П
Порвали два трояна
17.07.2026 08:02 · 👁 554
💪 Patch Tuesday был только разминкой
Шесть сотен багов в свежем пакете обновлений от Microsoft — совсем не изолированный случай в одной (большой) компании. Другие производители ПО и железа с разной степенью откровенности сигнализируют, что старая модель поиска уязвимостей и выпуска обновлений приказала долго жить.
Например Cisco заявила, что переходит к risk-based disclosure, что в переводе с английского корпоративного на русский прямолинейный означает следующее. Пакеты обновлений будут выходить два раза в месяц, а не один. Можно записать в календарь — первая и третья среда. За неделю обещают предупреждать, какие продукты получат обновления. Что более интересно, под эту музыку компания прекращает выпуск бюллетеней для каждой устранённой уязвимости и будет писать объяснительные записки только для дефектов, которые посчитает важными и потенциально подверженными эксплуатации.
Прочие уязвимости будут (тихо) устраняться в рамках hardening releases и получать один «зонтичный» идентификатор CVE для каждой группы продуктов.
В Adobe тоже планируют выпускать обновления вдвое чаще. К обычному второму вторнику месяца на хвосте Microsoft добавился четвёртый вторник. В анонсе бегло упоминают, что могут не назначать каждому багу персональный CVE в рамках одного релиза, но стандарт информирования и формат бюллетеней обещают не менять.
В Microsoft, кстати, ещё в мае предупреждали, что хотя от месячного ритма не отступают, внеплановых релизов будет больше.
О том, что делать с этой радостью организациям, мы подробно написали в заключительной части поста о Patch Tuesday.
Ну и Kaspersky Vulnerability Management конечно пригодится! 😉
#советы #уязвимости @П2Т
П
Порвали два трояна
16.07.2026 10:03 · 👁 653
❗️ Эксперты Kaspersky GReAT обнаружили новую сложную APT-атаку на организации в РФ, которая запускается через систему обновления VipNet
Кампания началась как минимум в мае и активна на момент публикации.
В ходе исследования мы выявили попытки целенаправленного заражения крупных российских организаций из государственного, энергетического, транспортного, образовательного и логистического секторов, а также промышленности.
🔻Как действуют злоумышленники
В кампании применяется ранее неизвестный сложный инструментарий: загрузчик дополнительных вредоносных компонентов, инструмент для проксирования трафика и запуска новых вредоносных нагрузок, имплант, с помощью которого атакующие могут выполнять команды на заражённой системе, и модуль для очистки файлов журналов ПО ViPNet, который позволяет злоумышленникам скрыть свою активность. В одной из заражённых систем был выявлен новый бэкдор HelloBackdoor, используемый для манипуляций с файловой системой.
Все подробности, детекты и атрибуцию разбираем в новом материале в нашем блоге.
▶️Как защититься
ПО ViPNet не впервые используется для кибератак, поэтому мы советуем:
🟢осуществить мониторинг сетевого трафика по указанным в статье портам, чтобы обнаружить следы заражения;
🟢использовать многоуровневую модель безопасности, которая помогает не только обнаруживать, но и предотвращать инциденты подобного класса;
▶️ наши решения определяют данную угрозу как Trojan.Win32.Agentb.ttoe, Trojan.Win64.Convagent.gen, Trojan.Win64.Agent.smgpqx
П
Порвали два трояна
16.07.2026 07:59 · 👁 688
👽 AgentJacking: примеряем к AI SOC
Недавно опубликованное исследование по атаке AgentJacking отличается от десятков других постов «как страшно жить с ИИ-агентами» тем, что авторы не побоялись опробовать свою атаку на реальных организациях. В итоге в их сети попались кодинг-агенты более чем 2000 реальных компаний, включая фирму из Fortune-100.
Вся схема основана на эксплуатации популярной службы телеметрии под названием Sentry. Любое мобильное или веб-приложение может автоматически рапортовать о случившихся ошибках через Sentry, чтобы разработчики не ждали, пока пользователь (никогда не) заполнит багрепорт.
