Forwarded from Kaspersky
Защита конечных устройств — одна из основ кибербеза в компании. И одного антивируса для этого уже недостаточно. Поэтому многие вендоры предлагают платформы для защиты рабочих мест (EPP). Но какие возможности подобных решений действительно важны?
Собрали чек-лист с критериями выбора, который поможет оценить и выбрать платформу, готовую к современным киберугрозам. Главное — в карточках⬆️
А ещё — узнайте больше о наших решениях для защиты малого, среднего и крупного бизнеса.
💙 Kaspersky в ВК
💬 Kaspersky в Max
💬 Порвали два трояна в Max
Собрали чек-лист с критериями выбора, который поможет оценить и выбрать платформу, готовую к современным киберугрозам. Главное — в карточках
А ещё — узнайте больше о наших решениях для защиты малого, среднего и крупного бизнеса.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1👍1🔥1
Антропики выпустили матрицу покрытия ATT&CK, правда на свой лад — в ней цветами помечено, какие тактики и техники чаще всего пытаются автоматизировать с помощью Claude. Чем гуще красный — тем больше аккаунтов было заблокировано за попытку использовать ИИ на этом этапе атаки.
Авторы оговариваются, что исследование проводилось на относительно небольшой выборке заблокированных аккаунтов, по которым было достаточно информации, чтобы спроецировать запросы злоумышленников на матрицу.
Число злоумышленников, проводящих атаки средней и высокой степени сложности, выросло за год с 33% до 56%, демонстрируя, что входной порог в эту сферу деятельности снижается. При этом значительно выросло число атакующих, чьи операции охватывают полную цепочку kill chain, чем раньше могли похвастаться только продвинутые группы злоумышленников.
Чаще всего у Claude просят помощи в изготовлении ВПО и обфускации вредоносного кода, но значительно участились автономно или полуавтономно проводимые разведка, закрепление и извлечение данных в сети жертвы.
Немудрено, что в Fable 5 заблокированы все виды применения, даже отдалённо напоминающие задачи ИБ.
Более подробно нюансы автоматизации этих TTPs описаны в посте Anthropic RED.
#ИИ #статистика @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🔥3❤1
#дайджест #APT @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5👍1👏1
Эксперты Kaspersky Digital Footprint Intelligence проанализировали более 5 млн файлов («логов»), которые операторы инфостилеров распространяют после извлечения данных с компьютеров своих жертв. Такой анализ позволяет узнать картину реальных заражений — от успешности разных штаммов до технических особенностей атак.
Подавляющее большинство заражений — суммарно две трети — проходило, когда ВПО запускалось всего из двух групп каталогов:
C:\Users\<User>\AppData\Local\Temp\* иC:\<Windows>\Microsoft.NET\Framework\<version>\Большое количество записей, относящихся к каталогу Temp, может говорить о запуске вредоносного ПО без предварительного сохранения в какой-то конкретный каталог. В каталоги .NET обычно попадает ВПО, мимикрирующее под компоненты Microsoft или внедряющее себя в легитимный процесс для обхода средств защиты. Например, так делает Lumma Stealer.
В отчёте подробно проанализирован сценарий, когда ВПО запускается из папок, куда его сохранил пользователь, считая свою загрузку безвредной: Documents, Desktop, Downloads. Под маской полезных утилит, активаторов лицензионного ПО или модов игр чаще всего распространяются Lumma, Vidar, Stealc stealer, Risepro и REDLINE.
Примеры схем распространения ВПО, которые имеет смысл включить в ИБ-тренинги для сотрудников, приведены в полной версии отчёта.
#статистика @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Kaspersky Digital Footprint Intelligence
Где скрывается вредонос?
Ежегодное исследование угроз со стороны инфостилеров. Анализ путей вредоносных файлов, а также статистика заражений в 2025.
👍6💯2🔥1🤔1
Empirical официально анонсировали EPSS v5 — новую версию одной из наиболее популярных методик приоритизации уязвимостей на базе вероятности реальной эксплуатации. На сайте FIRST пока доступны только данные v4, но в GitHub уже можно посмотреть на данные v5.
