходит 4 февраля. Это нарративный подкаст — практически пять документальных аудиофильмов о кибератаках, которые стали частью истории мирового кибербеза. О том, как их расследовали, расскажет Kaspersky GReAT. Это команда, которая существует с 2008 года и занимается обнаружением и изучением самых непростых киберугроз во всех точках земного шара. Их репутация и авторитет настолько высоки, что злоумышленники периодически пытаются шпионить и за ними.
Как раз такой попытке посвящён первый эпизод. В нём Kaspersky GReAT рассказывают, как самые подкованные кибершпионы в мире пытались проникнуть в их устройства Apple и остаться незамеченными. Но все закончилось тем, что команда нашла у Apple четыре уязвимости, а о злоумышленниках написали в мировых новостях.
Но сначала команде пришлось исследовать тысячи строк кода, использовать клетки Фарадея и даже заклеивать камеры телефонов, чтобы шпионы не поняли, что их поймали. Крутая история, когда безопасность айфонов работает против жертвы кибератаки.
➡️ Слушаем на Яндекс.Музыке, в Apple Podcasts и на любой другой удобной платформе.
Apple выпустила экстренные обновления для устранения первой в этом году 0-day (в 2025 их было 7), которая задействовалась в «чрезвычайно изощренной атаке», нацеленной на узкий круг лиц на версиях iOS до 26.
Уязвимость отслеживается как CVE-2026-20700 и позволяет выполнять произвольный код в dyld, динамически подключаемом редакторе, используемом операционными системами Apple, включая iOS, iPadOS, macOS, tvOS, watchOS и visionOS.
В бюллетене Apple содержится предупреждение о том, что злоумышленник, обладающий возможностью записи в память, может выполнить произвольный код на затронутых устройствах.
В компании заявляют, что им известно о сообщениях о том, что эта уязвимость, наряду с CVE-2025-14174 и CVE-2025-43529, исправленными в декабре, была использована в одних и тех же инцидентах.
Apple приписала обнаружение CVE-2026-20700 Google TAG, но не предоставила никаких дополнительных подробностей о том, как именно она была использована.
К числу затронутых устройств относятся: iPhone 11 (и более поздние модели), iPad Pro 12,9 дюйма (3-го поколения), iPad Pro 11 дюймов (1-го поколения), iPad Air (3-го поколения), iPad (8-го поколения), iPad mini (5-го поколения и более поздних версий), а также Mac на macOS Tahoe.
Apple устранила уязвимость в iOS 18.7.5, iPadOS 18.7.5, macOS Tahoe 26.3, tvOS 26.3, watchOS 26.3 и visionOS 26.3.
Пользователям рекомендуется оперативно накатить последние обновления для защиты своих устройств.
Сингапурское агентство по кибербезопасности (CSA) выступило с официальным заявлением и обвинениями в адрес китайских хакеров, которым удалось взломать системы всех четырех крупнейших телекоммуникационных компаний страны - M1, SIMBA Telecom, Singtel и StarHub.
CSA приписала атаки APT-группе, которую они отслеживают как UNC3886. Названный инцидент произошел в прошлом году, с тех пор на протяжении 11 месяцев специалисты CSA пытались вытравить китайских кибершпионов из скомпрометированных сетей.
По версии следствия, злоумышленники украли «небольшое количество технических данных» в рамках подготовки в будущим кампаниям, при этом расследователи, как заявляется, не обнаружили доказательств кражи личных данных клиентов.
Предполагается, что для обеспечения постоянного присутствия в сети использовались 0-day в межсетевых экранах телекоммуникационных компаний и руткиты.
Согласно представленным отчетам Google, Sygnia и Trend Micro (1, 2 и 3 соответственно), APT-группа имеет большой опыт по части умелого применения уязвимостей в сетевом и корпоративном оборудовании Fortinet, Juniper, Ivanti SecureConnect, а также VMware ESXi и vCenter.
Как отмечается, UNC3886 считается одной из самых активных китайских шпионских группировок за последние два-три года, наряду с более известной Salt Typhoon, еще одной китайской APT-группировкой, специализирующейся на взломе телекоммуникационных компаний.
Учитывая столь продолжительный период локализации инцидента, можно констатировать, что достичь своих целей китайским хакерам определено удалось.
Исключать их возвращения не стоит, но пока основные усилия будут направлены на реализации полученных данных в ходе дальнейших наступательных операций. Но будем посмотреть.
Исследователи Flare обнаружили ботнет под управлением Linux под названием SSHStalker, который задействует протокол связи IRC (Internet Relay Chat) для организации C2.
Он был разработан еще в 1988 году, а пик его распространения пришелся на 1990-е годы, став основным текстовым средством обмена мгновенными сообщениями для группового и личного общения.
Технические сообщества по-прежнему ценят его за простоту реализации, совместимость, низкие требования к пропускной способности и отсутствие необходимости в графическом интерфейсе пользователя.
SSHStalker использует классические механизмы IRC вместо современных C2-фреймворков, отдавая приоритет отказоустойчивости, масштабируемости и низкой стоимости, а не скрытности и технической новизне.
По данным исследователей, этот подход распространяется и на другие особенности работы SSHStalker, такие как использование «шумных» SSH-сканирований, заданий cron с интервалом в одну минуту и обширный каталог уязвимостей CVE 15-летней давности.
Во Flare его описывают как громоздкий, кое-как собранный ботнет, сочетающий в себе управление IRC из старой школы, компиляцию бинарных файлов на хостах, массовый взлом SSH и сохранение активности на основе cron. Другими словами, в этой масштабируемая операция - надежность важнее скрытности.
SSHStalker получает первоначальный доступ посредством автоматического сканирования SSH и брута паролей, используя исполняемый файл на Go, который маскируется под популярную утилиту nmap.
Затем скомпрометированные хосты используются для сканирования на наличие дополнительных целей SSH, что напоминает механизм распространения ботнета, подобный червю.
Исследователи Flare также заметили файл с результатами почти 7000 сканирований ботов, проведенных в январе и в основном направленных на поставщиков облачного хостинга в инфраструктуре Oracle Cloud.
После заражения устройства вредоносной ПО SSHStalker она загружает на него инструмент GCC для компиляции вредоносных ПО, что обеспечивает лучшую персистентность и обход защиты.
Первыми полезными нагрузками являются IRC-боты на языке C с жестко запрограммированными серверами С2, которые подключают новую жертву к IRC-инфраструктуре ботнета.
Далее вредоносная ПО загружает архивы с именами GS и bootbou, содержащие варианты ботов для организации и последовательности выполнения.
Постоянное сохранение обеспечивается с помощью заданий cron, которые запускаются каждые 60 секунд, активируя механизм обновления, подобный таймеру, который проверяет, запущен ли основной процесс бота, и перезапускает его, если он завершен.
Ботнет также содержит эксплойты для 16 уязвимостей CVE, нацеленных на все версии ядра Linux 2009-2010 годов, что обеспечивает повышение привилегий.
По части монетизации во Flare заметили, что ботнет реализует сбор ключей AWS и сканирование сайтов, а также включает в себя наборы для майнинга крипты (в том числе Ethereum PhoenixMiner).
Также функционал позволяет проводить DDoS, н подобные активности исследователи не наблюдали. Фактически, боты SSHStalker к настоящему времени просто подключаются к C2, а затем переходят в режим ожидания.
Так что пока Flare не приписала SSHStalker какой-либо конкретной группе угроз, но тем не менее, отметила сходство с экосистемой ботнетов Outlaw/Maxlas.
В рамках февральского PatchTuesday в этом месяце Microsoft устранила 58 уязвимостей, в том числе 6 активно используемых и трех публично раскрытых 0-day: CVE-2026-21510, CVE-2026-21514, CVE-2026-21513, CVE-2026-21519, CVE-2026-21533 и CVE-2026-21525.
В новом обновлении также исправлены пять критических уязвимостей, три из которых связаны с EoP, а две - с раскрытием информации. В целом распределение по категориям выглядит следующим образом: 25 - EoP, 5 - обход функции безопасности, 12 - RCE, 6 - раскрытие информации, 3 - DoS и 7 - подмена данных.
Кроме того, 3 уязвимости исправлены в Microsoft Edge, обновлены сертификаты Secure Boot, которые заменят оригинальные от 2011 года, срок действия которых истекает в июне 2026 года, а также выпущены расширенные обновления безопасности Windows 10.
Среди нулей на этот раз кучно:
- CVE-2026-21510: обход запросов безопасности Windows SmartScreen и Windows Shell.
