🪟 Сентябрьский вторник патчей: 80:1:0

Microsoft, похоже, порадовала админов спокойным сентябрьским бюллетенем — за вычетом дефектов Azure, Dynamics 365 и подобных, устранено 80 уязвимостей, из которых для одной где-то существует PoC, но нет боевой эксплуатации.
38 CVE приводят к повышению привилегий, 22 — выполнению произвольного кода, 14 — разглашению информации, 3 — DoS, 2 — обходу функций безопасности. Всего 8 уязвимостей названы критическими.

Уязвимость с PoC — это CVE-2025-55234 (CVSS 8.8) в Windows SMB, приводящая к повышению привилегий. В некоторых конфигурациях сервера он может быть уязвим к relay-атакам и использован для дальнейших атак на пользователя. Злоумышленник может получить привилегии атакованного пользователя.
На самом деле сентябрьское обновление не устраняет никаких ошибок. Редмонд ранее выпускал рекомендации по харденингу SMB Server против подобных атак. Но обе защитные функции, EPA и Server signing, могут создавать проблемы совместимости, поэтому текущее обновление добавляет возможности аудирования, чтобы администраторы могли уточнить и устранить проблемы совместимости и включить-таки харденинг. Подробные инструкции здесь.

Среди опасных уязвимостей без публичного PoC, эксплуатацию которых Microsoft оценивает как более вероятную, выделим:

CVE-2025-54918 (CVSS 8.8) — EoP до System через дефект в NTLM, уязвимость несложно проэксплуатировать даже через Интернет.

CVE-2025-54916 (CVSS 7.8) — RCE в NTFS.

Кроме того, Microsoft опубликовала фикс для CVE-2024-21907, приводящей к DoS уязвимости в продукте Newtonsoft.Json, который входит в поставку SQL server. Об этой уязвимости известно уже год, но реальной эксплуатации так и не замечено.

#Microsoft #патчи @П2Т

🍪 — всё об атаках и защите

Identity-атаки всё чаще начинаются не с кражи паролей, а с угона пользовательских сессий. Злоумышленники либо собирают куки-файлы 🍪 с устройства жертвы, либо вмешиваются в процесс аутентификации, чтобы перехватить или повлиять на идентификатор сессии, передаваемый в куки.

Как полноценно защититься от этой угрозы? Придётся вникнуть в нюансы работы куки и обеспечить корректную настройку браузеров на рабочих компьютерах. А ещё — убедиться, что корпоративные веб-сервисы спроектированы на основе лучших практик защиты от CSRF, XSS и прочих веб-угроз.

🈁Начать можно с фундаментальной статьи наших экспертов, вышедшей на Securelist.
В ней разобраны:

▶️виды куки-файлов;
▶️основные методы кражи Session ID;
▶️рекомендации веб-разработчикам;
▶️рекомендации пользователям;
▶️регулирование куки в разных странах.

Читать

#советы @П2Т

📊 Учёт и приоритизация уязвимостей улучшаются, устранение — не очень

Посетив Black Hat, аналитики Forrester констатировали, что все вендоры предлагают всё более изощрённые способы учёта и приоритизации уязвимостей. Управление рисками и поверхностью атаки становится единым продуктом, в ход идут модные аббревиатуры вроде CTEM (Continuous threat exposure management), но при этом в management как-то не попадает самое важное — устранение уязвимостей.

Устранение уязвимостей — целый процесс при участии ИБ, ИТ и бизнес-владельцев уязвимого актива, поэтому автоматизировать его значительно сложнее, чем сканирование.  На практике даже организации, внедряющие целостное решение по управлению уязвимостями, ограничиваются тем, что эта система создаёт тикеты в ITSM и следит за их движением, а не устраняет уязвимости автоматически. Forrester призывает аккуратно экспериментировать с автоматическим устранением, переносом отслеживания «ручных» работ из ITSM в специализированное решение, и конечно внедрением ИИ.