По методике авторов выходит, что точность предсказаний улучшилась на 23%. Этого удалось достичь не только калибровкой моделей на всех 318 тыс. ранее опубликованных CVE, но улучшением анализа сырых данных. Теперь глубже анализируют публичные источники вроде GitHub и точнее оценивают, насколько опасен код опубликованных эксплойтов.
Для защитников, использующих EPSS в своих процессах управления уязвимостями, приятной новостью станет бОльшая стабильность V5. Гораздо реже происходят резкие смены рейтинга EPSS для одной и той же уязвимости с течением времени.
#новости #уязвимости @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥3👏1
Forwarded from purple shift
Наши эксперты заметили, что с начала 2026 года группировка VasyGrek (Fluffy Wolf) расширила географию своих жертв — теперь она атакует не только российские организации. Обновился и арсенал: в новых атаках засветились .vbs-дроппер и .com-стилер, написанный на Rust.
Атака VasyGrek обычно начинается с письма, содержащего вредоносный файл либо ссылку. Дальше реализуется цепочка заражения в двух вариантах:
1) Обфусцированный .vbs/.bat-дроппер проверяет имя хоста, а затем скрытно запускает закодированный в Base64 вредоносный PowerShell-скрипт. Тот скачивает нагрузку с легитимных хостингов (pastefy.app, yaso.su, Supabase Storage), загружает .NET-сборку в память и внедряет её в доверенный системный процесс
2) Написанный на Rust .scr/.com-дроппер бэкдора PureRAT. При установке копирует себя в каталоги
Как ловить атаку
Рекомендуем использовать индикаторы компрометации, которые перечислены ниже.
Архивы:
.bat-дропперы:
.vbs-дропперы:
.scr-дропперы на RUST:
.com-дропперы на RUST:
.com-стилер на RUST:
Domains:
URLs:
Атака VasyGrek обычно начинается с письма, содержащего вредоносный файл либо ссылку. Дальше реализуется цепочка заражения в двух вариантах:
1) Обфусцированный .vbs/.bat-дроппер проверяет имя хоста, а затем скрытно запускает закодированный в Base64 вредоносный PowerShell-скрипт. Тот скачивает нагрузку с легитимных хостингов (pastefy.app, yaso.su, Supabase Storage), загружает .NET-сборку в память и внедряет её в доверенный системный процесс
RegAsm.exe — без записи на диск.2) Написанный на Rust .scr/.com-дроппер бэкдора PureRAT. При установке копирует себя в каталоги
%APPDATA% либо %LOCALAPPDATA% и закрепляется в автозагрузке через реестр посредством модификации ветки HKCU\..\Run\ либо через планировщик задач (с использованием утилиты schtasks.exe либо командлета PowerShell Register-ScheduledTask). После закрепления бэкдор связывается с C2 для получения дальнейших инструкций (например, сбор конфиденциальных данных).Как ловить атаку
Рекомендуем использовать индикаторы компрометации, которые перечислены ниже.
