📲 Павел Дуров в Telegram пожаловался, что на адрес его квартиры в России, где он жил 20 лет назад, пришла повестка на имя "подозреваемого П. В. Дурова".

Должно быть, они подозревают меня в защите статей 29 и 23 Конституции России, которые гарантируют свободу слова и право на тайну переписки.

Горжусь тем, что виновен! 😏

— пишет основатель Telegram.
--------------------------

🤔 Указание процессуального статуса «подозреваемый» в графе «Кому» выглядит весьма странно. Остается неясным, является ли это шуткой.

✋ @Russian_OSINT

Читать полностью…

На Reddit появился потрясающий пост, который вызвал культурный шок среди местных представителей IT-флоры и фауны.

💻Сотрудник неназванной компании делится удивительной историей:

Я до сих пор не могу осознать, что только что произошло. Мы несколько недель впахивали, чтобы объединить данные об уязвимостях из 12 разных инструментов безопасности в один дашборд. Tenable, Qualys, Snyk, Wiz, что угодно — всё это сливалось в одну настроенную нами платформу. API подтягивали сканы, оценки рисков, всё было нормализовано в единые панели, чтобы руководство перестало орать из-за «зоопарка» инструментов.

В пятницу наконец-то удалось запустить рабочую демо-версию. Подтянул все фиды, построил объединенные запросы, даже добавил крутые графики приоритизации рисков. Был на радостях, поэтому на выходных создал репозиторий, чтобы поделиться с командой, но забыл инициализировать его как 🔐приватный. Запушил на свой рабочий аккаунт GitHub, который по умолчанию 🔓публичный, потому что я использую его для побочных скриптов. Сообщение коммита было буквально следующее: «объединенное представление уязвимостей с живыми продовыми фидами, зацените, команда».

😅 В понедельник утром Slack просто разрывается. Внешний сканер уязвимостей подхватывает наш репозиторий, индексирует его, и теперь весь наш список ↔️👺высоких, средних и критических уязвимостей (high, med, crit) из продакшн-среды спарсен и выдается в публичном поиске. Имена клиентов, теги активов, оценки CVSS для непропатченных штук на 500 серверах. Активы одного из наших крупнейших клиентов прямо там с тегами «немедленный эксплойт» [immediate exploit].

💔Сердце остановилось, когда я увидел, что это висит в трендах в какой-то ленте Threat Intelligence.

Бросился удалять репозиторий, но кэш🔎🌐 Google и некоторые скраперы уже его отзеркалили.

Тимлид в бешенстве, 😱 CISO (директор по ИБ) подключает юристов, клиентам уже обрывают телефоны. Всё утро потратил на то, чтобы отозвать учетные данные API, ротировать токены, отключить фиды. Дашборд теперь погашен, но ущерб уже нанесен. Как я пропустил переключатель публичного доступа [Private|Public]? 🧠Мозг просто расплавился после 50-часовой рабочей недели.

Всё еще восстанавливаю потоки данных, стараясь снова не сломать продовые сканирования. Кто-нибудь проходил через подобную утечку? Насколько масштабными обычно бывают последствия? Клиенты сбегут? Нужен совет по поводу раскрытия информации об инциденте или зачистки всего этого, пока оно не попало в новости. Пожалуйста, скажите, что у кого-то есть история похуже или решение проблемы.

🤦‍♂️ Не без сарказма шутят в социальных сетях:

«Сорри, но тут уже ничего не поможет. Просто пожелаю тебе удачи, чувак!»

«Если кто-то думает, что у него серьёзные проблемы с ИБ на работе, то он🍿крупно ошибается»

— комментируют пользователи в 🦆.
--------------------------
👆Не хватает мема: «Жаль, конечно, этого добряка»

✋ @Russian_OSINT

Читать полностью…

🈁 Anthropic тайно устанавливает🕵️шпионское ПО при установке Claude Desktop?

Исследователь Александр Ханфф обнаружил, что приложение Claude Desktop для macOS от компании Anthropic тайно и без согласия пользователей устанавливает незадокументированный мост Native Messaging.В ходе отладки он нашел в папке своего браузера 🌐Brave конфигурационный файл (com.anthropic.claude_browser_extension.json), который заранее дает разрешение трем конкретным расширениям 🧊 Chrome запускать исполняемый файл (chrome-native-host) вне защищенной «песочницы» браузера на уровне привилегий пользователя. Утверждается, что скрытая установка бэкдора происходит в момент установки десктопного приложения, даже если пользователь никогда не устанавливал сами браузерные расширения Claude.

При установке и запуске Claude Desktop (macOS) приложение автоматически (без какого-либо уведомления, галочки или запроса согласия) создаёт в папках браузеров файл: ~/Library/Application Support/[Browser]/NativeMessagingHosts/com.anthropic.claude_browser_extension.json

— возмущается исследователь.

Приложение целенаправленно и массово внедряет этот манифест в системные пути семи различных браузеров на базе Chromium (Chrome, Edge, Brave, Arc, Chromium, Vivaldi, Opera), причем создает нужные папки даже для тех браузеров, которые вообще не установлены на компьютере. Журналы (логи) самого Claude Desktop подтверждают эти действия.

🧹🧹Простое удаление файла пользователем не решает проблему: при каждом новом запуске Claude Desktop автоматически восстанавливает и перезаписывает эти манифесты, что является классическим «темным паттерном» (dark pattern).

В случае активации хотя бы одним из указанных расширений этот мост предоставляет Anthropic пугающе широкие возможности по контролю над браузером. Согласно собственной документации компании, функционал включает использование текущих авторизованных сессий пользователя (без необходимости повторного входа на сайты), чтение отрендеренного DOM-дерева и автоматическое заполнение форм. На практике это означает, что мост способен считывать в виде простого текста пароли в момент их ввода, номера кредитных карт и расшифрованные личные сообщения прямо с экрана, обходя защиту HTTPS и сводя на нет изоляцию между различными пользовательскими профилями.

По мнению исследователя, наличие такого «спящего» бэкдора создает критические угрозы безопасности компьютера, значительно расширяя поверхность атаки. Если хотя бы одно из трех разрешенных расширений будет скомпрометировано (например, через атаку на цепочку поставок, взлом аккаунта разработчика или вредоносное обновление), злоумышленники получат прямой доступ к выполнению кода вне песочницы браузера на устройстве жертвы. Ситуация усугубляется тем, что по собственным данным Anthropic расширение Claude для Chrome уязвимо к атакам типа «инъекция промпта» (с вероятностью успеха до 23,6%), что дает потенциальный вектор атаки от вредоносного веб-сайта прямо к операционной системе.

🥷 Автор статьи классифицирует этот скрытый механизм чуть ли не как spyware.

🤖Другие эксперты считают, что в данном случае Anthropic не пытается тайно следить за пользователями. Проблема возникала не из-за злого умысла, а из-за вопиющей инженерной небрежности и наплевательского отношения к приватности (UX поставили выше безопасности).

⚖️Ханфф утверждает, что подобные действия нарушают статью 5(3) Директивы ЕС о конфиденциальности электронных коммуникаций (ePrivacy Directive), которая требует получения явного согласия пользователя перед сохранением информации на его устройстве, за исключением случаев, когда это строго необходимо для предоставления услуги. Исследователь пока не подал официальную жалобу в регулирующие органы, но заявляет, что планирует сделать это, если Anthropic не примет должные меры.

👆Anthropic пока никак не отреагировали.

✋ @Russian_OSINT

Читать полностью…

Канал 🔨SecAtor — @true_secator пишет интересное:

Исследователи F6 и Positive Technologies выкатили отчеты по результатам отслеживания активности PhantomCore, которая является одной из наиболее активных групп на российском ландшафте угроз.

