ОЧЕНЬ ВАЖНЫЙ ПОСТ ДЛЯ ТЕХ КТО СОЗДАЕТ ТЕЛЕГРАМ БОТОВ

💻🦠 Вредоносные расширения в VS Code воруют всё: код, пароли, скриншоты, WiFi

Исследователи Koi Security обнаружили два вредоносных расширения в Microsoft Visual Studio Code Marketplace, маскирующихся под premium dark theme и AI-помощник для кодинга.

Вредоносные расширения:
🎨 BigBlack.bitcoin-black (16 установок) — удалено Microsoft 5 декабря 2025
🤖 BigBlack.codo-ai (25 установок) — удалено Microsoft 8 декабря 2025

Что крали:
💾Ваш код — все файлы проектов
📧 Email-переписка
💬Slack DMs — корпоративные переписки
📸 Скриншоты — всё, что на экране
🔐 WiFi пароли
📋 Clipboard — всё, что копируете
🌐 Browser sessions — перехват сессий
Всё отправлялось на сервер злоумышленников в реальном времени.

Как работало:
Расширение маскировалось под легитимное (dark theme или AI coding assistant)
После установки загружало дополнительные payloads
Делало скриншоты экрана каждые N секунд
Перехватывало данные из буфера обмена
Крало WiFi credentials из системы
Перехватывало browser sessions для account takeover

Цитата эксперта Koi Security:
"Ваш код. Ваши email. Ваши Slack DM. Что угодно на вашем экране — они это видят. И это только начало. Также крадёт WiFi пароли, читает буфер обмена и перехватывает browser sessions."

Почему это опасно:
🚨 Разработчики — высокоценная цель: доступ к репозиториям, production credentials, корпоративным системам
🚨 VS Code Marketplace плохо модерируется — вредоносы живут днями/неделями
🚨 41 установка = минимум 41 скомпрометированная машина, возможно — целые компании
🚨 Похожая атака на npm packages в июле 2025 (colortoolsv2, mimelib2) — это становится трендом

Исторический контекст:
Это не первый случай. В 2025 году:
ShadyPanda превратил browser extensions с 4.3M установок в spyware
Северная Корея использует GitHub для распространения BeaverTail через фейковые проекты
Supply chain атаки через IDE-расширения растут экспоненциально

Что делать прямо сейчас:
✅ Немедленно проверьте установленные расширения в VS Code
✅ Удалите расширения от неизвестных авторов с малым количеством установок
✅ Перед установкой: проверяйте автора, количество установок, отзывы, дату последнего обновления
✅ Минимум расширений: устанавливайте только необходимое
✅ Используйте проверенные расширения от Microsoft, GitHub, крупных компаний
✅ Ротируйте все пароли и токены если установили подозрительные расширения
✅ Проверьте активные sessions в GitHub, GitLab, AWS, GCP и отзовите подозрительные
✅ Смените WiFi пароли
✅ Включите 2FA везде

Признаки вредоносных расширений:
🚩 Подозрительно мало установок (<100)
🚩 Новый автор без истории
🚩 Запрашивает слишком много permissions
🚩 Недавно создано, но обещает "премиум функции"
🚩 Нет исходного кода на GitHub
🚩 Странные отзывы или их полное отсутствие

💬 Для компаний: Внедрите whitelist разрешённых расширений для разработчиков. Один скомпрометированный developer = компрометация всего репозитория.

🔄 Разошли в команду разработки: Проверьте установленные расширения ПРЯМО СЕЙЧАС.

#VSCode #Malware #SupplyChain #Разработка #Кибербезопасность #Stealer #IDE #Microsoft

☁️ NANOREMOTE: китайские хакеры управляют бэкдором через Google Drive APIElastic Security Labs обнаружила изощрённый Windows-бэкдор NANOREMOTE, который использует Google Drive API для управления вместо традиционных C2-серверов. Малварь связана с китайской APT-группой REF7707 (Earth Alux, Jewelbug).