Проблема позволяет обойти функцию безопасности Windows и может быть активирована при открытии специально созданной ссылки или файла ярлыка. Вероятно, приводит к обходу Mark of the Web.
Злоумышленник может обойти запросы безопасности Windows SmartScreen и Windows Shell, используя некорректную обработку в компонентах Windows Shell, что позволяет выполнять контент, контролируемый злоумышленником, без предупреждения или согласия пользователя.
Обнаружение приписывается Microsoft MSTIC и MSRC, группе безопасности Office, Google и анонимному исследователю, которые также раскрыли
CVE-2026-21513 и CVE-2026-21514.
- CVE-2026-21513: уязвимость в Internet Explorer для обхода средств защиты и потенциального выполнения кода через вредоносные HTML- или LNK-файлы.
Уязвимость связана со сбоем в механизме защиты MSHTML Framework, открывая неавторизованному злоумышленнику возможность обойти функцию безопасности в сети. Данные о том, как именно она была использована не раскрываются.
- CVE-2026-21514: уязвимость в Microsoft Word, позволяющая злоумышленнику обойти меры защиты OLE.
Для эксплуатации злоумышленнику необходимо отправить пользователю вредоносный файл Office и убедить его открыть его.
Microsoft заявляет, что уязвимость невозможно использовать в панели предварительного просмотра Office. Поскольку никаких подробностей не было приведено, предполагается, что CVE-2026-21510, CVE-2026-21513 и CVE-2026-21514 могли быть использованы в рамках одной кампании.
- CVE-2026-21519: уязвимость повышения привилегий в диспетчере окон рабочего стола Windows.
Злоумышленник, успешно использовавший эту уязвимость, может получить системные привилегии. Никаких подробностей о том, как именно была совершена атака, не сообщается.
Microsoft упоминает лишь то, что обнаружение уязвимости приписывается центрам Microsoft MSTIC и MSRC.
- CVE-2026-21525: DoS-уязвимость в диспетчере подключений удаленного доступа Windows.
Разыменование нулевого указателя в диспетчере подключений удаленного доступа Windows позволяет неавторизованному злоумышленнику запретить локальное обслуживание.
Microsoft приписала обнаружение ACROS, работающей с 0patch.
Исследователи отыскали уязвимость в общедоступном репозитории вредоносного ПО в ходе поиска эксплойта для CVE-2025-59230, но он не осведомлены, как именно она используется в атаках. Однако качество комбинированного эксплойта для обеих уязвимостей говорит о «профессионально проделанной работе».
- CVE-2026-21533: EoP-уязвимость в службах удаленного рабочего стола Windows.
Неправильное управление привилегиями в Windows Remote Desktop позволяет авторизованному злоумышленнику повысить привилегии локально. Обнаружение приписывается CrowdStrike.
По данным CrowdStrike, эксплойт для CVE-2026-21533 изменяет ключ конфигурации службы, заменяя его ключом, контролируемым злоумышленником, что может позволить повысить привилегии и добавить нового пользователя в группу админов.
CrowdStrike не связывает эту активность с конкретным актором, но полагают, что разработчики эксплойта, вероятно, ускорят свои попытки использовать или перепродать его в ближайшее время.
Полное описание каждой уязвимости и затронутых ею систем - здесь.
Fortinet выпустила обновления для устранения критической уязвимости в FortiClientEMS, которая может привести к выполнению произвольного кода в уязвимых системах.
Проблема отслеживается как CVE-2026-21643 и имеет рейтинг CVSS 9,1 из 10 возможных. Она связана с неправильной нейтрализацией специальных элементов, используемых в уязвимости SQL-команды в FortiClientEMS, позволяя неавторизованному злоумышленнику выполнить несанкционированный код или команды с помощью специально сформированных HTTP-запросов.
Обнаружение приписывается Гвендалу Геньо из команды Fortinet. Недостаток затрагивает FortiClientEMS 7.4.4 (обновить до версии 7.4.5 или выше), FortiClientEMS 7.2 и FortiClientEMS 8.0 отмечены как незатронутые.
К настоящему времени Fortinet не упоминает об использовании этой уязвимости в реальных условиях, аналогично недавней CVE-2026-24858 в FortiOS, FortiManager, FortiAnalyzer, FortiProxy, FortiWeb, позволявшей злоумышленнику с учетной записью FortiCloud и зарегистрированным устройством входить в систему на других устройствах с активной FortiCloud SSO.
Впоследствии Fortinet признала, что злоумышленники активно использовали ее для создания локальных админских учетных записей для постоянного доступа, внесения изменений в конфигурацию, предоставляющих доступ к VPN, и кражи конфигурационных данных межсетевого экрана.
Исследователи Huntress Security сообщают об обнаружении вредоносной активности, связанной с нацеливанием на уязвимости в SolarWinds Web Help Desk (WHD) для развертывания легитимных инструментов удаленного мониторинга и управления Zoho ManageEngine.
Злоумышленник атаковал как минимум три организации, а также использовал туннели Cloudflare для обеспечения постоянного доступа к системе и Velociraptor для C2. Все в рамках общей кампании, начавшейся 16 января и использующей недавно обнаруженные уязвимости SolarWinds WHD.
По данным компании, злоумышленник использовал уязвимости CVE-2025-40551, которые CISA на прошлой неделе отметила как используемые в атаках, а также CVE-2025-26399.
Обе проблемы безопасности получили критическую оценку серьезности и могут быть использованы для RCE на хост-машине без аутентификации.
Свою очередь, исследователи Microsoft также задетектили «многоэтапное вторжение, в ходе которого злоумышленники использовали доступные через интернет экземпляры SolarWinds Web Help Desk (WHD)», но не подтвердили использование обеих уязвимостей.
Получив первоначальный доступ, злоумышленник установил агент Zoho ManageEngine Assist с помощью MSI-файла, загруженного с файловой платформы Catbox.
Затем настроил инструмент для автоматического доступа и зарегистрировал скомпрометированный хост в учетной записи Zoho Assist, привязанной к анонимному Proton Mail.
Этот инструмент используется для непосредственной ручной работы и разведки Active Directory (AD), также применяется для развертывания Velociraptor, загружаемого в виде MSI-файла из хранилища Supabase.
Velociraptor - это легитимный инструмент DFIR, который, как недавно предупредила Cisco Talos, активно используется не по назначению в атаках с применением ransomware.
В наблюдаемых Huntress атаках, платформа DFIR используется в качестве системы C2, которая взаимодействует с злоумышленниками через Cloudflare Workers.
Исследователи отмечают, что злоумышленник использовал устаревшую версию Velociraptor, 0.73.4, которая имеет EoP-уязвимости, позволяющие увеличить права доступа к хосту.
Злоумышленник также установил Cloudflared из официального репозитория на GitHub, используя его в качестве дополнительного канала доступа на основе туннелей для обеспечения резервирования C2.
В некоторых случаях сохранение доступа обеспечивалось с помощью запланированной задачи (TPMProfiler), которая открывает бэкдор SSH через QEMU.
Атакующие также отключили Windows Defender и брандмауэр с помощью изменений в реестре, гарантируя загрузку дополнительных вредоносных ПО.
Системным администраторам рекомендуется обновить SolarWinds Web Help Desk до версии 2026.1 или более поздней, отключить доступ к административным интерфейсам через публичный интернет и сбросить все учетные данные, связанные с продуктом.
Huntress также поделилась правилами Sigma и IOCs, которые помогают обнаруживать активность туннелей Zoho Assist, Velociraptor, Cloudflared и VS Code, скрытые установки MSI и зашифрованное выполнение PowerShell.
Пока ни Microsoft, ни Huntress не связали наблюдаемые атаки с какими-либо конкретными группами угроз или другими подробностями по части мотивации актора.
Исследователи Flare раскрывают масштабную кампанию с использованием червя и React2Shell (CVE-2025-55182, CVSS: 10.0), нацеленную на облачные среды с целью создания вредоносной инфраструктуры для последующей эксплуатации.
Вредоносная активность попала в поле зрения исследователей 25 декабря 2025 года. Flare приписала ее TeamPCP (DeadCatx3, PCPcat, PersyPCP и ShellForce), которая активна с ноября 2025 года и упоминалась в декабре 2025 года под названием Operation PCPcat у Beelzebub.
При этом первое упоминание в Telegram датируется 30 июля 2025 года. С тех пор группа системно публикует украденные данные различных жертв из Канады, Сербии, Южной Кореи, ОАЭ и США.
Как полагают исследователи, цели кампании заключаются в создании распределенной инфраструктуры прокси-серверов и сканирования с последующим взломом серверов для кражи данных, развертывания ransomware, вымогательства и майнинга крипты.
