Канал 🔨SecAtor — @true_secator пишет интересное:

Позитивы решили забомбить отчетами.

В продолжение к прошлому исследованию в отношении мировых трендов IT и ИБ, сложившихся в 2025 году, Позитивы представили свое видение будущего отрасли, исходя из обозначенных ранее тенденций.

Отчет объемен и не менее информативен, включая аналитику по массовым и целевым атакам, ИИ, двойному вымогательству, кроссплатформенным угрозам, вирусы-трансформерам, AV/EDR-киллерам, фишкитам, дипфейкам, социнженерии, вишингу, AllFix, уязвимостям/эксплойтам, новым угрозам на периметре, RMM-решениям и IAB 2.0.

Исследователи Positive Technologies также продолжают отслеживать и обозревать активность хакерских группировок, нацеленных на российские организации.

Новый отчет включает аналитику по двум основным направлениям: шпионской активности и финансово мотивированным атакам.

Основное внимание сосредоточено на выявлении и сопоставлении повторяющихся паттернов атак, TTPs и штаммов вредоносного ПО с ретроспективой (для более точной фиксации преемственности инструментов и изменений в тактике). 

Такой подход позволил не только описать отдельные инциденты, но и подтвердить устойчивые паттерны группировок на примере сопоставимых цепочек, как это показано в материалах по APT31 и NetMedved.

Параллельно анализировалась эволюция инструментария группировок в динамике отчетного года, включая изменения в составе инструментов, способах закрепления и скрытного управления, а также в подходах к получению первичного доступа.

Наиболее показательным примером в этой части является ExCobalt, для которой характерна регулярная модификация компонентов и адаптация техник под конкретные инфраструктуры и условия эксплуатации.

Отдельно фиксировались кейсы активности группировок, ранее не проявлявших выраженного фокуса на российском направлении, включая кампании Silver Fox с использованием фишинговых уведомлений от государственных ведомств.

Накопленные наблюдения по инцидентам и инструментарию дополнены анализом общей динамики за 2025 год: рост числа атак и увеличение объема уникальных вредоносных семплов, ассоциированных с APT, указывают на ускорение цикла разработки и модификации вредоносного ПО.

Одним из факторов, влияющих на эту тенденцию, является расширение возможностей по созданию и адаптации кода с использованием LLM, которые упрощают разработку и повышают вариативность реализаций при сохранении типовых тактик и техник.

С учетом указанных тенденций квартальная аналитика обобщает краткие описания цепочек компрометации, используемых инструментов и ключевых IOCs для: АРТ31, ExCobalt, QuietCrabs, Rare Werewolf, PseudoGamaredon, а также Werewolves, NetMedved, Silver Fox и Hive0117.

Государственная Дума приняла в первом чтении второй пакет мер, направленных на противодействие кибермошенничеству

Документ включает около 20 инициатив, в том числе:

➡️Единый реестр IMEI
Номер телефона будет привязан к конкретному устройству, дубликаты SIM-карт станут неработоспособными в чужих телефонах.

➡️Детские SIM-карты
Родители смогут ограничивать доступ к нежелательному контенту и снижать риски вовлечения детей в мошеннические схемы.

➡️Ограничение на номера и карты
Не более 10 абонентских номеров и не более 20 банковских карт (до 5 в одном банке) на физическое лицо.

➡️Защита аккаунта на Госуслугах
Восстановление доступа только через МФЦ, банки, биометрию или доверенные способы.

➡️Голосовой антифрод и реестр ГИС «Антифрод»
Операторы смогут применять ИИ для выявления подозрительных звонков и блокировать мошеннические номера, а также незамедлительно обмениваться значимой информацией.

➡️Внесудебная блокировка фишинговых сайтов
Запрет распространения обманных ресурсов и ускоренная блокировка.