Что это такое:NANOREMOTE — полнофункциональный бэкдор на C++, который маскирует своё C2-управление под легитимный трафик Google Drive. Это делает его почти невидимым для традиционных систем обнаружения.Как работает атака:

Этап 1: Доставка
Загрузчик WMLOADER маскируется под легитимный файл Bitdefender (BDReinit.exe) с недействительной подписью
После запуска выделяет память через VirtualAlloc/VirtualProtect
Расшифровывает shellcode методом rolling XOR

Этап 2: Установка
Shellcode ищет зашифрованный файл wmsetup.log
Расшифровывает AES-CBC ключом 3A5AD78097D944AC
Загружает NANOREMOTE напрямую в память (fileless)

Этап 3: Управление через Google Drive
Использует OAuth 2.0 токены для аутентификации
Обращается к /drive/v3/files endpoint — выглядит как обычный юзер Google Drive
Конфигурация через pipe-separated формат с множественными client ID и refresh tokens
Альтернатива: переменная окружения NR_GOOGLE_ACCOUNTS

Этап 4: Локальный C2
Параллельно коннектится к hardcoded non-routable IP через HTTP POST
JSON-данные сжаты Zlib + зашифрованы AES-CBC ключом 558bec83ec40535657833d7440001c00
User-Agent: NanoRemote/1.0
URI: /api/client

22 команды-обработчика:
📊 Разведка: сбор информации о хосте, дисках
📁 Файловые операции: список, перемещение, удаление, создание директорий
⚡️ Выполнение: запуск PE-файлов с диска или из памяти, выполнение команд
📤 Передача файлов: загрузка/скачивание через Google Drive с очередью задач
⏸️ Управление задачами: пауза, возобновление, отмена передач
🧹 Очистка: очистка кэша, самоуничтожениеПочему это опасно:
❌ Маскировка под легитимный трафик — HTTPS к Google Drive выглядит абсолютно нормально
❌ OAuth 2.0 — невозможно отличить от реального пользователя
❌ Fileless execution — не оставляет следов на диске
❌ Двойной C2 — Google Drive + локальный IP для резервирования
❌ Система очередей — управление сложными операциями передачи данных
❌ API hooking — использует Microsoft Detours для перехвата терминации процессов
❌Custom PE loader — загружает модули напрямую в память через libPeConv

Связь с FINALDRAFT:
✅ Elastic обнаружила файл wmsetup.log из Филиппин (3 октября 2025) — расшифровывается тем же ключом
✅ Внутри оказался FINALDRAFT implant (использует Microsoft Graph API вместо Google Drive)
✅ Общая кодовая база и среда разработки
✅ Оба связаны с REF7707 (китайская APT)Кто под прицелом:Группа REF7707 атакует с марта 2023:

Правительственные учреждения
Оборонные подрядчики
Телеком компании
Образовательные учреждения
Авиационные организации
Юго-Восточная Азия, Южная Америка, Россия (5-месячная инфильтрация IT-компании в октябре 2025)

Что делать:
✅ Мониторьте трафик к Google Drive API от системных процессов
✅ Детектируйте правило Elastic: "Connection to Commonly Abused Webservices"
✅ Ищите подозрительные процессы: BDReinit.exe, файлы Trend Micro с недействительной подписью
✅ Проверяйте shellcode injection alerts
✅ Используйте YARA правила от Elastic (опубликованы)
✅ Behavioral detection > signature-based (payload меняется динамически)
✅ Сканируйте память на признаки PE loading из base64
✅ Ротируйте OAuth токены если подозреваете компрометацию

💬 Тренд: Хакеры всё чаще используют легитимные cloud API для C2 — Google Drive, Microsoft Graph, Dropbox. Традиционные firewall правила бессильны когда трафик выглядит как работа обычного пользователя с облаком.

🔥 Для SOC: Комбинируйте network detection (необычные API-паттерны) + endpoint detection (shellcode injection, PE loading) + behavioral analytics.