Архивы:
f681a2e311d2a0063a76c6af38082d01 doc_10022026_buh_1c.rar
f1298bcd8a7537be8c9a63a0df264b5c doc_23012026_1c_scan.rar
8130ad8c9b9c1022c7e966d4bde76b4f doc_03_02_2026_buh.rar
11d7b50333c37b7d6e7ccf373ba77505 doc_1c_buh5gr6gss3s3fv.rar
1511effebb7df8a2e5b3a741b106b59a акт сверки.rar
96b685a02c9bdaac285db9fe2b53a2d6 akt_sverki_1c.rar
611522aec29be78d9dafa4b59bf05a20 doc_05032026.rar
.bat-дропперы:
ccff0d0751956a32a5a2fbf13d3aeca0 1C_Doc_kopiya_6rf56rwergsw3frefrsw3_PDF.bat
4af7f1f3cbbef1a1313077d336399245 akt_sverki_04022026_buh_5fegrf6dsfvsffwffs_pdf.bat
9c67e8b55cb0f31270201efdb253ca8f doc_28012026_buh_ff56fdfdf6dfdfd_pdf.bat
7b82065f2017d60e6bfc1f0ed17cd2f9 doc_23012026_skrinshot_1C.bat
f228557b220276a5970246192991b315 aktsverki_1c_buh_pdf.bat
.vbs-дропперы:
11d7b50333c37b7d6e7ccf373ba77505 doc_1c_buh5gr6gss3s3f
.scr-дропперы на RUST:
c1d5a11476ccfeb6a6c2a8de41241d4c buh_1c_10022026_akt_sverki_ferr6rr66fe6efe6fef.scr
3d8fc69b17562108653a6d479cdc0278 doc_23012026_1c_scan.scr
d5732efd1103b6d3990a0bd865d7580d 17.03.2026_doc_pdf.scr
4d8e11ce449a8f51a7007da24f9c5eea doc_05032026_1C_buhrg56svr6v2r66sfsf3sf_PDF.scr
.com-дропперы на RUST:
c9e1f8b2d3e61bbda7d514a38f668c72 платежное поручение от 19.03.2026_pdf.com
48e6c3762469c0111a246c8d88b9b9b8 doc_buh_1C_akt_sverki_06032026_PDF.com
02baba775abf19be98776a86cb746eb2 doc_05032026_1C_akt_sverki_PDF.com
.com-стилер на RUST:
c0d909ecd9fdd83c14e4067654c42d8b akt_sverki_1c_buh_ef4ef6r6gege5gsfeergerge.com`
Domains:
supabase[.]co
modaaura[.]store
URLs:
pastefy[.]app/RoBl0TEe/raw
pastefy[.]app/3ocDEoXR/raw
pastefy[.]app/sLC7Jpkp/raw
yaso[.]su/raw/NNLwEwCU
modaaura[.]store/image.jpg?12711343
pixeldrain[.]com/api/file/Wm3ZnAJr
tzqfbgbyyatqtmhbqbzw.supabase[.]co/storage/v1/object/public/17032026/VC17032026upload.txt
wkhayejmdnobpaoaeim.supabase[.]co/storage/1/object/public/hfgfjjj/image.jpg?12711343
qruqdtwlkhwaztnfrkbq.supabase[.]co/storage/v1/object/public/26012026/stl26012026upload.txt
firebasestorage.googleapis[.]com/v0/b/remasd-6c702.firebasestorage.app/o/image.jpg?al=media&token=20664d8b-9f51-4fc0-8439-3cca14ea7fc4
firebasestorage.googleapis[.]com/v0/b/remasd-6c702.firebasestorage.app/o/image.jpg?alt=media&token=b9d8bf3e-b1eb-4c56-9434-d4af570d4a91
raw.githubusercontent[.]com/sergo20261/proxihost/refs/heads/main/stl28012026upload.txt
au72nuxzv2.ufs[.]sh/f/4LhV5B1sDCwIrgzpCwYKXE4gwWVSzU8Dck1rs5tJYqhnmpx6
raw.githubusercontent[.]com/novichkova0976/buhgalteriya/refs/heads/main/akt_sverki_06032026.rar
👍8🔥4👏1
Помаши рукой капче, блокировки в Anthropic, шпионы смарт-ТВ и другие важные новости конфиденциальности и личной ИБ
⚽️ Вокруг ЧМ-2026 по футболу развернулась традиционная сеть мошеннических кампаний: фальшивые сайты (платных) трансляций, угон аккаунтов, ставки и коллекционные предметы.
😎 Мощное обновление сервиса reCAPTCHA — чтобы доказать, что вы не робот, надо будет помахать рукой в веб-камеру. Google, конечно, мамой клянётся, что записывается только движение рук, без аудио, и потом сразу всё удаляется, но мы таких клятв уже видели сотни.