TeamPCP функционирует как облачная платформа для киберпреступности, используя неправильно настроенные API Docker, API Kubernetes, панели мониторинга Ray, серверы Redis и уязвимые приложения React/Next.js в качестве основных путей заражения для взлома современной облачной инфраструктуры с целью кражи данных и вымогательства.
Кроме того, скомпрометированная инфраструктура используется в самых разных целях, от майнинга крипты и размещения данных до прокси-серверов и средств C2.
TeamPCP опирается на проверенные временем методы атак, такие как существующие инструменты, распространенные уязвимости и ошибки конфигурации, которые позволяют формировать операторам платформу для эксплуатации с «автоматизацией и индустриализацией» всего процесса.
Как отмечают Flare, это, в свою очередь, превращает уязвимую инфраструктуру в «самовоспроизводящуюся криминальную экосистему».
Успешная эксплуатация открывает путь для развертывания полезных нагрузок следующего этапа с внешних серверов, включая скрипты на основе командной оболочки и Python, которые затем подбирают ищут новые цели для дальнейшего расширения.
Одним из основных компонентов является proxy.sh, который устанавливает утилиты для прокси-серверов, одноранговых сетей (P2P) и туннелирования, а также предоставляет различные сканеры для поиска в интернете уязвимых и неправильно настроенных серверов.
Примечательно, что proxy.sh выполняет идентификацию среды во время выполнения. На ранней стадии выполнения он проверяет, работает ли он внутри кластера Kubernetes.
После чего скрипт переходит в отдельный путь выполнения и запускает вторичную полезную нагрузку, специфичную для кластера, что указывает использование TeamPCP отдельных инструментов и методов для облачных целей вместо универсального вредоносного ПО для Linux.
Среди других полезных нагрузок:
- scanner.py (для поиска неправильно настроенных API Docker и панелей Ray);
- kube.py (включает в себя специфические для Kubernetes функции сбора учетных данных кластера, а также опции распространения и бэкдора);
- react.py (нацеливание на CVE-2025-29927 для осуществления удаленного выполнения команд);
- pcpcat.py (для обнаружения открытых API Docker и панелей Ray, автоматического развертывания вредоносного контейнера и выполнения полезной нагрузки).
Flare заметила, что узел C2 по адресу 67.217.57[.]240 также связан с работой Sliver, который, как известно, используется злоумышленниками для постэксплуатационных целей.
Телеметрия также показывают, что злоумышленники в основном выбирают в качестве мишени среды Amazon Web Services (AWS) и Microsoft Azure.
Атаки носят оппортунистический характер и, в первую очередь, нацелены на инфраструктуру, соответствующие их целам, а не конкретным отраслям.
В целом, кампания PCPcat демонстрирует полный жизненный цикл сканирования, эксплуатации, закрепления в системе, туннелирования, кражи данных и монетизации, разработанный специально для современной облачной инфраструктуры.
Основная опасность заключается в операционной интеграции и масштабируемости, а гибридная модель позволяет группе монетизировать как вычислительные ресурсы, так и информацию.
SmarterTools, разработчик почтового сервера SmarterMail, подвергся хакерской атаке в виду уязвимости в собственном продукте. Инцидент приключился в конце прошлого месяца, 29 января.
Орудовали операторы Warlock, которой удалось взломать 30 почтовых серверов, работающих в офисной сети компании и ЦОДе, используемом для контроля качества.
Группа является очень продвинутым и опытным злоумышленником, отслеживается как Gold Salem (Sophos) и Storm-2603 (Microsoft). Считается, что действует из Китая, а программу-вымогатель Warlock начали применять в своих атаках в марте прошлого года.
Они же являются одними из первых, кто впервые нацеливался на ToolShell в рамках 0-day атак на серверы SharePoint в июле прошлого года.
По данным Fortinet, TTPs группы сочетают в себе методы кибершпионажа с действиями традиционной киберпреступности, используя загрузку DLL-файлов, перехват DLL-файлов, структуру управления и контроля AK47 и BYOVD для уклонения от обнаружения.
Как отмечают в Sophos, GOLD SALEM публично не светилась до июня 2025 года, когда на RAMP появилось сообщение от представителя группы с просьбой расшарить эксплойты для распространенных корпоративных приложений (Veeam, ESXi, SharePoint) и инструменты для нейтрализации EDR и других средств безопасности, а также посотрудничать с IAB.
Помимо Warlock, группа также использовала другие штаммы, такие как LockBit Black (LockBit 3.0) и X2ANYLOCK (AK47). На данный момент на их DLS указано около 80 жертв.
Операционный директор SmarterTools Дерек Кертис отметил, что точкой входа стала виртуальная машина, которая не была обновлена и позволила хакерам проникнуть в сеть и затем распространиться на другие серверы.
Защитные решения SentinelOne успели вовремя детектировать угрозу и заблокировать ransomware при попытке позашифровать данные.
В результате вторжения центр поддержки Portal компании вышел из строя, но, по словам руководителя, сегментация сети предотвратила доступ хакеров к другим системам.
SmarterTools не уточнила, какую именно уязвимость задействовали хакеры, но начало года для компании выдалось непростым: сразу три уязвимости в SmarterMail были добавлены в базу данных CISA KEV как активно эксплуатируемые.
При этом из этих трех только CVE-2026-24423 отмечена как «используемая в кампаниях вымогателей». По всей видимости, именно ее Warlock использовала в ходе атаки.
Она позволяет обойти аутентификацию и сбросить пароли администратора. Была обнаружена WatchTowr Labs и раскрыта за неделю до того, как хакеры использовали её для взлома самой системы SmarterTools. Исправлена вышли 15 января, за две недели до взлома SmarterTools.
Так или иначе будем следить.
Специалисты Anthropic сообщают о выпуске новейшей продвинутой LLM Claude Opus 4.6, которая смогла обнаружила более 500 ранее неизвестных серьезных уязвимостей в библиотеках с открытым исходным кодом, включая Ghostscript, OpenSC и CGIF.
В Claude Opus 4.6 впервые появились полноценные команды ИИ-агентов, способные параллельно и автономно решать задачи, требующие большого объёма чтения, включая проверку кодовой базы.
Разработчики Anthropic официально заявляют, что новинка «занимает первое место среди всех остальных передовых моделей на Humanity’s Last Exam, комплексном междисциплинарном тесте на рассуждение».
Модель "значительно лучше" справляется с обнаружением уязвимостей, не требуя каких-либо специализированных инструментов, пользовательской структуры или специальных подсказок, что позволяет ее эффективно задействовать для поиска и устранения уязвимостей в опенсорсе.
Opus 4.6 способна читать и анализировать код почти так же, как если бы это делал бы исследователь: изучает предыдущие исправления, чтобы найти похожие ошибки, которые не были устранены, выявляет закономерности, которые обычно вызывают проблемы, или понимает логический фрагмент достаточно хорошо, чтобы точно знать, какой входной параметр приведет к его сбою.
Команда разработчиков протестировала модель в виртуализированной среде, предоставив ей необходимые инструменты (отладчики и фаззеры), для поиска уязвимостей в проектах с открытым исходным кодом.
Основная идея заключалась в оценке возможностей модели «из коробки» без предварительного промпт-инжиниринга. Anthropic утверждает, что каждая находка была верифицирована штатной командой безопасности или независимыми ресерчерами.
Среди уязвимостей, выявленных в Claude Opus 4.6 и впоследствии исправленных разработчиками:
- Анализ истории коммитов Git позволил выявить уязвимость в Ghostscript, которая может привести к сбою из-за отсутствия проверки границ.
- Поиск вызовов функций типа strrchr() и strcat() выявил уязвимости переполнения буфера в OpenSC.
- Уязвимость переполнения буфера в куче в CGIF (исправлена в версии 0.5.1).
Последняя уязвимость особенно интересна, поскольку для ее активации требуется концептуальное понимание алгоритма LZW и его связи с форматом файлов GIF.
Традиционные фаззеры (и даже фаззеры, управляемые покрытием кода) с трудом выявляют уязвимости такого рода, поскольку требуют выбора определенных ветвей. Кроме того, для ее использования требуется очень специфическая последовательность операций.
Anthropic позиционирует модели ИИ, такие как Claude, в качестве важнейшего инструмента, позволяющего уровнять шансы «в гонке между защитниками и атакующими», ожидая, что Opus 4.6 и новые модели станут «одним из главных способов обеспечения безопасности открытого ПО.