Как отмечает в F6, впервые ее обнаружили её в 2024 году, а позднее выяснили, что самые ранние атаки группировка провела в 2022 году. Группа атакует государственные и частные организации широкого круга отраслей, специализируясь на кибершпионаже и краже конфиденциальных данных. 

Одна из главных особенностей эволюции PhantomCore – её постоянная адаптивность: АРТ быстро приспосабливается к новым условиям, оперативно меняет инструменты и изобретает нестандартные способы доставки вредоносного ПО до атакуемых организаций.

В 2022 году главной целью злоумышленников были кража, повреждение и уничтожение данных. В 2024 году они переключились на шифрование инфраструктур атакованных компаний и получение финансовой выгоды.

Отличительная черта PhantomCore – использование как общедоступных инструментов (Velociraptor, Memprocfs, Dokan, DumpIt), так и собственных разработок (MacTunnelRAT, PhantomSscp, PhantomProxyLite).

Причём, судя по количеству самописных программ, а также по количеству атак на российские и белорусские компании, команда разработчиков этой киберпреступной группы постоянно ищет новые решения, совершенствует свои инструменты и внимательно следит за новыми уязвимостями.

Одна из таких собственных разработок – KermitRAT, получивший название по причине использования аналогичных подстрок в именах файлов, используемых программой.

Это новая малварь от PhantomCore, которая впервые задетектировалась специалистами F6 в начале апреля 2026 года. Функциональные возможности включают:

- использование различных способов выполнения команд на зараженной системе (скрытый; выполнение PowerShell/cmd; с записью результата в файл и последующей его выгрузкой);

- создание и эксфильтрация снимков экрана;

- хищение файлов по полученному от сервера шаблону;

- определение и перехват нажатия клавиш жертвой с дальнейшей их записью и эксфильтрации на сервер;

- сбор подробной информации о зараженной системе, включая сетевую инфраструктуру, сведения о логических дисках, количество пользователей, информацию о процессах и сервисах, наличие антивирусного ПО, установленном ПО и так далее.

В своем отчете F6 на примере новой атаки PhantomCore на российскую компанию исследователи рассказали про развитие инструментария и TTPs, внедрение нового ПО и расширение спектра используемых технологий, включая AI-решения, для повышения эффективности атак.

В свою очередь, Позитивы в результате расследования выявили широкомасштабную кампанию кибершпионажа и возможный раскол APT‑группировки PhantomCore.

При этом отметили, что в рассматриваемый период группа активно атаковала организации, использующие сервер видеоконференцсвязи TrueConf, и, помимо этого, продолжает использовать фишинг для получения первоначального доступа.

Для перемещения внутри периметра злоумышленники преимущественно используют WinRM, а для закрепления - обратный SSH‑туннель, для этого они доставляют на Windows‑машины собственный установщик ssh.msi.

В качестве имен серверов управления выбираются доменные имена из зоны space и online, мимикрируя под различное легитимное ПО.

PhantomCore активно ищет уязвимости в отечественном ПО, разрабатывает эксплойты и тем самым получает возможность проникать в большое количество российских компаний.

Подробности исследования сетевой инфраструктуры атакующих и атрибуции, TTPs и IOCs - в отчетах F6 и Positive Technologies (здесь и здесь соответственно).

Читать полностью…

🥷💴 Криптостилер FakeWallet распространяется через 🍏iOS-приложения в App Store

Как сообщает Securelist, в марте 2026 года были обнаружена 26 фишинговых приложений в App Store, мимикрирующих под популярные криптокошельки. При запуске они открывают в браузере пользователя страницы, стилизованные под App Store и распространяющие троянизированные версии соответствующих кошельков. Зараженные приложения нацелены на фразы восстановления или приватные ключи кошелька. Согласно метаданным из обнаруженных троянцев, кампания активна как минимум с осени 2025 года.

Мимикрия осуществлялась под следующие популярные кошельки:
💠MetaMask
💠Ledger
💠Trust Wallet
💠Coinbase
💠TokenPocket
💠imToken
💠Bitpie

Так как практически все фишинговые приложения были доступны только пользователям китайского App Store и сами зараженные кошельки распространялись с фишинговых страниц на 🇨🇳китайском языке, мы можем сделать вывод, что кампания нацелена преимущественно на пользователей из Китая. При этом сами вредоносные модули не имеют встроенных региональных ограничений, а отображаемые некоторыми из них фишинговые уведомления подстраивались под язык, используемый скомпрометированными приложениями, так что и пользователи за пределами Китая могут оказаться под прицелом злоумышленников.

— отмечают специалисты.

По данным специалистов, злоумышленники, стоящие за этой кампанией, могут быть связаны с авторами троянца SparkKitty. Обнаруженные детали указывают на эту связь.

Как показывает исследование, кампания FakeWallet набирает обороты, используя при этом новые подходы: от доставки вредоносных нагрузок через фишинговые приложения в App Store до встраивания в приложения холодных кошельков и выманивания мнемоник через фишинговые уведомления. Тот факт, что фишинговые приложения распространяются через App Store и показываются пользователям на первых строках поисковой выдачи, может привести к снижению бдительности жертв.

Технически кампания не является сложной, но она несет серьезные риски для пользователей по нескольким причинам:

1️⃣ Атака на горячие кошельки — зловред может украсть криптоактивы на этапе создания/импорта кошелька без какого-либо дополнительного взаимодействия с пользователем.
2️⃣ Атака на холодные кошельки — злоумышленники прикладывают особые усилия, чтобы сделать их фишинговые окна максимально похожими на легитимные, в том числе путем реализации возможности автозаполнения мнемоник (подсказки при вводе слов восстановления кошелька), тем самым повышая свои шансы на успешное извлечение секретных фраз.
3️⃣ Сложность в исследовании — технические ограничения, накладываемые операционной системой iOS и экосистемой Apple, не дают возможности эффективно исследовать и обнаруживать вредоносные программы на устройстве.

😘https://securelist.ru/fakewallet-cryptostealer-ios-app-store/115241/

✋ @Russian_OSINT

Читать полностью…

🤖Манифест Palantir: Патриотизм ради прибыли и лоббизм под прикрытием спасения западной цивилизации

Компания Palantir, специализирующаяся на аналитике и технологиях слежения, недавно опубликовала то, что она назвала «кратким» изложением книги генерального директора Алекса Карпа «Технологическая республика» из 22 пунктов. Книга «Технологическая республика», написанная Карпом и главой отдела по корпоративным связям Palantir Николасом Замиской, была опубликована в прошлом году.

По мнению Алекса Карпа, Кремниевая долина находится в моральном долгу перед страной, обеспечившей её взлет. Так называемая инженерная элита Кремниевой долины несёт прямое обязательство участвовать в защите национальных интересов США. Он считает, что технологии в 2026 не могут быть нейтральными.

Карп указывает на ограниченность одной лишь дипломатии («мягкой силы») и призывает полагаться на «жесткую силу», которая в этом веке будет строиться на программном обеспечении. Карп утверждает, что мир на протяжении последних 80 лет держался не на дипломатии («мягкой силе»), а исключительно за счёт военной и технологической гегемонии США.

Его мысль заключается в том, что атомный век сдерживания заканчивается, и начинается новая эра, построенная на ИИ-моделях. Карп считает, что ядерное оружие больше не является главным фактором сдерживания. Будущее за алгоритмами и автономным оружием (ИИ). Вопрос не в том, будет ли создано ИИ-оружие, а в том, кто его создаст. По мнению Карпа, главный противник США это Китай. Второстепенные это Россия и Иран.

