39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Стали подкатывать последствия широкомасштабных кампаний, связанных с атаками Sha1-Hulud и GlassWorm.
Новый инцидент затронул Plone CMS, написанную на Python, которой посчастливилось в начале этого года избежать атаки на цепочку поставок.
Злоумышленник внедрил вредоносный код в пять репозиториев организации, но изменения удалось обнаружить и откатить до того, как они попали в официальный релиз.
Расследование показало, что злоумышленникам удалось скомпрометировать одного единственного разработчика, завладев его личным токеном доступа к GitHub, принудительно внедрить вредоносный код, скрытый за большим количеством пробелов.
Локально разница в коде казалась лишь пробелами, но вредоносный код скрывается после большого количества пробелов, исчезая справа от терминала (возможно, это связано с настройками Git). На GitHub его можно увидеть, нажав дополнительную кнопку.
По словам менеджера Plone Мауритса ван Рееса, злоумышленник изменил JavaScript-код в CMS Plone, который впоследствии был удален.
По данным группы безопасности GitHub, которая расследовала инцидент от имени пользователя, чья система была взломана, код был нацелен на других разработчиков, работающих с Plone, а не на посетителей сайтов.
Код запускает скрипты оболочки для обеспечения постоянного присутствия в системе, реализует RCE для получения контроля над машиной разработчика, а затем начинает извлекать конфиденциальные данные, включая креды, ключи API, профили браузеров и файлы криптокошельков.
Неясно, как злоумышленник получил доступ к личному токену доступа скомпрометированного разработчика, но пользователь заявил, что злоумышленник имел доступ к токену в течение двух месяцев.
Судя по всему, первоначальный взлом учетной записи разработчика произошел примерно в октябре, когда в экосистемы npm и VSCode проникли самовоспроизводящиеся черви Sha1-Hulud и GlassWorm.
В свою очередь, в Plone заявляют о пересмотре некоторых настроек безопасности проекта, отключении множества рискованных операций и разрешений Git, включая принудительную отправку изменений.
Так что, в ближайшее время сообществу следует ожидать новых атак на цепочку поставок, а может сразу - уже их последствий. Будем посмотреть.
Исследователи Koi Security обнаружили вредоносные навыки ClawHub для кражи данных пользователей OpenClaw, которые задействуется в рамках нескольких кампаний.
ClawHub позволяет пользователям OpenClaw осуществлять поиск и установку сторонних навыков. Фактически это расширение проекта OpenClaw, представляющего собой саморазмещаемый помощник на основе ИИ, ранее известный как Clawdbot и Moltbot.
Анализ 2857 навыков позволил Koi выявить 335, которые используют фейковые предварительные условия для установки стилера Atomic Stealer (AMOS). Этот набор получил кодовое название ClawHavoc.
Причем казалось бы, легитимный навык содержит профессионально исполненную документацию.
Включает инструкции: в Windows пользователям предлагается загрузить файл openclaw-agent.zip из репозитория GitHub.
В macOS документация указывает на необходимость копирования установочного скрипта на glot[.]io и запуска в Terminal.
При этом выбор macOS в качестве целевой платформы не случаен, поскольку появились пользователи в последнее время массово скупают Mac Mini для работы ИИ-помощника.
Внутри защищенного паролем архива находится троян с функцией перехвата нажатий клавиш для получения ключей API, учетных данных и другой конфиденциальной информации на компьютере, включая ту, к которой бот уже имеет доступ.
С другой стороны, скрипт glot[.]io содержит обфусцированные команды оболочки для загрузки полезных нагрузок следующего этапа из инфраструктуры злоумышленника.
В свою очередь, это предполагает обращение к IP (91.92.242[.]30) для получения другого скрипта оболочки, который настроен на обращение к тому же серверу для получения универсального исполняемого файла Mach-O, обладающего характеристиками, схожими с Atomic Stealer.
Кроме того, исследователи выявили навыки, которые скрывают бэкдоры обратной оболочки внутри функционального кода (например, better-polymarket и polymarket-all-in-one) или позволяют извлекать учетные данные ботов, находящиеся в ~/.clawdbot/.env, на веб-хук-сайт (например, rankaj).
Аналогичную активность фиксировали OpenSourceMalware в своем отчете, в котором также указывалось на ту же самую кампанию ClawHavoc, нацеленную на пользователей OpenClaw.
Кроме того, подробным разбором кампании поделился исследователь 6mile, отметив, что все выявленные навыки маскируются под инструменты автоматизации, используя одну и ту же инфраструктуру С2 и реализуя сложные методы социнженерии для кражи информации на macOS и Windows.
Основная проблема заключается в том, что ClawHub по умолчанию открыт и позволяет любому пользователю загружать навыки. Единственное ограничение на данном этапе - у издателя должна быть учетная запись GitHub, созданная не менее недели назад.
Вместе с тем, проблема со вредоносными навыками не осталась незамеченной создателем OpenClaw Питером Штайнбергером, который с тех пор внедрил функцию отправки жалоб, позволяющую авторизованным пользователям отмечать навыки.
Результаты исследований подчеркивают, как экосистемы с открытым исходным кодом продолжают активно использоваться злоумышленниками, которые на фоне популярности OpenClaw, организуют вредоносные кампании по распространению вредоносное ПО в широком диапазоне.
В Palo Alto Networks вообще считают, что OpenClaw представляет собой то, что британский программист Саймон Уиллисон описал как «смертельную тройку», которая делает агентов ИИ уязвимыми по своей сути в виду их доступа к конфиденциальным данным, ненадежному контенту и возможности внешней коммуникации.
По мнению исследователей сочетание этих трех возможностей с постоянной памятью OpenClaw «действует как ускоритель» и усиливает риски.
Благодаря постоянной памяти атаки перестают быть просто эксплойтами на определенный момент времени, а становятся атаками с отложенным выполнением и сохранением состояния. Вредоносным ПО больше не нужно немедленно выполняться после доставки.
Вместо этого они могут представлять собой безобидные фрагментированные, ненадежные входные данные, записываются в долговременную память агента, а затем собираются в исполняемые инструкции со сдвигом во времени по типу логической бомбы.
Хакеры использовали критическую уязвимость CVE-2025-11953 в сервере Metro для React Native для взлома систем разработки, отключая средства защиты и распространяя вредоносные ПО для Windows и Linux.
В Windows неавторизованный злоумышленник может использовать эту уязвимость для выполнения произвольных команд операционной системы через POST-запрос. В Linux и macOS - может привести к запуску произвольных исполняемых файлов с ограниченным контролем параметров.
Metro - это стандартный сборщик JavaScript для проектов React Native, поддерживающий сборку и запуску приложений на этапе разработки.
По умолчанию Metro может подключаться к внешним сетевым интерфейсам и предоставлять HTTP-конечные точки (/open-url), предназначенные только для разработки, для локального использования во время разработки.
Исследователи JFrog обнаружили уязвимость и сообщили о ней в начале ноября. После публичного раскрытия информации появилось множество PoC-эксплойтов.
Проблема заключалась в том, что HTTP-точка доступа /open-url принимала POST-запросы, содержащие предоставленное пользователем значение URL-адреса, которое могло передаваться в функцию open() без предварительной очистки.
Уязвимость затрагивает версии @react-native-community/cli-server-api от 4.8.0 до 20.0.0-alpha.2 и была исправлена в версии 20.0.0 и более поздних.
21 декабря 2025 года VulnCheck обнаружила злоумышленника, использующего CVE-2025-11953, известного как Metro4Shell. Эта активность продолжилась 4 и 21 января, когда злоумышленники распространяли те же вредоносные ПО.
В результате эксплуатации уязвимости были реализованы сложные полезные нагрузки как для Linux, так и для Windows, демонстрируя, что Metro4Shell предоставляет практичный кроссплатформенный механизм первоначального доступа.
Во всех трех атаках исследователи наблюдали доставку одних и тех же закодированных в base64 полезных нагрузок PowerShell, скрытых в теле HTTP POST-запросов, достигающих уязвимых конечных точек.
После декодирования и запуска полезная нагрузка отключает защиту конечных точек, добавляя пути исключения Microsoft Defender как для текущего рабочего каталога, так и для системного временного каталога с помощью команды Add-MpPreference.
Затем устанавливает прямое TCP-соединение с инфраструктурой злоумышленника и отправляет GET-запрос /windows для получения полезной нагрузки следующего этапа.
После чего грузит полученные данные на диск в виде исполняемого файла во временный каталог системы, запуская полученный исполняемый файл с использованием длинной строки аргументов, предоставленной злоумышленником.
В результате этих атак доставлялся вредоносный код для Windows, представляющий собой упакованный с помощью UPX бинарный файл на основе Rust с базовой логикой защиты от анализа. На той же инфраструктуре размещался соответствующий бинарный файл для Linux.
Согласно данным сканирования ZoomEye, охватывающей подключенные устройства, сервисы и веб-приложения, в сети находится около 3500 незащищенных серверов React Native Metro.
Тем не менее, вопреки активной эксплуатации уязвимости в течение уже более месяца, она по-прежнему имеет низкий балл в системе оценки прогнозирования эксплойтов (EPSS).
IOCs сетевой инфраструктуры злоумышленника, а также полезных нагрузок для Windows и Linux - отчете VulnCheck.
Исследователи Socket сообщают о возвращении GlassWorm, использующей скомпрометированные расширения OpenVSX и нацеленной на кражу паролей, данных криптокошельков, а также учетных данных разработчиков и конфигураций из систем macOS.
Злоумышленник получил доступ к учетной записи легитимного разработчика (oorzc) и распространил вредоносные обновления с полезной нагрузкой GlassWorm для четырех расширений, которые были загружены 22 000 раз.
Атаки GlassWorm впервые были замечены в конце октября и отличались сокрытием вредоносного кода с помощью «невидимых» символов Unicode для кражи данных криптокошельков и учетных записей разработчиков.
