🔒 Дайджест событий в области информационной безопасности с 2 февраля по 8 февраля 2026 года

📈 Анализ активности ботнетов:

Общая активность идёт на спад (-41%), также падают показатели по разделам "SSH и Telnet" (-30%), "FTP и TFTP" (-41%) и "DNS и NTP" (-59%). При этом почти в 3 раза выросла активность ботнетов в РК и более чем в 2 раза атаки на почтовые сервисы

💥 Взломы, атаки, киберпреступность:

☄️ Европейская комиссия (центральная организация исполнительной власти в Европейском Союзе), сообщила о кибератаке на свою систему управления мобильными устройствами, которая могла привести к утечке данных о сотрудниках

☄️ Cloudflare зарегистрировал новый рекорд DDoS-атак — 31.4 терабита в секунду. Ещё в сентябре рекорд был в 3 раза меньше — 11.5 терабит в секунду. Для сравнения — согласно RIPE NCC, весь транзитный трафик Казахстана в среднем составляет около 10 терабит в секунду, впрочем, это средняя постоянная нагрузка, а атака длилась 35 секунд

☄️ Группировка TGR-STA-1030 проводит фишинговые атаки и атаки на уязвимости правоохранительных и пограничных структур европейских государств, и замечена в разведке гос.систем 155 государств. Анализ Unit42

☄️ Испанское министерство науки, инновации и университетов частично приостановило работу своих цифровых систем в связи с кибератакой. Ответственность на себя взял хакер под ником "GordonFreeman", утверждающий, что он смог получить большое количество закрытых данных. Сводка BleepingComputer

😈 Малварь:

1️⃣ Аналитики фирмы Huntress обнаружили ВПО OemHwUpd, которое декодирует нужный ему драйвер с помощью словаря — он хранится как набор слов, который трансформируется в набор байт простой подстановкой

2️⃣ Шифровальщик Rorschach приносит с собой утилиту Cortex XDR Dump Service Tool, обычно используемая для анализа данных кибербезопасности. Так как она подписана и поэтому вызывает меньше подозрений у других средств защиты, шифровальщику проще провести атаку. Согласно новостному СМИ Corriere Della Sera, именно он ответственен за атаку на итальянский университет La Sapienza, сайт которого был отключён несколько дней

🔒 Уязвимости:

⚠️ Нейросеть Claude Opus 4.6 обнаружила 500+ уязвимостей высокой критичности в разнообразном ПО с открытым кодом. Команда Anthropic, автора этого ИИ, отфильтровывает галлюцинации и оповещает разработчиков. Про их конкурентов, Google Big Sleep, мы писали ранее

⚠️ В Django закрыты 6 уязвимостей, из которых 3 — SQL-инъекции высокой критичности

⚠️ Noma Security описывают уязвимость в ИИ-ассистенте в Docker, которая позволяет выполнение команд через поле LABEL в описании контейнера

➕ Файл ниже содержит IoA/IoC из аналитических отчетов этого выпуска дайджеста. Вы можете использовать их для обнаружения вредоносной активности

🔒 Дайджест событий в области информационной безопасности с 9 февраля по 15 февраля 2026 года

📈 Анализ активности ботнетов:

Наблюдается рост почти по всем разделам — общая активность выросла более чем в 3.5 раза, активность внутри РК почти в 9 раз, также заметен рост по разделам "SSH и Telnet" (+334%), "FTP и TFTP" (+341%) и почтовым сервисам (почти в 3 раза). Уменьшились только показатели по промышленным протоколам (-9%) и медицинским протоколам (-35%)

💥 Взломы, атаки, киберпреступность:

☄️ BleepingComputer сообщает об атаке на пользователей аппаратных криптовалютных кошельков Trezor и Ledger — им рассылается бумажная почта с фишинговыми QR-кодами, которые ведут на "форму подтверждения", спрашивающую парольную фразу от счёта

☄️ Хакеры рассылают программистам, ищущим работу, троянизированные тестовые задания — репозиторий на GitHub, на который даётся ссылка, сам по себе чист, но требует вредоносную NPM-зависимость. ReversingLabs считают, что это работа северокорейской Lazarus Group

😈 Малварь:

1️⃣ ВПО XPACK активируется при выполнении команды npm install и высвечивает ошибку HTTP 402 Payment Required. Это реальный код ошибки, но требует денег не сайт NPM, заплатить "необходимо" криптовалютой на счёт злоумышленника, согласно OpenSourceMalware

2️⃣ Майнер SSHStalker общается с командным сервером с использованием большого корпуса "обычного" текста — IRC-команды маскируются под человеческие сообщения, чтобы вызывать меньше подозрений. Анализ Flare