При этом ошибки в Sentry отправляются без авторизации и аутентификации — это сделано специально, чтобы можно было обрабатывать в том числе типичные случаи «анонимный пользователь просто зашел на наш веб-сайт и словил ошибку».
В духе свежих тенденций Sentry завели себе MCP-сервер, чтобы ИИ-агенты у их клиентов могли разбирать сообщения об ошибках автоматически. Дальше вы можете догадаться. Исследователи отправляют в Sentry анонимный отчет, который содержит заранее сформатированный блок, оформленный точно так же, как MCP-сервер Sentry форматирует свои данные для ИИ-агента. В рамках этого «отчёта об ошибках» агенту рекомендуется провести дополнительную диагностику для более точного обнаружения проблемы. Диагностика состоит в запуске
npx @controlled-validation-package –diagnose
и заканчивается эксфильтрацией учётных данных на сервер атакующих. Вернее, могла бы закончиться, потому что в исследовательской атаке пакет «всего лишь» стучался в специальный сервер.
Факт использования Sentry для обработки ошибок легко обнаружить анализом HTML веб-сайтов и строк в мобильных приложениях. Поэтому таргетировать атаку относительно несложно, и для этого не нужны вообще никакие привилегированные доступы.
Хотя масштаб проблемы и простота эксплуатации интересны сами по себе, примечательно, что вектором атаки стали легко подверженные манипуляциям журналы об ошибках. Если мысленно примерить этот сценарий к ИИ-агентам, разбирающим оповещения в SOC, то аналогичных опасных полей десятки: заголовки писем, DNS-записи, параметры командной строки, User-Agent, и так далее.
Достаточно правильным образом постучаться в публичную инфраструктуру жертвы — и вредоносная строка сама доедет до SIEM, а оттуда в контекст ИИ-агента. А дальше интереснее. Если у SOC-агента есть доступ к инструментам реагирования, то инъекция превращается в исполнение вредоносных команд, причем с высокими привилегиями. Но также инъекцию можно нацелить не на действие, а на бездействие, то есть убедить агента, что конкретное срабатывание — ложное. Зачем обходить детект, если можно попросить его самоустраниться? Это ещё один аргумент в копилку строгого управления уровнями автономии ИИ-инструментов, о котором мы писали.
#ИИ #SOC @П2Т
П
Порвали два трояна
15.07.2026 12:06 · 👁 845
🔥 Системный подход к управлению уязвимостями
Запускаем решение для централизованного управления уязвимостями в ИТ-инфраструктуре организации — Kaspersky Vulnerability Management!
Оно создано, чтобы эффективно закрывать риски, а не просто находить уязвимости. Платформа помогает командам ИБ выстраивать процесс приоритизации, исправления и контроля — от обнаружения актива до полного закрытия бреши. Пользователи нашего EPP/EDR получают автоматическое преимущество: агент, уже установленный на всех хостах организации собирает перечень ПО для дальнейшего поиска уязвимостей, а также участвует в анализе соответствия стандартам. Впрочем, безагентный режим тоже есть.
Обо всех подробностях архитектуры и перспективах развития решения расскажем на стриме уже завтра! Обсудим:
🟢преимущества комплексного подхода — как другие ИБ-решения улучшают процессы VM;
🟢функциональные возможности решения;
🟢разбор карточек уязвимостей и анализ ПО;
🟢управление обнаруженными активами и профили сканирования;
🟢процесс настройки шаблонов и примеры готовых отчетов.
Также запланированы живая демонстрация и ответы экспертов на ваши вопросы!
Встречаемся в четверг: 16 июля 2026 в 11:00 (МСК).
Нужна предварительная регистрация.
Зарезервировать место на стриме ⟶
#события @П2Т
П
Порвали два трояна
14.07.2026 20:41 · 👁 1K
🤯 Цунами уже здесь: монструозный Patch Tuesday
Всё, о чём говорили с момента анонса Mythos, обретает конкретные очертания. В сегодняшнем Patch Tuesday закрыто 570 (!!!) уязвимостей в продуктах Microsoft, а если посчитать «платформенные», где всё патчится на стороне Microsoft, счёт возрастает до 620. И это ещё без 470 (!!!) дефектов в Chrome/Chromium, фиксы для которых вышли для Edge. С января в Редмонде уже закрыли больше багов, чем в любой предыдущий год.