#NANOREMOTE #APT #Китай #GoogleDrive #C2 #Бэкдор #REF7707 #EarthAlux #Кибершпионаж #Elastic

🔺🔺🔺🔺🔺🔺🔺

⚠️ Давайте пообщаемся, готов ответить на вопросы и поговорить о жизни, о блокировках, обо всем насущном. 🚨💡

✉️ Играем сегодня в Хогвартс. Наследие. ⚠️
🚨 ПОДПИШИСЬ НА ТВИЧ! ТЕПЕРЬ СТРИМЫ СТАНУТ РЕГУЛЯРНЫМИ 🚨

https://www.twitch.tv/ilya_rublev
https://www.youtube.com/@RublevGame/streams

P.S. Чат на ютубе не работает, плагин его не цепляет, из за блокировок РКН в теории, я конечно буду периодически чекать ютуб, но не гарантирую что прочту ваш вопрос, поэтому лучше твич, там чат на стриме даже показывается, жду всех!
https://www.twitch.tv/ilya_rublev

🎭📧 GhostFrame: новый фишинг-кит провёл 1 миллион атак за 3 месяца

Barracuda обнаружила новый PhaaS (Phishing-as-a-Service) кит GhostFrame — с сентября 2025 он спровоцировал более 1 миллиона фишинговых атак. Главная особенность: весь вредонос спрятан внутри iframe.

Как работает:

Этап 1: Фишинговое письмо

Темы меняются динамически:
"Secure Contract & Proposal Notification"
"Annual Review Reminder"
"Invoice Attached"
"Password Reset Request"

Этап 2: Двухслойная архитектура

Слой 1 — Внешняя страница (Primary):

Выглядит абсолютно безобидно
Без типичных фишинговых маркеров
Базовая обфускация для сокрытия цели
Генерирует уникальный поддомен для каждой жертвы: ****************.spectrel-a.biz

Слой 2 — Вредоносный iframe (Secondary):

Весь фишинговый функционал внутри iframe
Формы входа встроены как BLOB-URI изображения вместо HTML-форм
Статические сканеры не видят стандартные form elements

Почему это опасно:
🎯Динамические поддомены — каждая жертва получает уникальный URL, pattern-based detection бессилен
🎯 BLOB-URI login screens — форма входа Microsoft 365/Google встроена как изображение внутри функции image-streaming
🎯 Rotation во время сессии — может менять поддомены даже пока жертва на странице
🎯 Hard-coded fallback iframe — если JavaScript заблокирован, есть резервный iframe снизу страницы
🎯 Анти-анализ: блокирует F12, правый клик, Ctrl/Cmd комбинации, Enter

Коммуникация между iframe и parent:
Использует window.postMessage для:

Смены title родительской страницы: "Sign in to your account"
Подмены favicon под бренд (Microsoft, Google)
Редиректа top-level окна браузера на другой домен
Ротации поддоменов для уклонения от детекции

Две версии кита:
Obfuscated variant — код читать невозможно
Non-obfuscated variant — с комментариями разработчика (чаще встречалась в ранних атаках)
Целевые бренды:
Microsoft 365, Google Workspace — основные мишени

Что делать:
✅ Email security gateways: детектировать подозрительные iframe в HTML-письмах
✅ Web filters: блокировать доступ к динамически генерируемым поддоменам
✅ Website controls: ограничить неавторизованное встраивание iframe
✅ Регулярный vulnerability scanning на iframe injection
✅ Мониторинг веб-трафика на необычные редиректы и embedded content
✅ Браузеры: принудительно обновлять
✅ Обучение сотрудников: всегда проверять URL перед вводом credentials
✅ Репортить подозрительный embedded content

Для разработчиков:
Внедрите Content Security Policy (CSP):

Content-Security-Policy: frame-ancestors 'none'
Это запретит встраивание вашего сайта в iframe на чужих доменах.

💬 Тренд PhaaS: GhostFrame — пример эволюции PhaaS-китов. Разработчики инновируют не только в email-шаблонах, но и в веб-архитектуре (iframe abuse, BLOB-URI, dynamic subdomains).

🔥 Цитата Barracuda: "Это первый раз, когда мы видим целый фишинг-фреймворк, построенный вокруг техники iframe. Пока злоупотребление iframe не ново, масштаб и организация GhostFrame беспрецедентны."

🔄 Проверьте корпоративную почту: Если видели письма с темами выше — не открывайте, сообщите в Security.

#GhostFrame #Фишинг #PhaaS #iframe #Microsoft365 #Google #Кибербезопасность #EmailSecurity #Barracuda

🚨 Инкогнито — это фикция. 💡

Пока вы думаете 💡, что спрятались, ваш браузер любезно сливает трекерам вашу видеокарту, разрешение экрана и аудио-драйверы.
🚨 Новое видео на канале. Разбираем технологию Fingerprinting: как формируется ваш уникальный цифровой отпечаток и почему VPN вас не спасет. Технический детектив и суровая реальность инфобеза.

