Forwarded from SecuriXy.kz
CrowdStrike-2026-Global-Threat-Report.pdf
15.5 MB
Вышел свежий CrowdStrike 2026 Global Threat Report - "Year of the Evasive Adversary".
Кому сложно многабукафф - вот ключевое:
Скорость атак зашкаливает - среднее время breakout упало до 29 минут (было 48 в 2024), рекорд - 27 секунд. CHATTY SPIDER начинал эксфильтрацию через 4 минуты после первичного доступа.
82% детектов - без малвари. Атакующие работают через валидные учетки, легитимные инструменты и доверенные процессы.
AI в арсенале атакующих - рост атак с использованием ИИ на 89% год к году. FANCY BEAR встроил LLM (Qwen через Hugging Face API) прямо в малварь LAMEHUG для разведки и сбора данных. PUNK SPIDER генерит скрипты через Gemini и DeepSeek. Через npm-пакеты атакующие заставляли локальные CLI-тулы Claude и Gemini на машинах жертв генерировать команды для кражи кред.
Китай наращивает темп - +38% активности, эксплуатация свежих CVE за 2-3 дня после публикации. 40% эксплуатируемых уязвимостей - edge-устройства (VPN, файрволы, шлюзы). WARP PANDA сидел в инфре 22 месяца.
Supply chain - PRESSURE CHOLLIMA (КНДР) украли $1.46 млрд крипты через компрометацию Safe{Wallet}. Через npm распространяли самораспространяющийся стилер ShaiHulud (690 скомпрометированных пакетов).
Ransomware - PUNK SPIDER самый активный (198 инцидентов, +134%). SCATTERED SPIDER обходит EDR через неуправляемые VM, монтируя VMDK контроллера домена. Fake CAPTCHA-приманки выросли на 563%.
Облака под прицелом - +37% cloud-атак, +266% от state-nexus групп. Valid account abuse - 35% облачных инцидентов. COZY BEAR абьюзит легитимные OAuth-потоки Entra ID.
Всего CrowdStrike трекает 281 группировку, 24 новых в 2025 году.
Кому сложно многабукафф - вот ключевое:
Скорость атак зашкаливает - среднее время breakout упало до 29 минут (было 48 в 2024), рекорд - 27 секунд. CHATTY SPIDER начинал эксфильтрацию через 4 минуты после первичного доступа.
82% детектов - без малвари. Атакующие работают через валидные учетки, легитимные инструменты и доверенные процессы.
AI в арсенале атакующих - рост атак с использованием ИИ на 89% год к году. FANCY BEAR встроил LLM (Qwen через Hugging Face API) прямо в малварь LAMEHUG для разведки и сбора данных. PUNK SPIDER генерит скрипты через Gemini и DeepSeek. Через npm-пакеты атакующие заставляли локальные CLI-тулы Claude и Gemini на машинах жертв генерировать команды для кражи кред.
Китай наращивает темп - +38% активности, эксплуатация свежих CVE за 2-3 дня после публикации. 40% эксплуатируемых уязвимостей - edge-устройства (VPN, файрволы, шлюзы). WARP PANDA сидел в инфре 22 месяца.
Supply chain - PRESSURE CHOLLIMA (КНДР) украли $1.46 млрд крипты через компрометацию Safe{Wallet}. Через npm распространяли самораспространяющийся стилер ShaiHulud (690 скомпрометированных пакетов).
Ransomware - PUNK SPIDER самый активный (198 инцидентов, +134%). SCATTERED SPIDER обходит EDR через неуправляемые VM, монтируя VMDK контроллера домена. Fake CAPTCHA-приманки выросли на 563%.
Облака под прицелом - +37% cloud-атак, +266% от state-nexus групп. Valid account abuse - 35% облачных инцидентов. COZY BEAR абьюзит легитимные OAuth-потоки Entra ID.
Всего CrowdStrike трекает 281 группировку, 24 новых в 2025 году.
www.opennet.ru
Решено возобновить разработку LibreOffice Online, серверной версии для Web
Совет директоров организации The Document Foundation, курирующей офисный пакет LibreOffice, утвердил возобновление разработки проекта LibreOffice Online, позволяющего организовать удалённую работу с офисным пакетом через Web. LibreOffice Online имеет клиент…
🔗Ссылка:
https://opennet.ru/64868/
https://opennet.ru/64868/
Forwarded from RedBlue Notes
Как хакеры читают переписку в Telegram, даже если включена двухфакторка
Это база😑
Двухфакторка затрудняет взлом, но её можно обойти социальными хитростями. Любимая схема мошенников, выманить одноразовый код 2FA у жертвы. Для этого применяют специальные OTP-боты, которые звонят жертве, выдавая себя за службу поддержки банка или Telegram. В разговоре «бот» просит ввести код, пришедший по SMS, прямо по телефону. Когда жертва печатает код, он передаётся злоумышленнику через Telegram-бот. После этого преступник получает доступ к учётной записи жертвы и может читать её переписку. Такие сервисы продаются в Telegram по подписке (смети $400/неделю) и требуют от атакующего лишь логин, пароль, номер жертвы и сценарий разговора.