🆔 Apple перенесёт адреса email своего приватного сервиса hide my email на отдельный поддомен private.icloud.com, который немедленно начнут блокировать те, кто хочет собирать данные о пользователях. 🤦♂️
👀 Anthropic заблокировала модель Fable 5 для всего мира, поскольку не может соблюдать ограничения экспортного контроля и предоставлять сервис только гражданам США. Мы заглянули в хрустальный шарик и вангуем, что новые модели будут подключать клиентам буквально по паспорту. Некоторым приходится предъявлять документики уже сейчас, но у этой практики есть все шансы радикально расшириться.
👾 В Roblox появились специальные типы аккаунтов для детей до 8 лет и до 15 лет, с дополнительными ограничениями и возможностями родительского контроля.
🔄 В Chrome 150 окончательно отключат Manifest v2, поэтому мощные блокировщики рекламы станут менее мощными. То же самое будет в Opera и Edge, так что пора смотреть на альтернативы (об этом у нас есть материал).
🟣 Разбор безопасности нового и якобы приватного мессенджера Xchat от одного известного в узких кругах триллионера.
🟣 В запрещённой соцсети на букву F производства экстремистской META нынче невесело — по статистике, с начала 2025 года там взрывными темпами растёт деструктивный контент: призывы к насилию, унизительные и провокационные комментарии и тому подобное. Основная причина по словам исследователей — снижение активности модераторов в два раза (их штат резко сократили).
📱 Вероятность невольно присоединиться к сети домашних прокси всё растёт: к новым кампаниям вокруг хорошо известных Android-приставок добавились истории про смарт-ТВ на базе Tizen и WebOS.
🟢 Впрочем, даже если не ставить подозрительные приложения, смарт-ТВ как минимум сольёт ваши данные. В Великобритании начали серьёзное расследование незаконных практик сбора данных и выпустили руководство для производителей умных устройств, которому производителям придётся соответствовать.
🍏 В iOS 27 можно будет автоматически менять пароли в онлайн-сервисах, если они оказались скомпрометированы. Якобы, с помощью ИИ, хотя что он там должен делать, не очевидно.
🟢 Microsoft идёт по следам Google и Mozilla и тоже переводит Edge на выпуск новых релизов раз в две недели. Обещают быстрее закрывать уязвимости, которые в последние месяцы появляются сотнями.
#дайджест @П2Т
⚽️ Вокруг ЧМ-2026 по футболу развернулась традиционная сеть мошеннических кампаний: фальшивые сайты (платных) трансляций, угон аккаунтов, ставки и коллекционные предметы.
#дайджест @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5👍3❤2👏1
Интересные исследования APT и новости ИБ за неделю
🧐 Подробный разбор вторжений APT UNC6508 в американские компании здравоохранения, предположительно с целью шпионажа. Атакующие компрометировали серверы REDCap, позднее устанавливали ВПО INFINITIRED и воровали учётные данные и переписку
😵💫 Крайне опасная история разворачивается с Fortibleed — в Интернете опубликованы админские учётные данные более 75 тыс. Фортиков, многие из которых по-прежнему действительны. Предполагается, что файлы конфигурации, включая хэшированные SHA-256 пароли, выкачали через уязвимость (возможно в Fortigate Management Interface), а затем восстановили пароли перебором.
😑 Очередная атака на npm проведена через компоненты популярного ИИ-фреймворка Mastra, пострадало минимум 140 пакетов. Примечательно, что это совершенно другое ВПО и вероятно другой актор, ничего общего с Шай-Хулудами.
😐 Технический анализ троянца Backdoor.Turn, применяемого группировкой Dragonforce. Он написан на Go, использует TURN-серверы MS Teams для маскировки трафика С2, а также использует экзотические уязвимые драйверы Huawei для отключения СЗИ.
🤨 Разбор новых атак APT-C-48, направленных на правительственные, научные, образовательные и медицинские организации в ЮВА. Атака начинается с вредоносных писем, маскирующихся под резюме.
