👮🇳🇴Норвежская полицейская служба безопасности (PST) закрыла уголовные дела в отношении якобы 🎃пророссийских хакеров

Как пишет NRK, весной 2025 некий якобы пророссийский хакерский альянс осуществил киберсаботаж плотины для выращивания молоди рыбы у озера Рисеватн (коммуна Бремангер, Вестланн), оставив её шлюзы полностью открытыми на четыре часа. В результате инцидента ежесекундно сбрасывалось почти 500 литров воды. По данным PST, ущерб был незначителен, поскольку, по словам прокурора Хафсмое, река ниже по течению рассчитана на гораздо больший объем воды, и опасности наводнения не было.

Атака квалифицируется как саботаж против критической инфраструктуры. Kripos, а затем и PST, расследовали дело по статье 130 Уголовного кодекса Норвегии.

Сама хакерская группа взяла на себя ответственность, опубликовав в 💻Telegram видео с панелью управления в результате чего следствие связало атаку именно с ней.

Спустя месяц, 21 мая, та же хакерская группа провела аналогичное вмешательство в систему другой норвежской компании в Эстланне, вновь демонстрируя свой взлом через Telegram.

В обоих случаях, скорее всего, проблемы были связаны со слабыми паролями.

Несмотря на собранные доказательства, PST закрыла оба дела, возбужденных по статье straffeloven §130 (влияние иностранной разведки).

Прокурор Пер Никлас Хафсмое пояснил, что установить конкретных исполнителей невозможно, поэтому в отсутствие идентифицированных лиц следствие завершено. Отдельно эксперт из Военно-морской академии Тор Ивар Стрёммен отметил, что Россия все равно бы не выдала подозреваемых.

Исследователь Столе Ульриксен из Военно-морской академии заявил, что закрытие дела подобно признанию того, что Норвегия проигрывает в гибридной войне.

✋ @Russian_OSINT

👮 Агентство по кибербезопасности и защите инфраструктуры (CISA) отправило в отпуск большинство своих сотрудников.

Согласно данным Министерства внутренней безопасности США, CISA сохранит только 889 сотрудников, что составляет 35% от штата по сравнению с маем 2025.

Как утверждает Хью Томпсон, исполнительный председатель конференции RSA, прекращение действия CISA 2015 «может фактически погасить свет для американской киберразведки, получаемой от атакованных компаний». Сочетание внутренней слабости CISA и прекращения поступления внешней разведывательной информации создает окно беспрецедентной уязвимости для инфраструктуры США.

👆Кризис разворачивается на фоне сообщений об активизации атак якобы со стороны 🇨🇳китайских хакерских группировок и постоянной активности программ-вымогателей.

✋ @Russian_OSINT

По поступившей в Посольство информации 3 октября полиция Республики Сингапур произвела задержание гражданина Российской Федерации по обвинению в нарушении американского законодательства в сфере борьбы с кибермошенничеством с целью его дальнейшей экстрадиции в США.

Посольство направило запрос в полицию и получило подтверждение о задержании российского гражданина.

Находимся в контакте с его окружением, которому были переданы данные местных адвокатов для оказания юридической помощи.

Держим вопрос на оперативном контроле.

Сообщает 🇷🇺 Embassy of Russia in Singapore.

✋ @Russian_OSINT

🥷❗️Clop эксплуатирует Oracle E-Business Suite через 0-day уязвимость

Группировка Clop, известная своими масштабными атаками, на этот раз нацелилась на Oracle E-Business Suite (EBS). По данным экспертов, злоумышленники используют комбинацию из нескольких уязвимостей (Mandiant), включая недавно исправленные и одну критическую уязвимость ☠️нулевого дня для хищения данных и вымогательства.

↔️CVE-2025-61882 присвоена оценка 9.8 по шкале CVSS. Уязвимость позволяет удаленно выполнять код без аутентификации в компоненте BI Publisher Integration.