На данном этапе «ИИ-устранение» не означает, что ИИ-агент сам принимает и воплощает решение. Но появляющиеся сейчас решения оказывают важную точечную помощь: разработать плейбуки по устранению уязвимостей, провести анализ данных о дефекте и предложить оптимальный план реагирования — от тактических митигаций до патчей, сходить за одобрением к нужному бизнес-владельцу системы.

Чтобы найти деньги на всю эту красоту, в Forrester простодушно рекомендуют переименовать бюджетную позицию «управление уязвимостями» в «проактивную безопасность», включив туда ASM, CNAPP, red team и UVM. Это позволит гибко выбирать продукты и сервисы в будущих закупках, какие бы модные слова не были в их описаниях.

#советы #уязвимости @П2Т

🚘 Компьютер на 4 колёсах

На подходе выходные, которые можно посвятить отдыху, например самообразованию в сфере ИБ 😇
Тем, кто интересуется телематикой и автомобилями можем рекомендовать фундаментальную статью про ИБ-тренды в автопроме. Эксперты Kaspersky ICS CERT подробно объяснили, чем отличаются подходы к сетевой безопасности (да, в авто уже есть и она) у старых и современных автомобилей, как меняется во времени баланс сложности, риска и выгоды кибератаки на автомобиль, как влияют на ситуацию современные телематические решения наподобие каршеринга и какие автомобили наиболее интересны киберпреступникам.

Тем, кто ещё совсем не знаком с темой, статья тоже будет полезна. Её вводная часть статьи, подробно объясняет архитектуру цифровых систем автомобиля и их взаимодействие.

Читать
@П2Т

➡️ Три бэкдора Head Mare, редтим-фреймворк Adaptix C2 в реальных атаках и другие важные новости APT за неделю

🐴 В новых атаках APT Head Mare на российские организации злоумышленники устанавливают аж три бэкдора и создают SSH-тунель для более надёжного закрепления в системе. Начальное проникновение осуществляется через целевой фишинг с использованием файлов-«полиглотов».

🥚Технический анализ сложного шпионского фреймворка EggStreme. ВПО загружается в несколько этапов и состоит из модулей, подгружаемых через инъекции памяти — всего поддерживается 58 команд. И жертва, и предположительные атакующие находятся в Юго-Восточной Азии.

🎯 Относительно новый пентестерский фреймворк Adaptix C2 уже замечен в реальных атаках. В посте разобраны возможности фреймворка, их стоит изучить даже вне контекста конкретного инцидента.

🖥 Примечательная кампания GPUgate: вредоносная реклама, нацеленная на ИТ-специалистов, приводит к загрузке большого MSI-инсталлятора, нагрузка из которого может быть расшифрована только на компьютере с настоящим GPU. Таким образом злоумышленники обходят песочницы и людей с офисными компьютерами 🤪. ВПО является загрузчиком и инфостилером. Судя по тому, что с той же серверной инфраструктуры раздают AMOS, операция проводится одним из брокеров первоначального доступа.

⚙️ Другая APT-экзотика: злоумышленники разворачивают инструменты VNC при помощи промежуточного ВПО, написанного на популярном в Китае языке Easy Programming Language (EPL).

👮‍♀️ Детальный разбор TTPs новой Gentleman ransomware. Группировка примечательна тем, что использует сложные методики при развитии атаки: эксплуатация групповых политик, адаптированные к среде жертвы обходы СЗИ и конечно BYOVD.

☠️ Новое, пока экспериментальное ВПО HybridPetya явно вдохновлено и Petya, и NotPetya, но оснащено свежим UEFI-буткитом.

🌚 Анализ новых атак APT37/ScarCruft на азиатские организации. Кроме известного арсенала применяется новый бэкдор Rustonotto.

🟣Новая версия бэкдора ToneShell, применяемого APT TA416/Mustang Panda.

🟢Анализ шифровальщика и активностей группы CyberVolk, которая появилась как хактивистская и затем сместилась в RaaS.

🟠Технический анализ фирменного шифровальщика BlackNevas, применяемого с прошлого года в Азии, но постепенно распространяющегося на Европу и Америки.