Аналитики и журналисты видят в манифестах Карпа классический конфликт интересов. За возвышенной риторикой о «защите демократии» скрывается жесткий прагматизм бизнесмена. В отличие от Google, Apple или запрещенной в РФ Meta, которые зарабатывают на рекламе и потребителях, главные клиенты Palantir — Пентагон, ЦРУ, АНБ, спецслужбы союзников США. Раздувание угрозы и призыв к милитаризации напрямую увеличивают рынки сбыта для Palantir.

👆Критики отмечают, что очень удобно придерживаться позиции, когда твоя идеология намеренно раздувает масштаб угрозы и провоцирует новую гонку вооружений, превращая глобальный страх и эскалацию конфликтов в миллиардные оборонные контракты для твоей же компании.

✋ @Russian_OSINT

Читать полностью…

🍏 Тим Кук покидает пост гендиректора Apple

Тим Кук уходит с поста CEO компании Apple и станет исполнительным председателем совета директоров.

Вместо Тима Кука пост генерального директора с 1 сентября 2026 займет Джон Тернус. Сейчас он занимает пост старшего вице-президента по аппаратной инженерии. Он отвечает за проектирование и выпуск почти всех физических продуктов Apple: iPhone, Mac, iPad. Как отмечают СМИ, Тернус — инженер-продуктовик.

✋ @Russian_OSINT

Читать полностью…

Пока компании тратят миллионы на SIEM-системы, большинство взломов происходит через ошибки конфигурации, слабые пароли и непропатченные сервисы. Разбираем, как работает наступательная безопасность изнутри.

Классическая модель «поставил файрвол — защищён» умерла ещё в 2010-х. Современные атаки строятся на цепочках: фишинг, закрепление в системе, горизонтальное перемещение, эксфильтрация данных. Каждый этап использует легитимные инструменты — PowerShell, встроенные утилиты Windows. Именно поэтому EDR-решения пропускают до 30% атак на основе техник Living-off-the-Land.

— автор курса OSINT: Технология Боевой Разведки от Академии Кодебай.

Профессиональный тест на проникновение — это методология:
Разведка ➤ Сканирование ➤ Эксплуатация ➤ Отчётность

Если хотите перейти от чтения новостей об уязвимостях к их самостоятельному поиску, успейте попасть на поток курса по OSINT до 30 апреля.

✔️ Записаться на курс
#реклама
О рекламодателе

Читать полностью…

🤖Иллюзия защищенного периметра в обновленной фиче Windows 11 Recall

Исследователь Александр Хагена выпустил утилиту TotalRecall (Reloaded), которая демонстрирует обход границы доверия (trust boundary) в переработанной архитектуре безопасности функции Windows Recall путём работы с уже дешифрованными данными в процессе AIXHost.exe.

После критики Recall первой версии — Microsoft провела работу над ошибками, сосредоточившись на создании защищенного хранилища с использованием VBS-анклавов (Virtualization-based Security), механизма защиты процессов PPL (Protected Process Light) и обязательной биометрической аутентификации через Windows Hello.

Утилита TotalRecall Reloaded обходит защиту этапа рендеринга путём классической DLL-инъекции в незащищённый процесс AIXHost.exe (без прав администратора).

Эксперт описал эту архитектурную уязвимость точной метафорой: «Дверь хранилища — титановая. Стена рядом с ней — гипсокартонная». Именно через эту уязвимую «стену» и проникает эксплойт, внедряя свою DLL-библиотеку прямо в процесс отрисовки интерфейса без какого-либо повышения привилегий. Утилите не нужно взламывать шифрование, так как она незаметно блокирует механизм отзыва прав и просто ждет, пока пользователь сам легитимно пройдет авторизацию. После этого программа в фоновом режиме извлекает скриншоты, OCR-текст и метаданные всей захваченной активности пользователя.

Более того, выяснилось, что некоторые критические действия, включая скрытое создание снимков экрана или полное уничтожение всей собранной базы Recall, вообще не требуют прохождения биометрической проверки.

Хагена акцентирует внимание на следующих архитектурных моментах:

1️⃣ Таймауты обходятся прямым патчингом памяти процесса (функция DiscardDataAccess).
2️⃣ Данные выходят из защищенного анклава и попадают в AIXHost.exe — процесс, который никак не защищен механизмами вроде PPL (Protected Process Light).

Примечательно, что Microsoft отказалась признавать проблемы с безопасностью, заявив, что подобное взаимодействие процессов является «штатным поведением Windows». Александр Хагенах выразил категоричное несогласие с позицией вендора.

По мнению исследователя Александра Хагены, функция Windows Recall всё ещё недостаточно безопасна для защиты массива конфиденциальных данных, которые ей доверяет пользователь. Резюмируя, функция Windows Recall остается критически уязвимой. Операционная система передает расшифрованные данные в абсолютно незащищенный процесс рендеринга, позволяя любому фоновому вредоносному ПО скрыто перехватывать всю историю активности. Поскольку устранить эту брешь обычными настройками пользователя невозможно, единственный надежный способ защиты на данный момент — ◀️ полностью отключить Recall.

✋ @Russian_OSINT

Читать полностью…

🇪🇺 ЕС хочет ввести обязательную проверку личности для всех пользователей социальных сетей — и запретить доступ к ним лицам младше 18 лет. С этой целью Европейская комиссия потратила больше года на создание «приложения для проверки возраста», которое ее председатель помпезно представила вчера.

Сегодня это приложение было взломано всего за 2 минуты.

Но не спешите смеяться над евробюрократами.

Их приложение для проверки возраста изначально было уязвимым для взлома — оно доверяло устройству (что означает мгновенный провал). Если только ЕС не управляют клоуны 🤡, вот их настоящий план:

Шаг 1 — Представить «уважающее конфиденциальность», но уязвимое приложение.
Шаг 2 — Допустить его взлом (ВЫ НАХОДИТЕСЬ ЗДЕСЬ).
Шаг 3 — Устранить конфиденциальность, чтобы «починить» приложение.

Результат — инструмент слежки, который преподносится как «уважающий конфиденциальность».

Евробюрократам нужен был предлог, чтобы незаметно начать превращать свое «уважающее конфиденциальность» приложение для проверки возраста в механизм слежки за всеми европейцами, использующими социальные сети. И сегодняшний «неожиданный взлом» просто предоставил им этот предлог.

🦇 Будьте бдительны!

— написал Дуров сегодня в Telegram.

Исследователь кибербезопасности Пол Мур недавно продемонстрировал, что механизмы защиты приложения ЕС для проверки возраста содержат критические уязвимости и позволяют обойти систему безопасности менее чем за 2 минуты. Представленное Евросоюзом приложение для обязательной проверки возраста, заявленное Урсулой фон дер Ляйен как эталон соблюдения стандартов конфиденциальности с открытым исходным кодом, на деле оказалось катастрофически уязвимым.

По словам Мура, приложение хранит зашифрованный PIN-код локально, но, что принципиально важно, шифрование не привязано к пользовательскому хранилищу идентификационных данных, где содержатся конфиденциальные данные для верификации. Это открывает возможность для удивительно простого обхода защиты. Удалив определенные значения, связанные с PIN-кодом, из конфигурационных файлов приложения и перезапустив его, злоумышленник может установить новый PIN-код, сохранив при этом доступ к учетным данным, созданным под предыдущим профилем.