Смотреть обязательно: 👉 https://www.youtube.com/watch?v=i9n_DtYxuCI

🚨 Инфографика для видео про режим ИНКОГНИТО ‼️

🚨 Дания берет VPN под прицел: борьба с пиратством или шаг к цензуре?

💡 Европейские регуляторы продолжают искать способы контроля над трафиком. На этот раз отличилась Дания, где предложили обновить законы об авторском праве, включив туда регулирование VPN.

🖥 Суть инициативы: Власти хотят ограничить использование VPN для доступа к нелегальному контенту (в первую очередь — спортивным трансляциям и IPTV). Текущие законы, ориентированные на «пиратские декодеры», устарели, поэтому предлагается сделать нормы «технологически нейтральными».

Что это значит для ИБ и привата:
🔻 Размытые формулировки. Законопроект написан максимально широко, чтобы охватить и будущие технологии обхода блокировок.
🔻Риск Abuse. Эксперты опасаются, что под предлогом борьбы с пиратами могут пострадать законные инструменты для защиты конфиденциальности.
🔻 Позиция властей. Министр культуры Якоб Энгель-Шмидт уверяет, что само использование VPN криминализировать не будут — цель только в блокировке нелегальных стримов.

Почему это важно? Это очередной сигнал в общем тренде ЕС на деанонимизацию (вспомните Chat Control). Если прецедент будет создан, провайдеров VPN могут обязать фильтровать трафик или сдавать пользователей, что убивает саму суть технологии.

👀 Наблюдаем, как «борьба за авторские права» превращается в инструмент контроля сети.

#VPN #Privacy #Дания #Законы #InfoSec #Цензура

Notepad++ - компрометация updater

📝🦠 Notepad++: хакеры из Китая использовали уязвимость в updater для установки малвари

🚨 Разработчики Notepad++ экстренно выпустили версию 8.8.9 после серии инцидентов, когда updater WinGUp загружал вредоносные исполняемые файлы вместо легитимных обновлений.

💡 Что произошло:
Хакеры эксплуатировали уязвимость в механизме обновления Notepad++ (WinGUp), перехватывая network-трафик и подсовывая малварь под видом официальных обновлений.

Первые признаки:
Пользователь на форуме Notepad++ сообщил:

GUP.exe (WinGUp) запустил неизвестный %Temp%\AutoUpdater.exe
Малварь выполнила reconnaissance команды:
cmdcmd /c netstat -ano >> a.txt
cmd /c systeminfo >> a.txt
cmd /c tasklist >> a.txt
cmd /c whoami >> a.txt
Файл a.txt выгружен на temp[.]sh через curl.exe
Как работала атака:
Man-in-the-Middle (MitM):
WinGUp проверяет версию: https://notepad-plus-plus.org/update/getDownloadUrl.php
Хакеры перехватывают трафик между клиентом и update-сервером
Перенаправляют на вредоносный сервер
WinGUp загружает скомпрометированный бинарник
Слабая валидация — updater не проверял подпись до v8.8.9

Целевые жертвы:
🎯 3+ организации в Восточной Азии (телеком, финансовый сектор)
🎯 Hands-on-keyboard attackers — ручное управление после initial access
🎯 Очень таргетированные атаки — не mass-эксплуатация

Атрибуция:
По данным исследователя Kevin Beaumont — хакеры из Китая.

Что исправили:
v8.8.7 (ноябрь 2025):

Переход на GlobalSign digital certificate
Удалена необходимость в custom root certificate

v8.8.8 (ноябрь 2025):

WinGUp теперь загружает только с GitHub.com
Первая попытка защиты от hijacking

v8.8.9 (9 декабря 2025) — критичный патч:

Проверка цифровой подписи скачанного installer
Проверка сертификата перед установкой
Если verification fails → update aborted

Цитата разработчика:

"Starting with this release, Notepad++ & WinGUp have been hardened to verify the signature & certificate of downloaded installers during the update process. If verification fails, the update will be aborted."