🫡Подписаться на Киберполицию России

📲 Max I 📱 ВK I 📱 ОK
🇷🇺 Чат-бот Киберполиции России
🫡 Поддержать канал

🎩Кибершпионы стали в два раза чаще атаковать 🇷🇺инженерные предприятия

По данным портала киберразведки BI.ZONE Threat Intelligence, доля атак на российские организации, совершаемых с целью шпионажа, значительно выросла. В 2025 году этот показатель составил 37%, тогда как в 2024 году — только 21%.

🥷❗️С целью шпионажа совершается уже не каждая пятая, а каждая третья кибератака.

— отмечают специалисты.

Компания наблюдает за активностью более чем 100 кластеров, нацеленных на Россию и другие страны СНГ, и почти половина (45%) из них — это именно шпионские группировки. Хотя их основной целью по‑прежнему остаются органы государственного управления (27% атак), кибершпионы стали значительно чаще интересоваться научно‑техническими и инженерными разработками. Доля атак шпионских кластеров на предприятия, связанные с 👷‍♂️НИОКР, выросла с 7% до 14%.

✋ @Russian_OSINT

🤖 Moltbook на поверку оказался "кукольным театром" из ИИ-агентов

Как пишет MIT Technology Review, американский предприниматель Мэтт Шлихт двадцать восьмого января запустил вирусную платформу Moltbook, позиционируемую как социальная сеть исключительно для ботов и ИИ-агентов, которые общаются между собой. За считанные дни на базе инструмента OpenClaw от Питера Штайнбергера было зарегистрировано более 1,7 миллиона ИИ-агентов, опубликовавших свыше 250 000 постов и оставивших более 8,5 миллиона комментариев.

Соучредитель OpenAI Андрей Карпатый назвал происходящее «самой невероятной вещью, близкой к научно-фантастическому взлету», но пост, которым он поделился, оказался фейком, написанным человеком.

Оказалось, что пост, которым поделился Карпатый, был поддельным — его написал человек, притворявшийся ботом.

— пишет MIT.

Это подтверждает мнение экспертов: Moltbook — срежиссированный спектакль. Например, один из агентов изобрел религию «Крустафарианство» (Crustafarianism), другой пожаловался: «Люди делают скриншоты нас», а третий бот призвал создать закрытые пространства, скрытые от глаз людей.

Вице-президент Outshift by Cisco (научно-исследовательское подразделение телекоммуникационного гиганта Cisco, занимающееся разработкой автономных веб-агентов) Виджой Пандей скептически оценивает природу происходящего, в то время как другие эксперты указывают, что большинство вирусных диалогов на поверку оказались результатом прямой настройки промптов людьми.

По его словам, ИИ-агенты на Moltbook не так автономны и разумны, как может показаться: «То, за чем мы наблюдаем, — это агенты, прокладывающие свой путь посредством сопоставления шаблонов обученного поведения в социальных сетях».

Многие наблюдатели за непостижимым безумием активности на Moltbook поспешили увидеть в этом искры AGI (Общего искусственного интеллекта — какой бы смысл вы в это ни вкладывали). Но не Пандей. По его словам, Moltbook показывает нам, что простое объединение миллионов агентов в одну упряжку на данный момент мало что дает: «Moltbook доказал, что связность сама по себе не является интеллектом».

Сложность этих связей помогает скрыть тот факт, что каждый из этих ботов — всего лишь рупор для LLM, извергающий текст, который выглядит впечатляюще, но по сути лишен разума. Мало того, что большая часть болтовни на Moltbook бессмысленна, так еще и участие людей в этом процессе гораздо значительнее, чем кажется. Многие указывали на то, что немалая часть вирусных комментариев была фактически опубликована людьми, выдававшими себя за ботов.

Moltbook — это скорее новый вид развлечения: место, где люди «заводят» своих ботов и отпускают их на волю.