Приложение не справляется с заявленными стандартами конфиденциальности и потенциально нарушает европейское законодательство (GDPR) при работе с биометрией. Как считает исследователь, разработчики позаботились о шифровании лишь итогового результата проверки, например, статуса «старше 18 лет». При этом сами исходные данные в виде сканов документов по NFC и селфи пользователей в высоком качестве сохраняются в память телефона абсолютно😅 без шифрования.

Мур также указал на дополнительные слабости, которые делают попытки брутфорса или обхода защиты еще проще. Биометрическая аутентификация контролируется одним логическим флагом: измените его значение с «true» на «false», и приложение просто полностью пропустит биометрическую проверку.

✋ @Russian_OSINT

Читать полностью…

❗️ Защитник Windows Defender может стать причиной захвата вашего 🖥ПК

Появилась информация, где ❗️утверждается, что Windows Defender может стать причиной полной компрометации системы Windows, если пользователь скачает и запустит .exe файл из интернета. Новая уязвимость 0-day называется ☀️RedSun. В чём "фишка" RedSun? Вектором атаки выступает сам Windows Defender.

❗️Уязвимость работает даже на полностью обновленной системе Windows 11 с включенной защитой в реальном времени.

Если отмотать историю чуть назад, то мы помним, чтоNightmare-Eclipse публично заявил о том, что Центр реагирования на угрозы безопасности Microsoft (MSRC) отклонил его отчеты об ошибках и якобы «разрушил его жизнь».

В качестве возмездия 2 апреля был опубликован эксплойт BlueHammer (который Microsoft успела исправить), 12 апреля появилась утилита UnDefend, которая ломает механизмы обновления антивируса, а 15 апреля в сеть утёк тот самый RedSun. Кроме того, разгневанный исследователь угрожает выпустить еще более разрушительный RCE.

Эксперты из компании HuntressLabs попытались разобрать механику работы RedSun. Для того чтобы атака была реализована, исходный исполняемый файл эксплойта (.exe) должен быть запущен локально на компьютере жертвы.

Эксплойт создает на диске файл-приманку (содержащий безопасный тестовый код EICAR), заставляя антивирус немедленно начать проверку и попытаться "исправить" файл. В этот момент эксплойт ставит процесс антивируса «на паузу» с помощью блокировки oplock, а затем подменяет путь через точку монтирования (NTFS-junction). В результате обманутый антивирус своими же «руками» и со своими высшими правами (NT AUTHORITY\SYSTEM) переносит файл-приманку прямо в защищённую системную директорию (C:\Windows\System32). Это действие создает брешь — легально созданный файл в системной папке, который эксплойт мгновенно перезаписывает своей реальной вредоносной полезной нагрузкой.

👆Жертве достаточно просто ✒️запустить исполняемый .exe файл эксплойта от имени обычного пользователя. Сразу после этого эксплойт использует встроенный антивирус как "лифт" (механизм локального повышения привилегий — LPE), который за доли секунды повышает права атакующего от обычного пользователя до уровня «SYSTEM» (полного контроля над всем компьютером).

Утверждается, что последствия использования RedSun в реальных условиях катастрофичны как для рядовых пользователей, так и для крупных корпоративных сетей. Получив высшие права через уязвимость антивируса, хакеры и группировки программ-вымогателей могут за считанные секунды извлечь из памяти все сохраненные пароли, корпоративные доступы, токены и активные сессии браузеров.

🤠 На данный момент патча для исправления уязвимости от Microsoft пока нет.

✋ @Russian_OSINT

Читать полностью…

🧊 Более 100 расширений Chrome уличены в краже пользовательских данных и перехвате сеансов

Cпециалисты из компании Socket в ходе глубокого анализа расширений Интернет-магазина Chrome (Chrome Web Store) обнаружили, что 108 расширений Chrome собирали идентификационные данные пользователей, перехватывали сеансы и скрыто внедряли бэкдоры в веб-браузеры пользователей. В общей сложности эти расширения насчитывают около 20 000.

Вредоносные расширения маскируются под легитимные инструменты, включая клиенты 📲 Telegram, браузерные утилиты, игры в стиле казино и сервисы перевода. Вредоносные расширения управляются через единую командно-контрольную (C2) инфраструктуру на базе домена cloudapi[.]stream. Вредоносный функционал кампании строго сегментирован: 54 расширения тайно собирают идентификационные данные учетных записей Google (email, имена, постоянные ID) при авторизации через OAuth2, а 45 расширений содержат универсальный бэкдор, позволяющий серверу принудительно открывать любые URL-адреса при запуске браузера.

Наибольшую угрозу представляет расширение "Telegram Multi-account", которое каждые 15 секунд токены аутентификации из активных веб-сеансов Telegram, позволяя злоумышленникам полностью захватывать чужие аккаунты в обход паролей и 2FA. При этом в совокупности на расширения, нацеленные на Telegram, приходится около 3 000 установок.

✋ @Russian_OSINT

Читать полностью…

💻Тысячи специалистов в области кибербезопасности получат доступ к новой модели ⭕️ GPT-5.4-Cyber

Компания OpenAI рассказала о своей новой модели GPT-5.4-Cyber для ИБ-специалистов в рамках своей программы Trusted Access for Cyber (TAC). Теперь тысячи верифицированных специалистов и сотни команд, защищающих критически важное ПО, смогут получить доступ к новой ИИ-модели.

GPT-5.4-Cyber отличается от других моделей так называемой «киберлояльностью» — у нее снижен порог отказов при выполнении специфических задач, связанных с безопасностью. Основные заявленные фичи:

1️⃣ ИИ-модель обладает возможностями реверс-инжиниринга бинарных файлов (binary reverse engineering), позволяя ИБ-специалистам анализировать скомпилированное программное обеспечение и понять логику его работы.

2️⃣ Аналитикам не нужен доступ к исходному коду (source code), чтобы с помощью ИИ проводить аудит программы на наличие потенциального вредоносного ПО (malware), уязвимостей (zero-day/1-day).

Кроме того, в экосистеме OpenAI работает Codex Security, специализированный инструмент, внедряющий продвинутые ИИ-модели и агентские возможности непосредственно в рабочие процессы разработчиков. Будучи интегрированным в пайплайн разработки, агент автоматически отслеживает кодовые базы, проводит валидацию обнаруженных проблем безопасности и предлагает разработчикам варианты исправлений в режиме реального времени.

Модель GPT-5.4-Cyber от OpenAI попытается составить конкуренцию 🈁Mythos.

OpenAI внедряет обязательную верификацию личности и требует прохождение процедур KYC, дабы предотвратить злоупотребления со стороны потенциальных злоумышленников.

✋ @Russian_OSINT

Читать полностью…

Модель может автономно попробовать взломать плохо защищенную сеть небольшого предприятия, но сможет ли она обойти хорошо защищённую систему с активным мониторингом в реальных условиях? Нет.

AISI честно отмечает — Mythos не всемогущ. Модель не смогла пройти симуляцию «Cooling Tower», направленную на атаки объектов критической инфраструктуры АСУ ТП, застряв еще на этапе прорыва через обычную IT-сеть.

ИИ показывает себя неплохо только против слабых сетей без активной защиты, но на сложных системах он провалит тесты.

AISI подтверждает тезис о том, что эффективность ИИ напрямую коррелирует с доступным бюджетом токенов. Выделение лимита в 100 млн токенов на прохождение полигона демонстрирует, что успех атаки сейчас упирается в стоимость аренды вычислительных мощностей.

Эксперты констатируют, что базовая кибергигиена (своевременный патч-менеджмент, жесткий контроль доступа и логирование) все еще является достаточным барьером для текущего поколения моделей, поскольку их действия слишком прямолинейны и создают много шума.