Определенно, можно рассматривать Opus 4.6 как «огромную победу» для ИБ-сообщества, исторически испытывающего трудности по части обеспечения безопасности цепочек поставок в open-source.
Тем не менее, вопросы предотвращения злоупотреблений также остаются на повестке.
Ведь, как помнится, Anthropic ранее отмечала, что ее модели Claude могут успешно проводить многоэтапные атаки на сети с десятками хостов, полагаясь только на стандартные инструменты с открытым исходным кодом, в том числе путем обнаружения и эксплуатации известных уязвимостей.
Солары не отстают от своих коллег: в новом отчете представили свою аналитику с обзором веб-уязвимостей и эксплойтов за четвертый квартал и по итогам 2025 года.
Мониторинг осуществляется для своевременного создания детектирующих логик, которые впоследствии реализуются в продуктах и сервисах Солара. Параллельно накапливается статистика, которая позволяет понять, как меняется ландшафт угроз этого типа.
Отметим основные результаты за 4-й квартал, в рамках которого исследователи проанализировали 397 сообщений о новых уязвимостях и PoC для них в более чем 290 продуктах:
- Количество обнаруженных уязвимостей по сравнению с третьим кварталом выросло на 34,1% - с 296 до 397, что является самым высоким показателем обнаруженных уязвимостей за предыдущие кварталы 2025 года.
- Сетевой вектор имеют 81% уязвимостей, из них в 78,7% используется протокол HTTP. В третьем квартале эти показатели составляли 81,8% и 88% соответственно.
- Средний уровень критичности обнаруженных уязвимостей - 7,8 (такой же был и в третьем квартале).
- Самый уязвимый продукт квартала - WordPress и плагины для него (13,6%). Также второй квартал к ряду выявляются уязвимости в различных AI-сервисах. В топ уязвимых продуктов вошли React, Apache, продукты Fortinet, роутеры и другое сетевое оборудование.
- Большая часть (69,3%) обнаруженных сетевых уязвимостей имели уровень критичности High и Critical. В третьем квартале этот показатель составлял 67,3%.
- XXS, SQL-инъекция, неограниченная загрузка файла опасного типа, внедрение команды ОС, недостаточный контроль генерации кода (внедрение кода), некорректный контроль доступа - это наиболее часто обнаруживаемые типы уязвимостей в четвертом квартале 2025 года.
Если смотреть по году, то в числе основных результатов 2025 года Солары выделили следующие:
- В общей сложности было проанализировано более чем 1000 PoC для уязвимостей более чем в 680 продуктах.
- Самым уязвимым продуктом 2025 года стал WordPress в виду его обширной библиотеки сторонних плагинов и высокой популярности среди других CMS-платформ. За год было зафиксировано примерно 140 PoC-эксплойтов.
- Около 70% всех сетевых уязвимостей имели высокую или критическую степень риска.
- Самыми распространенными типами уязвимостей стали: недостаточная нейтрализация ввода при формировании веб-страницы (XSS), недостаточная нейтрализация специальных элементов в SQL-запросах, CSRF и неограниченная загрузка файлов опасного типа.
Итоговые данные показывают, что за год количество новых уязвимостей и их PoC только росло. С одной стороны, это свидетельствует об активности сообщества исследователей безопасности продуктов, с другой - о систематических проблемах в некотором ПО.
Одним из ключевых трендов года стало обнаружение уязвимостей в AI-сервисах. В контексте ИИ пока речь идет об угрозах, связанных с конфиденциальными данными пользователей, но 2026-й обещает быть годом активного внедрения в ПО технологий ИИ, и в частности ИИ-агентов.
Инфографика и все подробности - в отчете.
Google выпустила экстренные обновления для устранения серьезной уязвимости в Chrome, которая активно задействуется в атаках в качестве 0-day (первая с начала этого года, в прошлом их было восемь).
CVE-2026-2441 связана с использованием памяти после освобождения в компоненте CSS, о ней сообщил исследователь Шахин Фазим, которому в прошлом году также приписывалось раскрытие ряда ошибок.
Уведомление об активно используемой уязвимости было направлено поставщику 11 февраля, всего за два дня до того, как она была исправлена.
Она обусловлена проблемой недействительности итератора в CSSFontFeatureValuesMap, реализации Chrome значений характеристик шрифтов CSS.
Успешная эксплуатация может позволить злоумышленникам вызвать сбои в работе браузера, проблемы с отображением, повреждение данных или другое непреждсказуемое поведение.
Как отмечается, патч CVE-2026-2441 решает «непосредственную проблему», но требуется доработка (483936078). Это свидетельствует о том, что текущее исправление может носить временный характер или же связанные дефекты все еще нуждаются в решении.
Google подтверждает, что ей известно об использовании 0-day в реальных условиях, но предоставить дополнительные подробности об этих инцидентах отказалась.
Однако, судя информации, предоставленной Google, эту уязвимость, вероятно, можно использовать для выполнения произвольного кода, заставив целевого пользователя перейти на вредоносный веб-сайт.
Однако код будет выполняться в изолированной среде, и для выхода из этой среды и полного захвата системы, вероятно, потребуется дополнительная уязвимость.
Компания устранила уязвимость для пользователей стабильного канала Desktop, и в ближайшие дни или недели новые версии будут распространяться для пользователей Windows, macOS (145.0.7632.75/76) и Linux (144.0.7559.75) по всему миру.
Ресерчеры из Лаборатории Касперского препарировали новый загрузчик вредоносного ПО под названием RenEngine, обнаруженный в сети в этом месяце.
Киберподполье достаточно часто продвигает зловреды под видом читов для игр и пиратского ПО, но случается так, что иногда таким образом распространяются сложные штаммы с применением продвинутых техник и запутанных цепочек заражения.
В феврале этого года исследователи Howler Cell обнаружили массовую кампанию по распространению пиратских игр, троянизированных образцом ранее неизвестного семейства вредоносного ПО.
Им как раз и оказался загрузчик RenEngine, который доставлялся на устройство при помощи модифицированной версии лаунчера игры на базе движка Ren’Py.
Решения ЛК детектируют угрозу как Trojan.Python.Agent.nb и HEUR:Trojan.Python.Agent.gen.
Как оказалось, на самом деле эта угроза не новая: решения ЛК начали детектировать первые образцы загрузчика RenEngine еще в марте 2025 года, когда таким образом распространялся инфостилер Lumma (Trojan-PSW.Win32.Lumma.gen).
В текущих наблюдаемых инцидентах в качестве конечной полезной нагрузки распространяется ACR Stealer (Trojan-PSW.Win32.ACRstealer.gen).
Тогда в марте 2025 года злоумышленники распространяли вредоносное ПО под видом взломанной игры на популярном игровом ресурсе с двумя кнопками: Free Download Now и Direct Download: функциональность была одинаковой - пользователя перенаправляли в MEGA для укачивания архива с «игрой».
При запуске «игры» процесс загрузки якобы останавливается, достигнув 100%. Можно было подумать, что игра зависла, но это не так - «настоящий» вредоносный код только что начал свою работу.
Проанализировав исходные файлы, ЛК обнаружила скрипты на Python, которые начинают первоначальное заражение устройства, имитируя бесконечную загрузку игры.
Кроме того, в них содержатся функции обхода песочницы is_sandboxed и расшифровки вредоносной нагрузки xor_decrypt_file.
При помощи последней скрипт расшифровывает ZIP, распаковывает его содержимое в директорию .temp и запускает распакованные файлы.
Всего в директорию .temp грузятся пять файлов.
Исполняемый DKsyVGUJ.exe не является вредоносным, а является легитимным приложением для систематизации генеалогических данных с оригинальным именем Ahnenblatt4.exe.
Библиотека borlndmm.dll также не содержит вредоносный код, реализуя необходимый для запуска ехе-файла менеджер памяти.
Другая библиотека, cc32290mt.dll, содержит пропатченный злоумышленниками участок кода, перехватывающий управление при запуске приложения и развертывающий в памяти процесса первую стадию вредоносной нагрузки.
В качестве «контейнера» для запуска первой стадии вредоносной нагрузки используется системная библиотека dbghelp.dll.
Она перезаписывается в памяти расшифрованным шелл‑кодом, полученным из файла gayal.asp, при помощи библиотеки cc32290mt.dll.
Полученная нагрузка является загрузчиком HijackLoader - относительно новое средство доставки и развертывания вредоносной нагрузки, впервые обнаруженное летом 2023 года.
Отличительной особенностью этого семейства является модульность и гибкость настроек.