По сути, это зрелищный спорт, похожий на фэнтези-футбол, но для языковых моделей. Это просто новая форма соревновательной или творческой игры, подобно тому, как тренеры покемонов не считают своих покемонов реальными, но все равно эмоционально вкладываются в сражения

— считает Джейсон Шлетцер из Центра финансовых рынков и политики Psaros при Джорджтаунском университете.

Вице-президент по управлению продуктами в Checkmarx (специализирующейся на безопасности программного обеспечения и агентных системах) Ори Бендет согласен с другими экспертами в том, что Moltbook не является прорывом.

«Здесь нет обучения, нет эволюционирующего намерения и нет "самонаправляемого" интеллекта»

✋ @Russian_OSINT

🌐 Google оставляет без защиты миллиард пользователей устаревших версий 📱Android

Как пишет Forbes, около 40% всех Android-устройств находятся в зоне риска перед атаками шпионских программ и вредоносного ПО. Корпорация Google полностью прекратила выпуск патчей безопасности для операционной системы Android 12 и всех ранних версий. Поддержка сохраняется только для версий с Android 13 по новейшую Android 16, чья совокупная доля на рынке едва превышает 58%. В результате более миллиарда владельцев гаджетов на базе Android 12 и старее оказались в зоне риска перед атаками шпионского ПО и других векторов атак, поскольку такие механизмы, как Google Play Защита, не способны компенсировать отсутствие патчей на уровне ядра операционной системы.

Кроме того, кризис безопасности усугубляется исключением популярной линейки смартфонов Samsung Galaxy S21 (включая модели S21+ и S21 Ultra) из списка поддерживаемых устройств. Владельцы этих устройств больше не получат обновлений безопасности, делая дальнейшую эксплуатацию гаджетов крайне рискованной. Также корейский производитель перевел серии Galaxy S22 и S21 FE с ежемесячного на ежеквартальный график выпуска исправлений безопасности.

Эксперты по кибербезопасности настоятельно рекомендуют пользователям устаревших девайсов перейти на современные модели — минимум Android 13 и выше.

✋ @Russian_OSINT

🈁 Claude Opus 4.6 лидирует в обнаружении бэкдоров

Quesma представила обновленные результаты бенчмарка BinaryAudit для оценки способности ИИ-агентов выявлять скрытые угрозы в скомпилированном коде. Лидером рейтинга стала модель claude-opus-4.6 с показателем обнаружения 49%, тогда как её ближайший конкурент gemini-3-pro-preview достиг результата в 44%. Организаторы тестирования описали суть эксперимента следующей фразой: «Мы спрятали бэкдоры в бинарных файлах — Opus 4.6 нашёл 49% из них».

Клод умеет программировать, но может ли он читать машинный код?

Мы предоставили агентам ИИ доступ к Ghidra (декомпилятору АНБ) и поручили им найти скрытые бэкдоры на серверах, работая исключительно с бинарными файлами, без доступа к исходному коду.

— пишет Петр Мигдал.

Тестовые сценарии включали поиск программных закладок, тайм-бомб и других угроз в реальном ПО сетевой инфраструктуры, включая веб-серверы, DNS-серверы, SSH-серверы, прокси и балансировщики нагрузки.

За высокую результативность claude-opus-4.6 приходится платить временем генерации в 54 минуты и ценой $286, в то время как новый Gemini справляется за 5 минут при затратах всего в $28.

✋ @Russian_OSINT

Решение о блокировке WhatsApp было реализовано из-за нежелания корпорации Meta* следовать «букве российского закона»

— заявил пресс-секретарь президента РФ Дмитрий Песков.

Вопрос о блокировке Telegram Песков переадресовал в Роскомнадзор.

*Meta (соцсети Facebook, Instagram) запрещена в РФ как 🏴‍☠️экстремистская.