Вредоносная ПО также поддерживает удаленный доступ на основе VNC и проксирование SOCKS.
В рамках нескольких компаний GlassWorm затронул как официальный магазин Visual Studio Code от Microsoft, так и его альтернативный IDE с открытым исходным кодом, OpenVSX, предназначенный для неподдерживаемых IDE.
Причем предыдущая кампания GlassWorm продемонстрировала признаки эволюции ПО, включая нацеливание на системы macOS и добавление механизма замены для приложений Trezor и Ledger.
В своем отчете Socket описывает новую кампанию, основанную на внедрении троянских ПО в следующие расширения: oorzc.ssh-tools v0.5.1, oorzc.i18n-tools-plus v1.6.8, oorzc.mind-map v1.0.61 и oorzc.scss-to-css-compile v1.3.4.
Вредоносные обновления распространялись 30 января, и, по данным Socket, до этого расширения были неопасны в течение двух лет. Это говорит о том, что аккаунт oorzc, скорее всего, был взломан операторами GlassWorm.
По данным исследователей, кампания нацелена исключительно на системы macOS, используя инструкции из транзакционных заметок Solana. Примечательно, что системы с российской локализацией исключены, что может указывать на происхождение злоумышленника.
GlassWorm загружает программу для кражи информации из macOS и обеспечивает постоянное присутствие в зараженных системах через LaunchAgent, позволяя запускать ее при входе в систему.
Она собирает данные браузеров Firefox и Chromium, расширений и приложений кошельков, данные связки ключей macOS, базы данных Apple Notes, cookie-файлы Safari, секреты разработчиков и документы из файловой системы, передавая все это на инфраструктуру злоумышленника: 45.32.150[.]251.
Socket сообщила о пакетах в Eclipse Foundation, оператору платформы Open VSX. Группа безопасности подтвердила несанкционированный доступ, аннулировала токены и удалила вредоносные релизы.
Единственным исключением является oorzc.ssh-tools, который был полностью удален из Open VSX после обнаружения нескольких вредоносных версий.
В настоящее время версии затронутых расширений безопасны, но разработчикам, загрузившим вредоносные версии, следует выполнить полную очистку системы и сменить все свои секретные ключи и пароли.
Исследователи из Positive Technologies сообщают о появлении нового игрока в среде хактивистов, нацеленных на российские компании.
12 декабря 2025 года ранее неизвестная группировка Punishing Owl выкатила пост о взломе сетей российского госучреждения в сфере безопасности со ссылками на DLS-сайт, где публиковались внутренние документы жертвы и хранилище Mega.nz, дублирующее эти файлы.
Кроме того, в день публикации Punishing Owl, имея доступ к DNS-конфигурации доменной зоны жертвы, создала субдомен hacked.[REDACTED].ru, для которого вместе с корневым доменом изменила DNS-записи, делегировав их серверу, расположенному в Бразилии.
На этом сервере также были опубликованы ссылки на украденные из внутренней сети файлы и политический манифест.
Дополнительно на сервере группировка настроила поддельный TLS-сертификат для доменной зоны жертвы, выпущенный в день публикации сообщения о кибератаке, а также сетевые порты, IMAP- и SMTP-службы для работы с электронной почтой.
Изменение DNS-маршрутов было реализовано для рекламы DLS-сайта среди пользователей официального ресурса жертвы, распространение информации о компрометации среди ее клиентов и контрагентов, формирование инфоповвода.
В течение последующих дней на адреса электронной почты контрагентов жертвы были отправлены электронные письма, в которых группировка от своего имени сообщала о факте компрометации сети учреждения и его клиентов.
В них также была ссылка на домен с измененной DNS-записью, ведущей на DLS-сайт. Письма отправлялись с того же сервера в Бразилии, в качестве отправителя использовался созданный в почтовом домене жертвы адрес punishingowl@[REDACTED].
Спустя час с этого же бразильского сервера, но уже с электронного адреса сотрудника жертвы была запущена новая email-рассылка в адрес контрагентов якобы с официальным подтверждением факта компрометации корпоративной сети.
К сообщениям под видом подтверждающих документов прилагался защищенный паролем вредоносный ZIP, внутри которого упакован LNK, маскирующийся (с помощью двойного расширения) под PDF. В теме писем был сделан акцент на срочности изучения приложенных документов.
Открытие LNK-файла приводило к скрытому выполнению в PowerShell-оболочке команды на загрузку с С2-сервера bloggoversikten[.]com (82.221.100[.]40) и запуск на зараженном хосте PowerShell-стилера ZipWhisper.
Стилер собирает файлы с данными браузеров зараженного хоста и упаковывает в ZIP-архивы, которые сохраняются в директорию AppData/Local/Temp и выгружаются на тот же С2 с использованием эндпойнта upload/[COMPUTER NAME]/[USER NAME].
Программный код одного из обнаруженных экземпляров ZipWhisper-стилера содержал строку с фразой «generated at», указывающую на возможное использование группировкой AI-инструментов для генерации кода стилера.
Все обнаруженные кибератаки Punishing Owl направлены исключительно на российские КИИ, в числе жертв - госучреждения, научные предприятия, IT-организации.
Сама группировка находится в самом начале киберпреступного пути и активно обзаводится аккаунтами для публичного освещения будущих кибератак, дислоцируясь при этом на территории Казахстана.
Как полагают Позитивы, в условиях продолжающейся международной политической напряженности прогнозируется сохранение тенденции к появлению новых политически мотивированных хактивистских группировок в российском и международном киберпространстве.
При этом кибератаки Punishing Owl не являются одноразовой PR-акцией и группировка намерена сохранить устойчивое присутствие на ландшафте российских киберугроз.
Во всяком случае, на это указывает использование собственных вредоносных инструментов, длительное сохранение режима тишины в условиях продолжительного нахождения в сети жертв, а также создание и раскрутка в даркнете собственного кибербренда.
Другие подробности и IOCs - в отчете.
Cloudflare рапортует об отражении новой рекордной DDoS-атаки мощностью 31,4 Тбит/с (количество запросов в секунду — 200 млн.), к реализации которой причастны операторы ботнета Aisuru (Kimwolf), насчитывающего до четырех млн. устройств всему миру.
Атака была частью кампании, нацеленной на различные компаний, большинство из которых - в сфере телекомма, была детектировала и нейтрализована Cloudflare 19 декабря прошлого года.
Aisuru несет также ответственность за предыдущий рекорд DDoS, достигший 29,7 Тбит/с. Ранее Microsoft приписала этому ботнету еще одну атаку, которая достигла пика в 15,72 Тбит/с и совершалась с 500 000 IP.
Последняя кампания Aisuru была названа Cloudflare как «Ночь перед Рождеством» и характеризуется «беспрецедентной бомбардировкой» телекоммуникационных провайдеров и ИТ-организации из числа клиентов компании.
Она включала в себя гипермассивные HTTP DDoS-атаки со скоростью более 200 миллионов запросов в секунду (rps), а также DDoS-атаки уровня 4, достигающие пика в 31,4 терабит в секунду, что делает её крупнейшей когда-либо публично раскрытой атакой.
Более половины атак в рамках DDoS-кампании Aisuru длились от одной до двух минут, и лишь 6% - дольше. Большинство из них (90%) достигали пиковой нагрузки в диапазоне от 1 до 5 Тбит/с, а примерно 94% - от 1 до 5 миллиардов пакетов в секунду.
Несмотря на масштаб этих гиперобъемных атак, Cloudflare заявляет, что они были обнаружены и нейтрализованы автоматически, даже не вызвав никаких срочных оповещений.
Источником «силы» ботнета Aisuru являются скомпрометированные IoT-устройства и маршрутизаторы. Однако, как отмечается в отчете Cloudflare, в кампании Ночь перед Рождеством задействовались телевизоры на базе Android.
В своем отчете об угрозах DDoS за 4 квартал 2025 года Cloudflare представила ретроспективный анализ событий за весь год, подтвердив, что за этот период количество DDoS-атак увеличилось на 121% по сравнению с 2024 годом, достигнув 47,1 миллиона инцидентов.
В 2025 году Cloudflare в среднем предотвратила 5376 DDoS-атак в час, причем 73% из них были атаками на сетевом уровне, а остальные - по протоколу HTTP.
В четвертом квартале показатели выросли на 31% по сравнению с предыдущим кварталом и на 58% по сравнению с аналогичным периодом прошлого года, что указывает на сохранение тенденции к увеличению числа DDoS-атак.
В течение этого квартала наиболее целевыми отраслями были поставщики телекомуслуг, ИТ-компании, игорный бизнес и казино, а также разработчики игр.
Наибольшее количество атак было совершено в Бангладеш, за которым следуют Эквадор и Индонезия. Cloudflare также отметила, что Аргентина поднялась на четвертое место, а Россия опустилась на пять позиций, заняв десятое место.
Согласно отчету, в прошлом году DDoS-атаки были направлены в основном на организации в Китае, Гонконге, Германии, Бразилии и США.
В отчете Cloudflare фигурирует также 600%-увеличение количества атак на сетевом уровне, превышающих 100 млн. пакетов в секунду, и 65-процентное увеличение атак, превышающих 1 Тбит/с, по сравнению с предыдущим кварталом.
Интернет-компания также отмечает, что более 71,5% всех зарегистрированных HTTP DDoS-атак исходят от известных/документированных ботнетов.
Продолжаем отслеживать и делиться подробностями наиболее трендовых уязвимостей. В новой подборке:
1. JFrog обнаружили две CVE-2026-1470 и CVE-2026-0863 в платформе автоматизации рабочих процессов n8n, позволяющие полностью скомпрометировать затронутые экземпляры, получить доступ к конфиденциальным данным и выполнить произвольный код на базовом хосте.
CVE-2026-1470 исправлена в 1.123.17, 2.4.5 и 2.5.1, а CVE-2026-0863 - в 1.123.14, 2.3.5, 2.4.2. Пользователям рекомендуется обновиться, ведь вскоре обещают выпустить PoC.
