Как злоумышленники используют инструменты искусственного интеллекта❓ На основе недавнего анализа широкого спектра угроз специалисты по анализу угроз из Google (GTIG) выявили изменения, произошедшие за последний год: злоумышленники больше не используют искусственный интеллект только для повышения эффективности, они внедряют новые вредоносные программы с поддержкой ИИ в активные операции.

🙈Ключевые выводы
1️⃣Первое использование ИИ «Just-in-Time» в ВПО: GTIG впервые выявила семейства вредоносного ПО, такие как PROMPTFLUX и PROMPTSTEAL, которые используют большие языковые модели (LLM) во время исполнения. Эти инструменты динамически генерируют вредоносные скрипты, обфусцируют собственный код, чтобы избежать обнаружения, и привлекают модели ИИ для создания вредоносных функций по требованию, вместо того чтобы жёстко программировать их в самом ПО. Хотя это явление ещё на ранней стадии, оно представляет собой значительный шаг к более автономному и адаптивному вредоносному ПО.

2️⃣Социальная инженерия для обхода защит: Злоумышленники всё чаще используют в запросах предлоги, похожие на приёмы социальной инженерии, чтобы обойти защитные барьеры ИИ. Наблюдались случаи, когда злоумышленники выдавали себя за студентов на CTF-соревнованиях или за исследователей по кибербезопасности, чтобы убедить Gemini предоставить информацию, которая в противном случае была бы заблокирована, что облегчало разработку вредоносных инструментов.

3️⃣Зрелый подпольный рынок преступных AI-инструментов: Подпольный рынок нелегитимных AI-инструментов в 2025 году стал более зрелым. Выявлены многочисленные предложения многофункциональных инструментов, предназначенных для фишинга, разработки вредоносного ПО и поиска уязвимостей, что снижает барьер входа для менее опытных атакующих.

4️⃣Дальнейшее расширение всего жизненного цикла атаки: Спонсируемые государствами APT, в том числе из Северной Кореи, Ирана и КНР, продолжают злоупотреблять Gemini для усиления всех этапов своих операций — от разведки и создания фишинговых приманок до разработки систем командования и управления и эксфильтрации данных.

👻ВПО, написанные с использованием ИИ
🔴FRUITSHELL - публично доступный реверсшелл, написанный на PowerShell, устанавливающий удалённое соединение с настроенным С2 сервером и позволяющий злоумышленнику выполнять произвольные команды во взломанной системе. Семейство кодов содержит жёстко запрограммированные подсказки, предназначенные для обхода обнаружения или анализа системами безопасности на базе LLM.

🔴PROMPTFLUX - Dropper, написанный на VBScript, расшифровывает и запускает встроенный установщик-приманку, чтобы замаскировать свою активность. Его основная функция — регенерация, которую он выполняет с помощью Google Gemini API. Он запрашивает у языковой модели переписать его собственный исходный код и сохраняет новую, запутанную версию в папке автозагрузки для обеспечения постоянства. PROMPTFLUX также пытается распространяться, копируя себя на съемные диски и подключенные сетевые ресурсы.

🔴PROMPTLOCK - кроссплатформенная программа-вымогатель, написанная на Go, представляет собой экспериментальный образец. Она использует большую языковую модель для динамической генерации и выполнения вредоносных скриптов на языке Lua во время работы. Её возможности включают в себя разведку файловой системы, кражу данных и шифрование файлов в системах Windows и Linux.

🔴PROMPTSTEAL - программа для сбора данных, написанная на Python и упакованная с помощью PyInstaller. Она содержит скомпилированный скрипт, который использует API Hugging Face для запроса к языковой модели Qwen2.5-Coder-32B-Instruct для генерации однострочных команд Windows. Подсказки, используемые для генерации команд, указывают на то, что программа предназначена для сбора системной информации и документов в определённых папках. Затем PROMPTSTEAL выполняет команды и отправляет собранные данные на сервер, контролируемый злоумышленником.