Кроме звонков, есть схожая схема через фишинговые боты. Так, эксперты F6 описали Telegram-бота, обещающего "обойти замедление" мессенджера: жертве предлагают нажать кнопку "Не робот" и ввести код, якобы присланный ботом. На деле это авторизационный код Telegram. Если пользователь вводит его на фишинговой форме, а облачный пароль не включён, злоумышленник мгновенно получает полный доступ к аккаунту. Аналогичным образом работают рассылки "подарков Premium" и другие фейки: они ведут на поддельные страницы или ботов, где выдают себя за Telegram и выманивают код из SMS. Даже если у вас включен 2FA, никогда нельзя сообщать код из SMS или иного мессенджера.
Поддельные Telegram Web-клиенты💄
Мини‑приложения Telegram. К примеру, в 2026 году появились фейковые сообщения "Чат переезжает на новый сервер" с приглашением "подтвердить, что вы не робот". По ссылке открывался вредоносный мини‑бот: вместо реальной капчи он просил ввести цифровой код, отправленный Telegram. Этот код на самом деле является кодом авторизации вашего аккаунта. Если жертва вводит его без дополнительной защиты аккаунта, злоумышленник получает привязку учётки к своему устройству и полный доступ к переписке. Такое мини-приложение скрыто в рамках самого Telegram.
Захват сессии🧛
Если атакующий похищает ключи сессии, ему не нужны пароли и коды, аккаунт авторизуется мгновенно. Наиболее опасен хак через Telegram Desktop и другие клиенты. На компьютере Telegram хранит все сессионные данные в папке TData. Там лежат файлы, позволяющие войти в аккаунт без ввода пароля или 2FA. Если злоумышленник заведёт на ваш ПК троян или вы сами запустите вредоносный файл, он может незаметно скопировать вашу папку TData. Затем на своём компьютере хакер подсовывает эти файлы Telegram Desktop и получает полный доступ ко всем вашим чатам, контактам и файлам.
Вредоносные Telegram-боты🐍
В Telegram регулярно появляются боты, которые предлагают скачать удалённые приложения из Google Play или восстановить недоступные APK, но на деле подсовывают троянские сборки. Пользователь получает якобы оригинальный установщик, разрешает установку из неизвестных источников и сам запускает вредонос. Внутри таких файлов нередко оказывается банковский троян Mamont, который перехватывает SMS-коды, push-уведомления и данные из приложений.
Внимательность🤥
В большинстве случаев взлом происходит не из-за сложных эксплойтов, а из-за невнимательности и сильной социальной инженерии. Истории с редкими CVE и специнструментами существуют, но массовые компрометации обычно начинаются с доверия и одного лишнего клика.
10 лайков и разберём, как ломают Telegram-ботов🤝
Подписывайтесь на канал
Пост имеет ознакомительный характер и предназначена для специалистов по безопасности. Автор и редакция не несут ответственности за любой вред, причиненный с применением изложенной информации. Распространение вредоносных программ, нарушение работы систем и нарушение тайны переписки преследуются по закону
Эта статья не о том, что Telegram это зло. Любая среда где общаются люди может стать площадкой для обмана. Схема всегда подстраивается под ситуацию и используемый ресурс. Сегодня это мессенджер, вчера была почта, завтра будет другая платформа. Механика остается прежней и строится на доверии и невнимательности. Вас точно так же могут обмануть в кофейне или в продуктовом магазине. Меняется инструмент, но не принцип.
Это база
Двухфакторка затрудняет взлом, но её можно обойти социальными хитростями. Любимая схема мошенников, выманить одноразовый код 2FA у жертвы. Для этого применяют специальные OTP-боты, которые звонят жертве, выдавая себя за службу поддержки банка или Telegram. В разговоре «бот» просит ввести код, пришедший по SMS, прямо по телефону. Когда жертва печатает код, он передаётся злоумышленнику через Telegram-бот. После этого преступник получает доступ к учётной записи жертвы и может читать её переписку. Такие сервисы продаются в Telegram по подписке (смети $400/неделю) и требуют от атакующего лишь логин, пароль, номер жертвы и сценарий разговора.