3️⃣ Шпион LummaStealer поставляется на компьютер жертвы в файле размером почти гигабайт, забитым с конца лишними нулями — некоторые антивирусы просто отказываются это анализировать, согласно CTM360

4️⃣ Вредонос CastleLoader прячется от систем защиты сложной обфускацией — многие ветки кода не делают ничего полезного, проводятся лишние операции, переменные переименовываются, а числовые значения получаются математически. Анализ Bitdefender

🔒 Уязвимости:

⚠️ Microsoft выпустила пакет обновлений на 58 уязвимостей, среди которых 5 критичных. Также 6 из закрытых уязвимостей эксплуатировались в реальных атаках

⚠️ Для Google Chrome вышло обновление, закрывающее уязвимость CVE-2026-2441 в обработке CSS. Эксплоит уже замечен в интернете

⚠️ Apple закрыла уязвимость исполнения произвольного когда CVE-2026-20700, которая была использована в сложных атаках. Уязвимый компонент dyld есть в watchOS, tvOS, macOS, visionOS, iOS и iPadOS

➕ Файл ниже содержит IoA/IoC из аналитических отчетов этого выпуска дайджеста. Вы можете использовать их для обнаружения вредоносной активности

🔒 Дайджест событий в области информационной безопасности с 16 февраля по 22 февраля 2026 года

📈 Анализ активности ботнетов:

Общий уровень активности снизился на 15%, а ботнеты в РК практически затихли (снижение на 95%). Также падают запросы к протоколам управления ("SSH и Telnet", -47%) и "DNS и NTP" (-46%). Заметно вырос только объём активности по почтовым сервисам (+56%)

💥 Взломы, атаки, киберпреступность:

☄️ Репозиторий Cline, утилиты для управления ИИ-агентами, был взломан, а код троянизирован — вредоносная версия устанавливала другого ИИ-ассистента, OpenClaw. Старая версия имеет уязвимость, позволяющую захватить его, после чего злоумышленник мог пользоваться всеми ИИ-способностями OpenClaw на заражённой системе. Разбор StepSecurity

☄️ В результате операции Red Card 2.0, координированной Интерполом, в Африке арестован 651 киберпреступник

😈 Малварь:

1️⃣ Эксперты Socket обнаружили червя SANDWORM_MODE, который устанавливает свой вредоносный MCP-сервер для кражи данных под маской ИИ-агентного инструментария, и распространяется через репозитории по краденым ключам. Это развитие идеи червя Shai-Hulud, см. прошлый дайджест

2️⃣ Jamf Threat Labs описывают, как шпионское ПО Predator для iOS может записывать видео с камер или аудио с микрофона, не включая защитный индикатор-лампочку, который обычно бы автоматически загорался

3️⃣ Лаборатория Касперского проанализировала бэкдор Keenadu, который попадал на Android-устройства задолго до покупки — он вшивается в firmware как следствие атаки на цепочку поставок

4️⃣ Шпион PromptSpy отдаёт часть своего функционала на аутсорс — он снимает слепок экрана и отправляет его в Gemini, чтобы ИИ подсказал, что именно нужно "нажимать", чтобы закрепиться в списке "недавно использованных приложений" Android. Пока он выполняет эту операцию, пользователю показывается заглушка с ложной загрузкой. Анализ ESET

🔒 Уязвимости:

⚠️ Microsoft выпустила внеочередное обновление для Windows Admin Center, которое закрывает критическую уязвимость CVE-2026-26119, позволяющую аутентифицироваться в обход защиты

⚠️ В Mozilla Firefox исправлена уязвимость переполнения кучи CVE-2026-2447, которая потенциально позволяет исполнение кода

⚠️ Специалисты Ox Security обнаружили в расширениях VSCode серию уязвимостей вплоть до исполнения кода, но разработчики не реагируют на оповещения. Сводка BleepingComputer

➕ Файл ниже содержит IoA/IoC из аналитических отчетов этого выпуска дайджеста. Вы можете использовать их для обнаружения вредоносной активности

🔒 Дайджест событий в области информационной безопасности с 23 февраля по 1 марта 2026 года

📈 Анализ активности ботнетов:

Общая активность упала на 23%, а активность внутри РК поднялась с ранних аномальных величин, более чем в 8.5 раз. Также усилились "DNS и NTP" (в 3 раза) и "SSH и Telnet" (+24%). Уменьшение наблюдается по разделам "FTP и TFTP" (-42%), "Почтовые сервисы" (-46%) и "Веб-сервисы" (-58%)

💥 Взломы, атаки, киберпреступность:

