Порвали два трояна (@kasperskyb2b) — Telegram-канал | Telegram Dialogs
Все каналы
Порвали два трояна

Порвали два трояна

@kasperskyb2b

9.4K подписчиков технологии

Про ИБ в бизнесе, промышленности и многом другом 💼 Главный канал Kaspersky: @kasperskylab_ru Связь @KasperskyCrew

Последние публикации

Порвали два трояна
17.07.2026 08:02 · 👁 554
💪 Patch Tuesday был только разминкой Шесть сотен багов в свежем пакете обновлений от Microsoft — совсем не изолированный случай в одной (большой) компании. Другие производители ПО и железа с разной степенью откровенности сигнализируют, что старая модель поиска уязвимостей и выпуска обновлений приказала долго жить. Например Cisco заявила, что переходит к risk-based disclosure, что в переводе с английского корпоративного на русский прямолинейный означает следующее. Пакеты обновлений будут выходить два раза в месяц, а не один. Можно записать в календарь — первая и третья среда. За неделю обещают предупреждать, какие продукты получат обновления. Что более интересно, под эту музыку компания прекращает выпуск бюллетеней для каждой устранённой уязвимости и будет писать объяснительные записки только для дефектов, которые посчитает важными и потенциально подверженными эксплуатации. Прочие уязвимости будут (тихо) устраняться в рамках hardening releases и получать один «зонтичный» идентификатор CVE для каждой группы продуктов. В Adobe тоже планируют выпускать обновления вдвое чаще. К обычному второму вторнику месяца на хвосте Microsoft добавился четвёртый вторник. В анонсе бегло упоминают, что могут не назначать каждому багу персональный CVE в рамках одного релиза, но стандарт информирования и формат бюллетеней обещают не менять. В Microsoft, кстати, ещё в мае предупреждали, что хотя от месячного ритма не отступают, внеплановых релизов будет больше. О том, что делать с этой радостью организациям, мы подробно написали в заключительной части поста о Patch Tuesday. Ну и Kaspersky Vulnerability Management конечно пригодится! 😉 #советы #уязвимости @П2Т
Порвали два трояна
16.07.2026 10:03 · 👁 653
❗️ Эксперты Kaspersky GReAT обнаружили новую сложную APT-атаку на организации в РФ, которая запускается через систему обновления VipNet Кампания началась как минимум в мае и активна на момент публикации. В ходе исследования мы выявили попытки целенаправленного заражения крупных российских организаций из государственного, энергетического, транспортного, образовательного и логистического секторов, а также промышленности. 🔻Как действуют злоумышленники В кампании применяется ранее неизвестный сложный инструментарий: загрузчик дополнительных вредоносных компонентов, инструмент для проксирования трафика и запуска новых вредоносных нагрузок, имплант, с помощью которого атакующие могут выполнять команды на заражённой системе, и модуль для очистки файлов журналов ПО ViPNet, который позволяет злоумышленникам скрыть свою активность. В одной из заражённых систем был выявлен новый бэкдор HelloBackdoor, используемый для манипуляций с файловой системой. Все подробности, детекты и атрибуцию разбираем в новом материале в нашем блоге. ▶️Как защититься ПО ViPNet не впервые используется для кибератак, поэтому мы советуем: 🟢осуществить мониторинг сетевого трафика по указанным в статье портам, чтобы обнаружить следы заражения; 🟢использовать многоуровневую модель безопасности, которая помогает не только обнаруживать, но и предотвращать инциденты подобного класса; ▶️ наши решения определяют данную угрозу как Trojan.Win32.Agentb.ttoe, Trojan.Win64.Convagent.gen, Trojan.Win64.Agent.smgpqx
Порвали два трояна
16.07.2026 07:59 · 👁 688