🔵Разбор модульного бэкдора для macOS под названием ChillyHell. ВПО вероятно предназначено для шпионажа и гибко использует различные протоколы для С2. До недавнего времени вредоносные образцы были подписаны и нотаризованы у Apple.

🟢Вредоносная кампания эксплуатирует ошибки конфигурации Docker API, чтобы установить на уязвимые серверы ВПО. Оно ожидает новых команд и устраняет искомую ошибку конфигурации, чтобы не допустить конкурентов. Исследователи предполагают, что злоумышленники строят серверный ботнет, пока не оснащённый основной нагрузкой.

🔵Akira ransomware массово эксплуатирует прошлогоднюю уязвимость в SSLVPN файрволлов SonicWall для атак на организации. Рекомендации по митигации опубликованы и доступны уже больше месяца ¯\_(ツ)_/¯

🔴В пиратских версиях платных плагинов WordPress тоже бывает вредоносное ПО (сюрприз) — разбор свежей кампании.

🟢Android-банкер RatOn замечен в Центральной Европе. Кроме атак с ретрансляцией NFC, он умеет самостоятельно проводить денежные переводы через банковское приложение. 😳

🔥 Чтение на вечер или выходные: Ким Зеттер, автор прекрасной книги про обнаружение Stuxnet, написала длинную историю о появлении первого в индустрии «геополитического» отчёта — сенсационного по меркам 2013 года исследования Mandiant про APT1.

#APT #дайджест @П2Т

📢 Сеанс поиска уязвимостей в Wordpress с полным их разоблачением

Примерно 40% всех мировых веб-сайтов сделаны на WordPress, а на рынке CMS эта система доминирует с долей более 62%. При этом грамотно сопровождать WP успевают немногие администраторы, поэтому в любой момент времени можно обнаружить несколько массовых вредоносных кампаний по компрометации WP-сайтов. Злоумышленники хостят на взломанных сайтах ВПО и фишинговые страницы, добавляют «левую» рекламу и заражают веб-скиммерами онлайн-магазины.

Как избежать всего этого? Начните с прочтения нашей статьи. В ней разобраны свежие инциденты эксплуатации WP, названы наиболее привлекательные для злоумышленников плагины и даны рекомендации по защите.

#советы @П2Т

🤯 Ещё одна крупная атака на NPM — пока (!) около 150 пакетов

Популярные npm-пакеты с миллионами загрузок, включая @ctrl/tinycolor и целую пачку пакетов Crowdstrike были скомпрометированы червём-инфостилером. В заражённые пакеты добавляется вредоносный постинсталляционный скрипт, который сканирует заражённую среду на различные токены и секреты при помощи инструмента TruffleHog, соибрает все находки и публикует их от имени жертвы на GitHub в публичном репозитории Shai-Hulud. Также скрипт создаёт рабочий процесс .github/workflows/shai-hulud-workflow.yml, который отправляет секреты злоумышленникам на их С2 webhook[.]site.

Функция червя работает так: любые найденные токены npm используются, чтобы обновить пакеты, на которые у владельца токена есть права публикации. В них добавляется копия вредоносного постинсталляционного скрипта bundle.js. Также все репозитории жертвы переводятся в статус публичных.

Администрация npm откатывает заражённые пакеты к безопасным версиям, однако делает это вручную и по одному, поэтому не исключены новые заражения.

Тем, кто успел загрузить заражённые пакеты, рекомендован откат к безопасным версиям с заменой всех ключей и токенов NPM, GitHub, AWS, GCP, Azure. Более детальные инструкции и IoC доступны у Aikido security.

Решения «Лаборатории Касперского» детектируют эту угрозу (вердикт Worm.Script.Shulud).

#новости @П2Т

📌 ИБ для гендира

От CISO ожидают, что он будет обучать свой совет директоров вопросам безопасности и при этом говорить на языке бизнеса — переводить ИБ в понятные метрики и ставить вопросы в привычном руководству ключе. Но к этому обсуждению можно подойти и с другой стороны. Как руководство должно общаться со своим CISO и о чём его спрашивать?