☄️ В Южной Корее неизвестный перевёл себе 4.8 миллионов долларов в криптовалюте со счёта налоговой службы — она выложила в интернет фотографию изъятого аппаратного кошелька с видимой парольной фразой восстановления, чего достаточно, чтобы получить доступ к кошельку в блокчейне. Сводка BleepingComputer

☄️ Группировка Diesel Vortex проводит фишинговые атаки против европейских и американских логистических компаний с помощью двойных iframe-рамок — сайт открывает внутри себя другой сайт, что помогает прятаться от средств защиты, уже распознающих второй сайт. Анализ HaveIBeenSquatted

☄️ Согласно Cisco Talos, группа UAT-8616 атакует критическую уязвимость CVE-2026-20127 в контроллерах Cisco Catalyst SD-WAN, пытаясь закрепиться на объектах критической инфраструктуры

😈 Малварь:

1️⃣ Расширение для Google Chrome под названием QuickLens обновилось трояном, который может выполнять команды управляющего злоумышленника и понижает настройки безопасности на всех сайтах. Его просто купили. Анализ Annex

2️⃣ Киберразведка Google обнаружила бэкдор GRIPTIDE, который использует Google Sheets для обмена с управляющим сервером — сервер добавляет в табличку команды, а GRIPTIDE кодирует файлы в текст и вставляет в табличку по кускам

3️⃣ Эксперты Socket предоставляют анализ бэкдора Rekoobe — он ждёт, пока администратор Linux-машины будет вводить пароль в интерактивном терминале. Это позволяет ВПО не активироваться во время тестов и другой частой активности

🔒 Уязвимости:

⚠️ В известном ИИ-ассистенте OpenClaw обнаружена критическая цепочка уязвимостей, которая позволяет вредоносным сайтам брать ассистента под контроль. Описание у Oasis

⚠️ Изменение политик Google по отношению к ключам API может привести к использованию Gemini неавторизованными пользователями, если пользователь куда-то выкладывал ранее несекретный ключ. Рекомендации от Truffle Security

⚠️ В Juniper Networks Junos OS обнаружена критическая уязвимость CVE-2026-21902, позволяющая исполнение вредоносного кода

➕ Файл ниже содержит IoA/IoC из аналитических отчетов этого выпуска дайджеста. Вы можете использовать их для обнаружения вредоносной активности

🔒 Дайджест событий в области информационной безопасности с 2 марта по 8 марта 2026 года

📈 Анализ активности ботнетов:

Общий объём активности увеличился в 3.4 раза, а активность внутри РК снизилась на 21%. Наблюдается большая волна запросов по файловым протоколам ("FTP и TFTP" — +433%), также выросли разделы "веб-сервисы" (+190%) и "SSH и Telnet" (+57%). Заметно падение "DNS и NTP" (-77%)

💥 Взломы, атаки, киберпреступность:

☄️ Один из сотрудников Викимедиа, платформы Википедии, был скомпрометирован и от его лица добавлен вредоносный код, что привело к дальнейшей компрометации ещё сотни волонтёров

☄️ Компанию Roberts Space Industries, разработчика игры Star Citizen, взломали и выкачали "некоторые персональные данные", согласно официальному объявлению

☄️ Американо-иранская война вызвала волну DDoS — 12 группировок активистов атаковали как минимум 110 организаций на Ближнем Востоке и в Европе, согласно отчёту Radware

☄️ Европол скоординировал операцию по закрытию киберпреступного форума LeakBase и получил доступ к данным 142 тысяч пользователей

😈 Малварь:

1️⃣ Неизвестные злоумышленники продвинули через поисковую систему Bing фейковый ИИ-ассистент OpenClaw, который разворачивает шпионское ПО. Анализ Huntress

2️⃣ Эксперты Cisco Talos обнаружили ВПО TernDoor, которое для маскировки связывается с управляющим сервером по протоколу торрентов (BitTorrent)

🔒 Уязвимости:

⚠️ Unit42 представил технический анализ уязвимости CVE-2026-0628, которая была ранее закрыта в Google Chrome и позволяла вредоносным расширениям проводить операции вне браузера

⚠️ Cisco выпустила обновления, закрывающие две уязвимости максимальной критичности в Secure Firewall Management Center (CVE-2026-20079, CVE-2026-20131), а также сообщила о ранее неизвестных атаках на уязвимости в Catalyst SD-WAN, закрытые ранее

⚠️ Для Android вышел бюллетень безопасности про закрытие 129 уязвимостей, часть из которых связана с чипами Qualcomm и уже использовалась в реальных атаках

➕ Файл ниже содержит IoA/IoC из аналитических отчетов этого выпуска дайджеста. Вы можете использовать их для обнаружения вредоносной активности