OpenSCAP — это набор открытых инструментов и библиотек, реализующих стандарт SCAP (Security Content Automation Protocol). SCAP — это спецификация, разработанная Национальным институтом стандартов и технологий США (NIST), которая объединяет множество компонентов (языки проверки, перечни уязвимостей, репозитории и т.д.) в единый комплекс для автоматизации управления безопасностью.

Архитектура OpenSCAP построена вокруг нескольких ключевых компонентов:
1⃣Библиотека libopenscap - ядро системы, написанное на C. Обеспечивает парсинг SCAP-контента, выполнение проверок и генерацию отчетов в соответствии со стандартами.
2⃣Утилиты командной строки:
🔹oscap - основной инструмент для сканирования системы, валидации контента и генерации отчетов (HTML, PDF, CSV)
🔹oscap-ssh - инструмент для удаленного сканирования через SSH
3⃣Содержит политики безопасности и правила проверки:
🔹Benchmark - базовые стандарты (CIS, STIG)
🔹Профили - специализированные подмножества эталонов
🔹XCCDF - язык описания чек-листов
🔹OVAL - язык определения логики проверок
🔹CPE - стандарт идентификации ПО и оборудования

➡️Установка

sudo apt install openscap-scanner

Проверка

oscap -h

‼️Типичный рабочий процесс включает несколько шагов.
1. Проверка установленных SCAP-файлов

find /usr/share -name "*.xml" | grep scap | grep -i debian

2. Запуск сканирования с тестовым файлом

sudo oscap xccdf eval \
    --profile test_profile \
    --results results.xml \
    --report report.html \
    test.xml

Здесь:
--profile test_profile — указывает профиль для проверки.
--results results.xml — файл с детальными результатами.
--report report.html — удобный для чтения HTML-отчет.

3. Проверка результатов

ls -la results.xml report.html

4. Генерация исправлений

sudo oscap xccdf generate fix \
    --output fix.sh \
    results.xml

WaybackLister

WaybackLister — это разведывательный инструмент, который подключается к Wayback Machine для получения исторических URL-адресов домена, анализирует уникальные пути и проверяет, содержат ли эти пути в настоящее время списки каталогов. Он быстрый, многопоточный и создан для практического применения в оценке безопасности и разведке для программ bug bounty.

📕Характеристики:
1️⃣Извлекает архивные URL-адреса через Wayback Machine
2️⃣Извлекает уникальные пути и поддомены из этих URL-адресов
3️⃣Поддерживает многопоточное сканирование
4️⃣Работает с одним доменом или списком доменов
5️⃣Может автоматически обнаруживать поддомены на основе данных Wayback

📌Установка:

git clone https://github.com/anmolksachan/wayBackLister.git

cd wayBackLister

🚀Запуск:
➖Сканировать домен:

python3 waybacklister.py -d example.com

➖Сканировать домена в текст. файле:

python3 waybacklister.py -f domains.txt

➖Автоматическое обнаружение и сканирование поддоменов:

python3 waybacklister.py -auto example.com

ICEBREAKER 2025: Защита от киберугроз и будущее в облаках

12 декабря компания NGENIX в пятый раз проведет конференцию по веб-безопасности ICEBREAKER 2025.

Главной темой мероприятия станет будущее в облаках.

Зачем регистрироваться?
🔵Послушать про эволюцию методов детекции и классификацию ботов, защиту API.
🔵Узнать, как сегодня бизнес страдает от автоматизированных угроз и как он может от них защититься. Реальные кейсы расскажет приглашенный гость из компании «Комус».
🔵Посетить воркшопы по настройке сервисов защиты от DDoS- и бот-атак.

А также:
🔵Узнать, как соответствовать требованиям регуляторов и при этом использовать облака.
🔵Одними из первых познакомиться с новым облачным продуктом NGENIX.
🔵Увидеть, как эволюционируют средства статистики и продвинутой аналитики;
🔵И вообще, понять, какие фичи и продукты для защиты веба нужны ИТ- и ИБ-командам, чтобы построить будущее в облаках.