👽 AgentJacking: примеряем к AI SOC Недавно опубликованное исследование по атаке AgentJacking отличается от десятков других постов «как страшно жить с ИИ-агентами» тем, что авторы не побоялись опробовать свою атаку на реальных организациях. В итоге в их сети попались кодинг-агенты более чем 2000 реальных компаний, включая фирму из Fortune-100. Вся схема основана на эксплуатации популярной службы телеметрии под названием Sentry. Любое мобильное или веб-приложение может автоматически рапортовать о случившихся ошибках через Sentry, чтобы разработчики не ждали, пока пользователь (никогда не) заполнит багрепорт. При этом ошибки в Sentry отправляются без авторизации и аутентификации — это сделано специально, чтобы можно было обрабатывать в том числе типичные случаи «анонимный пользователь просто зашел на наш веб-сайт и словил ошибку». В духе свежих тенденций Sentry завели себе MCP-сервер, чтобы ИИ-агенты у их клиентов могли разбирать сообщения об ошибках автоматически. Дальше вы можете догадаться. Исследователи отправляют в Sentry анонимный отчет, который содержит заранее сформатированный блок, оформленный точно так же, как MCP-сервер Sentry форматирует свои данные для ИИ-агента. В рамках этого «отчёта об ошибках» агенту рекомендуется провести дополнительную диагностику для более точного обнаружения проблемы. Диагностика состоит в запуске npx @controlled-validation-package –diagnose и заканчивается эксфильтрацией учётных данных на сервер атакующих. Вернее, могла бы закончиться, потому что в исследовательской атаке пакет «всего лишь» стучался в специальный сервер. Факт использования Sentry для обработки ошибок легко обнаружить анализом HTML веб-сайтов и строк в мобильных приложениях. Поэтому таргетировать атаку относительно несложно, и для этого не нужны вообще никакие привилегированные доступы. Хотя масштаб проблемы и простота эксплуатации интересны сами по себе, примечательно, что вектором атаки стали легко подверженные манипуляциям журналы об ошибках. Если мысленно примерить этот сценарий к ИИ-агентам, разбирающим оповещения в SOC, то аналогичных опасных полей десятки: заголовки писем, DNS-записи, параметры командной строки, User-Agent, и так далее. Достаточно правильным образом постучаться в публичную инфраструктуру жертвы — и вредоносная строка сама доедет до SIEM, а оттуда в контекст ИИ-агента. А дальше интереснее. Если у SOC-агента есть доступ к инструментам реагирования, то инъекция превращается в исполнение вредоносных команд, причем с высокими привилегиями. Но также инъекцию можно нацелить не на действие, а на бездействие, то есть убедить агента, что конкретное срабатывание — ложное. Зачем обходить детект, если можно попросить его самоустраниться? Это ещё один аргумент в копилку строгого управления уровнями автономии ИИ-инструментов, о котором мы писали. #ИИ #SOC @П2Т
Порвали два трояна
15.07.2026 12:06 · 👁 845
🔥 Системный подход к управлению уязвимостями Запускаем решение для централизованного управления уязвимостями в ИТ-инфраструктуре организации — Kaspersky Vulnerability Management! Оно создано, чтобы эффективно закрывать риски, а не просто находить уязвимости. Платформа помогает командам ИБ выстраивать процесс приоритизации, исправления и контроля — от обнаружения актива до полного закрытия бреши. Пользователи нашего EPP/EDR получают автоматическое преимущество: агент, уже установленный на всех хостах организации собирает перечень ПО для дальнейшего поиска уязвимостей, а также участвует в анализе соответствия стандартам. Впрочем, безагентный режим тоже есть. Обо всех подробностях архитектуры и перспективах развития решения расскажем на стриме уже завтра! Обсудим: 🟢преимущества комплексного подхода — как другие ИБ-решения улучшают процессы VM; 🟢функциональные возможности решения; 🟢разбор карточек уязвимостей и анализ ПО; 🟢управление обнаруженными активами и профили сканирования; 🟢процесс настройки шаблонов и примеры готовых отчетов. Также запланированы живая демонстрация и ответы экспертов на ваши вопросы! Встречаемся в четверг: 16 июля 2026 в 11:00 (МСК). Нужна предварительная регистрация. Зарезервировать место на стриме ⟶ #события @П2Т
Порвали два трояна
14.07.2026 20:41 · 👁 1K