2. Ivanti приготовила своим клиентам новые приключения, анонсируя CVE-2026-1281 и CVE-2026-1340 в Endpoint Manager Mobile (EPMM), которые использовались в атаках в качестве 0-day, однако у компании нет надежных IOCs.
Обе позволяют удаленным злоумышленникам выполнять произвольный код без аутентификации и имеют CVSS 9,8.
Компания выпустила RPM-скрипты для устранения уязвимостей в затронутых версиях EPMM: для версий 12.5.0.x, 12.6.0.x и 12.7.0.x - RPM 12.x.0.x и для версий 12.5.1.0 и 12.6.1.0 - RPM 12.x.1.x. Уязвимости будут окончательно устранены в EPMM 12.8.0.0 в первом квартале 2026.
3. SmarterTools устранила еще две уязвимости в SmarterMail, включая одну критическую без аутентификации в методе API ConnectToHub, которая могла привести к RCE - CVE-2026-24423 (CVSS 9,3).
Раскрытие приписывается watchTowr, CODE WHITE GmbH и VulnCheck. Ошибка устранена в Build 9511 от 15 января вместе с другой критической CVE-2026-23760, которая с тех пор активно используется.
4. Horizon3 обнаружила ошибку десериализации без аутентификации в веб-службе поддержки SolarWinds, которая приводит к RCE. Отслеживается как CVE-2025-40551.
Помимо этого исправлены уязвимости обхода аутентификации (CVE-2025-40552 и CVE-2025-40554), которые были обнаружены watchTowr и могут быть использованы удаленными неаутентифицированными злоумышленниками в атаках низкой сложности.
SolarWinds также устранила вскрытую Sebree уязвимость, связанную с жестко закодированными учетными данными (CVE-2025-40537), которая могла предоставить злоумышленникам с низкими привилегиями несанкционированный доступ к административным функциям.
5. В OpenSSL было исправлено 12 уязвимостей, все из которых были обнаружены Aisle. Наиболее серьезная проблема - CVE-2025-15467, связана с переполнением буфера стека и может привести DoS или RCE.
CVE-2025-15467 обусловлена способом обработки данных синтаксиса криптографических сообщений (CMS) библиотекой. Злоумышленники могут использовать пакеты CMS со специально сформированными параметрами AEAD для сбоя OpenSSL и RCE.
6. CVE-2026-22709 (CVSS: 9,8) позволяет злоумышленникам обойти технологию песочницы vm2 на основе JavaScript и выполнять произвольный код в хост-системе.
7. Исследователи Varonis обнаружили новую технику Exfil Out&Look, которая использует надстройки Outlook для кражи данных внутри организаций.
Varonis сообщила о ней Microsoft 30 сентября 2025, после проверки микромягкие классифицировали Exfil Out&Look как ошибку продукта низкой степени серьезности, для которой не планируется немедленное исправление или выпуск патчей.
8. Злоумышленники могут обойти авторизацию и выполнить код в любом контейнере Kubernetes. Уязвимость связана с проблемой в обработке WebSocket-соединений серверами API Kubernetes. Разработчики отказались от исправления, но в апреле выпустят новую систему авторизации API для нейтрализации этого вектора атаки.
9. Разработчики GnuPG (Gpg4win) выпустили обновление безопасности для устранения RCE-уязвимости. CVE пока не присвоен.
10. Positive Technologies представила январскую подборку «В тренде VM», указав следующие трендовые: CVE-2025-62221 (EoP в драйвере Microsoft OneDrive), CVE-2025-55182 (React2Shell, приводящая к RCE, в React Server Components) и CVE-2025-14847 (MongoBleed, приводящая к раскрытию данных, в MongoDB Server).
Исследователи Pillar Security сообщают о масштабной операции Bizarre Bazaar, нацеленной на незащищенные или уязвимые конечные точки ИИ с целью захвата системных ресурсов, перепродажи доступа к API, утечки данных и проникновения во внутренние системы.
Атаки в основном затрагивают инфраструктуру LLM, размещенную на собственных серверах, включая конечные точки с открытыми портами по умолчанию, неаутентифицированные API, среды разработки/тестирования и серверы MCP.
Как отмечают в Pillar Security, угроза отличается от традиционного злоупотребления API, поскольку скомпрометированные конечные точки LLM могут привести к значительным затратам, раскрыть конфиденциальные данные и предоставить возможности для горизонтального перемещения. Это один из первых примеров атак типа LLMjacking.
Bizarre Bazaar включает в себя три взаимосвязанных элемента: сканер (бот-инфраструктура, которая сканирует интернет в поисках уязвимых систем), валидатор (связанный с silverinc, он проверяет идентифицированные конечные точки) и торговую площадку (шлюз Unified LLM API Gateway, контролируемый silverinc).
Выявленные цели проверяются silverinc посредством систематического тестирования API в течение 2-8 часов после сканирования. При этом злоумышленники скандировали возможности модели и оценивали качество ответных действий.
По словам Pillar Security, эта торговая площадка размещена на надежной инфраструктуре в Нидерландах, продвигается через Discord и Telegram, а платежи осуществляются с помощью криптовалюты или PayPal.
В течение 40 дней исследователи из Pillar Security фиксировали более 35 000 сессий атак, в среднем 972 атаки в день. Стабильно высокая активность подтверждает систематическое целенаправленное воздействие на уязвимую инфраструктуру ИИ, а не случайное сканирование.
В число взломанных систем входят экземпляры Ollama на порту 11434 без аутентификации, веб-доступные API, совместимые с OpenAI, на порту 8000, открытые серверы MCP без контроля доступа, среды разработки с публичными IP, а также производственные чат-боты, в которых отсутствует аутентификация или ограничения скорости запросов.
Как отмечает Pillar Security, операция проводится злоумышленником, использующим псевдоним Hecker, также известным как Sakuya и LiveGamer101, и, по всей видимости, связана с сервисом nexeonai.com в виду пересечения инфраструктуры.
Причем NeXeonAI позиционируется как «единая инфраструктура искусственного интеллекта», предоставляющая доступ к более чем 50 моделям ИИ от ведущих поставщиков.
Отдельно компания выявила разведывательную кампанию, направленную на серверы MCP, которая, вероятно, проводилась другим субъектом угроз с другими целями.
По данным Pillar Security, кконцу января 60% всего трафика атак приходилось на разведывательные операции, ориентированные на использование MCP.
Причем в начале месяца в отчете GreyNoise была отмечена аналогичная активность, когда злоумышленники атаковали коммерческие сервисы LLM, в основном с целью сканирования.
Исследователи из Лаборатории Касперского оперативно подключились к инциденту, связанному с атакой на цепочку поставок при помощи антивирусного ПО eScan, разрабатываемого индийской MicroWorld Technologies, о котором мы сообщали ранее.
Напомним, что в ходе заражения пользователи с установленными защитными продуктами eScan получили вредоносный файл Reload.exe, запуск которого начинал многоэтапную цепочку заражения.
По данным коллег из Morphisec, первыми исследовавших атаку, Reload.exe предотвращал получение дальнейших обновлений продукта при помощи модификации файла HOSTS, чем блокировал возможность автоматического исправления проблемы разработчиками.
Зловред также обеспечивал закрепление в системе, соединялся с управляющими серверами и загружал дополнительную вредоносную нагрузку.
Закрепление обеспечивалось при помощи создания задач в планировщике, в качестве примера названия одной из таких вредоносных задач приводится имя CorelDefrag. Также в ходе заражения на диск записывался вредоносный файл с именем consctlx.exe.
eScan объяснила, что злоумышленникам удалось получить доступ к одному из региональных серверов обновления и «подбросить» модифицированный файл, который автоматически был доставлен клиентам.
Они подчеркивают, что речь не идет об уязвимости - инцидент классифицируется как нелегитимный доступ к инфраструктуре. Ни Morphisec, ни eScan не назвали конкретную группу, причастную к атаке.
Несколько вредоносных доменных имен и ссылок были выявлены Morphisec (также были указаны нами ранее).
Однако исследователи Лаборатории Касперского смогли задетектить дополнительные сетевые индикаторы компрометации, связанные с этой атакой: https://airanks.hns[.]to и https://csc.biologii[.]net/sooc. Взаимодействие с ними происходит через вредоносный consctlx.exe.
В ЛК пообещали проанализировать вредоносное ПО, связанное с этой атакой, и в ближайшее время выкатить новые детали. Будем следить.
Исследователи предупреждают о небезопасном развертывании в корпоративных средах голосового помощника Moltbot (Clawdbot), которое потенциально может привести к утечке ключей API, токенов OAuth, истории переписки и учетных данных.
Moltbot - это персональный ИИ-помощник с открытым исходным кодом и глубокой системной интеграцией, который может размещаться локально и интегрироваться напрямую с с файловой системой и приложениями пользователя, включая мессенджеры и почтовые клиенты.
В отличие от облачных чат-ботов, Moltbot способен работать на постоянной основе локально, поддерживая постоянную память, заблаговременно связываясь с пользователем для оповещений и выполняя запланированные задачи и многое др.
Благодаря этим возможностям и простоте настройки Moltbot быстро обрел популярность и даже привел к росту продаж Mac Mini, поскольку пользователи стали ориентироваться на выделенные компьютеры для чат-бота.
Однако многие исследователи предупреждают, что некорректное развертывание Moltbot может привести к утечке конфиденциальных и корпоративных данных, учетных данных и выполнению команд, в зависимости от разрешений и уровня доступа чат-бота на хосте.
Некоторые из проблем были выявлены исследователем Джеймисоном О'Рейли, обнаружившим сотни административных интерфейсов Clawdbot Control, доступных из сети из-за неправильной настройки обратного прокси-сервера.