Расследование:
⏳ Точный метод hijacking ещё не установлен
⏳ Разработчики продолжают расследование
⏳ Пользователи будут уведомлены когда найдут конкретные доказательства
Гипотезы:

BGP hijacking (перенаправление маршрутов)
DNS poisoning (отравление DNS-кэша)
Компрометация CDN/hosting provider
ISP-level MitM (вмешательство провайдера)

Что делать СРОЧНО:
✅ Обновитесь до v8.8.9 (минимум v8.8.8)
✅ Удалите custom root certificate если устанавливали ранее
✅ Сканируйте систему антивирусом (Malwarebytes, Kaspersky, ESET)
✅ Ищите AutoUpdater.exe в %Temp%
✅ Проверьте запущенные процессы от notepad++
✅ Анализируйте outbound connections на подозрительные IP
✅ В критичных случаях — переустановка системы
Для корпоративных сетей:
✅ Network traffic inspection (IDS/IPS) для детекции MitM
✅ Endpoint Detection & Response (EDR) для поимки малвари
✅ Централизованный patch management — принудительное обновление
✅ Application whitelisting — разрешить только подписанные notepad++ бинарники
✅ Мониторинг curl.exe spawns от текстовых редакторов
✅ Блокировка temp[.]sh и подобных file-sharing сервисов
Индикаторы компрометации:
🚩 %Temp%\AutoUpdater.exe выполняется
🚩 Reconnaissance команды (netstat, systeminfo, tasklist, whoami)
🚩 Файл a.txt с системной информацией
🚩 curl.exe запущен из Notepad++ процесса
🚩 Outbound connection к temp[.]sh
🚩 PowerShell spawned от gup.exe/notepad++.exe

Масштаб:
Сотни миллионов установок Notepad++ по всему миру — потенциально огромная attack surface.

💬 Supply chain атака через trusted update mechanism — один из самых опасных векторов. Пользователи доверяют обновлениям, антивирусы их пропускают.

🔥 Урок: Всегда проверяйте цифровые подписи, даже для trusted software. Разработчики должны внедрять certificate pinning и signature verification по умолчанию.

#Notepad++ #WinGUp #SupplyChain #MitM #Китай #Малварь #UpdaterHijack #Кибербезопасность #Патч

🔺🔺🔺🔺🔺🔺🔺
▶️ Всем привет! Готов пообщаться с вами в прямом эфире! Поговорим за жизнь, поиграем часика 2, будем продолжать проходить Хогвартс. Наследие.
⚡️ Твич - https://www.twitch.tv/ilya_rublev
✔️ Ютуб канал для стримов - https://www.youtube.com/@RublevGame/streams
ℹ️ Чат на ютубе тоже цепляется, я решил проблему с плагином, жду всех!

🔺🔺🔺🔺🔺🔺🔺
▶️ Всем привет! Ночной подруб, кто не спит - заходите на стрим, проходить буду дальше игру до утра, будем продолжать Хогвартс. Наследие.
⚡️ Твич - https://www.twitch.tv/ilya_rublev
✔️ Ютуб канал для стримов - https://www.youtube.com/@RublevGame/streams
ℹ️ Чат на ютубе тоже цепляется, я решил проблему с плагином, жду всех!

🚨 Андрей Свинцов - Заместитель председателя комитета Госдумы по информационной политике, информационным технологиям и связи 🚨

✏️ "YouTube в России будет полностью ограничен в течение 6–12 месяцев. Это связано с тем, что он по-прежнему продолжает игнорировать действующее российское законодательство. Все, кто пользуется этой площадкой для продвижения собственного контента, должны максимально быстро переходить на аналоги — это Rutube, "VK Видео" и другие. Свой контент нужно продвигать на российских площадках или тех, которые не осуществляют действий против РФ и наших граждан. Определенные ограничения со стороны РКН также поступательно будут проводиться и впредь до полного выдавливания YouTube."