Нидерландский Cyber Security Council, состоящий из экспертов-практиков, научных работников и тех самых директоров, выпустил для руководителей и владельцев бизнеса полезную методичку, целиком посвященную высокоуровневым, вообще не техническим вопросам ИБ. Она охватывает вопросы от построения киберустойчивости и управления киберрисками до личной ответственности менеджмента и полезных, информативных для C-level метрик безопасности.

Небольшой спойлер из оглавления:
🟢почему это вообще важно (и как связано с общими бизнес-рисками);
🟢чем отличаются кибербезопасность и киберустойчивость, и почему нельзя ограничиваться вопросами комплаенса;
🟢какие вопросы должен задавать руководитель компании;
🟢как приоритизировать работы по снижению рисков;
🟢эффективная организация управления ИБ;
🟢юридические и регуляторные аспекты;
🟢киберриски за пределами вашей организации (подрядчики, клиенты, партнеры);
🟢особая программа ИБ-тренингов для высшего руководства.

Важные «но» — руководство есть только на английском и голландском, а весь регуляторный ландшафт описан для ЕС и Нидерландов. Тем не менее, все общие принципы полностью применимы и в России.

#советы #CISO @П2Т

🔥 NGFW против реальных киберугроз

Хактивисты и рансомварщики всё чаще вооружаются инструментами продвинутых red team и APT. Это резко повысило планку минимально необходимой защиты для большинства российских организаций. Многие возможности ИБ, которые пару лет назад можно было назвать nice to have, стали жизненно важны.

В новом посте детально разобрали реальные случаи, в которых защитникам нужны расшифровка и глубокая инспекция трафика, сопоставление трафика с учётными записями, от имени которых он инициирован, анализ трафика на лету при помощи IDS и антивируса и другие защитные технологии.

Отдельная тема — интеграция средств защиты. Только сопоставляя сетевую и endpoint-телеметрию, данные почтовой защиты и песочницы, можно составить целостную картину происходящего. О том, по каким правилам играет этот оркестр, написали подробную статью на Хабре — в ней разобраны интеграционные сценарии на примере Kaspersky OSMP, NGFW, EDR и других наших решений.

Кстати, на Хабре также опубликован подробный рассказ коллег из департамента ИБ о том, как они тестировали Kaspersky NGFW.

Полезного вам чтения!

#советы #NGFW @П2Т

Бэкапы Signal, Apple защищается от зиродеев, ИИ в каждом утюге браузере и другие важные новости конфиденциальности и личной ИБ

🍏 В тени анонса iPhone17 прошло важное архитектурное улучшение чипов Apple и iOS. Технология Memory Integrity Enforcement, основанная на доработанной спецификации ARM EMTE, значительно усложняет эксплуатацию уязвимостей, приводящих к повреждению памяти. Это означает, что всякие 0-click эксплойты для iOS станут гораздо сложнее и дороже в разработке (а они уже сейчас стоят миллионы долларов). Apple скромно называет это самым мощным апгрейдом защиты памяти в потребительских ОС. Мы с ними согласны.

📱 Впрочем, у атакующих всегда остаётся опция атаковать менее защищённого собеседника в интересном им чате — вот в Samsung тоже устранили зиродей, который обнаружила ИБ-команда WhatsApp.

😎 Signal анонсировал приватные зашифрованные бэкапы. Резервные копии чатов и переписок можно восстановить из облака при утере смартфона или переезде на новое устройство. Обещают, что копии хранятся без связи с аккаунтом Signal и платёжным средством. Бесплатно можно хранить тексты, а также картинки за 45 дней. Большее хранилище — 2$/мес.

👽 Roblox раскатывает проверку возраста на всех пользователей. Обещают комбинировать проверки документов с оценкой возраста по селфи и другим надёжным индикаторам.

👾 Тем временем учёные и исследователи из 36 стран Европы написали открытое письмо, протестующее против текущей версии законопроекта Chat Control. Ради защиты от CSAM (детского порно, проще говоря) законопроектом предлагается сканировать весь контент во всех чатах, включая защищённые сквозным шифрованием.