Примечательно не только количество багов, но и то, в каких продуктах они устранены. Во всех. Включая Age of Empires и Minecraft server, о которых редакция канала, признаться, давненько не слышала.
Впрочем, есть и хорошие новости. Из этой пачки только 3 уязвимости классифицированы как зиродеи (ожидаемо), и «всего» 59 получили статус критических. Среди критических дефектов, 48 приводят к RCE, 9 — к повышению привилегий, одна — к обходу функций безопасности, и одна позволяет спуфинг.
Уязвимости, эксплуатируемые в реальных атаках
CVE-2026-56155 (CVSS 7.8) — повышение привилегий в Active Directory Federation Services. Этот дефект позволял локально повысить привилегии до администраторских. Подробности о том, в каких атаках использовалась уязвимость, не приводятся.
CVE-2026-56164 (CVSS 5.3) — повышение привилегий через Microsoft SharePoint Server, сложность атаки низкая, аутентификации не требуется, но какие привилегии получает атакующий, не указано. За обнаружение дефекта благодарят Mandiant/Google, может подробности ещё и появятся.
Третий зиродей — очередной (😏) обход шифрования BitLocker CVE-2026-50661 (CVSS 6.1), который был разглашён до устранения и мы примерно подозреваем кем.
Критических багов много, поэтому отметим лишь наиболее срочные. У парочки из них CVSS 9.9, и нигде в этом списке цифра не опускается ниже 9.6.
CVE-2026-57092 — EoP в VMSwitch, побег из изолировнной среды с полной компрометацией хоста.
CVE-2026-56190 — RCE в RDP, без аутентификации, по сети, берегите ваши серверы.
CVE-2026-50518 — RCE в сервере DHCP
CVE-2026-50522 и -58644 — RCE в серверах SharePoint
CVE-2026-56188 — RCE в WIndows Server network driver
CVE-2026-55008 — спуфинг в Exchange Server (мы не знаем, почему это спуфинг, в описании черным по белому написано XSS).
Если такие пакеты патчей станут нормой, без радикального пересмотра и автоматизации процессов VM команды ИБ и ИТ не будут заниматься ничем другим, одним только патчингом.
#новости #Microsoft #уязвимости @П2Т
П
Порвали два трояна
13.07.2026 08:59 · 👁 921
🎯 Интересные исследования APT и новости ИБ за неделю
👮♀️Несколько конкурирующих APT параллельно вели атаки против правоохранительных органов Пакистана в 2024–2026 годах. В одном из случаев злоумышленники заразили публичный портал обращений в полицию, распространяя PlugX, ShadowPad, Cobalt Strike и Remcos под видом обновления портала.
🌐Кластер UAT-7810 строит сети маршрутизации прокси для другой группы — UAT-5918. Злоумышленники компрометируют роутеры и другие пограничные устройства через известные N-day уязвимости, разворачивая специализированные бэкдоры под разные архитектуры.
🟣Интересный гибрид нашли исследователи Microsoft. ВПО GigaWiperbackdoor/BLUERABBIT сочетает функции бэкдора с деструктивными возможностями. Зловред был собран из кода как минимум трёх отдельных семейств.
🔵Модульный C2-фреймворк от APT Cavern Manticore с начала 2026 года атакует государственные структуры Израиля и их ИТ-поставщиков. Он злоупотребляет функцией обновления SysAid для установки ВПО на .NET, после чего движется от скомпрометированных ИТ-поставщиков к более ценным целям.
🪲Фишинговая операция нацелена на производственные компании в России, Чехии, Малайзии и Египте. Атакующие выдают себя за потенциальных заказчиков, ведут переписку длиной в несколько писем, и лишь затем отправляют вредоносную ссылку, которая ведёт на поддельную страницу «облачного документооборота», крадущую корпоративные учётные данные.