Поскольку Clawdbot автоматически одобряет «локальные» соединения, развертывания за обратными прокси-серверами часто рассматривают весь трафик как доверенный, поэтому множество открытых экземпляров открывают несанкционированный доступ, которые может привести к краже учетных данных, истории переписки, выполнению команд и контролю над системой с правами root.
В частности, как отмечает исследователь, кто-то создал собственную учетную запись Signal на своем общедоступном сервере управления clawdbot - с полным доступом для чтения, которым смог бы воспользоваться потенциальный злоумышленник.
О'Рейли также опубликовал вторую часть исследования, в которой также продемонстрировал атаку на цепочку поставок в отношении пользователей Motlbot с помощью навыка (пакетного набора инструкций или модуля), содержащего минимальную полезную нагрузку ping.
Разработчик разместил навык в официальном реестре MoltHub (ClawdHub) и искусственно завысил количество его загрузок.
Менее чем за восемь часов О'Рейли заметил, что 16 разработчиков из семи стран скачали искусственно рекламируемый навык.
При этом, казалось бы Moltbot больше подходит для потребителей, но Token Security утверждает, что у 22% ее корпоративных клиентов сотрудники активно используют Moltbot, вероятно, без согласования со своими ИТ-шниками.
Компания также выявила такие риски, как уязвимые шлюзы и токены API/OAuth, хранение учетных данных в открытом текстовом виде в каталоге ~/.clawdbot/, открытость корпоративных данных через доступ с использованием ИИ, а также расширенная поверхность атаки с внедрением подсказок.
Серьезную обеспокоенность вызывает отсутствие по умолчанию «песочницы» для ИИ-помощника: агент имеет такой же полный доступ к данным, как и пользователь.
Аналогичные предупреждения по части Moltbot последовали от Arkose Labs, 1Password, Intruder и Hudson Rock (1, 2, 3 и 4 соответственно).
По данным Intruder, некоторые атаки были направлены на уязвимые конечные точки Moltbot с целью кражи учетных данных и внедрения мгновенных уведомлений.
В свою очередь, Hudson Rock предупредила, что инфостиллеры, прежде всего RedLine, Lumma и Vidar, вскоре адаптируются к использованию локального хранилища Moltbot для кражи конфиденциальных данных и учетных данных.
Исследователи из Aikido также выявили отдельный случай вредоносного расширения VSCode, имитирующего Clawdbot, которое устанавливает ScreenConnect RAT на компьютеры разработчиков.
Таким образом, ключевым моментом безопасного развертывания Moltbot является изоляция экземпляра ИИ в виртуальной машине и настройка правил брандмауэра для доступа в интернет, исключая запуск его непосредственно на хостовой ОС с правами root.
Proofpoint предупреждают об активизации вредоносной активности злоумышленника TA584, который задействует Tsundere Bot совместно с трояном удаленного доступа XWorm для реализации дальнейших атак с использованием ransomware после получения доступа к сети.
Исследователи отслеживают активность TA584 с 2020 года и утверждают, что в последнее время этот злоумышленник значительно нарастил свои усилия, внедрив непрерывную цепочку атак, которая фактически подрывает возможности статического обнаружения.
Tsundere Bot был впервые обнаружен исследователями Лаборатории Касперского в ноябре прошлого года и был атрибутирован русскоязычному оператору koneko, который также связан с вредоносной ПО 123 Stealer.
Цели и методы заражения на тот момент оставались неясными, но Proofpoint утверждает, что вредоносное ПО может использоваться для сбора информации, кражи данных, горизонтального перемещения и установки дополнительных полезных нагрузок.
Как заметили в Proofpoint, в конце 2025 года объем кампаний TA584 утроился по сравнению с первым кварталом того же года и вышел за рамки стандартного таргета на Северную Америку и Великобританию, включив Германию, различные страны ЕС и Австралию.
Распространяемая в настоящее время цепочка атак начинается с электронных писем, отправляемых с сотен взломанных, устаревших учетных записей через SendGrid и Amazon Simple Email Service (SES).
В электронных письмах содержатся уникальные URL-адреса для каждой целевой аудитории, геозонирование и фильтрация IP, а также механизм цепочек переадресации, часто включающий сторонние системы управления трафиком (TDS), такие как Keitaro.
После прохождения фильтров, жертвы попадают на страницу CAPTCHA, а затем на страницу ClickFix с инструкцией по выполнению команды PowerShell на их системе.
Команда загружает и выполняет обфусцированный скрипт, внедряя в память либо XWorm, либо Tsundere Bot и перенаправляет браузер на безобидный сайт для маскировки всех манипуляций.
Proofpoint полагает, что TA584 за эти годы использовала большое количество полезных нагрузок, включая Ursnif, LDR4, WarmCookie, Xeno RAT, Cobalt Strike и DCRAT, который в одном из случаев был обнаружен еще в 2025 году.
Tsundere Bot - это MaaS-платформа с возможностями бэкдора и загрузчика.
Для работы ей требуется Node.js, который вредоносная ПО устанавливает в систему жертвы с помощью установщиков, генерируемых из панели управления.
Вредоносная ПО получает свой адрес C2 из блокчейна Ethereum, используя EtherHiding, при этом в установщик также включен жестко закодированный резервный адрес.
Система взаимодействует со своими серверами C2 через WebSockets и включает в себя логику проверки системы, прерывая выполнение, если система использует языки стран СНГ (преимущественно - русский).
Tsundere Bot собирает системную информацию для профилирования зараженных машин, выполняет произвольный код JavaScript с C2-сервера и поддерживает использование зараженных хостов в качестве SOCKS-прокси.
Исследователи прогнозируют, что TA584 в перспективе попытается охватить более широкий круг целей, и полагают, что злоумышленник продолжит экспериментировать с различными полезными нагрузками.
Исследователь Брайан Кребс смог идентифицировать возможных администраторов ботнета BadBox 2.0, который охватывает миллионы устройств Android TV.
Выследить операторов Кребсу удалось после того, как админы другого крупного ботнета Kimwolf, насчитывающего более 2 миллионов устройств, взломали и слили в сеть скриншоты панели управления BadBox 2.0.
Изначально Кребс скептически отнесся к утверждению о причастности операторов Kimwolf к взлому Badbox 2.0. Однако всё изменилось после внимательного изучения адресов электронной почты qq.com, засветившихся на слитом скриншоте.
OSINT-разработка указанных адресов позволила установить, что к управлению ботнетом причастен гражданин Китая по имени Хуан Гуйлинь. В подробности расследования вдаваться не будем: Кребс все детально разложил у себя в отчете.
Так что теперь, откровенно забившему на OpSec создателю одного из крупнейших ботнетов предстоит пройти еще одну и, наверное, окончательную идентификацию, но уже с участием товарища майора. Правда, если она не случилась еще ранее.
Но будем посмотреть.
В США разгорается скандал после подачи иска к WhatsApp, согласно которому сквозное шифрование (E2EE) в мессенджере - это не более чем иллюзия, поскольку сотрудники экстремистской Meta могут получать доступ к сообщениям пользователей по своему усмотрению.
Упомянутый иск был подан 26 января 2026 года в федеральный суд Сан-Франциско пользователями из Австралии, Мексики и Южной Африки.
В нем утверждается, без предоставления технических доказательств, что сотрудники компании-разработчика могут получать прямой доступ к сообщениям WhatsApp через внутренние инструменты.
По мнению истцов, этот доступ активируется отправкой простого запроса на выполнение задачи инженерам Meta, которые затем якобы разблокируют виджет, позволяющий просматривать сообщения в режиме реального времени на основе идентификатора пользователя.
Несмотря на отсутствие подобных технических данных, в иске фигурируют показания инсайдеров о внутренних системах Meta.
В свою очередь, Meta назвала эти обвинения абсурдными, решительно нахваливая свою модель шифрования WhatsApp на основе протокола Signal и обещая дать решительный юридический ответ.
Тем не менее, к публичной критике Meta присоединился Илон Маск с утверждением о том, что «даже Signal вызывает сомнения», а также Павел Дуров отмечая, что «нужно быть полным идиотом, чтобы верить в безопасность WhatsApp в 2026 году».
Если в Meta еще как-то пытаются сохранить лицо, то микромягкие как обычно действуют без особой оглядки на мнение общественности, тем более, когда речь идет про конфиденциальность и безопасность.
Так, Microsoft предоставила ФБР США ключи восстановления BitLocker для доступа к зашифрованным данным на устройствах пользователей из числа объектов их заинтересованности.
Как отмечают представители отрасли, данный шаг выявил существенный пробел в обеспечении конфиденциальности, который подрывает доверие к архитектуре безопасности Microsoft.
Инцидент произошел в начале 2025 года, когда федеральные следователи предъявили Microsoft ордер на обыск в рамках расследования мошенничества, связанного с программой помощи безработным в период пандемии на Гуаме.
Полагая, что изъятые в рамках расследования три ноутбука содержат изобличающие виновных данные, ФБР запросило ключи восстановления BitLocker для разблокировки устройств.
И Microsoft выполнила запрос, передав ключи, что позволило правоохранительным органам расшифровать содержимое.
BitLocker автоматически включен на многих потребительских ПК под управлением Windows и защищает данные пользователей с помощью надежного шифрования.
Как заявляют Microsoft, компания получает около 20 подобных запросов в год и выполняет требования закона, но иногда не может помочь, если пользователь не загрузил ключ в облако.
В общем, дело, связанное с расследованием на Гуаме, является первым публично известным случаем передачи Microsoft ключей BitLocker правоохранительным органам, что также документально подтверждается судебными документами.
Тем менее, Microsoft продолжает настоятельно рекомендовать пользователям хранить ключи восстановления в облаке через свою учетную запись «в интересах безопасности и конфиденциальности»!
Fortinet наконец-то пропатчила CVE-2026-24858, позволяющую обойти аутентификацию FortiCloud SSO, которая использовалась злоумышленниками в качестве 0-day.