💲 Google избежал самых серьёзных антимонопольных санкций, компанию не разделят и не заберут у неё Chrome. Впрочем, на скорость появления браузеров со встроенным ИИ-ассистентом это не повлияет — они растут, как грибы после дождя.

💻 Впрочем, если вы отключите ИИ в браузере, его засунут вам на компьютер откуда-нибудь ещё: Microsoft анонсирует «ИИ-действия» прямо в Проводнике, а также обещает установить приложение CoPilot всем, у кого установлен MS Office 🗿

🪟 Те, кто всё ещё сидит на Windows 7 и 8 пока защищены от этих ИИ-радостей.
Мы не рекомендуем пользоваться устаревшими ОС из-за киберрисков, но если в этом есть какая-то производственная необходимость, Mozilla радует новостью о продолжении поддержки Firefox 115 ESR до марта 2026 года.

И, продолжая ретро-тему, Microsoft выложила в открытый доступ исходные коды языка BASIC для чипа 6502. 🖥

🟢Новые модели Google Pixel будут подписывать фотографии тегом C2PA. Мы писали об этой технологии — она позволяет убедиться в происхождении фото и отличать снятое камерой от сгенерированного ИИ или поправленного в Photoshop.

🟣Популярный медиасервер Plex не уберёг данные пользователей. Всем рекомендуется сменить пароль, сбросить активные сессии и наконец включить 2FA.

🔵Появляются первые атаки на сети 5G, пока их проводят исследователи, а не киберпреступники.

#дайджест @П2Т

🤨 Интересные исследования APT и много уязвимостей за неделю

🔵Новая волна атак на отельеров от группы RevengeHotels/TA558. Атаки усложнились, теперь в них используется VenomRAT. Мишенями являются отели в Бразилии и испаноязычных странах, но ранее эта группа также атаковала РФ, Беларусь, Турцию и многие другие страны.

🟢Развивается ситуация с npm-атакой Shai-Hulud. Как мы и предсказывали, полностью остановить распространения червя не удалось и счёт троянизированных репозиториев перевалил за 500. Правда, выяснилось, что под Windows ВПО всё же не может отработать целиком. Список компаний, разработчики которых могли быть поражены в этой атаке, есть у Upguard.

🟣24 вредоносных расширения VSCode обнаружены в OpenVSX Marketplace и  официальном VS Marketplace. Исследователи смогли добыть операционные документы группировки WhiteCobra, стоящей за атакой — познавательное чтение.

🟡APT41/TA415 использует туннели VSCode для управления ВПО в скомпрометированных организациях. Атаки отмечены преимущественно в США.

⚪️Новая вымогательская группировка Storm-2603/Gold Salem/Warlock group использует ToolShell для инфицирования организаций, а затем комбинирует вебшеллы, BYOVD и опять-таки туннели VSCode для захвата сети и шифрования жертв.

🟢APT Mustang Panda/Hive0154 продолжает атаковать организации в Азии — кроме новых версий бэкдора ToneShell, в свежих атаках обнаружено ВПО SnakeDisk, автоматически заражающее USB-носители для проникновения в изолированные подсети.

🟢Ландшафт ICS-угроз во втором квартале. В целом по миру замечено небольшое падение, но в Северной Европе и Австралии рост.

🔵Разбор целевых фишинговых кампаний группировки ComicForm, атакующей организации стран СНГ и разворачивающей стилер FormBook.

🟣Анализ загрузчика CountLoader, который является промежуточным шагом к вымогательским инфекциям  BlackBasta и Qilin.

🔵Неожиданное перерождение ботнета SystemBC, который отключили в новом году — теперь он захватывает VPS, а не Микротики. Скомпрометированные устройства становятся прокси для всех видов атак, включая целевые.

🟢Разбор вредоносного фреймворка Covenant и импланта Beardshell, используемых в атаках APT28. Вектором начального проникновения является вредоносный документ Office, присланный через Signal.