Внедрение итоговой нагрузки осуществляется двумя разными способами в зависимости от параметров конфигурации вредоносного образца. Она представляет собой EXE-файл, а параметры конфигурации настроены на ее инъекцию в дочерний процесс explorer.exe.
В дополнение к сайтам с играми, в ЛК обнаружили, что злоумышленники создали десятки различных сайтов для распространения RenEngine под видом пиратских ПО.
Картина распространения этого загрузчика говорит о том, что атаки не носят целевой характер, а наибольшее число инцидентов зафиксировано в России, Бразилии, Турции, Испании и Германии.
Другие технические подробности, IOCs и рекомендации - в отчете.
GreyNoise сообщает о 417 сеансах эксплуатации недавно обнаруженной уязвимости в Ivanti Endpoint Manager Mobile (EPMM), совершенных с 8 IP в период 1-9 февраля, из которых 346 (83% от всех попыток) приходились на один 193.24.123[.]42 в хостинговой инфраструктуре PROSPERO.
Вредоносная активность нацелена на CVE-2026-1281 (CVSS: 9,8), одну из двух критических уязвимостей в EPMM, наряду с CVE-2026-1340, которая может быть использована злоумышленником для RCE.
В конце прошлого месяца Ivanti признала, что «очень ограниченное число клиентов» пострадало в результате эксплуатации 0-day.
С тех пор ряд европейских госструуктур, включая Управление по защите данных Нидерландов (AP), Судебный совет, Европейскую комиссию и финскую компанию Valtori, стали жертвами атак неизвестных злоумышленников, использующих эти уязвимости.
Дальнейший анализ показал, что на тот же хост одновременно отрабатывал три другие уязвимости в: CVE-2026-21962 (Oracle WebLogic) - 2902 сессии; CVE-2026-24061 (GNU InetUtils telnetd) - 497 сеансов и CVE-2025-24799 (GLPI) - 200 сеансов.
IP переключается между 300 уникальными строками пользовательских агентов, охватывающими Chrome, Firefox, Safari и множество вариантов ОС.
Как полагают в GreyNoise, такое разнообразие фингерпринтов в сочетании с одновременной эксплуатацией четырех несвязанных ПО соответствует признакам автоматизированного тестирования.
По некоторым данным, PROSPERO связан с другой автономной системой под названием Proton66, которая известна распространением вредоносных ПО для ПК и Android, включая GootLoader, Matanbuchus, SpyNote, Coper (Octo) и SocGholish.
GreyNoise также отметила, что в 85% случаев атаки осуществлялась через DNS для подтверждения того, что "цель пригодна для атаки", без развертывания вредоносного ПО или кражи данных.
Стоит отметить, что несколько дней ранее Defused Cyber также сообщила о кампании с использованием «спящей оболочки», в рамках которой в скомпрометированные экземпляры EPMM по пути /mifs/403.jsp был развернут неактивный загрузчик классов Java в оперативной памяти.
При этом обратные вызовы OAST указывают на то, что кампания нацелена на каталогизацию уязвимых целей, без развертывания полезных нагрузок, что может указывать на проведение операции первоначального доступа.
Пользователям Ivanti EPMM исследователи рекомендовали установить патчи, провести аудит инфраструктуры MDM, доступной из интернета, просмотреть журналы DNS на предмет обратных вызовов по шаблону OAST, отслеживать путь /mifs/403.jsp на экземплярах EPMM и заблокировать автономную систему PROSPERO (AS200593) на уровне периметра сети.
В свою очередь, Ivanti предоставила «высокоточные» IOCs, технический анализ на момент обнаружения угроз, а также скрипт для обнаружения эксплойтов, который был разработан совместно с NCSC-NL в рамках противодействии этой угрозе. И, еще новый мерч с коричневым оттенком.
Microsoft устранила RCE-уязвимость в Блокноте Windows 11, которая позволяла злоумышленникам запускать локальные или удаленные программы, обманом заставляя пользователей переходить по ссылкам Markdown без отображения каких-либо предупреждений безопасности.
Блокнот появился с выходом еще Windows 1.0 и представлял собой простой и удобный текстовый редактор, который с годами стал популярен для быстрого создания заметок, чтения текстовых файлов, составления списков дел или в качестве редактора кода.
Позже Microsoft предложила пользователям Windows Write с поддержкой различных шрифтов, размеров и инструментов форматирования, а затем и WordPad. Однако с выходом Windows 11 компания решила прекратить поддержку WordPad и удалить его из Windows.
Вместо этого Microsoft переписала Блокнот, объединив в нем функционал простого текстового редактора и редактора RTF, а также добавив поддержку Markdown, которая позволяет форматировать текст и вставлять кликабельные ссылки.
Поддержка Markdown позволяет Блокноту открывать, редактировать и сохранять файлы Markdown (.md), которые представляют собой традиционные текстовые файлы с простыми символами для форматирования текста, списками или ссылками.
В рамках февральского PatchTuesday Microsoft исправила серьезную уязвимость удаленного выполнения кода в Notepad, которая отслеживается как CVE-2026-20841.
Как отмечено в бюллетене, некорректная нейтрализация специальных элементов, используемых в команде («внедрение команд») в приложении Блокнот Windows позволяет неавторизованному злоумышленнику выполнять код по сети.
Microsoft приписала обнаружение уязвимости Кристиану Папе, Аласдеру Горняку и Чену.
Потенциальный злоумышленник может обманом заставить пользователя перейти по вредоносной ссылке внутри файла Markdown, открытого в Блокноте, что приведет к запуску приложением непроверенных протоколов, которые загружают и выполняют удаленные файлы.
Вредоносный код будет выполняться в контексте безопасности пользователя, открывшего файл Markdown, предоставляя злоумышленнику те же права доступа, что и этому пользователю.
Уязвимость вызвала широкий резонанс в социальных медиа после того, как исследователи выяснили, насколько легко ее использовать.
Все, что нужно было сделать, это создать файл Markdown, например test.md, и создать ссылки file://, указывающие на исполняемые файлы, или использовать специальные URI, такие как ms-appinstaller://.
При открытии этого файла Markdown в Блокноте Windows 11 версии 11.2510 и более ранних версиях и просмотре в режиме Markdown, приведенный выше текст отобразится как кликабельная ссылка.
При нажатии на ссылку с помощью Ctrl+Click файл будет автоматически запущен без предупреждения со стороны Windows, а что в Microsoft рассматривают как уязвимость удаленного выполнения кода.
Ведь это потенциально может позволить злоумышленникам создавать ссылки на файлы в удаленных SMB-ресурсах, которые затем будут выполняться без предупреждения.
После исправления уязвимости в Блокноте Windows 11 при нажатии на ссылку отображаются предупреждения, если она не использует протокол http:// или https://. Это также касается таких типов ссылок URI, как file, ms-settings, ms-appinstaller, mailto и ms-search.
Правда непонятно, почему Microsoft просто не заблокировала нестандартные ссылки, оставляя возможность для применения методов социнженерии, чтобы заставить пользователей одобрить соответствующие запросы.
Исследователи из Лаборатории Касперского выкатили свой ежегодный отчет с аналитикой по спаму и фишингу за 2025 год (предыдущие исследования за: 2021, 2022, 2023 и 2024).
Основная статистика представлена следующим образом:
- 44,99% писем по всему миру и 43,27% писем в Рунете были спамом;
- 32,50% всех спам-писем были отправлены из России;
- Почтовый антивирус ЛК заблокировал 144 722 674 вредоносных почтовых вложений;
- Система «Антифишинг» предотвратила 554 002 207 попыток перехода по фишинговым ссылкам.
В целом, ландшафт фишинга и скама изменился. В 2024 году наблюдалось множество массовых атак, а в 2025 их частота сократилась. Кроме того, в 2024 году онлайн-мошенники часто использовали схемы с редиректами, тогда как в 2025 этот инструмент оказался менее распространенным.
Страной с наибольшим процентом пользователей, столкнувшихся с фишинговыми атаками, остается Перу (17,46%). Второе место занимает Бангладеш (16,98%), а третье - Малави (16,65%). Далее - Тунис (16,19%), Колумбия (15,67%), Бразилия (15,48%) и Эквадор (15,27%).
В 2025 году, в отличие от тенденции, сохранявшейся на протяжении нескольких последних лет, большинство фишинговых страниц размещалось в доменной зоне XYZ - 21,64%, что в три раза больше показателя 2024 года.
Второй по популярности оказалась зона TOP (15,45%), после которой следует BUZZ (13,58%). На четвертой строчке расположился домен COM (10,52%), ранее занимавший первое место рейтинга. Такое снижение частично вызвано популярностью атак с использованием тайпсквоттинга).