🔔 Ютуб фактически и так заблокирован, "замедлен" ⌛ как вам будет угодно, и теперь его хотят полностью заблокировать...
Я не поддерживаю данное решение и категорически против, для тех кого интересует мое мнение, в конце концов данной площадке я обязан своей популярностью, в добавок, уже много раз обсуждалась тема того, что на отечественных площадках - нет нормальных алгоритмов, как для зрителя, но что и самое важное для авторов, а переехавшие туда шоу из телевизора с Нурланами Сабуровами за огромные деньги и просто треснувшие по бокам бюджеты - отдельный кринж. 💡

🔈 Я с ютуба никуда не уйду, пишите что думаете насчет высказывания депутата... Быть может взрослые люди - также, вслед за школьниками, которые писали Мизулиной - что они не хотят жить в России, начнут собирать вещи в дорогу на вокзал, в случае блокировки ютуба. 🚩

ℹ️ Накидайте реакций на пост и я готов снять отдельное видео, про данную новость, сказать есть что, также есть что сказать касаемо предложений на счет выборов нового главы РКН - как альтернативы, Владислава Даванкова, который либеральный политик от партии "Новые люди" который выступает за отмену многих блокировок, считает их не обоснованными и не целесообразными, к примеру когда заблокировали Дискорд, он предпринимал усилия по восстановлению данной площадки, направляя обращения и депутатские запросы.⬇️

Давайте обсудим. ⬇️

🔺🔺🔺🔺🔺🔺🔺 ▶️

Доброй ночи, тем кто не спит
Ночной стрим, буду рад зрителям и возможности пообщаться.

https://www.twitch.tv/ilya_rublev (требование к номеру телефона привязанному для сообщений в чат - отключил)
https://www.youtube.com/@RublevGame/streams (чат с ютуба также цепляется на стрим)

Спасибо всем, кто готов провести время вместе!

Северная Корея — $2 млрд криптовалюты

🇰🇵💰 Северная Корея установила новый рекорд: $2.02 млрд украденной криптовалюты в 2025 году

Chainalysis опубликовала отчёт: северокорейские хакеры украли $2.02 миллиарда криптовалюты в 2025 — это +51% год-к-году и новый исторический максимум.

Ключевые цифры:
💸 $2.02 млрд — украдено КНДР в 2025
💸 $6.75 млрд — общая сумма краж за все время
💸 60% всех мировых криптокраж = Северная Корея
📊 76% всех service-level компрометаций = КНДР (рекорд!)

Парадокс: На 74% меньше атак, но украдено на 51% больше — КНДР переключилась на редкие, но массивные взломы.
Bybit — рекорд всех времён:
Февраль 2025: Взлом криптобиржи Bybit
Украдено: $1.5 миллиарда (Ethereum)
Статус: Крупнейшая кража криптовалюты в истории
Одна эта атака = 40% всех краж КНДР за год.

⁉️ Как КНДР это делает:
1️⃣Внедрение IT-специалистов
Северокорейские хакеры устраиваются на работу в криптокомпании под ложными именами (часто используют китайские документы). Получают привилегированный доступ изнутри системы.
Новинка 2025: КНДР начала выдавать своих агентов за рекрутеров Web3 и AI-компаний, чтобы получить доступ к базам данных и внутренним системам.
2️⃣ Социальная инженерия
Смещение акцента с технических уязвимостей на обман людей — большинство атак теперь проводятся через социальную инженерию, а не эксплойты.
💼Как отмываются украденные средства (цикл ~45 дней)

Разбивка на транзакции менее $500K
Использование китайскоязычных OTC-трейдеров и брокеров
Перевод через кросс-чейн мосты (BTC → Monero → ETH)
Миксеры и сервисы-гаранты

🚀 Куда идут деньги
~40% украденных средств финансируют ядерную и ракетную программы Северной Кореи.

✅ Как защититься

Для криптобирж и компаний:
Многоуровневая безопасность и холодные кошельки
Тщательная проверка IT-сотрудников при найме
Мониторинг подозрительной активности персонала

Для частных лиц:
Используйте аппаратные кошельки (hardware wallets)
НЕ публикуйте информацию о криптоактивах в соцсетях
Включите whitelist для вывода средств

💬 Прогнозы экспертов

Chainalysis: «Главный вызов 2026 года — предотвратить инциденты масштаба Bybit ДО их совершения».
Эксперты по кибербезопасности: «Традиционные инструменты защиты перестают работать. Северная Корея начала использовать искусственный интеллект для улучшения методов взлома».