🟢Разбор инфостилера с открытым исходным кодом, написанного на Python — XillenStealer.

Неделя богата на серьёзные уязвимости и срочные патчи:
1️⃣ Confluence и Jira
2️⃣ Chrome
3️⃣ Gitlab
4️⃣  Jenkins
5️⃣ Watchguard Firebox

🟢У SonicWall не уязвимость, но тоже хорошо — хакеры утащили резервные копии  пользовательских настроек межсетевого экрана из сервиса MySonicWall, поэтому нужно сбросить все учётные данные от файрвола. Производитель заявляет, что это затрагивает менее 5% клиентов.

🔴Кстати, во взломанных ранее устройствах Ivanti выловили ещё один бэкдор, о нём пишет CISA.

#APT #дайджест @П2Т

🔎 В вашей компании есть «теневой ИИ» с вероятностью 90%

Нашумевшее исследование MIT показало, что «теневой ИИ» уверенно побеждает ИИ официальный. Всего 40% компаний оплачивают корпоративные подписки на чатботы, но в 90% фирм сотрудники отправляют рабочие задачи в чатбота, не спрашивая ни совета, ни разрешения. Победить эту «низовую революцию» проблематично, поэтому её нужно возглавить как-то сбалансировать.

Для этого придётся разделить все данные компании по категориям и разработать политики, позволяющие применять личных ИИ-чатботов для несекретных данных, внедрить какой-то прокси для данных чуть более важных, а потом объяснить коллегам, какие категории данных можно обрабатывать только в доверенной среде.

О трёх подходах к регулированию ИИ в компании и инструментах, помогающих ввести сбалансированные ограничения, подробно написали в руководстве на Kaspersky Daily.

#AI #советы @П2Т

🥹 Управимся с «человеческим фактором»?

В прошлом году количество переходов по фишинговым ссылкам утроилось, несмотря на инвестиции в security awareness и удлинение курсов LMS.
ИИ-дипфейки, вишинг и атаки, персонализованные при помощи LLM убедят кого угодно — на крючок иногда попадаются даже специалисты по ИБ. Группы вроде Scattered Spider наглядно доказывают, что одних тренингов ИБ-осведомлённости недостаточно для эффективной защиты.
Компаниям нужно использовать security awareness как фундамент, и внедрять на нём управление человеческими рисками (Human Risk Management, HRM) — когда человека за клавиатурой защищают так же, как ценные ИТ-активы: с мониторингом событий ИБ, и оценкой уязвимости сотрудника в реальном времени.

Из чего HRM состоит на практике:
🟢телеметрия, а не опросы. Оценка рисков должна основываться на реальных данных: частота отклонения push-уведомлений MFA, результаты фишинговых симуляций, обнаруженные через DLP/NGFW нарушения, паттерны взаимодействия с ИИ-чатботами. Плюс исторические данные и TI об активных кампаниях, нацеленных на роль сотрудника в организации. На основании всего этого каждый сотрудник получает динамически пересчитываемую оценку «рискованности»;
🟢адаптивные меры контроля. Сотрудникам из группы повышенного риска придётся проходить более строгие процессы аутентификации, ждать писем из полноценного карантина и, возможно, иметь ограниченные доступы к ИТ-активам (например, только из офиса). Сотрудникам из низкорисковых групп в случае единичных ошибок сразу прилетают короткие обучающие модули или применяются другие точечные меры сразу после инцидента;
🟢персонализированное обучение. Здесь ИИ особенно полезен службам ИБ и HR: он адаптирует обучение под ошибки и когнитивные особенности каждого сотрудника.

Как измерять эффективность HRM? Процент прошедших обучение не волнует руководство. Зато их могут заинтересовать: медианный риск пользователей, доля сотрудников с высоким риском и динамика показателей за 90 дней.

Подробнее об эволюции решений HRM пишет Forrester.