Кроме звонков, есть схожая схема через фишинговые боты. Так, эксперты F6 описали Telegram-бота, обещающего "обойти замедление" мессенджера: жертве предлагают нажать кнопку "Не робот" и ввести код, якобы присланный ботом. На деле это авторизационный код Telegram. Если пользователь вводит его на фишинговой форме, а облачный пароль не включён, злоумышленник мгновенно получает полный доступ к аккаунту. Аналогичным образом работают рассылки "подарков Premium" и другие фейки: они ведут на поддельные страницы или ботов, где выдают себя за Telegram и выманивают код из SMS. Даже если у вас включен 2FA, никогда нельзя сообщать код из SMS или иного мессенджера.
Поддельные Telegram Web-клиенты
Мини‑приложения Telegram. К примеру, в 2026 году появились фейковые сообщения "Чат переезжает на новый сервер" с приглашением "подтвердить, что вы не робот". По ссылке открывался вредоносный мини‑бот: вместо реальной капчи он просил ввести цифровой код, отправленный Telegram. Этот код на самом деле является кодом авторизации вашего аккаунта. Если жертва вводит его без дополнительной защиты аккаунта, злоумышленник получает привязку учётки к своему устройству и полный доступ к переписке. Такое мини-приложение скрыто в рамках самого Telegram.
Захват сессии
Если атакующий похищает ключи сессии, ему не нужны пароли и коды, аккаунт авторизуется мгновенно. Наиболее опасен хак через Telegram Desktop и другие клиенты. На компьютере Telegram хранит все сессионные данные в папке TData. Там лежат файлы, позволяющие войти в аккаунт без ввода пароля или 2FA. Если злоумышленник заведёт на ваш ПК троян или вы сами запустите вредоносный файл, он может незаметно скопировать вашу папку TData. Затем на своём компьютере хакер подсовывает эти файлы Telegram Desktop и получает полный доступ ко всем вашим чатам, контактам и файлам.
Вредоносные Telegram-боты
В Telegram регулярно появляются боты, которые предлагают скачать удалённые приложения из Google Play или восстановить недоступные APK, но на деле подсовывают троянские сборки. Пользователь получает якобы оригинальный установщик, разрешает установку из неизвестных источников и сам запускает вредонос. Внутри таких файлов нередко оказывается банковский троян Mamont, который перехватывает SMS-коды, push-уведомления и данные из приложений.
Внимательность
В большинстве случаев взлом происходит не из-за сложных эксплойтов, а из-за невнимательности и сильной социальной инженерии. Истории с редкими CVE и специнструментами существуют, но массовые компрометации обычно начинаются с доверия и одного лишнего клика.
10 лайков и разберём, как ломают Telegram-ботов
Подписывайтесь на канал
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
www.opennet.ru
Атака AirSnitch, позволяющая обойти изоляцию между клиентами в Wi-Fi
Исследователи из Калифорнийского университета в Риверсайде разработали (PDF) новый класс атак на беспроводные сети - AirSnitch. Атаки дают возможность обойти механизмы изоляции клиентов в Wi-Fi сети, не позволяющие клиентам напрямую обращаться друг к другу.…
🔗Ссылка:
https://opennet.ru/64881/
https://opennet.ru/64881/
Forwarded from Похек (Сергей Зыбнев)
Malware через GitHub Fork: разбор форка Triton
#malware #supplychain #github #reversing
Вредоносный форк macOS-приложения Triton на GitHub. Атакующий подменил все download-ссылки в README на ZIP с Windows-малварью, замаскированный под Xcode-ассет. VT: 12/66.
Цепочка:
C2: domain fronting через
Почему провалилось:
➡️ Windows-малварь для macOS-аудитории
➡️ Нишевое приложение с нулевой базой
➡️ Репозиторий затегирован словом "malware"
Бинарник сделан толково, а стратегия провалена. Похожие форки нашлись в сотнях репозиториев - кампания работает минимум год.
🔗 Полный разбор в blog.poxek
🌚 @poxek | 📲 MAX |🌚 Блог | 📺 YT | 📺 RT | 📺 VK
#malware #supplychain #github #reversing
Вредоносный форк macOS-приложения Triton на GitHub. Атакующий подменил все download-ссылки в README на ZIP с Windows-малварью, замаскированный под Xcode-ассет. VT: 12/66.
Цепочка:
7za.exe с паролем infected -> batch-скрипт -> LuaJIT (редкий движок, AV его почти не детектят).C2: domain fronting через
officeapps.live.com, геолокация через ip-api.com, blockchain dead drop через Polygon RPC.Почему провалилось:
Бинарник сделан толково, а стратегия провалена. Похожие форки нашлись в сотнях репозиториев - кампания работает минимум год.
Please open Telegram to view this post
VIEW IN TELEGRAM