🤯 Цунами уже здесь: монструозный Patch Tuesday Всё, о чём говорили с момента анонса Mythos, обретает конкретные очертания. В сегодняшнем Patch Tuesday закрыто 570 (!!!) уязвимостей в продуктах Microsoft, а если посчитать «платформенные», где всё патчится на стороне Microsoft, счёт возрастает до 620. И это ещё без 470 (!!!) дефектов в Chrome/Chromium, фиксы для которых вышли для Edge. С января в Редмонде уже закрыли больше багов, чем в любой предыдущий год. Примечательно не только количество багов, но и то, в каких продуктах они устранены. Во всех. Включая Age of Empires и Minecraft server, о которых редакция канала, признаться, давненько не слышала. Впрочем, есть и хорошие новости. Из этой пачки только 3 уязвимости классифицированы как зиродеи (ожидаемо), и «всего» 59 получили статус критических. Среди критических дефектов, 48 приводят к RCE, 9 — к повышению привилегий, одна — к обходу функций безопасности, и одна позволяет спуфинг. Уязвимости, эксплуатируемые в реальных атаках CVE-2026-56155 (CVSS 7.8) — повышение привилегий в Active Directory Federation Services. Этот дефект позволял локально повысить привилегии до администраторских. Подробности о том, в каких атаках использовалась уязвимость, не приводятся. CVE-2026-56164 (CVSS 5.3) — повышение привилегий через Microsoft SharePoint Server, сложность атаки низкая, аутентификации не требуется, но какие привилегии получает атакующий, не указано. За обнаружение дефекта благодарят Mandiant/Google, может подробности ещё и появятся. Третий зиродей — очередной (😏) обход шифрования BitLocker CVE-2026-50661 (CVSS 6.1), который был разглашён до устранения и мы примерно подозреваем кем. Критических багов много, поэтому отметим лишь наиболее срочные. У парочки из них CVSS 9.9, и нигде в этом списке цифра не опускается ниже 9.6. CVE-2026-57092 — EoP в VMSwitch, побег из изолировнной среды с полной компрометацией хоста. CVE-2026-56190 — RCE в RDP, без аутентификации, по сети, берегите ваши серверы. CVE-2026-50518 — RCE в сервере DHCP CVE-2026-50522 и -58644 — RCE в серверах SharePoint CVE-2026-56188 — RCE в WIndows Server network driver CVE-2026-55008 — спуфинг в Exchange Server (мы не знаем, почему это спуфинг, в описании черным по белому написано XSS). Если такие пакеты патчей станут нормой, без радикального пересмотра и автоматизации процессов VM команды ИБ и ИТ не будут заниматься ничем другим, одним только патчингом. #новости #Microsoft #уязвимости @П2Т
Порвали два трояна
13.07.2026 08:59 · 👁 921
🎯 Интересные исследования APT и новости ИБ за неделю 👮‍♀️Несколько конкурирующих APT параллельно вели атаки против правоохранительных органов Пакистана в 2024–2026 годах. В одном из случаев злоумышленники заразили публичный портал обращений в полицию, распространяя PlugX, ShadowPad, Cobalt Strike и Remcos под видом обновления портала. 🌐Кластер UAT-7810 строит сети маршрутизации прокси для другой группы — UAT-5918. Злоумышленники компрометируют роутеры и другие пограничные устройства через известные N-day уязвимости, разворачивая специализированные бэкдоры под разные архитектуры. 🟣Интересный гибрид нашли исследователи Microsoft. ВПО GigaWiperbackdoor/BLUERABBIT сочетает функции бэкдора с деструктивными возможностями. Зловред был собран из кода как минимум трёх отдельных семейств. 🔵Модульный C2-фреймворк от APT Cavern Manticore с начала 2026 года атакует государственные структуры Израиля и их ИТ-поставщиков. Он злоупотребляет функцией обновления SysAid для установки ВПО на .NET, после чего движется от скомпрометированных ИТ-поставщиков к более ценным целям. 🪲Фишинговая операция нацелена на производственные компании в России, Чехии, Малайзии и Египте. Атакующие выдают себя за потенциальных заказчиков, ведут переписку длиной в несколько писем, и лишь затем отправляют вредоносную ссылку, которая ведёт на поддельную страницу «облачного документооборота», крадущую корпоративные учётные данные. 🟢Кампания Kimsuky/APT43 использует вредоносный CHM-файл справки для запуска бесфайловой цепочки заражения. Кампания узко нацелена на исследователей, занимающихся северокорейской тематикой. 🔵Инструментарий для «живого» мошенничества под названием SCMBANKER нацелен на мексиканские банки, финтех-компании, платёжные процессинги и криптобиржи. Доставляемый через поддельные страницы CAPTCHA набор сценариев PowerShell отслеживает банковские сессии и показывает поддельные банковские предупреждения об ошибке, вынуждая жертв звонить мошенникам для «устранения проблемы». 🔵Операция Lurking Lizard как минимум с 2022 года превращает машины жертв в части сети домашних прокси. 🟣Владельцам Tenda приподнапрячься: недокументированная уязвимость обхода аутентификации CVE-2026-11405 даёт атакующим полный административный контроль над рядом моделей роутеров Tenda через заводской пароль. Производитель был уведомлён в мае 2026 года, но патч до сих пор не выпустил, поэтому единственная компенсирующая мера — отключение удалённого управления. 🟢В мутной истории про арест вымогателей Scattered Spider после отслеживания через уникальные идентификаторы Microsoft самое интересное — а что же это за идентификаторы GDID, как они хранятся, и в каких случаях передаются. Неплохую подборку информации по этой теме энтузиасты выложили на GitHub. #APT #дайджест @П2Т