Как утверждает технический директор Mandiant Чарльз Кармакал, Clop осуществляла хищение данных из систем своих жертв ещё в августе 2025 года. С конца сентября 2025 года злоумышленники перешли к попыткам вымогательства, рассылая электронные письма руководителям пострадавших компаний с требованием выкупа. В связи с этим Oracle и специалисты по безопасности настоятельно рекомендуют организациям не только незамедлительно установить обновления, но и провести тщательное расследование своих систем на предмет возможной компрометации, поскольку патч не является панацеей. Патч устраняет уязвимость как точку входа, но не нейтрализует последствия атаки, так как атакующие уже могли внедрить бэкдоры и распространить вредоносное ПО.

Примечательно, что по данным BleepingComputer, хакеры "Scattered Lapsus$ Hunters" опубликовали в открытом доступе рабочий эксплойт для данной уязвимости.

👆Компания выпустила экстренное обновление безопасности в выходные после обнаружения активной эксплуатации (4 октября 2025 года).

✋ @Russian_OSINT

😎 Маск собрался сделать свою ИИ-"Wikipedia" с блэкджеком и фактчекингом

Ранняя бета-версия Grokipedia 0.1 будет опубликована через 2 недели.

— пишет Маск в социальной сети Х.

Илон Маск планирует сделать "более правдивую версию" Wikipedia. Grok (ИИ от xAI) использует огромные вычислительные мощности для того, чтобы анализировать источники вроде Википедии. Для каждой статьи задаётся вопрос: "Что правда, частично правда, ложь или отсутствует?". ИИ переписывает страницы, удаляя фейки, исправляя полуправду и добавляется важный контекст. Проект обещает «беспрецедентную» автоматизацию проверки и верификации контента.

👆🤔 Большинство технических изданий подчёркивают инновационность идеи, но подмечают, что реальные возможности Grokipedia станут ясны лишь после выхода бета-версии, так как замена живых редакторов алгоритмами вызывает вопрос о критериях «объективности» и контроле за самим ИИ. Будем посмотреть.

✋ @Russian_OSINT

🇯🇵Asahi Group возобновляет работу 🍺6 заводов после кибератаки с участием шифровальщика

Японская пивоваренная компания Asahi Group 29 сентября 2025 года стала жертвой мощной кибератаки с участием шифровальщика, которая привела к остановке производства и срыву логистики на всех 30 её предприятиях в Японии, в том числе на шести пивоварнях, производящих популярное пиво Super Dry.

Asahi Group Holdings* — ведущий производитель пива и безалкогольных напитков в Японии.

👆6 пивоварен Asahi в Японии частично возобновили производство пива. В результате инцидента компания приостановила запуск более 10 новых продуктов, запланированных на октябрь 2025.

Аналитики Sanford C. Bernstein Japan подсчитали, что если сбои с поставками пенного сохранятся до конца месяца, то Asahi вероятно придется снизить прогноз операционной прибыли за четвертый квартал на 83% по Японии и на 38% по всему миру.

Если суммировать всё, включая недополученную выручку, дополнительные расходы, штрафы за отсутствие товара и прогнозируемое падение операционной прибыли, то совокупный ущерб для компании очень грубо от $200 млн, а при очень плохих прогнозах, до $335 млн.

✋ @Russian_OSINT

💻Зарплата директоров по кибербезопасности за 3 года 💬выросла на треть

🙂Интересное: Cервис по поиску высокооплачиваемой работы SuperJob и Positive Technologies в сентябре 2025 года провели совместное исследование рынка труда в сфере информационной безопасности.

▪️Медианная заработная плата директоров по кибербезопасности в IT-компаниях сейчас составляет 500 тысяч рублей в месяц в Москве и 470 тысяч в Санкт-Петербурге.

▪️Максимальная — 1 млн и 950 тысяч соответственно (по открытым источникам данных, то есть опубликованным в интернете вакансиям проверенных работодателей).

▪️Руководители отделов защиты информации в среднем зарабатывают 350 тысяч рублей в месяц в Москве и 310 тысяч в северной столице, максимально — 600 и 530 тысяч рублей соответственно.