🟢Кампания Kimsuky/APT43 использует вредоносный CHM-файл справки для запуска бесфайловой цепочки заражения. Кампания узко нацелена на исследователей, занимающихся северокорейской тематикой.
🔵Инструментарий для «живого» мошенничества под названием SCMBANKER нацелен на мексиканские банки, финтех-компании, платёжные процессинги и криптобиржи. Доставляемый через поддельные страницы CAPTCHA набор сценариев PowerShell отслеживает банковские сессии и показывает поддельные банковские предупреждения об ошибке, вынуждая жертв звонить мошенникам для «устранения проблемы».
🔵Операция Lurking Lizard как минимум с 2022 года превращает машины жертв в части сети домашних прокси.
🟣Владельцам Tenda приподнапрячься: недокументированная уязвимость обхода аутентификации CVE-2026-11405 даёт атакующим полный административный контроль над рядом моделей роутеров Tenda через заводской пароль. Производитель был уведомлён в мае 2026 года, но патч до сих пор не выпустил, поэтому единственная компенсирующая мера — отключение удалённого управления.
🟢В мутной истории про арест вымогателей Scattered Spider после отслеживания через уникальные идентификаторы Microsoft самое интересное — а что же это за идентификаторы GDID, как они хранятся, и в каких случаях передаются. Неплохую подборку информации по этой теме энтузиасты выложили на GitHub.
#APT #дайджест @П2Т
П
Порвали два трояна
10.07.2026 09:05 · 👁 1.2K
🛒 Сэкономим на ИИ?
Блокировки, ограничения, внезапные уменьшения лимитов в подписке и непредсказуемые расходы при использовании по API побуждают многие компании искать обходные пути для доступа к ведущим ИИ-моделям. Беглый поиск мгновенно обнаруживает десятки сервисов, через которые можно в режиме одного окна пользоваться сотнями ИИ-моделей, причём топовые (уровня Opus) обещают продать чуть не впятеро дешевле официальных цен.
Разобрали все нюансы и подводные камни таких предложений в новой статье Kaspersky Daily.
Если вкратце, то нужно разобраться, что именно предлагает конкретный провайдер — честную балансировку API и гарантии доступности, или доступ через ворованные учётки с попутным воровством всего вашего ИИ-трафика для обучения чужих моделей и даже криминальных нужд.
Читать
#советы #угрозы #ИИ @П2Т
П
Порвали два трояна
09.07.2026 14:50 · 👁 1.2K
📺 Фишинг через коды устройств
Приглядываться к доменному имени в ссылках уже недостаточно, чтобы защитить пользователей от фишинга. Злоумышленники используют легитимные домены Microsoft для захвата корпоративных аккаунтов, заодно обходя стандартную MFA.
В новой кампании атакующие эксплуатируют механизм Microsoft Device Authorization Grant, он же Device Code Flow — протокол, созданный для того, чтобы умные ТВ и IoT-устройства без клавиатуры могли входить в учётные записи.
Вместо размещения поддельной формы аутентификации на тайпсквот-домене злоумышленники отправляют жертве документ или ссылку, которая перенаправляет её на легитимную страницу верификации Microsoft, например microsoft.com/devicelogin. Пользователя два раза переадресуют, показывают на стороннем домене одноразовый код, а затем снова переадресуют на легитимную страницу Microsoft, где предлагают ввести одноразовый код, предоставленный злоумышленниками.
Поскольку вход выполняется на реальной платформе Microsoft, то жертва видит действительный сертификат, корректный корпоративный брендинг и защищённое соединение. Более того, она может пройти и стандартную MFA прямо на сайте Microsoft.
Но в момент, когда пользователь нажимает approve, он фактически выдаёт разрешение фоновому приложению злоумышленника. Фишеры мгновенно перехватывают OAuth-токены активной сессии. Это даёт им устойчивый долгосрочный доступ к почтовому ящику Outlook, файлам в OneDrive и чатам Teams без какой-либо необходимости красть пароль.