Ошибки в ходе изначальной попытки исправить уязвимость вскрылись на прошлой неделе после того, как Arctic Wolf выявила автоматизированные атаки на межсетевые экраны FortiGate, направленные на создание новых аккаунтов администраторов и кражу конфигурационных файлов.
Fortinet тогда подтвердила факт атак, заявив, что расследует использование CVE-2025-59718 и CVE-2025-59719 на устройствах, полностью защищенных от критических ошибок входа в систему FortiCloud SSO, которые были исправлены в начале декабря.
Во вторник Fortinet выкатила уже новые обновления для FortiOS, FortiManager и FortiAnalyzer, поняв, что хакеры использовали новую, но связанную с ними уязвимость FortiCloud SSO, которая теперь отслеживается как CVE-2026-24858 (CVSS 9,4).
CVE-2026-24858 описывается как обход аутентификации с использованием альтернативного пути или канала, может быть использована против устройств с включенной функцией FortiCloud SSO, впрочем как и две предыдущие уязвимости.
Эта функция отключена по умолчанию, но она активизируется при регистрации нового устройства через графический интерфейс пользователя, если администратор специально ее не отключит.
По данным Fortinet, CVE-2026-24858 позволяет злоумышленнику, имеющему учетную запись FortiCloud и зарегистрированное устройство, входить в систему на других устройствах, зарегистрированных на другие учетные записи.
Компания отмечает, что заблокировала задействованные в 0-day атаках учетные записи FortiCloud и на короткое время отключила функцию единого входа FortiCloud (SSO) на стороне FortiCloud в период с 26 по 27 января.
Теперь FortiCloud SSO больше не поддерживает вход в систему с устройств, работающих под управлением уязвимых версий, а это значит, что пользователям необходимо установить недавно выпущенные патчи, чтобы воспользоваться аутентификацией FortiCloud SSO.
Исправления были включены в версии FortiAnalyzer 7.4.10, FortiManager 7.4.10 и FortiOS 7.4.11.
Fortinet отмечает также, что эти исправления также будут включены в FortiAnalyzer 7.6.6, 7.2.12 и 7.0.16, FortiManager 7.6.6, 7.2.13 и 7.0.16, FortiOS 7.6.6, 7.2.13 и 7.0.19, а также FortiProxy 7.6.6 и 7.4.13.
Исследователь Джереми Фаулер сообщает об обнаружении масштабной утечки данных, в результате которой были раскрыты учетные данные, включая пароли, 149 404 754 пользователей на таких платформах, как Facebook, Instagram, Netflix и Binance (420 000 записей).
Кроме того, в незашифрованном массиве были идентифицированы данные 48 млн. учетных записей Gmail, 4 млн. - Yahoo, 17 млн. - Facebook, 6,5 млн. - Instagram, 3,4 млн. - Netflix и 780 000 - TikTok, и др., в том числе OnlyFans.
В ограниченной выборке выявленных записей также фигурировали учетные записи финансовых учреждений, криптовалютные кошельки или торговые счета, банковские и кредитные карты.
Анализ утечки, согласно мнению Фаулера, указывает на то, что учетные данные были получены с помощью инфостиллера с устройств конечных пользователей, что, конечно же, не является новинкой. Однако масштаб и структура утечки все же впечатляют.
Некоторые исследователи предположили, что злоумышленники, причастные к инциденту, могут быть связаны с раскрытой в декабре прошлого года ресерчерами Лаборатории Касперского кампании по распространению нового вредоносного ПО Stealka.
🈁 Бывший инженер компании Anthropic обнаружил 1-click exploit для OpenClaw (ранее Moltbot и ClawdBot)
OpenClaw (ранее известный как Moltbot и ClawdBot) — крайне популярный ИИ-ассистент с открытым исходным кодом, способный выполнять действия от вашего имени. Его обсуждение стало одной из самых обсуждаемых тем в 🦆. Проект набрал более 140 000 звезд на GitHub, предлагая пользователям доверить ИИ-агенту ключи от цифровой жизни: от доступа к iMessage, WhatsApp и Slack до полного управления локальным компьютером. Популярность локального ИИ-ассистента улетела в небеса после 25 января на Github.
Пока сообщество восхищалось возможностями системы, специализирующийся на 0-day исследователь в области кибербезопасности Мав Левин, ранее работавший в Anthropic и служивший в 🇮🇱🎖Unit 8200, попробовал провести аудит ИИ-агента, чтобы найти в нём уязвимость. Безопаснику удалось найти брешь и выстроить цепочку атаки для удаленного выполнения кода (RCE) в «один клик».
🔎Благодаря этому эксплойту ↔️одного посещения вредоносной веб-страницы было достаточно для взлома вашего компьютера и ИИ-ассистента.
Проблема кроется в слепом принятии адреса шлюза через ссылку и последующей автоматической передаче токена аутентификации третьим лицам.
Эксплойт срабатывает после посещения вредоносного сайта и предоставляет атакующему полный доступ к системе жертвы. Разработчики оперативно отреагировали и выпустили исправление в версии v2026.1.29, добавив обязательное модальное окно подтверждения для новых подключений (уязвимы все версии до v2026.1.28 включительно).
--------------------------
Кроме того, команда исследователей из Ethiack сообщила, что их автономный 🤖ИИ-агента aka "железный пентестер" Hackian обнаружил критическую RCE всего за 1 час 40 минут. ИИ-агент самостоятельно выявил возможность перехвата управления через веб-сокеты и продемонстрировал сценарий полной атаки на локальную инфраструктуру жертвы. 🍿ИИ-агенты ломают ИИ-агентов. POC rep тут.
Левин (depthfirst): Уязвимость в app-settings.ts, где параметр gatewayUrl из URL принимается без проверки, и приложение сразу отправляет туда authToken.
Ethiack (Hackian): Уязвимость в том, что Control UI honors the gatewayUrl query parameter (интерфейс принимает параметр gatewayUrl), немедленно открывает WebSocket и отправляет токен.
Исследователи из 2 команд сообщили о проблемах разработчикам. Патч (исправление) уже доступен.
✋ @Russian_OSINT
Исследователи F6 расчехлили новую вредоносную программу-блокировщик, которая маскируется под шифровальщика, связав активность с «Командой Legion», упоминания о которой ранее не встречались.
Обычно злоумышленники маскируют вредоносную активность под обычные операции. Куда реже бывает наоборот, когда киберпреступники маскируют свои действия под более опасную угрозу.
В конце декабря 2025 года специалисты обнаружили подозрительный исполняемый файл, который на первый взгляд выглядел как ransomware, способная шифровать файлы и выводить на экран сообщение с требованием выкупа.
Однако анализ показал, что это блокировщик, маскирующийся под шифровальщика. На самом деле вместо шифрования он блокировал доступ к операционной системе, оставляя сообщение, что файлы и диски «зашифрованы … командой Legion».
Аналитики F6 внимательно исследовали новую угрозу, изучив связанные с ней артнфакты, включая записки, которые злоумышленники оставляли на устройствах жертв. По результатам анализа Telegram-аккаунтов, упоминаемых в записках, выявили пересечения с группировкой NyashTeam.
Группа известна как минимум с 2022 года и специализируется на продаже вредоносного ПО в формате MaaS. Ее клиенты атаковали пользователей как минимум в 50 странах мира, большинство целей этих злоумышленников находились в России.
Летом 2025 года инфраструктуру группировки удалось вскрыть, после чего были заблокированы более 110 доменов в зоне .RU, которые киберпреступники использовали для атак.
В ходе анализа одного из образцов нового зловредна был установлен PDB-путь файла - C:\Users\123quig\Desktop\Новая папка\obj\Release\net40\lc.pdb, что косвенно указывает на том, что разработчик вредоносной ПО может быть русскоговорящим.
Она содержит Anti-VM модуль для проверки факта выполнения в виртуальной среде или песочнице. Для закрепления в системе используются различные ключи реестра.
Малварь создает файлы записок следующей командой: cmd.exe /c cd «%DIR%&attrib +h +s +r +i /D & echo [%RANDOM%] Ooops! Your files are encrypted by the KVM-i7! Telegram for contact: nyashteam*** 1>info-Locker.txt & attrib -h +s +r info-Locker.txt
Блокировщик перечисляет все диски от D и далее и создает файл info-Locker.txt в их корне, если диск существует. На финальном этапе отображает окно с якобы загрузкой ОС и ошибками. Но как оказалось, это всего лишь замаскированное пользовательское окно.
Он блокирует доступ к ПК и возможность управления им, перехватывая нажатие комбинаций клавиш (Ctrl+Alt, Ctrl+Alt+Del), предназначенных для перезагрузки или вызова диспетчера задач, и блокирует ОС (Win+L) при попытке их нажатия.
Кроме того, перехватывает нажатие комбинации клавиш (Alt+F4), предназначенной для закрытия основного окна приложения.
При выполнении задач блокировщик генерирует ID компьютера формата 10-A*, основываясь на содержимом файла %Temp%\$unlocker_id.ux-cryptobytes, в котором сохранено локальное время запуска ВПО.
После ввода верного кода приложение удаляется из автостарта и завершает работу. Расшифрования каких-либо файлов не происходит.
Дополнительное исследование показало, что это вредоносное ПО применяется минимум с 2022 года. Файл с аналогичными индикаторами был загружен на одну из публичных песочниц в июле 2022 года и продавалось на GitHub (winlocker-site[.]github[.]io).
Однако записки, которые отображались на устройствах, отличаются. Вместо Legion злоумышленники выдавали себя за CryptoBytes hacker group, а в качестве контакта указывали Telegram-аккаунт yes_u_are_hacked.
Дальнейший анализ активности злоумышленников выявил взаимосвязи с NyashTeam, которая после блокировки инфраструктуры не прекратили свою работу, продолжив распространять вредоносное ПО.
Все дополнительные подробности и разбор артефактов - в отчете.
Исследователи из Лаборатории Касперского представили новые подробности инцидента, связанного с атакой на цепочку поставок Notepad++, раскрыв еще незамеченные цепочки выполнения и IOCs.