#CISO #советы @П2Т

🍏 Безопасность macOS и её обход злоумышленниками

Как популярные инфостилеры вроде AMOS и прочие инструменты атак на macOS обходят встроенную защиту операционной системы? Ведь в Купертино не поскупились на слои защиты:

🟢Keychain — штатный менеджер паролей с поддержкой стойкого шифрования;
🟢TCC (transparency, consent, control) — механизм управления разрешениями приложений;
🟢SIP (system integrity protection) — технология защиты информации в специальных директориях и процессах;
🟢File Quarantine — защита от запуска подозрительных (скачанных) файлов;
🟢Gatekeeper — защита от запуска неподписанных приложений;
🟢XProtect — базовая сигнатурная защита от ВПО;
🟢Xprotect Remediator — автоматическое реагирование на выявленные XProtect угрозы.

Для обхода всего этого разработаны вредоносные инструменты или трюки на основе легитимного ПО. Например, File Quarantine обходят, скачивая нужные файлы при помощи curl, пароли извлекают утилитой chainbreaker, а для TCC придумали обход, напоминающий веб-технологию clickjacking.

Все механизмы, их особенности и типовые способы обхода мы подробно разобрали в статье на Securelist. Для каждой технологии обхода сразу даны рекомендации — какую телеметрию EDR и какие Sigma-правила можно использовать, чтобы обнаружить действия атакующих.

#советы #Apple @П2Т

👾 Интересные исследования APT и новости ИБ за неделю

👻 Масштабное обновление арсенала группировки BO Team, атакующей российские организации: злоумышленники переписали свой бэкдор BrockenDoor на C# и обновили ВПО ZeronetKit.

🟢Шпионская кампания, нацеленная на юридические фирмы и разработчиков ПО в США:  APT UNC5221 использует бэкдор Brickstorm, написанный на Go, устанавливая его на устройства без EDR-агента, например vCenter/ESXi. Начальное проникновение вероятно осуществляется через уязвимые пограничные устройства, а целью операции является кража email-переписки.

🟢Три серьёзные уязвимости в Cisco ASA и FTD эксплуатируются атакующими: CVE-2025-20333 позволяет аутентифицированному атакующему выполнять произвольный код, а CVE-2025-20362 даёт доступ без аутентификации к некоторым служебным URL. Днём ранее был выпущен бюллетень на CVE-2025-20352, приводящей к DoS или RCE на устройствах под управлением Cisco IOS и IOS XE с включённой поддержкой SNMP.  В России дефекту подвержено почти 2 тыс. устройств.

🔴Технический анализ фишинговой инфраструктуры APT35/Charming Kitten, используемой в атаках на организации США, Европы и Ближнего Востока.

🔵Подробный технический анализ npm-червя Shai-Hulud и рекомендации по защите.

🟡Разбор нового ВПО Olymp loader, распространяемого по модели MaaS. Авторы ВПО рекламируют «полную недетектируемость», а функции зловреда быстро эволюционируют от простого загрузчика к инфостилеру и шифровальщику.

🟣В новых атаках Cavalry Werewolf на российские госструктуры и крупные организации используются фишинговые письма от имени госслужащих дружественных государств, в которые вложено ВПО FoalShell и StallionRAT.

🟣Новая версия стилера XCSSET, нацеленного на разработчиков софта для Apple и инфицирующего проекты Xcode.

🔵Эволюция инфостилера DarkCloud: в новой версии улучшены обфускация и защита от обнаружения.

🔴Всего за неделю масштабная атака, кратковременно парализовавшая несколько европейских аэропортов дошла до фазы ареста виновных. Причиной инцидента стало развертывание шифровальщика в компании Collins Aerospace, дочерней организации RTX (в девичестве Raytheon), что привело к недоступности системы MUSE, используемой при регистрации пассажиров в аэропорту и обработке багажа.

#дайджест #APT @П2Т

📌 Управление киберрисками: статистика страховщиков

Allianz опубликовали отчёт под захватывающим названием «Cyber security resilience 2025: Claims and risk management trends».
В нём разобрана динамика киберрисков и киберугроз на основании страховых случаев, то есть ситуаций, когда атака привела к ущербу и жертва обратилась за возмещением.