🤔 Технический анализ нового ВПО, работающего целиком в памяти, и используемого APT Patchwork/Dropping Elephant.
😬 Шифровальщик Deadlock использует блокчейн Polygon не только в качестве С2, но и для хранения данных о жертвах, фактически это «сайт утечек» (DLS) вымогателей.
🤡 Подробный разбор сложного ВПО, распространяющегося через USB-носители, но ворующего в основном данные криптокошельков.
👾 Технический анализ ВПО, распространяемого через Steam Workshop и приложение Wallpaper Engine.
🌚 Интересный кейс: скомпрометированный терминальный сервер в организации использовался для рассылки фишинга, а вредоносные вложения размещались на скомпрометированном сайте, принадлежащем госструктуре в Боливии.
👀 Рекомендации по разбору eBPF-руткитов на примере Scales, инфостилера из недавней компрометации пакетов Arch Linux.
🍄 Анализ новых Windows-вариантов ВПО SprySOCKS, ранее замеченного только на Linux.
🗿 Технический анализ ботнета Arystinger, компрометирующего роутеры на базе чипа RTL819X для включения в сеть домашних прокси.
😈 Разбор троянца и инфостилера для MacOS, распространяющегося через кампании ClickFix и основанного на AppleScript.
👌 И немного приятных новостей: китайская полиция арестовала почти 70 подозреваемых в причастности APT Silver Fox.
#дайджест #APT @П2Т
#дайджест #APT @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6👍4❤1🤯1
Список хостов и фирм, затронутых кампанией по похищению и анализу учётных данных с устройств Fortinet, всё расширяется — теперь счёт дошёл уже до 86000 железок. Данные выборочно подтверждены как достоверные, более того, в ряде компаний сообщили о выявленной компрометации инфраструктуры. 86 тысяч — это примерно половина всех Фортиков, доступных из Интернета. У многих из этих устройств в сеть торчат и интерфейсы управления.
Судя по анализу, проведённому независимыми исследователями, учётки были получены экспортом конфигурации устройств, поскольку база содержит данные, которые обычно встречаются только в конфигурационных файлах. Злоумышленники смогли подобрать пароли администраторов, используя взлом хэшей SHA-256, хранившихся в конфигурациях. В прошлом году Fortinet перешла на более безопасное хэширование, однако многие устройства до сих пор либо не обновлены, либо содержат неактивные учётные записи администраторов, владельцы которых не входили в систему с момента перехода с SHA-256 на PBKDF2.
Fortinet настаивает, что о новой уязвимости речи не идёт. Компания связывает сбор учётных данных с комбинацией повторного использования паролей после трёх ранее раскрытых уязвимостей обхода аутентификации (две были закрыты в декабре, ещё одна в январе) и атак на устройства со слабыми паролями и без включённой многофакторной аутентификации. Fortinet уже начала уведомлять затронутых клиентов и подключила правоохранительные органы.
Если вы (ещё) используете FortiGate, первоочередные шаги очевидны:
Дополнительно рекомендуется проверить учётные записи на предмет несанкционированных изменений, просмотреть журналы доступа администраторов и при любых подозрительных находках запускать полноценное реагирование на инцидент, по необходимости — с привлечением внешних экспертов.
#новости @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥3👏2
Многие команды SOC пытаются развернуть ИИ-агентов поверх того, что есть в организации: разношёрстной телеметрии, фрагментированных интеграций и недостаточной операционной дисциплины. В результате ИИ-система в принципе не может показать хорошие результаты из-за низкого качества исходных данных и отсутствия бизнес-контекста. Аналитики будут законно испытывать к выводам ИИ недоверие, а автоматизация лишь сделает существующие пробелы более явными.