▪️ У специалистов по защите информации медианный заработок в Москве — 230 тысяч рублей в месяц, максимальный — 400 тысяч, а в Санкт-Петербурге — 190 и 350 тысяч соответственно.

▪️Пентестеры зарабатывают в среднем 220 тысяч рублей в месяц в столице и 180 тысяч в городе на Неве, «потолок» составляет, как и у специалиста по ИБ, — 400 и 350 тысяч соответственно.

🔎 Динамика средних рыночных зарплат за год оказалась выше у топ-менеджмента в сфере ИБ: +11% в Москве и +12% в Санкт-Петербурге.

«В условиях роста объемов и сложности атак злоумышленников на российские компании, роль и значимость функций информационной безопасности значительно усиливается. Это напрямую влияет на рынок труда: зарплаты специалистов по ИБ на различных уровнях демонстрируют устойчивый рост последние 3 года. Особо заметен подъем компенсаций для CISO, обусловленный повышением их ответственности за безопасность IT-активов и непрерывность их функционирования в целом»

— Анастасия Федорова, руководитель образовательных программ Positive Education, Positive Technologies.

За 3 года зарплаты у топ-менеджмента и линейных специалистов в сфере ИБ в процентном выражении выросли почти в 2 раза больше, чем у руководителей отделов кибербезопасности (спрос на пентестеров резко увеличился буквально в течение последнего года-полутора лет, достаточного объема данных для оценки их уровня заработка в 2022 году, к сожалению, нет).

✋ @Russian_OSINT

🇷🇺 В МВД советуют россиянам не указывать в соцсетях полные данные о себе

Как пишет ТАСС, персональные данные могут позволить мошенникам получить важную информацию о человеке и использовать ее в преступных целях, поэтому в своих профилях в соцсетях не стоит указывать полностью фамилию, имя и отчество, а также дату рождения. Это следует из материалов МВД России.

"Важно в публичных профилях в соцсетях не давать критический объем персональных данных, который позволит получить дополнительную информацию. Не рекомендуется использовать полностью ФИО и дату рождения"

— сказано в материалах.

✋ @Russian_OSINT

После неудачной попытки прямого вымогательства у Red Hat, группировкаCrimson Collective объявила о партнерстве с Scattered Lapsus$ Hunters с целью использования недавно запущенного сайта утечек данных ShinyHunters для продолжения своих попыток вымогательства.

На сайте утечек ShinyHunters появилась запись Red Hat, предупреждающая компанию о том, что данные будут публично слиты 10 октября, если требование о выкупе не будет согласовано с вымогателями.

В качестве доказательства серьёзности своих намерений злоумышленники опубликовали образцы похищенных отчетов CER: Walmart, HSBC, Bank of Canada, Atos Group, American Express, Department of Defence и Société Française du Radiotéléphone.

ShinyHunters подтвердили BleepingComputer, что они работают по модели Extortion-as-a-Service (EaaS). Если верить словам злоумышленника, то его доля от выкупа составляет 25-30%, в то время как он предоставляет свою платформу и бренд для усиления давления на жертв.

✋ @Russian_OSINT

🇪🇺👮Границы между хактивизмом, киберпреступностью и государственными кибероперациями стираются

Согласно новому отчету ENISA, европейский ландшафт киберугроз претерпел трансформацию, сместившись от единичных "высокоимпактных инцидентов" к модели непрерывного, многовекторного и конвергентного давления.

В основе этой новой парадигмы лежат 3️⃣ключевых столпа: устойчивые и адаптирующиеся программы-вымогатели, интенсификация государственных кибершпионских кампаний и беспрецедентный по объему вал идеологически мотивированного хактивизма.

🥷❗️Анализ отчёта основан почти на 4 900 инцидентах за период с июля 2024 по июнь 2025 года:

▪️Фишинг остается главным методом первоначального доступа, на его долю приходится 60% всех наблюдаемых случаев.