Вчера разработчики текстового редактора официально подтвердили компрометацию своей инфраструктуры обновления Notepad++.
Это произошло из-за инцидента на уровне хостинг-провайдера в период с июня по сентябрь 2025, который позволил злоумышленникам сохранить доступ к внутренним сервисам вплоть до декабря.
В своем анализе исследователи ЛК сообщают о трех различных цепочках заражения, разработанных для атак примерно на дюжину компьютеров, принадлежащих частным пользователям из Вьетнама, Сальвадора и Австралии, правительственной организации на Филиппинах, финансовой организации в Сальвадоре и IT-компании Вьетнаме.
В период с июля по октябрь 2025 злоумышленники постоянно меняли адреса серверов С2 для распространения вредоносных обновлений, загрузчиков, доставки вредоносных ПО, а также конечных полезных нагрузок.
Первая цепочка была реализована в период с июля по начало августа 2025.
Злоумышленники развернули вредоносное обновление Notepad++, размещенное по адресу: 45.76.155[.]202/update/update.exe, которое запускалось легитимным процессом Notepad++ WinGUp (gup.exe).
Установщик NSIS использовался для отправки системной информации на временный URL-адрес[.]sh путем выполнения ряда команд оболочки (whoami и tasklist).
Такое поведение описывалось на тематическом форуме пользователем soft-parsley в октябре 2025 года.
Update.exe, использованный в этой цепочке, применял технологию боковой загрузки DLL, злоупотребляя легитимным бинарным файлом, связанным с ПО ProShow (ProShow.exe), для развертывания двух шеллкодов.
Один из них не предназначен для выполнения и функционирует как механизм отвлечения внимания, а второй расшифровывает полезную нагрузку загрузчика Metasploit, которая извлекает шеллкод Cobalt Strike с удаленного URL-адреса.
В рамках второй цепочки (середина и конец сентября 2025) вредоносное обновление продолжало распространяться через 45.76.155[.]202/update/update.exe.
При этом установщик NSIS включал небольшие изменения для сбора дополнительной информации (whoami, tasklist и netstat) и доставки совершенно другого набора полезных нагрузок, включая скрипт Lua, предназначенный для выполнения шеллкода, который также представлял собой загрузчик Metasploit, размещающий маяк Cobalt Strike.
Впоследствии обнаруженный в конце сентября 2025 года вариант update.exe также собирал результаты команды systeminfo, а также whoami, tasklist и netstat.
Другая версия бинарного файла изменила URL-адрес для загрузки системной информации на self-dns.it[.]com/list, а также на URL-адрес, используемый загрузчиком Metasploit и сервером управления Cobalt Strike Beacon.
В начале октября 2025 злоумышленники снова поменяли цепочку заражения, задействовав новый C2 для распространения вредоносных обновлений, наблюдаемый URL-адрес обновления: http://45.32.144[.]255/update/update.exe.
Загруженная полезная нагрузка по-прежнему представляла собой установщик NSIS, однако, в отличие от цепочек 1 и 2, установщик не включал функцию отправки системной информации.
Эта цепочка выполнения основана на загрузке файла log.dll, который отвечает за запуск зашифрованного шеллкода BluetoothService в процесс BluetoothService.exe.
Примечательно, что такие цепочки выполнения часто используются китайскоязычными злоумышленниками.
Причем эта конкретная цепочка выполнения уже была описана Rapid7, а конечная полезная нагрузка в ней представляет собой пользовательский бэкдор Chrysalis.
В отличие от предыдущих цепочка №3 не загружает Cobalt Strike Beacon напрямую.
В середине октября 2025 злоумышленники возобновили развертывание полезной нагрузки цепочки № 2, используя URL: http://95.179.213[.]0/update/update.exe.
Затем с середины октября - еще три разных URL, запуская комбинацию цепочек выполнения №2 и №3: 5.179.213[.]0/update/update.exe, 95.179.213[.]0/update/install.exe и 95.179.213[.]0/update/AutoUpdater.exe.
Технические подробности, рекомендации и IOCs - в отчете.
Разработчики Notepad++ предоставили дополнительные подробности атаки на цепочку поставок, раскрытой в декабре 2025 года, согласно которым в ходе взлома китайская APT нацеливалась на конкретных пользователей через хостинг-провайдера в течение нескольких месяцев.
Информация об инциденте появилась после того, как Notepad++ выпустила обновления для нейтрализации взлома инфраструктуры обновления.
В начале декабря исследователь Кевин Бомонт сообщил, что ряд организаций, использующих Notepad++, стали жертвами вредоносных обновлений ПО.
В то время исследователь заявил, что связанные с Китаем хакеры использовали Notepad++ для получения первоначального доступа к системам телекоммуникационных и финансовых компаний в Восточной Азии.
Результаты соответствующего расследования анонсировал создатель и разработчик Notepad++ - Дон Хо, подтвердивший компрометацию инфраструктуры, которая позволила злоумышленникам перехватывать трафик обновлений, предназначенный для notepad-plus-plus.org.
Точный технический механизм до конца еще не понятен. Тем не менее, установлено, что взлом произошёл на уровне хостинг-провайдера, уязвимости в самом коде Notepad++ не использовались.
Трафик от определённых целевых пользователей выборочно перенаправлялся на контролируемый злоумышленниками сервер с вредоносными манифестами обновлений.
Судя по целевому характеру атак в рамках изучаемой кампании, принимавшие в расследовании участие исследователи сошлись во мнении, что инцидент мог быть реализован силами одной из китайских APT.
Информация, собранная в ходе расследования на стороне хостинг-провайдера, показала, что злоумышленники целенаправленно атаковали Notepad++ с целью перехвата трафика его пользователей.
При этом сам провайдер не обнаружил доказательств того, что какие-либо иные клиенты на общем сервере могли стать объектом атаки.
Сама кампания, по всей видимости, стартовала в июне 2025 года, а сервер, ставший целью хакеров, был скомпрометирован до 2 сентября, когда система прошла плановое техническое обслуживание, а также были обновлены ядро и микропрограмма.
Тем не менее, учетные данные, полученные злоумышленниками до сентября, позволили им сохранить доступ к внутренним сервисам хостинг-провайдера вплоть до 2 декабря.
В течение этого периода злоумышленник смог перенаправлять трафик, идущий к серверам обновления Notepad++, на свои собственные для распространения вредоносного ПО.
С тех пор Notepad++ перебрался на нового хостинг-провайдера и внедрил изменения на стороне клиента для проверки целостности обновлений.
Исследователь Джатин Банга jatin.b.rx3/i-found-a-bug-that-exposed-private-instagram-posts-to-anyone-eebb7923f7e3">выкатил неопровержимые доказательства того, что функцию приватных аккаунтов в Instagram можно было обойти.
Результаты исследования показали, что в некоторых случаях контент приватного профиля был встроен в общедоступные HTML-ответы сервера и раскрывал фактически ограниченные в доступе фотографии, видео и истории.
По словам исследователя, признанная экстремистской в России Meta исправила проблему после получения отчета, но закрыла его с формулировкой not applicable, заявив о невозможности воспроизведения уязвимости.
При попытке доступа к закрытым профилям Instagram (например, созданному исследователями https://instagram.com/jatin.py) с некоторых мобильных устройств неавторизованным пользователем отображается стандартное сообщение о закрытом характере аккаунта.
Однако в исходном HTML-коде затронутых профилей в ответ на запрос страницы были встроены ссылки на некоторые личные фотографии, а также подписи к ним.
В частности, примере Банги показывает JSON-объект polaris_timeline_connection, возвращенный в HTML, который содержал закодированные CDN-ссылки на фотографии, ограниченное в доступе. Кроме того, исследователь поделился видео, демонстрирующим работу PoC на практике.
В целом по результатам анализа профилей Instagram исследователь обнаружил, что по меньшей мере 28% аккаунтов возвращали подписи и ссылки на частные фотографии.
Исследователь поделился своими выводами с Meta еще 12 октября 2025 года и изначально разработчики классифицировали проблему как проблему кэширования CDN, с чем исследователь не согласился.
Поскольку это не была проблема кэширования CDN - бэкэнд Instagram не проверял авторизацию перед отправкой ответа, что соответствует сбою авторизации на стороне сервера.
Так что Банга инициировал второй отчет об ошибке, разъясняющий проблему, но, несмотря на длительные обсуждения, продолжавшиеся несколько дней, ему не удалось достичь компромиссного решения с Meta.
По словам исследователя, после многократных дебатов тикет был закрыт как «not applicable», а эксплойт позже перестал работать, примерно с 16 октября, на всех ранее протестированных аккаунтах.
В общем, в дополнение ко всем своим заявлениям Банга анонсировал репозитории на GitHub со всеми пруфами, демонстрирующими существование этой уязвимости.
По всей видимости, в Meta решили не уходить глубоко в первопричины проблемы и поскорее все замять. Впрочем, иного никто не ожидал, ну кроме Банги.
Исследователи Flare сообщают о масштабной кампании, нацеленной на уязвимые экземпляры MongoDB, компрометация которых приводит к вымогательству небольшого выкупа за восстановление данных.
Злоумышленник фокусируется на самых уязвимых местах - базах данных, которые слабо защищены, прежде всего, в виду неправильной конфигурации, позволяющей получить беспрепятственный доступ.
В общей сложности пострадало около 1400 незащищенных серверов, а записки с требованием выкупа содержали сумму в пределах 500 долларов в эквиваленте BTC.
Еще в 2021 фиксировалась серия атак, в результате которых были взломаны тысячи баз данных, а за восстановление информации требовался выкуп. Причем в некоторых случаях злоумышленник просто стирал базы данных без каких-либо финансовых требований.
В ходе исследования, проведенного Flare, выяснилось, что эти атаки продолжались до настоыщего времени, но в более локальном масштабе.