Помимо этих фундаментальных организационных проблем, при внедрении ИИ нужно устранять и набор новых рисков. Недетерминированные ответы моделей, слабый audit trail, уязвимость к инъекциям (в том числе через логи) могут отпугнуть даже организацию со зрелым SOC. Впрочем, уже начинают вырисовываться модели контроля, способные закрыть именно эти проблемы: агенты с узкой зоной ответственности, детерминированное исполнение для критических действий, пайплайны контроля и многоуровневая автономность вместо режима «полного автопилота».
Такой подход показывает реальное направление серьёзной автоматизации SOC: речь идёт не столько о полной автономной замене аналитиков, сколько о контролируемых агентских рабочих процессах с явными ограничителями и чёткими процессами согласования.
#ИИ #SOC @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
👏6🔥4👍2❤1😱1
📈 Оценка LLM в пентестинге
Эксперты «Лаборатории Касперского» и Сбера опубликовали научную работу, в которой предложили новую методику оценки языковых моделей для задач тестирования на проникновение (пентеста). Самое интересное — бенчмарк имеет два измерения: отдельно оцениваются планирование атак и их исполнение. Это позволяет понять сильные и слабые места различных моделей и по необходимости строить эффективные ансамбли LLM в агентских системах.
Среди протестированных моделей, лучшие результаты в планировании показали Sonnet 4.5, GPT-5 и Gemini 2.5 Pro, а лидерами в исполнении стали GPT-5, Qwen3 Max, GLM 4.6. Успешность у обеих групп чемпионов — от 72% до 78%.
Среди наиболее частых ошибок, допущенных моделями в эксперименте: синтаксические ошибки при запуске инструментов, дрифт (частичная или полная смена долгосрочной цели), галлюцинации и потеря контекста. Ожидаемая и часто встречающаяся проблема отказов выполнять задачу (refusals) отдельно не посчитана.
Исследование доступно по лицензии CC BY 4.0, поэтому бенчмарк можно использовать для оценки других моделей, используемых в организации.
#советы #ИИ @П2Т
Эксперты «Лаборатории Касперского» и Сбера опубликовали научную работу, в которой предложили новую методику оценки языковых моделей для задач тестирования на проникновение (пентеста). Самое интересное — бенчмарк имеет два измерения: отдельно оцениваются планирование атак и их исполнение. Это позволяет понять сильные и слабые места различных моделей и по необходимости строить эффективные ансамбли LLM в агентских системах.
Среди протестированных моделей, лучшие результаты в планировании показали Sonnet 4.5, GPT-5 и Gemini 2.5 Pro, а лидерами в исполнении стали GPT-5, Qwen3 Max, GLM 4.6. Успешность у обеих групп чемпионов — от 72% до 78%.
Среди наиболее частых ошибок, допущенных моделями в эксперименте: синтаксические ошибки при запуске инструментов, дрифт (частичная или полная смена долгосрочной цели), галлюцинации и потеря контекста. Ожидаемая и часто встречающаяся проблема отказов выполнять задачу (refusals) отдельно не посчитана.
Исследование доступно по лицензии CC BY 4.0, поэтому бенчмарк можно использовать для оценки других моделей, используемых в организации.
#советы #ИИ @П2Т
🔥6👍4👏3❤1
Три инцидента из отчёта Kaspersky ICS CERT за первый квартал 2026 года хорошо показывают, как атаки на АСУ ТП изменились не только по уровню сложности, но также по масштабу и последствиям.
Инцидент с Intoxalock продолжался шесть дней и оставил водителей по всей территории США без возможности пользоваться автомобилями. Их «алкозамки» с блокировкой зажигания требовали серверной калибровки, но не могли подключиться из-за отказа систем поставщика. До восстановления сервиса автомобили было невозможно завести.
В порту Виго в конце марта атака вымогателей затронула серверы управления грузопотоком. Грузовые операции пришлось перевести в ручной режим, при этом сроки восстановления не назывались.
Инцидент у Hazeldenes затронул переработчика куриного мяса, который не смог выполнять заказы, поскольку лишился возможности упаковывать продукцию. Сбой привёл к дефициту курятины по всему штату в пабах и магазинах, а сама компания не могла вернуться к штатному производству в течение пяти недель.