▪️После исключения инцидентов с "неустановленным сектором" (28.5%), топ 5 наиболее атакуемых отраслей в ЕС выглядит следующим образом:
↘️ Государственное управление: 38.2%
↘️ Транспорт: 7.5%
↘️ Цифровая инфраструктура и сервисы: 4.8%
↘️ Финансы: 4.5%
↘️ Промышленность: 2.9%

▪️Идеологически мотивированные атаки, в основном DDoS, составляют почти 80% от всех зарегистрированных инцидентов, хотя их реальное воздействие остается низким.

▪️Ransomware остается одной из главных проблем. Операторы децентрализуют свою деятельность и используют агрессивные тактики вымогательства в ответ на давление со стороны правоохранительных органов.

▪️Использование уязвимостей остается вторым по значимости вектором первоначального доступа (21.3%), при этом подчеркивается необходимость своевременного обновления ПО.

▪️Зафиксирована деятельность не менее 88 хактивистских групп. На долю группы NoName057(16) приходится 63.1% всех атак, заявленных пятью наиболее активными группами вместе взятыми.

▪️Самым распространенным штаммом в ЕС стал Akira (11.6% всех инцидентов с программами-вымогателями), за ним следуют SafePay (10.1%) и Qilin (7.5%).

▪️За отчетный период было раскрыто 42 595 новых уязвимостей, что на 27% больше, чем в предыдущем году.

👆По данным отчета, к началу 2025 года более 80% всех зафиксированных атак с использованием социальной инженерии в мире в той или иной степени использовали ИИ-решения для создания более убедительных фишинговых писем и другого контента.

✋ @Russian_OSINT

🏠 Microsoft принудит пользователей "постучать" на свои сервера для завершения установки чистой Windows 11

Microsoft тестирует обязательный вход в учётную запись и наличие 📖интернет-соединения на этапе OOBE (out-of-box experience screen) в процессе чистой установки Windows 11.

В инсайдерских сборках системы под номерами 26120.6772 (Beta Channel) и 26220.6772 (Dev Channel) деактивированы команды oobe\bypassnro, start ms-cxh:localonly, а также метод oobenetworkconnectionflow. Ранее опытные пользователи могли создавать локальные учетные записи без проблем.

Мы удаляем известные способы создания локальной учетной записи на этапе первоначальной настройки Windows (OOBE). Хотя эти способы часто использовались для обхода обязательной настройки учетной записи Майкрософт, они также приводили к непреднамеренному пропуску критически важных этапов настройки. В результате пользователи могли получить устройство, не полностью сконфигурированное для работы. Для корректной настройки устройства пользователям необходимо будет завершить процесс OOBE при наличии подключения к Интернету и с использованием учетной записи Майкрософт.

Проведенные 7 октября тесты изданием Windows Latest, подтвердили, что попытки использования указанных команд в сборке 26120.6772 приводят к перезагрузке OOBE.

Microsoft объясняет своё решение необходимостью «гарантировать, что устройство настроено правильно», так как, по словам компании, обходные пути приводят к пропуску «критически важных настроек».

🚠 Для завершения OOBE потребуется как учетная запись Microsoft (MSA), так и обязательное активное интернет-соединение.

Создание локальной учетной записи по-прежнему возможно, но только после завершения первоначальной настройки системы через вход в аккаунт Microsoft и последующий выход из него. Ожидается, что данное ограничение станет стандартом для всех публичных ISO-образов Windows 11 в течение двух-трех месяцев после тестирования в инсайдерских каналах.

✋ @Russian_OSINT

🥷❗️NGC4141: восточноазиатская группировка атакует кастомные веб-приложения

По данным специалистов Solar 4RAYS, хакерская группировка NGC4141, предположительно из Восточной Азии*, атаковала 🇷🇺российскую организацию из госсектора с целью шпионажа. Сервер был защищен АВПО и WAF, которые в автоматическом режиме смогли замедлить продвижение атакующих, но не остановить его.