Порвали два трояна
10.07.2026 09:05 · 👁 1.2K
🛒 Сэкономим на ИИ? Блокировки, ограничения, внезапные уменьшения лимитов в подписке и непредсказуемые расходы при использовании по API побуждают многие компании искать обходные пути для доступа к ведущим ИИ-моделям. Беглый поиск мгновенно обнаруживает десятки сервисов, через которые можно в режиме одного окна пользоваться сотнями ИИ-моделей, причём топовые (уровня Opus) обещают продать чуть не впятеро дешевле официальных цен. Разобрали все нюансы и подводные камни таких предложений в новой статье Kaspersky Daily. Если вкратце, то нужно разобраться, что именно предлагает конкретный провайдер — честную балансировку API и гарантии доступности, или доступ через ворованные учётки с попутным воровством всего вашего ИИ-трафика для обучения чужих моделей и даже криминальных нужд. Читать #советы #угрозы #ИИ @П2Т
Порвали два трояна
09.07.2026 14:50 · 👁 1.2K
📺 Фишинг через коды устройств Приглядываться к доменному имени в ссылках уже недостаточно, чтобы защитить пользователей от фишинга. Злоумышленники используют легитимные домены Microsoft для захвата корпоративных аккаунтов, заодно обходя стандартную MFA. В новой кампании атакующие эксплуатируют механизм Microsoft Device Authorization Grant, он же Device Code Flow — протокол, созданный для того, чтобы умные ТВ и IoT-устройства без клавиатуры могли входить в учётные записи. Вместо размещения поддельной формы аутентификации на тайпсквот-домене злоумышленники отправляют жертве документ или ссылку, которая перенаправляет её на легитимную страницу верификации Microsoft, например microsoft.com/devicelogin. Пользователя два раза переадресуют, показывают на стороннем домене одноразовый код, а затем снова переадресуют на легитимную страницу Microsoft, где предлагают ввести одноразовый код, предоставленный злоумышленниками. Поскольку вход выполняется на реальной платформе Microsoft, то жертва видит действительный сертификат, корректный корпоративный брендинг и защищённое соединение. Более того, она может пройти и стандартную MFA прямо на сайте Microsoft. Но в момент, когда пользователь нажимает approve, он фактически выдаёт разрешение фоновому приложению злоумышленника. Фишеры мгновенно перехватывают OAuth-токены активной сессии. Это даёт им устойчивый долгосрочный доступ к почтовому ящику Outlook, файлам в OneDrive и чатам Teams без какой-либо необходимости красть пароль. Чтобы противодействовать таким атакам: 🟢 оцените, нужен ли Device Code Flow внутри вашей организации. Если сотрудникам не требуется вход в сервисы Microsoft с устройств без клавиатуры, отключите этот механизм глобально через Entra ID Conditional Access; 🟢 настройте мониторинг событий DeviceCodeSignIn в журналах; 🟢 обучите сотрудников обращать внимание на подозрительные переадресации при переходе по ссылкам, когда легитимные корпоративные порталы чередуются со сторонними платформами. Детальный сценарий атаки и скриншоты опубликованы на Securelist. #угрозы #Microsoft @П2Т
Порвали два трояна
09.07.2026 09:36 · 👁 746
🔥 Kaspersky NGFW получил крупнейшее обновление с момента запуска. Добавили в версию 1.2 много полезного: от поддержки виртуальных контекстов до UX-улучшений в веб-интерфейсе. Подробности — в наших карточках ⬆️ Чтобы узнать больше про наш межсетевой экран нового поколения — включайте запись онлайн-конференции Kaspersky NGFW. В ней рассказываем об эволюции архитектуры и дизайна продукта, интеграционных возможностях, дорожной карте и планах развития. А если вы сейчас на выставке «ИННОПРОМ-2026», то приходите знакомиться с Kaspersky NGFW к нам на стенд: павильон 2, место 2А5.