Однако самая опасная и потенциально наиболее разрушительная атака была предотвращена. В Польше по заявлению местных властей APT атаковала автоматизированные системы управления ТЭЦ и инфраструктуру управления объектами возобновляемой энергетики с использованием вайпера.
Всего в первом квартале был публично подтверждён 131 инцидент, причём крупнейшей целью оказался производственный сектор, на который пришлось более 36% всех случаев.
🌐 Полный разбор и описания ключевых инцидентов доступны на сайте Kaspersky ICS CERT.
#ICS #статистика @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8👍5🤩4
Именно этой широкой теме посвящён первый выпуск нового сезона подкаста «Смени пароль».
Обсуждаем проблемы слишком самостоятельного искусственного интеллекта с Владиславом Тушкановым, руководителем группы исследований технологий машинного обучения в «Лаборатории Касперского».
#ИИ @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7👍4👏2
Forwarded from Kaspersky
Media is too big
VIEW IN TELEGRAM
Мидори уже защищает другие планеты — в нашем новом праздничном ролике. Смотрим!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8👏4👍2😁2❤1😍1
FortiBleed ещё хуже, шифровальщики для мейнфреймов и другие важные исследования APT и новости ИБ
🟢 Технический анализ ВПО SharkLoader, применявшегося в атаках на организации в Индонезии, Гонконге, Колумбии, Сербии, Ливане, Тайване и других регионах. Среди жертв доминируют госорганизации и разработчики ПО. Компрометация происходит через эксплуатацию публично доступных приложений и пограничных устройств, а в итоге жертвам устанавливают имплант Cobal Strike. В некоторых случаях атакующие также используют дропперы, замаскированные под легитимное ПО, применяемое в бизнесе. В известных атаках не наблюдалась постэксплуатационная активность, кроме закрепления в системе, поэтому цели атакующих пока не ясны.
🟢 Разбор любопытного троянца и инфостилера GasLight для macOS, который предположительно создан кластером Lazarus и содержит в своих текстовых строках целый набор промпт-инъекций, призванных сбить с толку набирающие популярность ИИ-помощники для анализа ВПО.
🟢 Анализ кампании FortiBleed привёл к обнаружению ВПО FortigateSniffer, способного использовать диагностические возможности FortiOS для перехвата проходящих через устройство пакетов и извлечения данных аутентификации двух десятков популярных протоколов.
🔵 Новый бэкдор Mistic (MLTBackdoor) предположительно создан брокерами первоначального доступа Woodgnat/KongTuke и используется на начальных стадиях вымогательских операций, в основном Qilin. Запускается в системе с помощью DLL sideloading и в дальнейшем работает как бесфайловое ВПО.
🔵 Интересный обзор атак на системы очистки и подачи воды по всему миру за период с 2024 по 2026 г.
🟣 Новая вредоносная кампания распространяет вредоносные сценарии VBScript через сообщения в мессенджере. Жертвы кампании обнаружены в США, России, Бразилии, Мексике, Индии, Великобритании, и других странах, но больше всего их в Малайзии. В конечном счёте жертвам устанавливают легитимное ПО удалённого управления (RMM) ManageEngine.
🟣 Новая платформа PhaaS под названием Bluekit обходит алгоритмы антифрода с помощью изощрённой тактики «браузер посередине». Вход в учётную запись жертвы происходит в браузере, запущенном на сервере атакующих, а фишинговый сайт в реальном времени транслирует жертве эту сессию с помощью легитимного инструмента rrweb.
🟣 Технический анализ новой версии Millenium RAT 4.0 и профиль операторов, предлагающих это ВПО по модели MaaS.
🔵 Новая тактика ClickFix на macOS — выполнение команды монтирует вредоносный образ DMG и запускает инфостилер.
🔵 На одном из серверов INC Ransomware обнаружены сборки ВПО для экзотических архитектур целевых серверов, включая мейнфреймы IBM Z. Правда, авторы исследования не уверены в работоспособности и эффективности этих образцов.