Согласно результатам расследования, атака началась еще в декабре 2024 года. На протяжении нескольких дней хакеры интенсивно сканировали онлайн-ресурс на предмет различных уязвимостей, в определенные моменты нагрузка на систему измерялась тысячами запросов в час. Еще спустя несколько недель злоумышленники перешли на ручное сканирование уязвимостей. Найдя их, они использовали незадокументированные возможности публичной платформы для работы с API, чтобы внедрить на веб-сервер сайта жертвы веб-шеллы (вредоносные скрипты для получения доступа к серверу и выполнению команд через веб-интерфейс). Так хакеры смогли внедрить вредоносное ПО и получить доступ к инфраструктуре организации.

Примечательно, что веб-приложение работало на кастомном движке, написанном с нуля или модифицированном на основе популярных платформ, и под него не было эксплойтов (ВПО для эксплуатации уязвимостей) в открытом доступе. Такие веб-приложения гораздо сложнее поддаются взлому, чем онлайн-ресурсы на Tilda, WordPress и других платформах. Сам веб-сервер был защищен антивирусом и системой защиты от веб-атак (WAF). Несмотря на это, NGC4141 получили доступ к инфраструктуре жертвы, что указывает на их высокую квалификацию. Эксперты Solar 4RAYS отмечают, что WAF и антивирус не смогли остановить продвижение атакующих, однако замедлили их и сигнализировали о возможном проникновении. Это говорит о необходимости комплексного подхода к внедрению средств защиты и ручного анализа аномальных ИБ-событий высококвалифицированными экспертами.

Параллельно имена внутренних серверов атакованного ведомства, которых нет в открытом доступе, хакеры пытались использовать и в других атаках на госструктуры — в надежде на совпадение. Это может означать, что хакеры могли обмениваться информацией со схожими группировками и нацелены совершать атаки на веб-приложения других организаций из госсектора.

«Хотя в атаке не использовались очень сложные техники и ВПО, мы считаем, что атакующие обладали высокой квалификацией. Особенный интерес вызвали простые, но эффективные веб-шеллы, которые позволили обойти защитные решения. Также показалось интересным, что данные веб-шеллы не были кем-то ранее описаны, в связи с чем кажется, что многие из них уникальные»

— комментируют специалисты действия злоумышленников.

«По нашему мнению, атаки на кастомные веб-приложения для получения доступа к внутренней сети представляют собой недооцененную угрозу для владельцев онлайн-ресурсов. Данный кейс показал, что средства для автоматизированной защиты требуют дополнительного внимания и анализа событий, так как само наличие технических средств защиты усложняет атаку, но не делает её невозможной. При разработке кастомных веб-приложений мы рекомендуем держать в уме возможные риски: проводить аудит кода веб-приложения или даже полноценный пентест для оценки его устойчивости к кибератакам»

— считает Иван Сюхин, руководитель группы расследования инцидентов центра исследования Solar 4RAYS, ГК «Солар».

✋ @Russian_OSINT

💨 Уязвимость CVE-2025-59489 потенциально затрагивает миллионы пользователей, взаимодействующих с движком Unity

В игровом движке Unity найдена уязвимость CVE-2025-59489 (CVSS Score: 8.4), которая потенциально затрагивает приложения, созданные на версиях с 2017.1 и новее для операционных систем Android, Windows, macOS и Linux. Важно отметить, что для платформ iOS, игровых консолей (Xbox, PlayStation, Switch), UWP, Quest и WebGL не было найдено подтверждений тому, что уязвимость на них эксплуатируема.

Эксплуатация ошибки с официальным идентификатором CVE-2025-59489 приводит к тому, что игра запускает посторонний код или предоставляет атакующему доступ к информации на устройстве. Происходит это во время запуска игры. Злоумышленник может передать игре параметры запуска, и уязвимые версии Unity Runtime обработают среди прочих несколько команд, предназначенных для отладки: -xrsdk-pre-init-library, -dataFolder , overrideMonoSearchPath, -monoProfiler. По этим командам движок Unity загружает любые указанные в параметрах запуска библиотеки функций, включая посторонние. На Windows загружаются dll-файлы, на Android и Linux – библиотеки .so, на MacOS – .dylib.