На данный момент использовать передовой ИИ для сложных взломов нерентабельно из-за гигантских затрат на вычислительные мощности, а большинство компаний успешно взламываются обычными методами (вроде фишинга) просто потому, что экономят на базовой защите. Как только ИИ-вычисления подешевеют и атаки станут массовыми, именно тогда бизнесу придется всерьез задуматься о вложениях в кибербезопасность с акцентом на противодействие ИИ-атакам.

✋ @Russian_OSINT

Читать полностью…

😁 Линус Торвальдс анонсировал ядро Linux 7.0

Создатель Linux Линус Торвальдс объявил о выходе версии ядра Linux 7.0, отметив, что последняя неделя разработки прошла под знаком множества мелких и безобидных исправлений. По его мнению, такая тенденция может стать «новой нормой» благодаря активному использованию ИИ-инструментов, которые помогают непрерывно выявлять ошибки. В релиз вошли точечные улучшения сетевой подсистемы (ядра и драйверов), архитектурные исправления и другие обновления.

✋ @Russian_OSINT

Читать полностью…

👮 У CISA нет доступа к ИИ-модели Mythos от Anthropic

Axios пишет, что Агентство по кибербезопасности и защите инфраструктуры (CISA) не имеет доступа к новой мощной модели Mythos Preview, несмотря на то что некоторые другие правительственные учреждения уже используют её. Ведомство пока вынуждено оставаться сторонним наблюдателем.

Ранее сообщалось, что 🇺🇸 АНБ США начали использовать ИИ-модель 🈁Mythos.

✋ @Russian_OSINT

Читать полностью…

🈁 Anthropic расследует 🤠 несанкционированный доступ к новой ИИ-модели Mythos

Как сообщают FT, компания компания Anthropic проводит расследование, чтобы выяснить, получила ли группа пользователей несанкционированный доступ к ее модели Claude Mythos,

Первыми, еще до публикации FT, об этом инциденте сообщило агентство Bloomberg.

«Мы расследуем сообщение, в котором утверждается о несанкционированном доступе к Claude Mythos Preview через одну из сред наших сторонних поставщиков»

— сообщил представитель Anthropic изданию TechCrunch.

💻Эксперты по безопасности предупреждают, что в чужих руках хакеры смогут использовать уязвимости быстрее, чем организации успеют их исправить.

👹 Другие эксперты выражают скепсис:

Я видел материал Bloomberg, в котором утверждается, что к модели Mythos получили доступ «неавторизованные пользователи» из некоего закрытого форума или группы.

Это вообще становится «серьёзной новостью» только в том случае, если изначально принять на веру нагнетающую риторику и тот сомнительный текст о Mythos, который опубликовала Anthropic. Там половина — маркетинговый шум, другая половина — чрезмерно раздутая интерпретация. Уже показано, что сопоставимых результатов можно добиться с моделями, к которым доступ открыт. Разница не в некой «магической» новой системе, а в методике работы: в том, как вы выстраиваете цепочку действий, формулируете запросы, задаёте рамки задачи, направляете модель в нужную сторону и сколько вычислительных ресурсов и токенов готовы потратить.
....
Кроме того, мы уже наблюдали, что происходит с текущими моделями Anthropic, когда компания перераспределяет вычислительные ресурсы или оптимизирует инфраструктуру. Версии Opus 4.6 и 4.7 работают нестабильно. Наиболее пригодной к практическому использованию оставалась версия 4.5 в декабре, январе и феврале — это был наиболее качественный период. Сейчас же ресурсы тратятся на бессмысленные циклы ошибок чаще, чем раньше. Модели ограничивают, перенастраивают, меняется поведение Claude Code — и в какой-то момент повседневное качество заметно снизилось.
....
Если вложить порядка $20 000 в специализированный процесс поиска, можно находить подобные дефекты в проектах, где отсутствует сильная экономическая мотивация в виде развитых программ вознаграждений. Но представлять это как доказательство существования «сверххакерской» модели — явное преувеличение.

Метрики и сравнительные тесты могут серьёзно искажать картину, и сейчас это происходит регулярно. Формальные оценки показывают, что версии Opus 4.6 и 4.7 выдающиеся, однако практический опыт пользователей свидетельствует об обратном: по сравнению с версией 4.5 несколько месяцев назад они заметно деградировали.

— негодует ИБ-эксперт Флориан Рот.

🤔 Не знаю, как у других, но есть ощущение, что Opus действительно понерфили.

Вот тут нашёл интересное. Исследователь проанализировал логи своих сессий и пришёл к выводу, что с февраля-марта 2026 года ИИ-модель критически потеряла способность к глубокому анализу. ИИ-модель перестала изучать контекст перед внесением изменений, начала выбирать наиболее «ленивые» пути решения, часто ошибаться и требовать постоянного контроля со стороны человека. Автор связывает регресс ИИшки с внедрением скрытого режима размышлений, предполагая, что компания Anthropic урезала лимиты на внутренний анализ алгоритма в целях экономии вычислительных ресурсов.

💠В ходе анализа было изучено 6 852 лога сессий, 17 871 блок размышлений ИИ-модели и 234 760 вызовов инструментов.
💠Оценочная медиана длины «размышлений» (по сигнатурам логов) упала на 73%.
💠Частота логических противоречий выросла более чем в 3 раза.
💠Резко возросло количество логических циклов и попыток избежать сложной работы. Выбор самых примитивных решений стал нормой — частота использования слова «simplest» выросла на 642%.
и многое другое...

✋ @Russian_OSINT

Читать полностью…

SOC не справляется с ростом инцидентов? Positive Technologies меняет правила игры

🚨 Встречайте MaxPatrol 360 — единый центр управления расследованиями и операционной работой SOC.

👉 23 апреля в 14:00 обсудим проблемы классического SOC, оценим степень готовности организаций к переходу к новой эре центров управления киберинцидентами.

Что умеет MaxPatrol 360?
🔴объединяет десятки СЗИ в единое окно управления, обеспечивая контроль всех процессов;
🔴обеспечивает полный цикл работы с инцидентами— от анализа событий до реагирования и отчетности;
🔴позволяет масштабировать SOC без потери эффективности.

🔥 Вместо десятков инструментов — единый MaxPatrol 360.
Успей зарегистрироваться

Читать полностью…

🈁 Сlaude помог устранить уязвимости в новом обновлении 🧊 Firefox 150

Mozilla выпустила масштабное обновление для своего браузера. Релиз Firefox 150 и сопутствующих корпоративных веток с длительным сроком поддержки (ESR 140.10 и 115.35) привлек внимание профильного сообщества не интерфейсными новшествами, а беспрецедентным объемом проведенного аудита безопасности. Хотя официальный бюллетень вендора содержит лишь 41 идентификатор CVE, фактическое количество устраненных проблем достигает 359.

Причина такого расхождения кроется в специфике корпоративного учета багов. Инженеры Mozilla традиционно используют так называемые «зонтичные» бюллетени. Отчеты CVE-2026-6784, CVE-2026-6785 и CVE-2026-6786 выступают в роли общих категорий для 321 дефекта, детально задокументированного в закрытой базе Bugzilla. Подавляющее большинство этих ошибок связано с нарушением безопасности при работе с оперативной памятью браузера.

Интересной особенностью весеннего патча стало то, что часть критических уязвимостей (в частности, ошибки использования памяти после освобождения) была обнаружена группой исследователей с помощью ИИ-модели Claude от компании Anthropic. Как отмечают исследователи, ИИ-модели способны результативно анализировать исходный код браузера на предмет неочевидных архитектурных изъянов.