Фишинговые страницы, имитирующие веб-сервисы (27,42%) и глобальные интернет-порталы (15,89%), не изменили свои позиции в TOP 10: они по-прежнему занимают первое и второе место соответственно.
Традиционно популярные у злоумышленников онлайн-магазины вернулись на третью строчку с долей 11,27%. В 2025 году интерес фишеров возрос к пользователям онлайн-игр: веб-сайты, имитирующие игровые, поднялись с девятой строчки рейтинга на пятую (7,58%).
За ними следуют банки (6,06%), платежные системы (5,93%), мессенджеры (5,70%) и службы доставки (5,06%). Также фишинговые атаки были нацелены на учетные записи в соцсетях (4,42%) и госсервисах (1,77%).
В 2025 году средняя доля спама в мировом почтовом трафике составила 44,99%, что на 2,28 п. п. меньше значения предыдущего года. В российском сегменте наблюдалось более значительное снижение: средняя доля спама сократилась на 5,3 п. п. и составила 43,27%.
Первые три страны в рейтинге 2025 года по количеству отправляемого спама повторяют распределение предыдущего года: это Россия, Китай и США. На четвертое место поднялась Германия (3,46%), ранее занимавшая шестую строчку, сместив Казахстан с долей 2,89%.
Как полагают исследователи, 2026 год определенно ознаменуется новыми способами злоупотребления технологией ИИ. Аккаунты мессенджеров останутся все такой же желанной добычей для злоумышленников.
Появление новых схем не исключит использования старых уловок и приемов, а это значит, что помимо использования надежного ПО необходимо соблюдать бдительность и внимательно относиться к любым предложениям в сети, которые могут вызвать хотя бы минимальное подозрение.
Повышенный интерес злоумышленников к кредам для порталов госуслуг сигнализирует об увеличении потенциального ущерба: доступ к таким сервисам может привести к краже средств, данных и личности.
Участились случаи злоупотребления легитимными инструментами и многоуровневые атаки, которые начинаются с безобидных файлов или ссылок: мошенники пытаются усыпить бдительность пользователей, в итоге преследуя злонамеренные цели.
В целом, отчет достаточно объемный, включает много инфографики и примеров, так что настоятельно рекомендуем ознакомиться в оригинале.
🎩Кибершпионы стали в два раза чаще атаковать 🇷🇺инженерные предприятия
По данным портала киберразведки BI.ZONE Threat Intelligence, доля атак на российские организации, совершаемых с целью шпионажа, значительно выросла. В 2025 году этот показатель составил 37%, тогда как в 2024 году — только 21%.
🥷❗️С целью шпионажа совершается уже не каждая пятая, а каждая третья кибератака.
В киберподполье активно продвигается новая коммерческая платформа для слежки за мобильными устройствами ZeroDayRAT, которая позиционируется как инструмент, обеспечивающий полный удаленный контроль над скомпрометированными устройствами Android и iOS.
Вредоносная ПО предоставляет покупателям полнофункциональную панель для управления зараженными устройствами, которая, как сообщается, поддерживает Android с 5 по 16 и iOS до версии 26 включительно.
Препарировали новинку исследователи iVerify, которые полалагют, что ZeroDayRAT не только крадет данные, но и позволяет осуществлять слежку в режиме реального времени и совершать финансовые кражи.
Согласно данным iVerify, панель управления отображает перечень скомпрометированных устройств, а также информацию о модели, версии ОС, состоянии батареи, данных SIM-карты, стране и состоянии блокировки.
Вредоносная ПО может регистрировать использование приложений, хронологию активности, обмен SMS и предоставлять оператору общий обзор.
На других вкладках панели отображаются все полученные уведомления, а также представленные на зараженном устройстве учетные записи, включая адреса электронной почты и идентификатора пользователя, что потенциально открывает возможности для брута и угона аккаунтов.
В случае наличия разрешений на доступ к GPS вредоносная ПО также позволяет отслеживать жертву в режиме реального времени и отображать ее текущее местоположение на Google Maps с полной историей перемещений.
Помимо пассивной регистрации данных ZeroDayRAT также поддерживает активные операции, включая активацию камер (фронтальной и тыловой) и микрофона для получения доступа к видеопотоку в реальном времени, или же запись экрана жертвы для раскрытия других секретов.
Более того, если права доступа к SMS защищены, вредоносная ПО может перехватывать входящие одноразовые пароли (OTP), что позволит обойти 2Fa, а также отправлять SMS с устройства жертвы.
Разработчик вредоносного ПО также включил в программу кейлоггер, способный считывать ввод пользователя, например, пароли, жесты или графические ключи разблокировки экрана.
Помимо этого ZeroDayRAT содержит модуль для кражи криптовалюты, который активирует сканер приложений-кошельков для поиска MetaMask, Trust Wallet, Binance и Coinbase, регистрирует идентификаторы и балансы кошельков, а также реализует подмену адресов из буфера обмена.
Кроме того, ZeroDayRAT позволяет нацеливаться на банковские приложения, платформы UPI, такие как Google Pay и PhonePe, а также платежные сервисы Apple Pay и PayPal. Кража учетных данных происходит путем наложения поддельных экранов.
В iVerify не уточнили конкретные способы распространения вредоносного ПО, но отметили, что ZeroDayRAT поддерживает полноценный набор инструментов для компрометации различных мобильных устройств.
Intel в сотрудничестве с Google реализовала проверку безопасности своей технологии Trust Domain Extensions (TDX), в результате которой были обнаружены десятки уязвимостей и ошибок.
TDX - аппаратная технология вычислений, предназначенная для защиты конфиденциальных рабочих нагрузок и данных в облачных и многопользовательских средах, даже от взлома гипервизора или действий инсайдеров.
Intel TDX создает конфиденциальные виртуальные машины (также называемые доверенными доменами или TD), которые представляют собой аппаратно изолированные виртуальные машины, обеспечивающие надежную защиту как конфиденциальности, так и целостности данных.
Google Cloud Security в течение пяти месяцев сотрудничала с исследователями Intel INT31, используя ручной анализ кода, собственные инструменты и готовые решения на основе ИИ для анализа кода модуля TDX 1.5, который обрабатывает высокоуровневые функции TDX.
В результате анализа было выявлено пять уязвимостей, а также 35 ошибок, слабых мест и потенциальных проблем, которые следует устранить для повышения уровня безопасности.
Intel устранила все уязвимости, опубликовав соответствующее уведомление по безопасности и выпустив версию 1.5 TDX, которая также включает две новые функции: Live Migration и Trust Domain Partitioning.
Выявленные проблемы отслеживаются как CVE-2025-32007, CVE-2025-27940, CVE-2025-30513, CVE-2025-27572 и CVE-2025-32467 и могут быть использованы для EoP и раскрытия информации.
В свою очередь, Google обращает внимание на CVE-2025-30513, которая позволяет ненадёжному оператору полностью скомпрометировать гарантии безопасности TDX.
В частности, CVE-2025-30513 способна преобразовывать мигрируемый TD в отлаживаемый TD в процессе миграции при импорте его неизменяемого состояния.
После срабатывания все расшифрованное состояние TD становится доступным с хоста. На этом этапе злонамеренный хост может создать другой TD с расшифрованным состоянием или осуществлять мониторинг в режиме реального времени.
Поскольку миграция может произойти в любой момент жизненного цикла TD, атака может быть выполнена после завершения аттестации TD, что гарантирует наличие секретов в его состоянии.
По результатам своих изысканий Google выкатила полный технический отчет, а Intel у себя в блоге отразила общее описание исследовательского проекта.
Позитивы решили забомбить отчетами.
В продолжение к прошлому исследованию в отношении мировых трендов IT и ИБ, сложившихся в 2025 году, Позитивы представили свое видение будущего отрасли, исходя из обозначенных ранее тенденций.
Отчет объемен и не менее информативен, включая аналитику по массовым и целевым атакам, ИИ, двойному вымогательству, кроссплатформенным угрозам, вирусы-трансформерам, AV/EDR-киллерам, фишкитам, дипфейкам, социнженерии, вишингу, AllFix, уязвимостям/эксплойтам, новым угрозам на периметре, RMM-решениям и IAB 2.0.
Исследователи Positive Technologies также продолжают отслеживать и обозревать активность хакерских группировок, нацеленных на российские организации.
Новый отчет включает аналитику по двум основным направлениям: шпионской активности и финансово мотивированным атакам.
Основное внимание сосредоточено на выявлении и сопоставлении повторяющихся паттернов атак, TTPs и штаммов вредоносного ПО с ретроспективой (для более точной фиксации преемственности инструментов и изменений в тактике).