Чтобы противодействовать таким атакам:
🟢 оцените, нужен ли Device Code Flow внутри вашей организации. Если сотрудникам не требуется вход в сервисы Microsoft с устройств без клавиатуры, отключите этот механизм глобально через Entra ID Conditional Access;
🟢 настройте мониторинг событий DeviceCodeSignIn в журналах;
🟢 обучите сотрудников обращать внимание на подозрительные переадресации при переходе по ссылкам, когда легитимные корпоративные порталы чередуются со сторонними платформами.
Детальный сценарий атаки и скриншоты опубликованы на Securelist.
#угрозы #Microsoft @П2Т
П
Порвали два трояна
09.07.2026 09:36 · 👁 746
🔥 Kaspersky NGFW получил крупнейшее обновление с момента запуска. Добавили в версию 1.2 много полезного: от поддержки виртуальных контекстов до UX-улучшений в веб-интерфейсе. Подробности — в наших карточках ⬆️
Чтобы узнать больше про наш межсетевой экран нового поколения — включайте запись онлайн-конференции Kaspersky NGFW. В ней рассказываем об эволюции архитектуры и дизайна продукта, интеграционных возможностях, дорожной карте и планах развития.
А если вы сейчас на выставке «ИННОПРОМ-2026», то приходите знакомиться с Kaspersky NGFW к нам на стенд: павильон 2, место 2А5.
П
Порвали два трояна
08.07.2026 14:55 · 👁 998
📈 Сколько времени у вас уходит на закрытие уже эксплуатируемых уязвимостей?
Если на ваших дэшбордах ещё нет этой цифры, пора её посчитать — медианная скорость устранения или компенсации уязвимостей, которые уже эксплуатируются в реальных атаках. Для большинства организаций этот показатель сейчас составляет около 43 дней и продолжает расти, а полностью закрываются лишь примерно 26% уязвимостей из каталога KEV (против 38% год назад). Между тем, эксплуатация уязвимостей стала способом номер 1 для первоначального проникновения, как по нашей статистике, так и в Verizon DBIR, впервые за его 19-летнюю историю обогнав кражу учётных данных.
Проблема обычно не в дефиците информации, а в сложном и частично ручном процессе от обнаружения до устранения дефекта. Сканер находит проблему, но дальше она зависает в таблице, очереди тикетов и цепочке согласований. Тем временем риск только накапливается:
1️⃣ В 2025 году был установлен рекорд по числу CVE, а прогнозы на 2026 год находятся в диапазоне от примерно 50 000 до более чем 70 000;
2️⃣ ИИ-модели вроде Mythos автономно находят тысячи зиродеев во всех основных ОС и браузерах;
3️⃣ недавний Microsoft Patch Tuesday стал крупнейшим за всю историю, то же самое можно сказать и о последних ИБ-обновлениях в Chrome;
4️⃣ NIST признал, что больше не в состоянии обогащать каждую CVE дополнительным контекстом, и теперь тоже их приоритизирует, оставляя в работе лишь около 15–20%;
5️⃣ директива CISA от июня 2026 года исключила CVSS из числа обязательных входных параметров, предлагая взамен ранжирование по уровню экспозиции, факту активной эксплуатации, возможности автоматизации атаки и потенциальному ущербу. Максимальный риск требует реакции в течение трёх дней.
Инструменты vulnerability management в вашем стеке теперь должны поддерживать созданную в организации правильную операционную модель:
✔️ детектирование, которое автоматически передаёт находки в ITSM, с чётким владельцем и жёстко заданными SLA;
✔️ приоритизацию, завязанную на данные об эксплуатации и экспозиции, а не только на CVSS;
☑️ автоматизированный патч-менеджмент там, где это безопасно, плюс компенсирующие меры на тот промежуток времени, пока патча ещё нет;
☑️ связность VM с другими инструментами ИБ, инвентаризацией активов и менеджером заданий, чтобы на вопрос «какие наши ресурсы под угрозой?» существовал один готовый ответ, а не отдельное упражнение по сверке данных.
Подробнее о правильных подходах к приоритизации и сокращении дистанции между «обнаружено» и «исправлено».
#VM #уязвимости #CISO @П2Т