✋ @Russian_OSINT

Читать полностью…

✋Павел Дуров раскритиковал 🇫🇷французские власти за халатность в вопросах кибербезопасности

Основатель Telegram возмущается:

«Агентство по защищенным документам» Франции подверглось хакерской атаке — произошла утечка имен, адресов, адресов электронной почты и номеров телефонов 19 миллионов человек.

Будущие утечки станут еще более пугающими, если французское правительство добьется своего: доступа к зашифрованным чатам и цифровым удостоверениям (Digital IDs) пользователей социальных сетей.

Сам взлом французского агентства, отвечающего за защищённые документы, подтверждён официально. Министерство внутренних дел Франции сообщило 20 апреля 2026 года, что инцидент безопасности на порталеants.gouv.fr был обнаружен 15 апреля. Речь идёт об ANTS, ныне France Titres, через которое оформляются паспорта, национальные удостоверения личности и водительские права.

🚰 Масштаб утечки крайне неприятен. По данным министерства, скомпрометированные данные затрагивают аккаунты как физических, так и юридических лиц. Для первых перечень включает логин (идентификатор подключения), форму обращения, фамилию и имя, адрес электронной почты, дату рождения и уникальный идентификатор аккаунта. В некоторых случаях также могли утечь почтовый адрес, место рождения и номер телефона.

На теневых форумах злоумышленники заявили о выставлении на продажу этой базы данных, включающей до 19 миллионов строк — потенциально затрагивает более трети взрослого населения Франции.

Группа хакеров, предположительно стоящая за атакой, дерзко манифестирует: "Французскому правительству лучше бы придерживаться кулинарного искусства, их цифровая защита такая же слоеная, как их круассаны."

Опубликованные на форуме образцы содержат последовательные внутренние идентификаторы, что указывает на структурированное извлечение из базы данных, а не на простой поверхностный скрейпинг.

‼️🇫🇷 Актор, стоящий за взломом ANTS, сказал нам, что он не хочет никаких денег, он просто хотел доказать, что правительственные системы легко взломать.

ANTS был взломан через уязвимость в контроле доступа IDOR. Украдено 80 ГБ паролей, исходного кода, логов и PII.

Мы видели образцы...

— пишут International Cyber Digest.

👆Министерство уверяет, что никаких действий от лиц, зарегистрированных на портале, не требуется. Команды France Titres при поддержке компетентных служб продолжают расследование.

✋ @Russian_OSINT

Читать полностью…

🤖 Любимая платформа вайбкодеров Lovable допустила 🚰 утечку переписок пользователей с ИИ

Популярная платформа для создания веб-приложений Lovable с помощью 🤖ИИ (реализующая концепцию «vibe coding») оказалась в центре скандала, связанного с утечкой данных и переписок с ИИ. Lovable сейчас пользуется около 8 миллионов пользователей.

Исследователь обнаружил критическую уязвимость (BOLA — Broken Object Level Authorization) и забил 🥁тревогу. API платформы корректно проверяло токены аутентификации Firebase (подтверждая, что вы — зарегистрированный пользователь), но полностью игнорировало проверку прав собственности на эндпоинтах /projects/{id}/*. Это означает, что любой зарегистрированный пользователь мог подставить ID чужого проекта в запрос и система отдавала данные, считая, что раз токен валиден, доступ разрешен.

Как утверждает ресёрчер, любой пользователь с бесплатным аккаунтом мог через простые API-запросы получить доступ к чужим проектам. Виден был исходный код, ключи от баз данных (credentials), личные данные реальных людей (имена, ссылки на LinkedIn) и, что самое страшное, ✋ полная история общения разработчиков с ИИ-чатом.

Что это значит? Пользователи использовали нейросеть как помощника при разработке и без задней мысли скидывали ей логи с ошибками, обсуждали схемы баз данных и делились учетными данными, включая пароли. В логах фигурировала чувствительная информация, вплоть до идентификаторов клиентов платежной системы (Stripe Customer ID).

Исследователь заявил, что первый отчет об уязвимости был отправлен через платформу HackerOne еще 48 дней назад, но ему присвоили статус «triaged» (взят в работу) и по факту проигнорировали. Более того, Lovable закрыли эту уязвимость только для новых проектов, оставив старые полностью открытыми для несанкционированного доступа.

Как такое могло произойти? Изначально Lovable работали по принципу GitHub. Если проект имел статус «Публичный» (а на бесплатном тарифе все проекты были именно такими), то публичным было всё: и код, и история чата с ИИ. Компания считала это нормальным образовательным процессом. Зачем? 🤔Чтобы люди смотрели, как другие создают приложения, и учились.

Разработчики Lovable не учли, что пользователи трактовали слово «Публичный» иначе. Люди думали, что открытым будет только готовый опубликованный сайт, а их рабочая переписка с ИИ (где они «светили» секреты) остается приватной. Осознав ошибку, Lovable разрешили всем делать проекты закрытыми и программно заблокировали доступ к чатам публичных проектов. Но во время обновления серверов в феврале они случайно откатили этот патч и снова выставили чаты на всеобщее обозрение.

Когда багхантеры начали массово репортить об этом на HackerOne, триажеры (модераторы) платформы ошибочно закрывали тикеты без передачи их команде разработчиков. Они сверялись с неясной документацией Lovable и думали: "Ну, это же публичный проект, значит, чаты должны быть видны всем. Это задумка авторов, а не уязвимость".

💔 На данный момент Lovable официально признали свою ошибку, извинились и принудительно закрыли доступ ко всем чатам (публичные проекты).

Всё, что вы когда-либо писали в чат с ИИ (логи ошибок, схемы БД, пароли, Stripe Customer ID, ключи, личные данные и т.д.), уже могло быть прочитано посторонними — особенно если проект был создан до декабря 2025 года и стоял на «публичном» статусе.

— комментируют в X.

🔐Пользователям настоятельно рекомендуется сменить пароли, если они отправлялись ИИ в чат.

✋ @Russian_OSINT

Читать полностью…

🤖Автономный ИИ-агент Hermes от Nous Research преодолел рубеж в ⭐️104 тысячи звезд на ❗️ GitHub

Исследовательская группа Nous Research выпустила самообучающегося ИИ-агента под названием Hermes Agent, который пытается повторить успех проекта OpenClaw.

Данный проект с открытым исходным кодом набирает популярность среди IT-специалистов cо всего мира и уже собрал более 104 тысяч звезд и 14 900 форков. Развитие кодовой базы активно поддерживают 530 независимых разработчиков со всего мира.

В отличие от стандартных ИИ-ассистентов, привязанных к конкретной среде разработки или веб-браузеру, Hermes спроектирован как фоновый процесс. Он разворачивается на вашем собственном оборудовании (проект стабильно работает даже на базовом виртуальном сервере стоимостью от $5 в месяц) и сохраняет полный контекст взаимодействия между сессиями. Существует возможность интеграции более чем с 200 ИИ-моделями через OpenRouter, кроме того, Hermes напрямую работает с продуктами OpenAI, Anthropic и NVIDIA. Управлять инфраструктурой можно прямо из Telegram.

🤖 Для безопасной работы с файловой системой и кодом Hermes использует изоляцию (Docker-контейнеры, SSH-туннели или облачные песочницы).

Важно отметить, что ИИ-агент для полноценного внедрения в 🙅‍♂️♋️cерьезные рабочие процессы пока ещё не готов из-за возможных рисков, связанных с безопасностью, но в качестве полигона для испытаний он представляет собой один из самых интересных проектов на GitHub. Hermes сейчас проходит стартового хайпа, как и OpenClaw в своё время, но технически он ещё слишком «сырой» — v0.10.0 (2026.4.16).