Такой подход позволил не только описать отдельные инциденты, но и подтвердить устойчивые паттерны группировок на примере сопоставимых цепочек, как это показано в материалах по APT31 и NetMedved.
Параллельно анализировалась эволюция инструментария группировок в динамике отчетного года, включая изменения в составе инструментов, способах закрепления и скрытного управления, а также в подходах к получению первичного доступа.
Наиболее показательным примером в этой части является ExCobalt, для которой характерна регулярная модификация компонентов и адаптация техник под конкретные инфраструктуры и условия эксплуатации.
Отдельно фиксировались кейсы активности группировок, ранее не проявлявших выраженного фокуса на российском направлении, включая кампании Silver Fox с использованием фишинговых уведомлений от государственных ведомств.
Накопленные наблюдения по инцидентам и инструментарию дополнены анализом общей динамики за 2025 год: рост числа атак и увеличение объема уникальных вредоносных семплов, ассоциированных с APT, указывают на ускорение цикла разработки и модификации вредоносного ПО.
Одним из факторов, влияющих на эту тенденцию, является расширение возможностей по созданию и адаптации кода с использованием LLM, которые упрощают разработку и повышают вариативность реализаций при сохранении типовых тактик и техник.
С учетом указанных тенденций квартальная аналитика обобщает краткие описания цепочек компрометации, используемых инструментов и ключевых IOCs для: АРТ31, ExCobalt, QuietCrabs, Rare Werewolf, PseudoGamaredon, а также Werewolves, NetMedved, Silver Fox и Hive0117.
Ivanti снова в тренде киберподполья: клиентам пора примерять новый фирменный мерч в коричневых тонах.
Управление по защите данных Нидерландов (AP) и Совет судебной власти официально подтвердили, что стали жертвами кибератак в виду эксплуатации недавно выявленных уязвимостей в Ivanti Endpoint Manager Mobile (EPMM).
Как сообщается, к рабочим данным сотрудников AP, включая установочные данные, адреса рабочей электронной почты и номера телефонов, получили доступ посторонние лица.
Немного ранее Европейская комиссия также сообщила о том, что ее центральная инфраструктура, управляющая мобильными устройствами, пострадала от кибератаки, которая могла привести к получению неправомерного доступа к именам и номерам телефонов ее сотрудников.
Инцидент был локализован в течение девяти часов, а компрометации мобильных устройств обнаружено не было.
Название поставщика при этом не называлось, но, предполагается, что это связано со вредоносной деятельностью, нацеленной на уязвимости в Ivanti EPMM.
Кроме того, финская госкомпания Valtori, предоставляющая информационные и коммуникационные технологии, также 30 января сообщила о взломе сервиса управления мобильными устройствами, в результате которого были раскрыты рабочие данные 50 000 госслужащих.
При этом, обновления были установлены 29 января, в тот же день, когда Ivanti выпустила исправления для CVE-2026-1281 и CVE-2026-1340 (CVSS: 9,8), которые потенциально могли быть использованы злоумышленником для несанкционированного RCE.
Ivanti в свойственной манере была вынуждена наконец признать, что уязвимости задействуется в качестве 0-day, но затрагивают «очень ограниченное число клиентов». Однако раскрыть точные данные о количестве жертв отказалась.
Расследование показало, что система управления не удаляла удаленные данные окончательно, а лишь помечала их как удаленные.
В результате данные устройств и пользователей, принадлежащие всем организациям, которые использовали сервис в течение его жизненного цикла, могли быть скомпрометированы.
В watchTowr полагают, что эти атаки не носят случайных характер, а скорее всего являются делом рук «высококвалифицированного, хорошо обеспеченного ресурсами злоумышленника, проводящего целенаправленную кампанию».
Впрочем, клиентов Ivanti уже ничем не удивить. Новый сезон приключений можно считать открытым.
BeyondTrust предупредила клиентов о необходимости устранения критической уязвимости в системе безопасности своего ПО для удаленной поддержки (Remote Support, RS) и привилегированного удаленного доступа (Privileged Remote Access, PRA).
Проблема отслеживается как CVE-2026-1731 и представляет собой уязвимость удаленного выполнения кода до аутентификации, которая обусловлена недостатком внедрения команд операционной системы.
Обнаружение приписывается Харшу Джайсуалу и команде Hacktron AI. Уязвимость затрагивает BeyondTrust Remote Support 25.3.1 или более ранние версии и Privileged Remote Access 24.3.4 или более ранние версии.
Злоумышленники, не обладающие привилегиями, могут использовать это для осуществления вредоносных запросов к клиенту. Успешная эксплуатация позволяет неавторизованному удалённому злоумышленнику выполнять команды ОС в контексте пользователя сайта.
При этом эксплуатация не требует аутентификации или взаимодействия с пользователем и может привести к компрометации системы, включая несанкционированный доступ, утечку данных и сбои в работе сервисов.
BeyondTrust обеспечила безопасность всех облачных систем RS/PRA к 2 февраля и рекомендовала всем клиентам, использующим локальные системы, вручную обновить их до Remote Support 25.3.2 и Privileged Remote Access 25.1.1 (или более поздней).
Как отмечают исследователи, приблизительно 11 000 экземпляров подключены к интернету (как облачные, так и локальные развертывания). При этом около 8500 из них - это локальные развертывания, которые остаются потенциально уязвимыми, если не будут установлены обновления.
BeyondTrust отметила, что на данный момент известных активных случаев эксплуатации уязвимости CVE-2026-1731 в реальных условиях не зафиксировано.
Однако в последние годы другие уязвимости безопасности BeyondTrust RS/PRA не раз становились объектами атак.
В частности, два года назад злоумышленники использовали украденный ключ API для компрометации 17 экземпляров SaaS-сервиса удаленной поддержки, взломав системы BeyondTrust с помощью двух 0-day RS/PRA (CVE-2024-12356 и CVE-2024-12686).
Тогда благодаря этим нулям под каток Silk Typhoon попало Министерство финансов США, у которого китайские хакеры выкрали информацию и конфиденциальные документы из взломанной системы BeyondTrust.
Так что, принимая во внимание, что у BeyondTrust более чем 20 000 клиентов в более чем 100 странах, включая 75% компаний из списка Fortune 100 по всему миру, новую CVE-2026-1731 в киберподполье точно будут отрабатывать. Но будем посмотреть.
Исследователи Palo Alto Networks сообщают об обнаружении новой APT, действующей из Азии, которая за последний год взломала сети как минимум 70 правительственных организаций и объектов КИИ в 37 странах.
Причем в период с ноября по декабрь 2025 года группа проводила активную разведку правительственной инфраструктуры более 155 стран.
Среди организаций, которые были взломаны, - пять национальных правоохранительных органов и пограничных служб, три министерства финансов и другие правительственные учреждения и ведомства, связанные с экономикой, торговлей, природными ресурсами и дипслужбой.
Деятельность этой группы отслеживается компанией как TGR-STA-1030. Имеющиеся данные свидетельствуют о том, что она активная как минимум с января 2024 года.
Хотя страна происхождения хакеров остается неясной, предполагается, что они азиатского происхождения, учитывая использование региональных инструментов и сервисов, предпочтения в выборе языка, целевую аудиторию, соответствующую событиям и разведывательным данным, представляющим интерес для региона, а также часы работы по Гринвичу (GMT+8).
Как отмечают в Palo Alto Networks, злоумышленник успешно получил доступ к почтовым серверам жертв и похитил оттуда конфиденциальные данные, которые среди прочего включали финансовую переписку, данные по контрактам, банковские и учетные данные, а также важные оперативные сводки, касающиеся военных операций.
Цепочка заражения начинается с фишингового письма, посредством которого получателей побуждают перейти по ссылке на новозеландский файловый хостинг MEGA, где размещается ZIP-архив с исполняемым файлом Diaoyu Loader, а также файл pic1.png размером в 0 байт.
Вредоносная ПО использует двухступенчатую систему защиты от автоматического анализа в песочнице. Помимо аппаратных требований к горизонтальному разрешению экрана, равному или превышающему 1440, образец выполняет проверку зависимостей среды для конкретного файла (pic1.png) в каталоге выполнения.
Изображение в формате PNG служит для проверки целостности файла, что приводит к завершению работы вредоносной ПО перед началом ее активности в случае, если оно отсутствует в том же месте.
Только после выполнения этого условия вредоносная ПО проверяет наличие определенных защитных решений от Avira (SentryEye.exe), Bitdefender (EPSecurityService.exe), Kaspersky (Avp.exe), Sentinel One (SentinelUI.exe) и Symantec (NortonSecurity.exe). При этом непонятно, почему только эти.