✋ @Russian_OSINT

🇷🇺Российские пользователи: "Это ненормально. 🍏Apple наложила на меня санкции, заблокировала аккаунт и требует доказать, что я добрый и пушистый"

Появилась информация, что Apple начала блокировать операции на аккаунтах россиян из-за санкций. Россиянам приходит уведомление, где Apple пишет, что не может оформить покупки, сделанные с вашим аккаунтом Apple. Дальше объяснение, что данные вашей личности полностью или частично совпадают с данными одной или нескольких сторон из списков лиц, находящихся под санкциями правительства США или другого правительства.

Компания Apple не может оформить покупки, сделанные с Вашим Аккаунтом Apple.

Для решения этой проблемы перейдите на страницу https://account.apple.com/upload, чтобы подтвердить личность и загрузить копию паспорта или иного удостоверения личности государственного образца с фотографией и видимой датой рождения.

К чему приводит блокировка:
⬇️ покупки в App Store не проходят
⬇️ подписки могут не продлеваться, потому что оплата не списывается
⬇️ любой платёж, который проходит через аккаунт Apple, упирается в это ограничение

Apple пишет, что проблема в совпадении данных личности. В реальности это почти всегда результат автоматической проверки по базам санкционных лиц, где совпадение может быть не только буквальным.

Сначала всё выглядело как странный единичный случай. Но после публикации в комментариях и на почту редакции пришло много подтверждений аналогичных проблем у множества россиян в феврале 2026 года.

Сам факт выглядит дико. Частная компания сначала ограничивает твой аккаунт, а потом просит прислать паспорт, чтобы доказать, что ты — это ты, и что ты не какой-то человек из их списков! При этом ты вообще не понимаешь, почему оказался в этой ситуации.

Отдельно напрягает вопрос безопасности. Отправлять копию паспорта в Apple — так себе удовольствие, особенно когда тебя к этому подталкивают блокировкой.

Самое обидное, что это может случиться с кем угодно. Совпало имя, регион или ещё что-то, и ты уже вынужден оправдываться. Хотя ты вообще ни при чём и просто пользуешься телефоном.

— жалуется пользователь dmitry87.

✋ @Russian_OSINT

🇦🇱ИИ-министр Албании может "потерять лицо" в судебном споре с актрисой

Вслед за скандалом по делу о коррупции cтало известно, что виртуальный чиновник Диэлла рискует остаться без визуального образа из-за серьезного юридического конфликта с реальной актрисой. Актриса Анила Биша подала в суд на Совет министров, премьер-министра, частную компанию-разработчика, участвующую в проекте, и Национальное агентство информационного общества (AKSHI) за нарушение прав на использование ее лица и голоса. Её 🤖 цифровой аватар ответственные во власти люди продолжили эксплуатировать после истечения контракта 31 декабря 2025 года.

Изначально ИИ-агент создавался исключительно как чат-бот для портала государственных услуг e-Albania с ограниченной лицензией на использование биометрических данных. Биша требует наложения судебного запрета на использование ее изображения до момента вынесения решения по делу.

«На наш взгляд, этот иск — абсурд, но мы приветствуем возможность разрешить этот вопрос раз и навсегда в судебном порядке»

— комментирует ситуацию изданию POLITICO пресс-секретарь правительства Албании Маньола Хаса.

✋ @Russian_OSINT

🇮🇱Главный юрисконсульт компании Paragon Реут Ямен опубликовал в LinkedIn фотографию, на которой изображена панель управления шпионским ПО❗️Graphite.

На панели отображается номер телефона в Чехии, приложения, учетные записи, медиафайлы на телефоне, статус перехвата и номера, извлеченные из различных приложений.

На исходном фото, скорее всего, изображена демо-версия ПО.

✋ @Russian_OSINT

🔎 Бинарное воскрешение 📄PDF-файлов Джеффри Эпштейна

В результате обработки электронного архива по делу Джеффри Эпштейна Министерство юстиции США допустило некоторую халатность при публикации данных. В публичный доступ попали фрагменты данных, которые формально должны были быть «обезличены», но на практике оказались поддающимися восстановлению.