🚀12 декабря, 11:00, онлайн
Участие в конференции бесплатное.
Зарегистрироваться можно прямо сейчас

🔺WebVM

Бессерверная виртуальная среда, работающая полностью на стороне клиента в формате HTML5/WebAssembly. Разработана с учётом совместимости с ABI Linux. В ней используется неизменённый дистрибутив Debian, включающий множество встроенных наборов инструментов для разработки.

🔺WebVM работает на базе механизма виртуализации CheerpX и обеспечивает безопасное выполнение двоичных файлов x86 на стороне клиента в изолированной среде в любом браузере. CheerpX включает в себя JIT-компилятор x86 в WebAssembly, виртуальную файловую систему на основе блоков и эмулятор системных вызовов Linux.

🔺Сетевое взаимодействие
Современные браузеры не предоставляют API для прямого использования TCP или UDP. WebVM обеспечивает сетевую поддержку за счёт интеграции с Tailscale — VPN-сетью, которая поддерживает WebSockets в качестве транспортного уровня.
🔺Откройте панель Networking на боковой панели;
🔺Нажмите Connect to Tailscale на панели;
🔺Войдите в Tailscale (создайте учётную запись, если у вас её нет);
🔺Нажмите Connect, когда Tailscale предложит это сделать.

🔺Запуск WebVM локально с помощью пользовательского образа Debian
1️⃣ Клонируйте репозиторий WebVM

git clone https://github.com/leaningtech/webvm.git
cd webvm

2️⃣ Чтобы загрузить образ Debian mini Ext2, выполните следующую команду:

wget "https://github.com/leaningtech/webvm/releases/download/ext2_image/debian_mini_20230519_5022088024.ext2"

3️⃣ Обновите файл конфигурации
Заменить: wss://disks.webvm.io/debian_large_20230522_5044875331.ext2
На: /disk-images/debian_mini_20230519_5022088024.ext2
(Используйте абсолютный или относительный URL-адрес, указывающий на расположение образа диска.)

4️⃣ Выполните следующие команды, чтобы установить зависимости и собрать WebVM:

sh
npm install
npm run build

Результат будет сохранён в каталоге build.

5️⃣ Настройка Nginx. Создайте каталог для образа диска:

mkdir disk-images
mv debian_mini_20230519_5022088024.ext2 disk-images/

Измените файл nginx.conf так, добавив следующий блок

location /disk-images/ {
  root .;
  autoindex on;
}

6️⃣ Чтобы запустить Nginx, выполните следующую команду:

nginx -p . -c nginx.conf
Nginx будет автоматически обслуживать каталог сборки.

7️⃣ Для доступа к WebVM откройте браузер и перейдите по адресу: http://127.0.0.1:8081.


WebVM поддерживает интеграцию с Claude AI. Чтобы получить доступ к Claude AI, вам понадобится ключ API.

🇷🇺 ФСБ идет к банкам!

🏦 ФСБ потребовала от крупных российских банков до 2027 года установить у себя СОРМ (системы оперативно-розыскных мероприятий) и обеспечить спецслужбе удаленный к ним доступ. Данные системы необходимы для хранения переписки, голосовых сообщений и иного контента, которым обмениваются пользователи банковских приложений.

📝 В письме в крупные банки ФСБ напомнила, что они попадают под статус организаторов распространения информации (ОРИ), так как в их мобильных приложениях пользователи могут обмениваться сообщениями. ФСБ предписала банкам разработать программу взаимодействия со службой и установить спецоборудование для удаленного доступа к данным.

ℹ️ Под реестр ОРИ входят 300+ различных мессенджеров, сервисов электронной почты, форумы и другие ресрусы, а с 2019 года стали входить сервисы банков, сначала "Сбербанк Онлайн", а позже, с 2020 года, "Т-Банк".

💬 На данный момент крупные банки пока не комментируют данную новость.

❓ Что скажете по поводу данного решения?