Таким образом, приложение с низкими привилегиями может запустить игру, и уже от имени игры загрузить и запустить вредоносную библиотеку. Последняя получит такие же права и доступы, как сама игра.

Эксплуатация этой уязвимости служит для повышения привилегий и обхода средств защиты. Неизвестное приложение в современных ОС чаще всего изолировано от других и лишено прав доступа к полезной информации. Но запускать уже имеющиеся в системе приложения он все же может. Дальше игра запускает по полученной команде вредоносную библиотеку – и эта библиотека уже считается частью игры. Она имеет те же права и доступы, что и сама игра, а также может проскочить «под радаром» некоторых антивирусов. Игры порой требуют относительно высоких привилегий в системе, поэтому для атакующего это дорога если не в администраторы устройства, то как минимум в «уважаемые пользователи».

— подробно объясняют детали специалисты ЛК.

Компания Unity Technologies предлагает разработчикам два пути решения:

1️⃣ Полную пересборку проектов с использованием обновленных версий Unity Editor

2️⃣ Применение специального инструмента 🛡 Unity Application Patcher для существующих сборок

Valve обновила клиент Steam для блокировки вредоносных параметров запуска, а Microsoft выпустила сигнатуры для Microsoft Defender. Для Linux отдельный патчер не выпускался.

👆На момент публикации отчетов, Unity, Microsoft и Valve не зафиксировали ни одного случая активной эксплуатации уязвимости CVE-2025-59489 в реальных условиях.

CVE-2025-59489 обнаружил исследователь 'RyotaK' из GMO Flatt Security в мае 2025 (Unity указывают 4 июня 2025). 🫢 Уязвимость оставалась незамеченной более восьми лет. Детали тут.

✋ @Russian_OSINT

Канал 🔨SecAtor — @true_secator пишет интересное:

Исследователи F6 представили исследование с отражением основных угроз, векторов атак и TTPs киберпреступников, которые атаковали российские компании в 2024–2025 годах.

В основу были положены результаты анализа инцидентов и оценки основных изменений ландшафта актуальных угроз с 1 июля 2024 года по 30 июня 2025 года.

Причем учитывались исключительно инциденты высокого уровня критичности, требовавшие реагирования.

Согласно данным исследования, среди выявленных угроз чаще всего встречались майнеры криптовалют (37% всех критичных инцидентов).

При этом, если во втором полугодии 2024 года их доля составляла 42%, то в первом полугодии 2025 года сократилась до 31% от общего числа критичных инцидентов. 

На втором месте идут инциденты, связанные с управляемыми человеком атаками (15%), на третьем - использование бэкдоров (14%).

По сравнению с июлем ‑ декабрем 2024 года в январе - июне 2025-го наблюдается перераспределение инструментов атакующих.

Так, доля зафиксированных инцидентов с RAT за полугодие выросла с 4% до 13%. Кроме того, были зафиксированы инциденты с модульным вредоносным ПО, загрузчиками и дропперами.

В ходе реагирования на инциденты аналитики F6 пришли к вывожу, что наиболее часто реализуемым вектором атаки на российские организации оказались загрузки пользователями содержащих вредоносную нагрузку программ - 70% от общего количества инцидентов за 12 месяцев.

Более того, в первом полугодии 2025 года по сравнению с предыдущими шестью месяцами их доля выросла с 60 до 74%.

Также среди распространенных способов компрометации устройств можно выделить использование заражённых съёмных накопителей (9% в среднем за 12 месяцев) и целевые фишинговые кампании (5%).

Через вредоносные рассылки злоумышленники чаще всего распространяют шпионское ПО и стилеры - их общая доля в рассылках достигала 83%.