#кибербезопасность #криптовалюта #КНДР #взломы #Bybit #Chainalysis

🍎⚠️ Apple экстренно закрыла 2 WebKit zero-day, эксплуатируемые в атаках.

13 декабря 2025 Apple выпустила экстренные обновления безопасности для всех своих платформ после обнаружения двух активно эксплуатируемых zero-day уязвимостей в движке WebKit.

Затронуто: iOS, iPadOS, macOS, tvOS, watchOS, visionOS, Safari

🔴 Уязвимости
CVE-2025-43529 — Use-After-Free в WebKit
CVE-2025-14174 — вторая критическая уязвимость WebKit
Обе активно эксплуатируются в сложных целенаправленных атаках.

⚠️ Официальное заявление Apple
«Apple известно о сообщениях, что эти уязвимости могут эксплуатироваться в сложных атаках».

Sophisticated attacks — это:
Целенаправленный шпионаж
Атаки на высокоценные цели (журналисты, активисты, политики)
APT-группы или коммерческий spyware (по типу NSO Group)

💥 Как работает эксплуатация
🎯 Жертва заходит на вредоносный сайт
🎯 WebKit обрабатывает специально подготовленный контент
🎯 Срабатывает use-after-free → выполнение произвольного кода
🎯 Результат: полная компрометация устройства

Важно: CVE-2025-43529 также затронула Chrome — Google закрыла её на этой же неделе.

✅ ЧТО ДЕЛАТЬ СРОЧНО
Для всех пользователей:
Обновитесь немедленно: Настройки → Основные → Обновление ПО
До обновления: избегайте подозрительных сайтов и ссылок

Для организаций:
Разверните обновления через MDM
Приоритет — руководящий состав и сотрудники с доступом к конфиденциальной информации

Для пользователей из группы риска:
Включите режим изоляции (Lockdown Mode):
Настройки → Конфиденциальность и безопасность → Режим изоляции
Этот режим блокирует большинство веб-функций и обеспечивает максимальную защиту для тех, кто может быть целью слежки.

💬 Почему это важно
Zero-day уязвимости эксплуатируются ограниченное время — быстрое обновление является самой эффективной защитой. После публичного раскрытия атакующим приходится искать новые методы.

🔥 Контекст: WebKit остаётся постоянной мишенью атак из-за монополии Apple на движки браузеров в iOS — все браузеры на iPhone используют именно WebKit, независимо от названия.

#кибербезопасность #Apple #zeroday #WebKit #обновления

СПЕЦИАЛИСТЫ ПО ИБ ПОД УГРОЗОЙ ТЮРЬМЫ 🚨

272.1 УК РФ: закон работает уже год, и кажется, что проблемы никуда не делись

11 декабря 2024 года вступила в силу статья 272.1 УК РФ — до 10 лет тюрьмы за незаконный оборот персональных данных. Прошел год, и страхи ИБ-специалистов оправдались: закон создал серую зону, где расследование утечек = уголовное преступление. 😱

Парадокс 2025: Специалисты по кибербезопасности мониторят даркнет и Telegram-каналы с украденными базами, чтобы ПРЕДОТВРАТИТЬ атаки. Но сам факт доступа к таким данным теперь попадает под 272.1 УК РФ. Исключение — только "личные нужды"

Реальная статистика: За первую половину 2025 года 55% уголовных дел по статье 272 УК РФ завели на сотрудников компаний связи. ИБ-специалисты, IT-директоры, CISO оказались под ударом первыми. Минцифры утверждает, что "закон их защищает", но на практике — сплошная неопределенность и очень непростая ситуация, которая сложилась.

Что это значит для всех:
⚠️ Компании боятся расследовать инциденты — риск уголовки для команды
⚠️ Нехватка ИБ-специалистов достигла 50 тысяч человек (дефицит 45%)
⚠️ Ваши утечки остаются незамеченными, потому что никто не рискует их отслеживать

Что делать компаниям:
🛡 Документировать КАЖДЫЙ процесс работы с ПДн
🛡 Требовать исключений для лицензированных ФСТЭК организаций
Что следует понимать?
Статья 272.1 УК РФ не делает различий: хоть ты с лицензией, хоть без — если зашёл на хакерский форум посмотреть утечку = потенциально под статью.
ИБ-компании и просят: "Впишите в закон исключение — если у нас есть лицензия ФСТЭК, то наша работа с украденными данными (для расследования) — ЛЕГАЛЬНА".
🛡 Внедрять системы защиты СЕЙЧАС — с 30 мая 2025 действуют оборотные штрафы до 500 млн рублей

Отправьте это ИТ-директору — пусть знает о рисках для своей команды!