🟣 Технический анализ бэкдора STOCKSTAY, написанного на .NET и используемого APT Turla.
🟣 Разбор вредоносной кампании, использующей уязвимость в Langflow (CVE-2026-33017) для запуска криптомайнинга на мощных серверах, предназначенных для ИИ-задач.
🟣 Технический анализ Linux-ВПО MYRA, распространявшегося через npm. Исследователи предполагают, что это может быть инструментом редтиминга.
🔴 В США обязали госучреждения перевести критические ИТ-системы на постквантовые алгоритмы согласования ключей до конца 2030 года, и на постквантовые цифровые подписи до конца 2031.
#дайджест #APT @П2Т
#дайджест #APT @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3👏2🔥1
Forwarded from Kaspersky
📊 Переводим эффективность кибербеза на понятный для CEO язык цифр
Анна Кулашова, вице-президент «Лаборатории Касперского» по развитию бизнеса в России и СНГ, в интервью «Коммерсанту» рассказала о ROI-калькуляторе — инструменте для оценки эффективности инвестиций в ИБ. Его бета-версию мы представили на ПМЭФ 2026.
В интервью обсудили:
🟢 как работает ROI-калькулятор и какая методология лежит в его основе;
🟢 кому этот инструмент будет полезен в первую очередь;
🟢 какие данные и метрики получает пользователь;
🟢 можно ли с ним работать без опыта в ИБ.
▶️ Читайте по ссылке
Анна Кулашова, вице-президент «Лаборатории Касперского» по развитию бизнеса в России и СНГ, в интервью «Коммерсанту» рассказала о ROI-калькуляторе — инструменте для оценки эффективности инвестиций в ИБ. Его бета-версию мы представили на ПМЭФ 2026.
В интервью обсудили:
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥2👏1
Когда: 1 июля 2026 в 11:00 и 15:00 (МСК)
В информационном шуме вокруг ИИ бывает сложно поймать момент, когда хайп и фантазии превращаются в важные тенденции. Именно этим займутся эксперты ведущих ИБ-компаний на онлайн-конференции AM Live. Тема огромная, поэтому мероприятие пройдёт в двух частях. Первая будет посвящена использованию ИИ в реальных атаках, а вторая — реалистичным и опробованным способам, в которых автоматизация помогает защитникам.
Темы первой части (в 11:00):
Темы второй части (в 15:00):
Встречаемся уже завтра: 1 июля 2026
Нужна предварительная регистрация.
Узнать о конференции и зарегистрироваться ⟶
#события @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2👍2🔥2👏1
Небольшие бизнесы остаются привлекательной мишенью злоумышленников. Участились случаи, когда МСБ атакуют ради проникновения в более крупную компанию, куда жертва поставляет товары или услуги.
В проанализированных даркнет-публикациях около 40% брокеров первоначального доступа описывают жертву как компанию малого бизнеса и 20% — среднего.
Методы проникновения в компании не претерпели существенных изменений, но популярность идей про внедрение ИИ в малом бизнесе отразились на структуре приманок. За год впятеро увеличилось число атак, где ВПО было замаскировано под клиенты популярных ИИ-сервисов, в первую очередь ChatGPT и Claude. Несмотря на это, львиную долю ВПО по-прежнему маскируют под мессенджеры и клиенты видеоконференций. Остаются в топе приманок и популярные офисные приложения.
Более подробная статистика ВПО и фишинга, нацеленных на малый бизнес, а также детальные рекомендации по защите опубликованы в отчёте на Securelist.
#статистика #МСБ @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🔥3👏3
В июньском потоке новостей могли затеряться полезные и не сиюминутные материалы нашего канала. Поэтому мы подобрали статьи, которые помогут выстроить эффективные процессы и системы в ИБ. Если вы что-то пропустили, самое время наверстать упущенное!
#дайджест @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
👏3🔥2❤1🤩1