Наиболее изменчивым вектором атаки оказалась эксплуатация уязвимостей - ее доля с 30% во втором полугодии 2024 года упала до 5% в первом полугодии 2025-го.

В случае успешного проникновения в инфраструктуру жертвы злоумышленники переходят к следующему этапу атаки - закреплению, разведке и развитию активности.

В своем исследовании F6 систематизировала эти действия и описала тактики атакующих с 1 июля 2024 года по 30 июня 2025 года по матрице MITRE ATT&CK.

Чаще всего злоумышленники использовали тактику обхода защиты (TA0005: Defense Evasion, 30%). Она позволяет скрывать свое присутствие в инфраструктуре и минимизировать вероятность обнаружения, а часть функций реализуется через вредоносные ПО.

Следующими по распространенности в исследуемых инцидентах оказались тактики исполнения (TA0002: Execution, 17%) и закрепления (TA0003: Persistence, 17%).

Тактика исполнения применяется злоумышленниками для запуска программ на устройствах жертв для дальнейшей реализации атаки. Тактика закрепления обеспечивала сохранение доступа к инфраструктуре даже после перезагрузки системы или завершения сеанса пользователем.

В целом, как отмечают исследователи, представленное исследование демонстрирует, что злоумышленники стремятся повысить гибкость и устойчивость атак, используя более сложные многоступенчатые схемы проникновения и закрепления в инфраструктуре.

Наблюдается тенденцию к усложнению инструментов и методов атакующих, а это в свою очередь требует повышенного внимания к многоуровневой защите и своевременному детектированию новых классов угроз.

Подробная инфографика и аналитика - в отчете.

🌐 Google DeepMind представили ИИ-агента🤖 CodeMender для автоматического исправления уязвимостей

Google DeepMind 6 октября 2025 года анонсировали ИИ-агента ❗️ CodeMender, предназначенного для автоматического исправления критических уязвимостей в программном коде. По словам Ралуки Ады Попа и Фора Флинна, ИИ-решение применяет как реактивный подход для мгновенного патчинга, так и проактивный для 💻искоренения целых классов уязвимостей путем внесения исправлений в код, повышая общую безопасность. В основе CodeMender лежат модели Gemini Deep Think, позволяющие агенту проводить глубокий анализ программ и автономно генерировать исправления, а также набор инструментов для статического и динамического анализа, дифференциального тестирования, фаззинга и SMT-анализа.

Примером служит библиотека сжатия изображений libwebp, где ИИ-агент применил аннотации -fbounds-safety. При компиляции по этим аннотациям компилятор вставляет проверки границ буфера. По утверждению DeepMind, такая мера лишила бы критическую уязвимость CVE-2023-4863 возможности эксплуатации, хотя ранее она использовалась в zero-click атаках на устройства iOS.

За первые 6 месяцев работы ИИ-агент уже интегрировал 72 исправления безопасности в проекты с открытым исходным кодом, включая кодовые базы объемом до 4.5 миллионов строк.

На текущем этапе все сгенерированные CodeMender исправления в обязательном порядке проходят ручную проверку исследователями перед их отправкой в апстрим.

Конечная цель 🤖Google DeepMind состоит в том, чтобы сделать CodeMender публичным инструментом, который будет доступен всем разработчикам программного обеспечения.
--------------------------

В параллель Google обновила программу вознаграждений AI Vulnerability Reward Program, увеличив верхнюю границу выплат до $20 000.

Еще стоит глянуть 📄white paper "Google’s Approach for Secure AI Agents: An Introduction", где акцентируется внимание на рисках, связанных с ИИ-агентами.

Также Google DeepMind представили новую специализированную модель ❗️Gemini 2.5 Computer Use, которая наделяет ИИ-агентов способностью взаимодействовать с графическими пользовательскими интерфейсами, позволяя автоматизировать задачи путём эмуляции человеческих действий, таких как клики, ввод текста и прокрутка, непосредственно в веб-браузерах и мобильных приложениях.