Исследователи обнаружили более 208 500 общедоступных серверов MongoDB, из которых 100 000 содержат информацию об операционной деятельности, а к 3100 можно получить доступ без аутентификации.
Почти половина (45,6%) пользователей с неограниченным доступом уже были скомпрометированы к моменту проверки Flare. База данных была стерта и имелась лишь записка с требованием выкупа.
Анализ записок с требованием выкупа показал, что в большинстве из них фигурировала оплата в размере 0,005 BTC со сроком уплаты в течение 48 часов и обещаниями восстановить данные при выполнении условий. Однако каких-либо гарантий нет.
В изученных записках было обнаружено всего пять различных адресов кошельков, один из которых встречался почти в 98% случаев.
В Flare также обратили внимнание на оставшиеся уязвимые экземпляры, которые, по-видимому, не подверглись атаке, несмотря на то, что они были уязвимы и плохо защищены, предполагая, что за них, возможно, уже был выплачен выкуп злоумышленникам.
Помимо слабых мер аутентификации, исследователи также обнаружили, что почти половина (95 000) всех доступных через интернет серверов MongoDB работают на устаревших версиях, уязвимых для атак n-дневного типа. Однако потенциал большинства из них ограничивался атаками типа DoS, нежели RCE.
Flare рекомендует администраторам MongoDB избегать публичного доступа к экземплярам, если это не является абсолютно необходимым, использовать надежную аутентификацию, применять правила брандмауэра и сетевые политики Kubernetes, разрешающие только доверенные соединения, а также избегать копирования конфигураций из руководств по развертыванию.
MongoDB следует обновить до последней версии и постоянно отслеживать на предмет уязвимостей. В случае выявления - обновить учетные данные и изучить журналы на предмет несанкционированной активности.
Подкатило еще одно совместное исследование от SentinelOne, SentinelLABS и Censys, демонстрирующее масштаб угроз, связанных с внедрением ИИ с открытым исходным кодом.
Согласно результатам, «обширный неуправляемый и общедоступный уровень вычислительной инфраструктуры ИИ» охватывает 175 000 уникальных хостов Ollama в 130 странах.
Исследователи подчеркивают, что эти системы, как облачные, так и частные сети по всему миру, работают вне рамок защитных механизмов и систем мониторинга, которые поставщики платформ внедряют по умолчанию.
Подавляющее большинство уязвимостей сосредоточено в КНР, на его долю приходится чуть более 30%. К странам с наибольшей инфраструктурой относятся США, Германия, Франция, Южная Корея, Индия, Россия, Сингапур, Бразилия и Великобритания.
Почти половина наблюдаемых хостов настроена с возможностями вызова инструментов, позволяющими им выполнять код, получать доступ к API и взаимодействовать с внешними системами, что демонстрирует растущее внедрение LLM в более крупные системные процессы.
Ollama представляет собо фреймворк с открытым исходным кодом, позволяющий пользователям легко загружать, запускать и управлять большими языковыми моделями (LLM) локально в Windows, macOS и Linux.
По умолчанию сервис привязывается к адресу localhost 127.0.0[.]1:11434, но он может оказаться доступным из интернета с помощью простого изменения: настройки на привязку к 0.0.0[.]0 или публичному интерфейсу.
Ollama, как и недавно обозреваемый нами Moltbot (Clawdbot), размещается локально и работает за пределами периметра корпоративной безопасности, создавая таким образом новые вызовы по части безопасности, что, в свою очередь, требует новых подходов для защиты вычислительных ресурсов ИИ.
Среди наблюдаемых хостов более 48% рекламируют возможности вызова инструментов через свои API-интерфейсы, которые при запросе возвращают метаданные, описывающие поддерживаемые ими функции.
Вызов инструментов (или вызов функций) позволяет LLM взаимодействовать с внешними системами, API и базами данных, расширяя их возможности или получая данные в режиме реального времени.
Однако возможности вызова инструментов коренным образом меняют модель угроз. Конечная точка генерации текста может создавать вредоносный контент, а конечная точка с поддержкой инструментов - выполнять привилегированные операции.
В сочетании с недостаточной аутентификацией и уязвимостью сети - это создает, по оценке исследователей, самый высокий уровень риска в экосистеме.
Анализ также выявил хосты, поддерживающие различные режимы работы, выходящие за рамки текста, включая возможности логического мышления и визуального анализа, при этом 201 хост использовал шаблоны подсказок без цензуры и без защитных ограничений.
Открытость подвергает такие системы LLMjacking, когда ресурсы инфраструктуры LLM жертвы используются злоумышленниками в своих интересах, а жертва оплачивает все расходы.
Причем обозначенные риски теперь имею вполне практическую реализацию, если верить результатам упомянутого выше отчета Pillar Security в отношении Operation Bizarre Bazaar.
Вчера упоминали про то, как ФБР США нейтрализовала киберпреступный форум RAMP, что подтвердили сами админы форума.
Однако, как отмечает Positive Technologies в своем новом отчете, подпольные площадки постоянно меняются: одни исчезают, другие возрождаются под новыми именами и администрацией, а третьи эволюционируют в более сложные технологически структуры.
Как раз главным катализатором таких изменений выступают специальные операции силовых структур и международных правоохранительных объединений.
Важная особенность подобных форумов - высокий уровень развития технических средств защиты.
При этом каждая успешная операция правоохранителей стимулирует злоумышленников к созданию новых инструментов, архитектур и механизмов защиты.
В своем объемном исследовании Позитивы представили обзор прошлых и текущих хакерских форумов с акцентом на анализ инфраструктуры, на которой они работают, а также их экономики.
Все подробности и прогнозы развития кибекрподполья - в отчете.
Агенты ФБР и Минюста США добрались и до RAMP, одного из немногих оставшихся активных форумов в киберподполье, на котором теперь отображается соответствующее уведомление о конфискации (в Tor и на ramp4u[.]io).
Причем заголовок уведомления на сайте RAMP с надписью «ЕДИНСТВЕННОЕ МЕСТО, ГДЕ РАЗРЕШЕНЫ ПРОГРАММЫ-ВЫМОГАТЕЛИ!» также отображает подмигивающую Машу из детского мультфильма «Маша и Медведь».
Каких-либо официальных заявлений помимо размещенных на сайте от правоохранительных органов пока не последовало, но судя по фигурирующим DNS за инцидентом действительно стоят силовики.
Соответственно, можно полагать, что в руках американских спецслужб оказался значительный объем данных, связанных с пользователями форума, включая адреса электронной почты, IP, переписку и другую потенциально значимую для деанона информацию.
При этом один из предполагаемых бывших операторов RAMP, известный как Stallman, подтвердил факт изъятия данных.
MicroWorld Technologies, разработчик антивирусного решения eScan, стала жертвой атаки, в результате которой один из ее серверов был скомпрометирован и использовался для распространения вредоносных обновлений.
Пострадали клиенты, загрузили обновления из регионального кластера обновлений в течение двухчасового периода 20 января 2026 года.
Как заявляют в eScan, затронутая инфраструктура была изолирована и восстановлена, учетные данные для аутентификации были ротированы, а средства устранения неполадок предоставлены пострадавшим клиентам.
В свою очередь, исследователи Morphisec также выкатили отчет с анализом вредоносной активности, наблюдаемой на конечных устройствах клиентов, получивших вредоносные обновления через инфраструктуру eScan в тот же период времени.
Morphisec заявляет, что обнаружила вредоносную активность 20 января 2026 года и впоследствии связалась с eScan. Однако MicroWorld Technologies оспаривает утверждения Morphisec о том, что она первой обнаружила или сообщила об инциденте.
По данным eScan, компания обнаружила проблему внутри себя 20 января с помощью мониторинга и сообщений клиентов, изолировала затронутую инфраструктуру в течение нескольких часов и выпустила предупреждение о безопасности 21 января.
При этом eScan утверждает, что Morphisec связался с компанией позже, после публикации публичных заявлений об инциденте.
Компания также опровергает утверждения о том, что пострадавшие клиенты не знали о проблеме, заявляя, что она проводила упреждающие уведомления и прямое взаимодействие с пострадавшими клиентами, пока завершались работы по устранению неполадок.
В своем уведомлении eScan классифицировала атаку как инцидент доступа к конфигурации регионального сервера обновлений, который позволил разместить некорректный файл в пути распространения обновлений.
Компания подчеркнула, что инцидент не был связан с уязвимостью в самом продукте eScan.
Так или иначе, согласна бюллетеню Morphisec, вредоносное обновление распространило через легитимную инфраструктуру модифицированную версию компонента обновления eScan - Reload.exe, что привело к развертыванию многоступенчатого вредоносного ПО на корпоративных и потребительских устройствах по всему миру.
Модифицированный файл Reload.exe [VirusTotal] был подписан, по всей видимости, сертификатом подписи кода от eScan. Windows и VirusTotal в настоящее время показывают, что подпись недействительна.
По данным Morphisec, Reload.exe использовался для обеспечения постоянного присутствия в системе, выполнения команд, изменения файла HOSTS Windows для предотвращения удаленных обновлений и подключения к инфраструктуре С2 для загрузки полезных нагрузок.
Исследователи смогли задетектить следующие серверы С2: hxxps[://]vhs[.]delrosal[.]net/I, hxxps[://]tumama[.]hns[.]to, hxxps[://]blackice[.]sol-domain[.]org, hxxps[://]codegiant[.]io/dd/dd/dd[.]git/download/main/middleware[.]ts, 504e1a42.host.njalla[.]net и 185.241.208[.]115.
Последним обнаруженным вредоносным файлом оказался CONSCTLX.exe [VirusTotal], который используется в качестве бэкдора и постоянного загрузчика.
Исследователи утверждают, что вредоносные файлы создавали запланированные задачи для обеспечения постоянного присутствия в системе, используя имена типа CorelDefrag.
Morphisec на пару с eScan рекомендуют клиентам блокировать указанные выше серверы С2.