#КиберзаконРФ #ИнформационнаяБезопасность #УголовныйКодекс #ИнформационноеПраво
#ИБ #Безопасность #Кибербезопасность #InfoSec #УголовноеПраво #ПерсональныеДанные #ФЗ
#ФЗоПД

ПРОРЫВ В БОРЬБЕ С КИБЕРМОШЕННИЧЕСТВОМ? 🎯

По заявлению премьер министра РФ - Михаила Мишустина: киберпреступность в России впервые пошла на спад

19 декабря премьер-министр провел стратегическую сессию и объявил: за 10 месяцев 2025 года количество цифровых преступлений снизилось на 9,5%! А если сравнить октябрь к октябрю — падение почти на четверть. Это первое реальное снижение с июля. 📉

Почему это важно: Годы роста мошенничества наконец ослабевают. Работают и оборотные штрафы (до 500 млн рублей), и новые законы, и блокировки мошеннических номеров. Построенная система начинает давать результат.

Что это значит для нас - простых граждан: специалистов по ИБ, юристов, безопасников и айтишников:

✅Возможное уменьшение звонков от "сотрудников банка" по крайней мере так говорит статистика, которая также может быть обманчивой
✅ По факту больше заблокированных фишинговых сайтов
✅ Жёстче наказания для компаний за утечки ваших данных, однако и тут есть свои проблемы, говорили об этом в посте выше.

Но расслабляться рано! Мошенники переходят на ИИ, deepfake и новые схемы.
Оставайтесь бдительными.

Перешли родителям, друзьям, коллегам — пусть знают, что государство работает в этом направлении, и результаты имеются, пускай пока мошенничество полностью искоренить и не удалось!

#КиберМошенничество #Мишустин2025 #БорьбаСоСкамом
#ИБ #Безопасность #Кибербезопасность #InfoSec

⚠️ Разгорелась большая дискуссия по законам и информационной безопасности, если быть точнее речь про защиту данных и статью 272.1 УК РФ, был большой пост выше, кто успел прочитать, спасибо, кто не успел - можете ознакомиться.
Решил сделать инфографику, очень хорошо получилось, ( не без галлюцинаций конечно), но как памятка для ИБ специалистов будет крайне полезно, кому удобнее усваивать информацию через схемы, картинки, и остальные подкатегории, рекомендую ознакомиться ❗️
Всем продуктивных выходных!

⚠️ MOZILLA ЗАКРЫВАЕТ MONITOR PLUS 17 ДЕКАБРЯ ⚠️

Конец эпохи: сервис автоудаления ваших данных из даркнета больше не работает

17 декабря 2025 Mozilla полностью отключила 💵платный сервис Monitor Plus. Это был один из немногих инструментов, который автоматически удалял ваши персональные данные с сайтов брокеров данных и мониторил утечки в даркнете. Теперь его нет. 😔

Что теряем:
❌Автоматическое удаление ПДн с сайтов-брокеров
❌ Расширенный мониторинг утечек
❌ Уведомления, если ваши данные всплыли в новой базе

Почему это проблема: Ваши данные УЖЕ гуляют по даркнету (помните 1,5 млрд утёкших записей россиян за 2024?). Теперь мониторить их придётся вручную или искать альтернативы.

Альтернативы Monitor Plus:
🔍 HaveIBeenPwned.com — бесплатная проверка email
🔍 Google One Dark Web Report — для пользователей Google
🔍 DeleteMe — платная автоочистка (но дорого)
🔍 Российские сервисы мониторинга утечек (DLBI, InfoWatch)

Что можно сделать прямо сейчас:
Проверьте свою почту на haveibeenpwned.com
Включите двухфакторку везде, где возможно

Сохрани этот пост — пригодится, когда будешь чистить свой цифровой след!

#MozillaMonitorPlus #МониторингУтечек #ЦифроваяПриватность