Конечная цель загрузчика - доставка трех изображений (admin-bar-sprite.png, Linux.jpg и Windows.jpg) из репозитория GitHub под названием WordPress, которые служат каналом для развертывания полезной нагрузки Cobalt Strike.
Кроме того, TGR-STA-1030 пыталась использовать различные 0-day, затрагивающие большое количество программных решений Microsoft, SAP, Atlassian, Ruijieyi Networks, Commvault и Eyou Email System, чтобы получить первоначальный доступ к целевым сетям. Однако доказательств разработки или задействования каких-либо эксплойтов не получено.
Среди инструментария злоумышленников: C2-фреймворки (Cobalt Strike. VShell, Havoc, Sliver, SparkRAT), веб-оболочки (Behinder, neo-reGeorg, Godzilla), средства тунелирования (GO Simple Tunnel (GOST), Fast Reverse Proxy Server (FRPS) и IOX).
Стоит отметить, что использование упомянутых веб-оболочек часто связывают с китайскими хакерскими группами.
Еще один примечательный инструмент - руткит ядра Linux под кодовым названием ShadowGuard, который использует Extended Berkeley Packet Filter (eBPF) для перехвата критически важных системных вызовов с целью скрытия определенных процессов от инструментов анализа, таких как ps, а также для сокрытия каталогов и файлов с именем swsecret.
Группа регулярно арендует и настраивает свои серверы С2 на инфраструктуре, принадлежащей различным легитимным и широко известным провайдерам VPS. Для подключения к С2 арендует дополнительную инфраструктуру VPS, которую использует для ретрансляции трафика.
Технические подробности и IOCs - в отчете.
Исследователи Sophos в ходе расследования недавних инцидентов с программой-вымогателем WantToCry заметили, что операторы ransomware зачастую размещают и распространяют вредоносные ПО, используя виртуальные машины от легитимного поставщика ISPsystem.
Они обнаружили, что злоумышленники использовали виртуальные машины Windows с идентичными именами хостов, что указывает на использование шаблонов по умолчанию, созданных VMmanager от ISPsystem.
Более тщательное изучение показало, что одни и те же имена хостов присутствовали в инфраструктуре сразу нескольких операторов, включая LockBit, Qilin, Conti, BlackCat/ALPHV и Ursnif, а также в различных кампаниях с использованием инфостилеров RedLine и Lummar.
ISPsystem - это компания-разработчик ПО, специализирующаяся на создании панели управления для хостинг-провайдеров, обеспечивающих управление виртуальными серверами, обслуживание операционных систем и т.д.
В свою очередь, VMmanager - это платформа управления виртуализацией, используемая для запуска виртуальных машин Windows или Linux для клиентов.
Исследователи Sophos отметили, что в стандартных шаблонах Windows VMmanager при каждом развертывании используются одни и те же имена хостов и системные идентификаторы.
Провайдеры хостинга, которые сознательно поддерживают киберпреступления и игнорируют запросы на удаление, пользуются этой уязвимостью в своей конструкции.
Они позволяют злоумышленникам запускать виртуальные машины через VMmanager для управления и контроля (C2) и доставки вредоносного ПО, что по сути, скрывает вредоносные системы, усложняет установление авторства и оперативное удаление вредоносного ПО.
Большинство вредоносных виртуальных машин размещались у небольшой группы провайдеров с неблагонадежной репутацией или находящихся под санкциями, включая Stark Industries Solutions Ltd., Zomro BV, First Server Limited, Partner Hosting LTD и JSC IOT.
Sophos также вышла на провайдера MasterRDP, имеющего прямой контроль над физической инфраструктурой, который использует VMmanager для обхода защиты и предлагает услуги VPS и RDP, не соответствующие требованиям законодательства.
По данным Sophos, на четыре наиболее распространенных IP-адреса ISPsystem приходится «более 95% от общего числа виртуальных машин ISPsystem, доступных из интернета»: WIN-LIVFRVQFMKO, WIN-LIVFRVQFMKO, WIN-344VU98D3RU и WIN-J9D866ESIJ2.
Все они присутствовали либо в данных обнаружения клиентов, либо в телеметрических данных, связанных с деятельностью киберпреступников.
Исследователи отмечают, что, являясь легитимной платформой для управления виртуализацией, ISPsystem VMmanager достаточно привлекательна и для киберпреступников в виду «низкой стоимости, низкого порога входа и возможности развертывания «под ключ».
В самой ISPsystem пока никак не комментируют результаты исследования.
Не оставим без внимания и F6, которая опубликовала свой ежегодный отчет об угрозах с аналитикой и прогнозами, отразив кто атакует бизнес в России и Белоруссии, какие сценарии были рабочими в прошлом году и к чему готовиться уже сейчас.
Подробный отчет, как отмечают исследователи, послужит практическим руководством для планирования проактивной киберзащиты и определенно будет полезен для руководителей подразделений ИБ, аналитиков SOC, CERT, специалистов по реагированию на инциденты, Threat Intelligence и Threat Hunting.
Согласно исследованию, в России фокус сместился с массовых атак на нанесение максимального ущерба: остановку бизнеса, получение многомиллионных выкупов, кражу чувствительных данных.
В отличие от общемирового тренда - без лишнего шума закрепиться в инфраструктуре, прошлогодние атаки на российские транспортные компании и торговые сети были очень громкими, сопровождались публикацией утечек, вбросами и кампаниями по дискредитации пострадавших.
В 2026 году количество атакующих групп будет расти, как и ущерб от их деятельности, в том числе суммы выкупов за расшифровку данных.
Ключевые тезисы из отчета:
- В 2025 году F6 зафиксировала 250 новых случаев публичных утечек баз данных стран СНГ. Суммарно утечки баз данных за 2025 год содержали 760+ млн строк с данными российских пользователей. Из них 315 млн записей содержали электронные адреса и 156 млн - пароли.
- Раскрыты 7 новых APT: Silent Lynx, Telemancon, Mythic Likho, NGC6061, NGC4141, SkyCloak, NGC5081. Из 27 отлеживаемых компанией групп, нацеленных на СНГ, 24 атаковали Россию, 8 - Беларусь.
- Количество ransomware-атак выросло на 15% год к году. Рекорд по сумме выкупа поставили CyberSec’s, потребовавшие 50 BTC (около 500 млн руб.).
- В среднем суммы первоначального выкупа за расшифровку данных колебались от 4 млн до 40 млн руб. Также более 10 хактивистских группировок отметились хотя бы одной атакой с использованием ransomware. В 2026 году эта тенденция продолжится.
Исследование также показывает, что:
- в 2026 году в условиях геополитического конфликта кибератаки на организации будут усиливаться;
- число атакующих группировок и наносимый ими ущерб будут расти;
- вымогатели и APT-группы успешно заимствуют тактики друг у друга;
- политически мотивированные группы всё чаще шифруют данные жертв с требованием выкупа.
Подробнее об основных трендах с инфографикой и статистикой - в отчете.
👨💻 Ручной подход: поиск вредоносов.
• У разработчика Miner Search (тулза для поиска и уничтожения скрытых майнеров), есть интересный список инструментов, с помощью которых можно ручным подходом осуществить поиск вредоносов. Список следующий:
• Autoruns – бесплатный инструмент от Microsoft, чтобы выявить все возможные варианты автозапуска, что грузится вместе с виндой. Обязательно запускать от админа, чтобы видеть весь полный список.
➡В первую очередь обращаем внимание на строки с неподписаными файлами (выделены красным).
➡Если не знаем, что за софт и надо ли его отключать – гугл в помощь.
➡Всё что выделено жёлтым означает, что запись осталась, а конечного файла что запускать уже нет. Можно удалять (кроме раздела KnownDlls и Services).
➡Ну и пара слов про оптимизацию, отключаем всё несвязное с системой, что можно запускать самому (всякие стимы, дискорды, whatsapp, OneDrive и т.д.), обычно находится в разделе Run и Task Scheduler (Планировщик задач).
• System Informer – Мощный опенсорсный инструмент для мониторинга процессов, потоков и модулей. Показывает дерево процессов, что от чего запускается. Кто-то может возразить, мол есть process explorer, но это кому как удобнее.
• Everything – опенсорсный инструмент, мгновенный поиск по файловой системе, в разы быстрее штатного поиска, встроенного в проводник. Можно искать как по файлам, так и по содержимому для документов. Вообщем, вещь удобная.
S.E. ▪️ infosec.work ▪️ VT