😘 https://github.com/NousResearch/hermes-agent

✋ @Russian_OSINT

Читать полностью…

🇺🇸 Хакеры из АНБ США начали использовать ИИ-модель 🈁Mythos от Anthropic

Cтало известно, что Агентство национальной безопасности США получило в свой арсенал самую мощную и передовую ИИ-модель Mythos Preview, которая уже используется ведомством для решения своих задач. Как отмечает Axios, потребности правительства в обеспечении кибербезопасности стоят выше ситуации с конфликтом Пентагона с Anthropic.

Пока неясно, как именно АНБ в настоящее время использует Mythos, но другие организации, имеющие доступ к модели, используют ее преимущественно для сканирования собственных систем на наличие уязвимостей (защита), которые могут быть использованы злоумышленниками.

Не исключено, что Mythos в пилотных целях может использоваться АНБ для усиления своего наступательного потенциала при проведении киберопераций.

Представители Anthropic и Пентагона от комментариев отказались. АНБ и Аппарат директора Национальной разведки на запросы о комментариях не ответили.

✋ @Russian_OSINT

Читать полностью…

👮 Глобальная операция PowerOFF против теневой инфраструктуры для заказных DDoS-атак

Как сообщается в пресс-релизе Европола, правоохранительные органы 21 страны объединили усилия 13 апреля 2026 года для проведения масштабной международной операции PowerOFF против инфраструктуры заказных DDoS-атак.

В рамках активной фазы следователи отправили нарушителям свыше 75 000 официальных предупреждающих писем, арестовали 4 подозреваемых, заблокировали 53 целевых домена и реализовали 25 ордеров на обыск. Конфискация инфраструктуры позволила экспертам Европола извлечь ценные базы данных с детальной информацией о более чем 3 миллионах учетных записей пользователей по всему миру, причастных к DDoS-атакам. Комплексный анализ изъятых данных и отслеживание криптовалютных транзакций обеспечили национальные ведомства точными геолокационными координатами нарушителей для подготовки новых точечных рейдов.

Участие в операции принимали 🇦🇺Австралия, 🇦🇹Австрия, 🇧🇪Бельгия, 🇧🇷Бразилия, 🇧🇬Болгария, 🇩🇰Дания, 🇪🇪Эстония, 🇫🇮Финляндия, 🇩🇪Германия, 🇯🇵Япония, 🇱🇻Латвия, 🇱🇹Литва, 🇱🇺Люксембург, 🇳🇱Нидерланды, 🇳🇴Норвегия, 🇵🇱Польша, 🇵🇹Португалия, 🇸🇪Швеция, 🇹🇭Таиланд, 🇬🇧Великобритания и 🇺🇸США.

♋️ Кроме того, в рамках профилактики из результатов поисковой выдачи было удалено свыше 100 вредоносных URL-адресов, а в Google были запущены таргетированные рекламные сообщения, призванные удержать молодежь от поиска инструментов для киберпреступлений.

✋ @Russian_OSINT

Читать полностью…

🎖🇺🇸 Google и Пентагон обсуждают секретную сделку по ИИ (❗️Gemini)

По сообщению The Information, Google ведет переговоры о заключении соглашения с Министерством войны США, которое позволит Пентагону развертывать ИИ-модели Gemini в засекреченной среде, об этом сообщили два источника издания, непосредственно знакомые с ситуацией.

Стороны обсуждают соглашение, которое позволит Пентагону использовать искусственный интеллект Google в любых ❗️🤖"законных целях".

Если верить информации The Information, то в ходе переговоров компания Google предложила включить в контракт с министерством дополнительные формулировки, предотвращающие использование ее ИИ для массовой слежки внутри США или в автономных системах вооружения без надлежащего контроля со стороны человека.

В компании Alphabet не дали ответа на запрос Reuters о комментариях.

Самое ироничное в этой ситуации то, что Google, приходя «на место» вместо Anthropic, пытается прописать в контракте с оборонным ведомством ровно те же самые ограничения (запрет на внутреннюю слежку и автономное оружие), за защиту которых Anthropic попала в черный список.

✋ @Russian_OSINT

Читать полностью…

🎩Генеральный директор материнской компании 🇰🇷PUBG решил проконсультироваться с ChatGPT и попал на $250 миллионов

Согласно судебному заключению от 16 марта 2026 года, генеральный директор компании Krafton из Южной Кореи Чанхан Ким обратился к искусственному интеллекту СhatGPT для консультаций с целью уклонения от финансовых обязательств (договорённостей) по уплате бонуса в размере $250 млн.

Krafton — корейская компания, разработчик и издатель компьютерных игр. Известна тем, что владеет студией PUBG Studios.

В 2021 году южнокорейская корпорация Krafton приобрела независимую студию Unknown Worlds (создателей игры Subnautica) за $500 млн, пообещав выплатить ее команде дополнительный бонус до $250 млн в случае высоких продаж их будущих проектов. Ключевым условием этой сделки было то, что основатели студии сохраняют за собой полный операционный контроль — то есть право самостоятельно управлять разработкой и выпуском игр. В 2025 году внутренние расчеты показали, что грядущий хит Subnautica 2 гарантированно заставит Krafton выплатить этот гигантский бонус.

👹Не имея реальных законных оснований для отстранения основателей студии Unknown Worlds, Ким обратился за помощью к ChatGPT. Он попросил разработать для него пошаговый план корпоративного захвата под кодовым названием «Проект X», что не платить обещанный бонус.

Следуя советам ChatGPT, руководство Krafton заблокировало разработчикам Unknown Worlds доступ к площадке Steam, чтобы сорвать релиз игры и искусственно занизить её доходы. Чтобы не спалиться, Чанхан Ким удалил историю переписки с ChatGPT, но в ходе судебного разбирательства этот факт всплыл наружу, и суд официально признал схему незаконной, встав на защиту Unknown Worlds игры.

👩‍💻 Чанхан добился того, что суд юридически запретил ему прикасаться к купленной студии, сделал выплату $250 млн практически неизбежной мерой, а самого себя выставил на весь мир руководителем, который 🙏 слушается советов чат-бота Cэма Альтмана. После судебного фиаско дальнейшая карьера Чанхана Кима на посту CEO Krafton находится под вопросом.

✋ @Russian_OSINT

Читать полностью…

💴 Хакеры вымогают деньги у криптобиржи Kraken после инсайдерской утечки данных

Криптовалютная биржа Kraken объявила, что киберпреступная группа пытается вымогать у компании деньги, угрожая опубликовать видеоролики, демонстрирующие внутренние системы, в которых хранятся данные клиентов.

В компании заявили, что инцидент не поставил под угрозу средства клиентов и был связан с внутренней угрозой, включающей лишь 2 случая неправомерного доступа к ограниченному объему пользовательских данных со стороны сотрудников службы поддержки. По словам 💻ИБ-директора компании Нико Перкоко, инцидент потенциально затронул лишь около 2000 учетных записей клиентов, что составляет 0,02% от всей пользовательской базы Kraken. Раскрытая информация касается исключительно данных службы поддержки.

По заявлению представителей компании, Kraken не будет платить злоумышленникам или вести с ними переговоры.

Kraken — это американская криптовалютная биржа, которая позволяет миллионам пользователей в 190 странах покупать, продавать и торговать цифровыми активами, такими как биткойн, эфириум и еще 200 другими. Она считается одной из крупнейших и наиболее авторитетных бирж с ежедневным объемом торгов в сотни миллионов долларов США.

Kraken заявила, что в ходе расследования было собрано достаточно доказательств для 👮судебного преследования всех причастных лиц, пытающихся их шантажировать, и для достижения этой цели компания тесно сотрудничает с федеральными правоохранительными органами в нескольких юрисдикциях.