👩‍💻 DroidRun — Фреймворк для управления реальными мобильными устройствами через LLM-агентов

DroidRun — проект, который позволяет управлять устройствами через агентов на базе локальных LLM. Проект извлекает структуру UI, комбинирует визуальный парсинг и данные ADB, принимает команды и умеет автоматически строить сценарии взаимодействия с приложениями.

🛠 Основные возможности DroidRun
➡️ Управление Android через LLM-агентов — даёт возможность формулировать задачу на естественном языке, а агент переводит её в последовательность действий на телефоне.
➡️ Визуальный парсинг + структура UI — сочетание анализа экрана и accessibility-данных повышает точность и устойчивость автоматизации.
➡️ Поддержка нескольких LLM — интеграция с OpenAI, Anthropic, Gemini, Ollama и другими (на локальных или облачных моделях).
➡️ DroidRun Portal — Android-сервис/оверлей для сбора телеметрии и подсветки интерактивных элементов в реальном времени.
➡️ CLI, SDK и портал — готовые компоненты для запуска агентов локально, в облаке или в гибридном режиме; есть документация и примеры.

⬇️ Что нужно для запуска
Требования: Python 3.10+, ADB (Android SDK Platform Tools), Android-устройство с включённым USB-отладчиком (или по сети), DroidRun Portal на устройстве, работающий сервис Ollama/или другой LLM (если используете локальные модели).
Подробный Quickstart - в нем есть готовые инструкции по ADB, Portal и первым заданиям.

🔥 Преимущества DroidRun
⏺️ Работает с реальными приложениями — не только WebView или эмуляторы — полезно для тестов, автоматизации и извлечения данных с мобильных-only сервисов.
⏺️ Локальные модели и приватность — поддержка Ollama и других локальных бэкендов даёт контроль над данными и токен-расходами.
⏺️ Активное развитие и комьюнити — проект активно развивается, регулярно выходят релизы и обновления.

Продолжаем нашу рубрику «То, что вы стеснялись спросить про ИБ»

💬Мы собрали самые частые вопросы от студентов и опытных специалистов — и попросили куратора расставить все точки над «i»:
🔺Как войти в ИБ и не разочароваться?
🔺Почему «чёрная шляпа» — это путь в никуда?
🔺Что делать, если не берут на работу мечты?
🔺И другие карьерные вопросы от коллег

Честные ответы в нашей статье ↖️

Всё о информационной безопасности: спрашивайте анонимно здесь

💬@CodebyManagerBot

IRIS

🔺 IRIS — это система, ориентированная на цифровую криминалистику и реагирование на инциденты (DFIR), которая интегрируется с платформой TheHive для расширения возможностей управления инцидентами. IRIS предоставляет удобный веб-интерфейс для анализа и корреляции данных инцидентов, а также автоматизации части сценариев реагирования.

Основные возможности IRIS в связке с TheHive:
🔺 Автоматизация сбора и обработки данных о событиях, индикаторах компрометации и артефактах.
🔺 Корреляция данных для ускорения анализа и выявления контекста инцидентов.
🔺 Расширенная аналитика с возможностью подключения к различным источникам данных и системам.
🔺 Упрощение совместной работы специалистов с удобным интерфейсом и возможностями обмена информацией.
🔺 Интеграция с Cortex для автоматического запуска анализаторов (анализ файлов, URL, IP и др.).
🔺 Улучшение управления инцидентами за счет расширенных рабочих процессов и отчетов.

🔺 Несмотря на положительные стороны, IRIS относительно сложна во внедрении и ограничена по автоматизации.

🔺 Для развертывания системы из 10 пользователей, ежедневного использования около 200 оповещений и нескольких обращений:

Процессор: 8 ядер
Оперативная память: 32 ГБ
Хранилище: SSD-накопитель емкостью 1 ТБ

🔺 IRIS помогает командам реагирования оптимизировать рабочие процессы, ускорить анализ и устранение угроз, а также улучшить видимость всей цепочки инцидентов, работая в связке с TheHive и другими инструментами SOAR.

🔺 Используете ли IRIS с TheHive в своей инфраструктуре?