Хорошие и плохие новости идут в отчёте по очереди:

1️⃣ число страховых случаев почти не изменилось за год, но на треть уменьшилось число крупных инцидентов с ущербом более миллиона евро;
2️⃣ атаки ransomware по-прежнему составляют более 60% страховых случаев, но злодеи чаще вымогают у среднего и малого бизнеса;
3️⃣ участились атаки, проводимые без шифрования данных (40%) и вообще без ВПО (80%). Одна только кража информации;
4️⃣ разнообразие страховых рисков растёт. В 15% случаев кибератаке подвергся не застрахованный, а его поставщик или сервис-провайдер, что привело к остановке бизнеса застрахованного. Рекордные 28% страховых случаев были вызваны не кибератаками, а серьёзными техническими сбоями (кто сказал Crowdstrike) или нарушениями правил хранения ПД;
5️⃣ детектирование и реагирование на инцидент на его ранних стадиях снижают ущерб в 1000 раз. Allianz не говорит в лоб «покупайте сервис MDR», но скромно прогнозирует его четырёхкратный рост в следующие десять лет;
6️⃣ деловые игры (tabletop exercise) и прочие учения на случай инцидента позволяют принимать правильные решения во время реального инцидента, минимизируя простои бизнеса. А на простои приходится половина всего ущерба.

В полной версии отчёта ещё много интересного — самые пострадавшие индустрии, тенденции социальной инженерии, новости регулирования и конечно применение ИИ 😅. Стоит полистать.

#статистика @П2Т

☝️ ИБ для гендиректора, NGFW против реальных угроз, советы DevSecOps и другие полезные посты сентября

Сентябрь был богат на новости ИБ, поэтому среди них могли затеряться материалы, полезные долгосрочно. Мы собрали самое ценное за месяц — эти статьи помогут выстроить эффективные процессы и системы в ИБ.
Если что-то пропустили, можно наверстать упущенное!

🔵систематический обзор гибридных APT/ransomware/хактивистских угроз российским организациям.
🔵ИБ для гендиректора — чего добиваться в организации и что спрашивать с CISO?
🔵Практические сценарии применения NGFW против реальных угроз;
🔵полезные советы DevSecOps по защите контейнеров;
🔵в вашей компании точно есть теневой ИИ. Вот три способа с ним сладить;
🔵советы по детектированию обфусцированных скриптов;
🔵учёт уязвимостей улучшается, с устранением дело похуже;
🔵подробный разбор технологии cookie, их видов и способов злоупотребления в кибератаках;
🔵встроенные средства безопасности macOS и как злоумышленники их обходят;
🔵типовые уязвимости WordPress и что с ними делать.

#дайджест @П2Т

🤖 Новые классы атак на ИИ-ассистентов

Пока Microsoft шумно презентует vibe working (OMG), ИБ-специалисты демонстрируют широчайшее поле деятельности по эксплуатации ИИ-ассистентов. На пересечении врождённой уязвимости LLM к инъекциям и традиционных программных уязвимостей возникают целые классы перспективных атак.

Несколько свежих примеров:

1️⃣ Copilot от той же Microsoft можно заставить извлечь из внутренних чатов конфиденциальную информацию, замаскировав инструкции во входящей почте. Борьба со спамом и фишингом на глазах приобретает новое измерение.
2️⃣ Ассистент Gemini уязвим к вредоносным приглашениям на встречи. В них можно припрятать, например, форсированный запуск созвонов Zoom или открытие любых вредоносных сайтов.
3️⃣ Недостаточное ограничение прав на уровне MCP-сервера Anthropic плюс промпт-инъекция приводят к утечке файлов или даже запуску на системе произвольного кода.

Систематический разбор свежих уязвимостей и рекомендации по безопасному внедрению ИИ в организации читайте в статье Kaspersky Daily. Но сразу небольшой спойлер — в числе прочих мер, обращению с ИИ придётся учить всех сотрудников, которые хотя бы изредка прикасаются к компьютеру.

#угрозы #советы @П2Т