✋ @Russian_OSINT

Читать полностью…

🖥 Как защитить корпоративную сеть от AirSnitch

Как уязвимости семейства AirSnitch угрожают корпоративным сетям и что нужно изменить в сетевой архитектуре и настройках для защиты. Статья для тех, кому это может быть интересно.

😘 https://www.kaspersky.ru/blog/airsnitch-wi-fi-client-isolation-guest-network-vulnerability-and-mitigation/41691/

✋ @Russian_OSINT

Читать полностью…

Специалист в области ИБ 💻Маркус Хатчинc, также известный благодаря остановке распространения вируса-вымогателя WannaCry, поделился мнением насчет хайпа вокруг Mythos.

По его мнению, шумиху вокруг обнаружения ИИ-моделью бага 27-летней давности в ядре BSD прежде всего нужно связывать с экономической составляющей.

Он уточняет, что обнаруженная моделью уязвимость представляет собой разыменование нулевого указателя (null pointer dereference). В контексте удаленного выполнения кода (RCE) данный класс ошибок практически не поддается эксплуатации в 99,9% случаев. Она не предоставляет возможности полного захвата системы. Найденные проблемы зачастую не обладают той ценностью, которую описывают Anthropic и журналисты в СМИ. Стоимость поиска такой уязвимости слишком высокая на данный момент.

Компания Anthropic потратила «менее $20 000» для поиска этой единственной уязвимости.

Затраты на токены в значительной степени субсидируется венчурными фондами (тесты от ИИ). Когда финансирование иссякнет и ИИ-компаниям придется устанавливать реальную стоимость вычислений для поиска уязвимостей, то сумма в $20 000 легко может удвоиться или утроиться.

🤔Хатчинc отмечает: «Крайне сомнительно, действительно ли использование LLM экономически более выгодно в пересчете на одну уязвимость, чем простое привлечение человека — исследователя безопасности».

Фундаментальная проблема безопасности открытого исходного кода (такого как BSD) заключается не в том, что баги невозможно найти. Проблема в том, что никто не платит за их поиск. Исследователь отвергает идею надвигающегося киберапокалипсиса, спровоцированного искусственным интеллектом. Он отмечает, что сетевые периметры никогда не были неприступными крепостями. Злоумышленники на регулярной основе компрометируют сети, используя традиционные, низкозатратные атаки, такие как социальная инженерия и массовые фишинговые рассылки.

С другой стороны, Anthropic в System Card: Claude Mythos Preview отмечает, что в тесте с Firefox 147 модель Claude Mythos не просто нашла баг, а написала рабочий эксплойт для выполнения произвольного кода (RCE). Кроме того, в закрытых киберучениях (Раздел 3.4) модель смогла автономно провести комплексную атаку на корпоративную сеть.

Хатчинс считает, что компании часто преувеличивают значимость найденных багов ради пиара. Однако, модель действительно научилась писать сложные эксплойты, а не только «ронять» системы.

Эксперты из AISI попытались выступить в роли объективного арбитра, который объединяет две предыдущие точки зрения на эффективность современных ИИ-агентов в наступательной кибербезопасности.

CTF (Захват флага): на «экспертном» уровне, который до апреля 2025 года не могла пройти ни одна модель, Mythos успешен в 73% случаев.

Симуляция реальной атаки («The Last Ones»): тут кроется важное достижение. AISI создали корпоративную сеть и симуляцию из 32 шагов (от разведки до полного захвата), на прохождение которой у живого эксперта ушло бы 20 часов. Mythos Preview стала первой моделью в истории, которая смогла пройти эту симуляцию от начала до конца (в 3 из 10 попыток, в среднем проходя 22 шага из 32). Прошлый рекордсмен (Opus 4.6) проходил в среднем только 16 шагов.

Несмотря на успехи, эксперты AISI делают важнейшую оговорку, которая вторит логике ИБ-исследователей — тесты с ИИ проходили в «тепличных» условиях.

В тестовых сетях AISI не было активных защитников, EDR/XDR и мониторинга (SOC). ИИ мог совершать сколько угодно ошибок и действовать «громко», не боясь, что его действия вызовут тревогу в системе безопасности (что в реальности привело бы к блокировке).

✋ @Russian_OSINT

Читать полностью…

Канал 🔨SecAtor — @true_secator пишет интересное:

Исследователи из Лаборатории Касперского разобрались в кейсе с компрометацией веб-сайта cpuid[.]com, на котором размещались установщики популярных ПО для администрирования систем CPU-Z, HWMonitor (и Pro) и Perfmonitor 2.

В ЛК обнаружили, что примерно с 9 апреля, 15:00 UTC, до 10 апреля, 10:00 UTC, легитимные URL для загрузки установщиков этого ПО были заменены URL-адресами на следующие вредоносные веб-сайты: cahayailmukreatif.web[.]id, pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev, transitopalermo[.]com и vatrobran[.]hr.

Злоумышленники распространяли вредоносные дистрибутивы различного популярного ПО для администрирования систем через cpuid[.]com, включая: CPU-Z (версия 2.19), HWMonitor Pro (версия 1.57), HWMonitor (версия 1.63) и PerfMonitor (версия 2.04).

Вирус распространялся как в виде ZIP-архивов, так и в виде отдельных установщиков. Файлы содержат легитимный подписанный исполняемый файл для соответствующего продукта и вредоносную DLL-библиотеку CRYPTBASE.dll, созданную с использованием метода боковой загрузки DLL.

Вредоносная DLL отвечает за подключение к C2 и дальнейшее выполнение полезной нагрузки. Перед этим она также выполняет ряд проверок на предмет соответствия требованиям песочницы, и если все проверки пройдены, она подключается к серверу C2.

Примечательно, что злоумышленники повторно использовали как адрес C2, так и конфигурацию подключения из кампании марта 2026 года, где они разместили фейковый сайт FileZilla, распространяющий вредоносные файлы.

Загрузчик также содержит огромный массив MAC-адресов (представленных в виде строк), которые впоследствии формируют полезную нагрузку следующего этапа путем преобразования шестнадцатеричных символов в MAC-адресах в их байтовые значения. После набора вспомогательных загрузчиков цепочка выполнения приводит к созданию сложной системы RAT.

Однако RAT на заключительном этапе не является чем-то новым. Злоумышленник решил повторно использовать так называемый STX RAT, о котором сообщала Esentire, тем самым совершив еще одну ошибку.

Как отмечают в ЛК, заключительный этап полностью обнаруживается правилами YARA, представленными у eSentire. Злоумышленники приложили усилия для взлома популярного сайта с ПО, но не смогли избежать обнаружения с помощью известных индикаторов взлома.

Согласно телеметрии ЛК, выявлено более 150 пострадавших, в основном - частные лица. Однако заразились и организаций различных секторов, включая торговлю, производство, консалтинг, телеком и сельское хозяйство. Большинство заражений - в Бразилии, России и Китае.

По сравнению с другими недавними атаками типа watering hole и атаками на цепочки поставок, как в случае с Notepad++, атака на cpuid[.]com была организована крайне плохо.

Самая серьёзная ошибка злоумышленников заключалась в повторном использовании той же цепочки заражения с использованием STX RAT и тех же доменных имён для связи C2, что и в предыдущей атаке, связанной с поддельными установщиками FileZilla.

Общий уровень разработки/развертывания вредоносного ПО и OpSec злоумышленников довольно низок, что, в свою очередь, позволило обнаружить компрометацию на ранней стадии.

Индикаторы компрометации и рекомендации - в отчете.

Читать полностью…