По данным Google, Gemini 2.5 Computer Use демонстрирует превосходство над конкурирующими решениями в таких бенчмарках, как Online-Mind2Web и WebVoyager, обеспечивая высокую точность при минимальной задержке. Подобная производительность открывает возможности для создания сложных ИИ-решений, автоматизирующих рутинные процессы, от заполнения форм до комплексного тестирования пользовательских сценариев.

✋ @Russian_OSINT

🤿Ransomware-группировка Qilin взяла на себя ответственность за кибератаку на японский конгломерат 🇯🇵Asahi Group

Как пишет Japan Times, в качестве пруфов злоумышленники опубликовали на своем сайте 29 изображений, предположительно являющихся внутренними документами Asahi. По утверждению самих хакеров, общий объем похищенных данных составляет около 27 гигабайт, что эквивалентно более чем 9 300 файлам.

Представитель Asahi Group подтвердил факт 👮расследования, но отказался комментировать заявления Qilin, а также выкуп или переговорный процесс.

Ранее: https://t.me/Russian_OSINT/6234

✋ @Russian_OSINT

🥷Salesforce отказались платить выкуп 😷вымогателям из Scattered Lapsus$ Hunters

Salesforce заняла непреклонную позицию в противостоянии с киберпреступной группировкой, отказавшись вести переговоры или платить выкуп после серии кибератак. Хакерская группа, известная как “Scattered Lapsus$ Hunters”, пыталась шантажировать 39 крупных корпораций, включая FedEx, Disney, Google и Toyota, угрожая опубликовать почти миллиард украденных записей на специализированном сайте утечек.

Как подтвердили BleepingComputer в Salesforce: “Я могу подтвердить, что Salesforce не будет вступать в контакт, вести переговоры или платить по каким-либо требованиям о выкупе”.

В конце 2024 года злоумышленники использовали социальную инженерию: выдавая себя за сотрудников ИТ-поддержки, они обманом убеждали работников подключить вредоносное OAuth-приложение к экземпляру Salesforce их компании. Получив подключение, хакеры использовали его для загрузки и кражи баз данных.

Вторая кампания по краже данных началась в начале августа 2025 года, когда злоумышленники использовали украденные OAuth-токены SalesLoft Drift для проникновения в CRM-среды клиентов и эксфильтрации чувствительных данных, таких как API-ключи и аутентификационные токены.

Salesforce уведомила клиентов по электронной почте о решении не платить выкуп и предупредила, что, согласно 🎩«достоверным данным киберразведки», злоумышленники планируют осуществить утечку украденных данных.

✋ @Russian_OSINT

😄 Взлом Discord оказался масштабнее, чем предполагалось ранее

К "взлому Discord" могут быть причастны хакеры, связанные с Scattered Lapsus$ Hunters (SLH). Именно они пробили систему Zendesk (партнерский сервис поддержки клиентов) и получили доступ к тикетам поддержки, а теперь шантажируют компанию, требуя выкуп за нераспространение украденных данных.

SLH уточнили для BleepingComputer, что непосредственными исполнителями атаки является другая группа хакеров (не SLH), которую они знают и с которой взаимодействуют. Вполне вероятно, что SLH помогают с усилением давления на Discord.

В качестве доказательства взлома хакеры опубликовали изображение, на котором виден список контроля доступа из системы Kolide для сотрудников Discord, имеющих доступ к административной консоли.

Vxunderground пишут, что👮водительские права и/или 📄паспорта 2,1 млн пользователей Discord могли быть украдены. В руках злоумышленников предположительно находится до 1,5 ТБ фотографий, связанных с проверкой возраста — 2 185 151 фотографий с ID (водительские права, паспорта).

👆🤔Примечательно, что при прохождении верификации возраста Discord утверждает, что чувствительные фотографии якобы удаляются (♋️"then it's deleted"), но, похоже, не все так однозначно.

-------------------------
📖Утечка затронула около 70 000 пользователей, чьи фото документов могли попасть в руки хакеров.

✋ @Russian_OSINT