Порвали два трояна
08.07.2026 14:55 · 👁 998
📈 Сколько времени у вас уходит на закрытие уже эксплуатируемых уязвимостей? Если на ваших дэшбордах ещё нет этой цифры, пора её посчитать — медианная скорость устранения или компенсации уязвимостей, которые уже эксплуатируются в реальных атаках. Для большинства организаций этот показатель сейчас составляет около 43 дней и продолжает расти, а полностью закрываются лишь примерно 26% уязвимостей из каталога KEV (против 38% год назад). Между тем, эксплуатация уязвимостей стала способом номер 1 для первоначального проникновения, как по нашей статистике, так и в Verizon DBIR, впервые за его 19-летнюю историю обогнав кражу учётных данных. Проблема обычно не в дефиците информации, а в сложном и частично ручном процессе от обнаружения до устранения дефекта. Сканер находит проблему, но дальше она зависает в таблице, очереди тикетов и цепочке согласований. Тем временем риск только накапливается: 1️⃣ В 2025 году был установлен рекорд по числу CVE, а прогнозы на 2026 год находятся в диапазоне от примерно 50 000 до более чем 70 000; 2️⃣ ИИ-модели вроде Mythos автономно находят тысячи зиродеев во всех основных ОС и браузерах; 3️⃣ недавний Microsoft Patch Tuesday стал крупнейшим за всю историю, то же самое можно сказать и о последних ИБ-обновлениях в Chrome; 4️⃣ NIST признал, что больше не в состоянии обогащать каждую CVE дополнительным контекстом, и теперь тоже их приоритизирует, оставляя в работе лишь около 15–20%; 5️⃣ директива CISA от июня 2026 года исключила CVSS из числа обязательных входных параметров, предлагая взамен ранжирование по уровню экспозиции, факту активной эксплуатации, возможности автоматизации атаки и потенциальному ущербу. Максимальный риск требует реакции в течение трёх дней. Инструменты vulnerability management в вашем стеке теперь должны поддерживать созданную в организации правильную операционную модель: ✔️ детектирование, которое автоматически передаёт находки в ITSM, с чётким владельцем и жёстко заданными SLA; ✔️ приоритизацию, завязанную на данные об эксплуатации и экспозиции, а не только на CVSS; ☑️ автоматизированный патч-менеджмент там, где это безопасно, плюс компенсирующие меры на тот промежуток времени, пока патча ещё нет; ☑️ связность VM с другими инструментами ИБ, инвентаризацией активов и менеджером заданий, чтобы на вопрос «какие наши ресурсы под угрозой?» существовал один готовый ответ, а не отдельное упражнение по сверке данных. Подробнее о правильных подходах к приоритизации и сокращении дистанции между «обнаружено» и «исправлено». #VM #уязвимости #CISO @П2Т
Чат поддержки
Ответим здесь же, обычно быстро
Здравствуйте! Напишите ваш вопрос — оператор ответит в этом чате.