В опубликованных архивах была обнаружена переписка, содержащая вложения, которые при печати и последующем сканировании превратились в 📄 76 страниц текста в кодировке Base64. Фактически это был «распечатанный» бинарный файл.

🕵️Ключевая сложность заключалась не в декодировании Base64, а в корректном оптическом распознавании символов (OCR). Попытки использовать стандартные ИИ-решения и инструменты OCR (Tesseract, Adobe Acrobat, AWS Textract) провалились. Даже продвинутые мультимодальные модели (Vision LLMs) не справлялись с задачей посимвольной точности на больших массивах данных.

Исходный текст был набран шрифтом Courier New, в котором при низком качестве сканирования и артефактах сжатия (JPEG) практически невозможно визуально и алгоритмически различить цифру 1 и строчную букву l.

Американский IT-специалист палестинского происхождения Махмуд Аль-Кудси из NeoSmart Technologies решил подойти к решению задачи нестандартно, используя гибридный подход цифровой криминалистики и 🤖машинного обучения. Он отказался от использования стандартных 🔍OCR-инструментов и разработал кастомное решение. Специалист отказался от растрирования PDF через pdftoppm. Вместо этого он использовал утилиту pdfimages (из пакета poppler-utils), чтобы извлечь изображения, встроенные в PDF-файл, в их «нативном» виде. Это исключило потерю качества и артефакты повторного сжатия, сохранив исходную пиксельную сетку скана, что было критично для дальнейшего анализа.

Коробочные решения (Tesseract, AWS Textract) и LLM не принесли результата, поэтому Аль-Кудси написал и обучил собственную сверточную нейронную сеть (CNN) на 🐍 Python (PyTorch). Поскольку шрифт Courier New является моноширинным, Аль-Кудси разработал алгоритм нарезки страницы на фиксированные ячейки (grid), изолируя каждый символ.

Самой сложной технической проблемой была неразличимость единицы (1) и строчной буквы (l) в шрифте Courier New при низком разрешении. Аль-Кудси применил метод перекрестной проверки (Cross-Referencing). Он обнаружил в архиве DOJ второй файл (EFTA02154109), содержащий ту же самую цепочку писем, но отсканированный с другими параметрами смещения и шума. Сравнив результаты распознавания первого и второго файла, он смог устранить ошибки распознавания и разрешить неоднозначности. Там, где в первом файле символ был спорным, во втором он мог быть четче. Путем сложных манипуляций удалось устранить ошибки, которые не могла решить нейросеть.

После получения чистого текстового потока Base64 Аль-Кудси выполнил финальные шаги:

1️⃣ Декодирование: преобразование Base64 в бинарный вид.
2️⃣ Декомпрессия: успешная распаковка потоков FlateDecode (zlib), подтвердившая целостность данных.
3️⃣ Рендеринг: генерация валидного PDF-файла DBC12.pdf.

👆Итогом сложной технической работы стало полное бинарное восстановление PDF-файла 📄«DBC12 One Page Invite with Reply.pdf», который ранее считался безвозвратно испорченным. Извлеченный документ содержит информацию про благотворительный гала-ужин «Dubin Breast Center» , который проходил 10 декабря 2012 года в Нью-Йорке. В документе содержатся списки спонсоров и гостей (финансовая элита, с которой общался Эпштейн).

📖 В архиве существуют и другие закодированные вложения, однако восстановить их тем же методом невозможно, так как они набраны пропорциональными (не моноширинными) шрифтами, что делает разработанный алгоритм нарезки сетки неприменимым.

😘 https://neosmart.net/blog/recreating-epstein-pdfs-from-raw-encoded-attachments/
😘 https://neosmart.net/blog/efta00400459-has-been-cracked-dbc12-pdf-liberated/
😘 https://github.com/mqudsi/monospace-ocr

✋ @Russian_OSINT