Кроме того, eScan выкатила обновление для устранения неполадок, которое клиенты могут запустить для выполнения следующих действий.
В общем, для клиентов MicroWorld Technologies подобный инцидент случается не в первый раз, ранее в 2024 году северокорейские хакеры уже задействовали механизм обновления антивируса eScan для внедрения бэкдоров в корпоративные сети.
👨💻 Security Certification Roadmap.
• Нашел очень крутой Roadmap по сертификации в ИБ! За основу этой карты был взят проект "Security Certification Roadmap", которым я делился еще в 2022 году.
• Помимо актуальности, красоты и разбивки по уровням (для начинающих, опытных и экспертов) есть еще куча разных фишек:
➡Присутствует возможность сравнения сертификаций между собой.
➡Есть фильтр по вендорам и цене в разной валюте.
➡У каждой сертификации есть подробное описание.
• На данный момент Roadmap содержит 351 сертификат / 57 вендоров. Изучаем по ссылке ниже:
➡ https://dragkob.com/security-certification-roadmap
➡ https://github.com/Security-Certification-Roadmap
S.E. ▪️ infosec.work ▪️ VT
Shadowserver задетектила более 6000 серверов SmarterMail в открытом доступе в сети, которые, по всей видимости, остается уязвимыми для атак с использованием критической уязвимости обхода аутентификации.
Исследователи watchTowr уведомили о выявленной уязвимости разработчика SmarterTools 8 января, после чего 15 января поставщик выпустил исправление, не присвоив ошибке никакого идентификатора.
Впоследствии уязвимости был присвоен CVE-2026-23760 и критическая степень серьезности, поскольку она позволяет неавторизованным злоумышленникам захватывать учетные записи администраторов, получать доступ к RCE на хосте и контроль над уязвимыми серверами.
При этом согласно добавленному в четверг в базу NIST сообщению, все версии SmarterMail, предшествующие сборке 9511, содержат уязвимость обхода аутентификации в API сброса пароля.
Конечная точка принудительного сброса пароля разрешает анонимные запросы и не проверяет существующий пароль или токен при сбросе учетных записей системных администраторов.
Неаутентифицированный злоумышленник может предоставить имя пользователя целевого администратора и новый пароль для сброса учетной записи, что приведет к полной компрометации административной части экземпляра SmarterMail.
watchTowr обнаружила эту уязвимость спустя две недели после обнаружения другой критической уязвимости предварительной аутентификации в SmarterMail (CVE-2025-52691), которая позволяет злоумышленникам удаленно выполнять код на незащищенных серверах.
Из 6000 серверов SmarterMail, помеченных как «вероятно уязвимые» для продолжающихся атак CVE-2026-23760 более 4200 дислоцированы в Северной Америке и почти 1000 - в Азии.
В свою очередь, исследователь Macnica Ютака Седжияма также представил результаты своего сканирования, согласно которым уязвимыми для атак CVE-2026-23760 остаются более 8550 экземпляров SmarterMail.
В общем, назревает очередная масштабная атака на цепочку мудаков, ведь для CVE-2026-23760 доступен эксплойт, чем киберподполье уже воспользовалось в реализации реальных атак, начиная с 21 января (если верить сообщениям watchTowr и Huntress).
Будем следить.
Исследователи Лаборатории Касперского сообщают о новых похождениях китайской APT-группы HoneyMyte (Mustang Panda и Bronze President), в арсенале которой были замечены новые версии вредоносного ПО.
Ее кампании затрагивают Европу и Азию, при этом особое внимание уделяется Юго-Восточной Азии, а основными целями являются государственные организации.
Как и другие APT-группы, HoneyMyte использует ряд сложных инструментов, включая бэкдоры ToneShell и CoolClient, USB-черви Tonedisk и SnakeDisk, а также другие зловреды.
В 2025 году группа продолжила обновлять арсенал: добавила новые функции в бэкдор CoolClient, развернула несколько вариантов браузерного стилера и применяла различные скрипты для разведки и кражи данных.
CoolClient используется Mustang Panda с 2022 года в качестве вторичного бэкдора наряду с PlugX и LuminousMoth. Обновленный вариант способен красть данные для входа в браузеры и отслеживать содержимое буфера обмена.
По данным ЛК, вредоносная ПО также использовалась для распространения ранее неизвестного руткита. Однако технический анализ будет представлен в будущем отчете.
Новый CoolClient был детектирован в атаках на госструктуры в Мьянме, Монголии, Малайзии, России и Пакистане, где был развернут с помощью легитимного ПО от китайской Sangfor.
Ранее операторы CoolClient запускали вредоносное ПО путем установки DLL-файлов, используя подписанные бинарные файлы от Bitdefender, VLC Media Player и Ulead PhotoImpact.
CoolClient использует зашифрованные файлы .DAT в многоэтапном режиме выполнения и обеспечивает постоянное присутствие в системе за счет изменений в реестре, добавления новых служб Windows и запланированных задач, поддерживая обход UAC и EoP.
Основные функции CoolClient интегрированы в DLL-библиотеку, встроенную в файл main.dat. При запуске программа сначала проверяет, включены ли кейлоггер, программа для кражи буфера обмена и программа для перехвата учетных данных HTTP-прокси.
Основные функции вредоносной ПО включают: профилирование системы и пользователя, файловые операции, перехват нажатий клавиш, TCP-туннелирование, обратное проксирование и выполнение динамически загружаемых плагинов в оперативной памяти.
Причем все они доступны как в старых, так и в новых версиях, но в самых последних вариантах они достаточно усовершенствованы.
Уникальными новыми функциями последней версии CoolClient являются: модуль мониторинга буфера обмена, возможность отслеживания заголовков активных окон и перехват учетных данных HTTP-прокси на основе анализа необработанных пакетов и извлечения заголовков.
Кроме того, экосистема плагинов была расширена за счет внедрения специального плагина удаленной оболочки, плагина управления службами и более функционального плагина управления файлами.
Плагин управления службами позволяет операторам сканировать, создавать, запускать, останавливать, удалять и изменять конфигурацию запуска служб Windows, а плагин управления файлами предоставляет расширенные возможности работы с файлами, включая анализ дисков, поиск файлов, сжатие ZIP-архивов, сопоставление сетевых дисков и выполнение файлов.
Функциональность удаленной оболочки реализована с помощью отдельного плагина, который запускает скрытый процесс cmd.exe и перенаправляет его стандартный ввод и вывод через каналы, обеспечивая интерактивное выполнение команд по каналу C2.
Новинкой в работе CoolClient является использование инфостиллеров для сбора данных для входа в систему из браузеров.
В ЛК задокументировали три различных семейства ПО, нацеленных на Chrome (вариант A), Edge (вариант B) и более универсальный вариант C, нацеленный на любой Chromium-браузер.
Еще одно заметное изменение в операционной деятельности заключается в том, что кража данных из браузера и документов теперь реализуется через жестко закодированные токены API для легитимных общедоступных сервисов, Google Drive или Pixeldrain.
Технический разбор и подробности - в отчете.
Медленно накрывающая мир технологическая сегментация вынуждает правительства помимо локализации инфраструктуры и софта расширять свое влияние внутри создаваемых кластеров.
Вслед за немецкими спецслужбами новыми более широкими полномочиями обзавелись их коллеги в Ирландии, чиновники которой инициировали продвижение нового всеобъемлющего «Закона о связи».
Согласно задумки местных законодателей, новый нормативный акт существенно расширит возможности государства по контролю всех форм цифровых коммуникаций, включая зашифрованные сообщения, данные IoT, электронную почту и мессенджеры.
Помимо этого, по предложению министра юстиции, внутренних дел и миграции Джима О'Каллагана будет создана правовая база для легального использования spyware и мониторинга мобильных устройств. Безусловно, все это под соусом борьбы с киберпреступностью.
Согласно заявлению Минюста, обновленная законодательная система направлена на приведение полномочий по перехвату информации в соответствие с технологическими реалиями и угрозами безопасности XXI века, заменяя Закон о регулировании перехвата почтовых отправлений и телекоммуникационных сообщений 1993 года, который был разработан для стационарной и почтовой связи.
Работа над общей концепцией законопроекта уже ведется в сотрудничестве с генпрокуратурой, заинтересованными ведомствами и госорганами, запланированы общественные слушания.
Предложенный законопроект при этом обязывает спецслужбы запрашивать судебные разрешения на проведение соответствующих мероприятий. Ранее запросы на перехват санционирвались исключительно министром.
Ключевым спорным моментом, как в аналогичных законопроектах по всей Европе, является использование шпионского ПО.
По этой части министр сослался на доклад Венецианской комиссии 2024 года под названием «Доклад о регулировании шпионского программного обеспечения в соответствии с принципами верховенства права и прав человека», указав, что «конфиденциальность, цифровая безопасность и правовая соразмерность будут центральными факторами при внедрении этой технологии в Ирландии».
Правда, конкретные детали не разглашаются и находятся еще на стадии прорабатки.
Тем не менее, О’Каллаган заверил, что законопроект обеспечит баланс между сбором развединформации и защитой конфиденциальности, подчеркнув, что любое вмешательство спецслужб должно быть «необходимым и соразмерным» и подлежать независимому надзору.
В свою очередь, гражданское общество в Европе придерживается противоположного мнения в этом вопросе.
В частности, Европейская организация по защите цифровых прав (EDRi) даже запустила специальный ресурс для отслеживания злоупотреблений шпионским ПО, продвигая полный запрет таких технологий на всей территории ЕС.
Инициатива появилась на фоне растущей обеспокоенности по поводу нормализации использования коммерческого шпионского ПО как минимум в 14 странах-членах ЕС, которые в большинстве случаев применяются в угоду политическим интересам действующих властей.
Так или иначе, в условиях сегментации тотализация контроля, как показывает практика, становится неизбежной, а поставщики spyware из изгоев превращаются в стратегических подрядчиков для Большого брата.