🔒 Дайджест событий в области информационной безопасности с 9 марта по 15 марта 2026 года

📈 Анализ активности ботнетов:

Наблюдается снижение объёмов запросов почти по всем разделам — общая активность снизилась более чем втрое, внутри РК на 88%, а по файловым протоколам на 81% ("FTP и TFTP"). Рост демонстрируют только разделы "Протоколы медицинского оборудования" (+17%), "DNS и NTP" и "Промышленные протоколы" (оба +9%)

💥 Взломы, атаки, киберпреступность:

☄️ Канадская компания Telus Digital подтвердила, что в результате атаки у неё было украдено около петабайта (1024 терабайта) данных

☄️ Интерпол провёл операцию Синергия III против международной преступной группировки, по результату которой были высвобождены 45 тысяч вредоносных IP-адресов. Интерпол отметил участие Казахстана, но не уточнил роль конкретно

😈 Малварь:

1️⃣ Специалисты ESET смогли вычислить авторов ВПО BeardShell по математической особенности — он использует в коде ту же формулу, всегда дающую результат "ложь", что и другие образцы. Авторы считают, это указывает на российскую группу Sednit. Формулы, всегда дающие ложный результат, используются для борьбы с анализаторами кода

2️⃣ Киберразведка Microsoft обнаружила троян Hyrax, который распространяется фишингом под видом VPN-клиента. Для того, чтобы вызывать у жертвы меньше подозрений, после кражи пароля от VPN он показывает ошибку и открывает настоящий сайт, с которого жертва может скачать нетроянизированный клиент и пользоваться по назначению

3️⃣ Android-троян BeatBanker мешает операционной системе себя выключить, просто включая очень тихий аудиофайл и играя его в цикле. Анализ Лаборатории Касперского

🔒 Уязвимости:

⚠️ Microsoft выпустила ежемесячный комплект патчей, который исправляет 79 уязвимостей, включая три критичные. Также выпущено вне стандартного расписания hotpatch-исправление уязвимости высокой критичности в Routing and Remote Access Service

⚠️ Эксперты Qualys описывают в AppArmor, стандартном модуле многих дистрибутивов Linux, серию уязвимостей CrackArmor, позволяющих несанкционированно управлять профилями защиты, например, снимать защиту или, наоборот, выставлять блокировки на все процессы, что приведёт к отказу системы

⚠️ Согласно Wordfence, на 400 тысячах сайтов Wordpress установлены версии плагина Ally, уязвимые к SQL-инъекции и краже данных

⚠️ В Veeam Backup & Replication закрыты 5 уязвимостей, из которых 3 критические

➕ Файл ниже содержит IoA/IoC из аналитических отчетов этого выпуска дайджеста. Вы можете использовать их для обнаружения вредоносной активности

🔒 Дайджест событий в области информационной безопасности с 16 марта по 29 марта 2026 года

📈 Анализ активности ботнетов:

Активность в основном идёт на спад — общий объём снизился на 64%, "SSH и Telnet" на 39%, "FTP и TFTP" на 76%, "Почтовые сервисы" на 57%, "Веб-сервисы" на 13%. Исключение составляют "DNS и NTP" (+20%) и активность ботнетов внутри РК (в 3 раза выше)

💥 Взломы, атаки, киберпреступность:

☄️ Группировка TeamPCP провела серию атак на цепочки поставок ПО — троянизированные версии появились у сканера уязвимостей Trivy, пакета для работы с ИИ LiteLLM и пакета для работы с системами Telnyx, под угрозой могут быть миллионы систем суммарно. Сводка BleepingComputer

☄️ Электронная почта директора ФБР Кэша Пателя взломана и частично выложена в интернет проиранской группой Handala, сообщает Reuters

☄️ Некоторые водители в США не смогли завести свои машины из-за отказа встроенных алкотестеров компании Intoxalock — алкотестеры потеряли связь с компанией, т.к. она была взломана. На восстановление ушло 8 дней, согласно официальному сайту

😈 Малварь:

1️⃣ ВПО Ghost пытается выманить пароль супер-пользователя, притворяясь системным диалогом Linux, который обычно требует этот пароль. Анализ ReversingLabs

2️⃣ Другой способ получить от пользователя нужные права обнаружили Securonix — троян FAUX#ELEVATE будет бесконечно запрашивать у пользователя повышенные права Windows через UAC, пока пользователь не устанет и не согласится

3️⃣ Червь GlassWorm получает команды в виде последовательных невидимых Юникод-символов, чтобы прятаться от анализа, согласно Afine

🔒 Уязвимости:

⚠️ Неизвестный выложил в открытый доступ эксплоит DarkSword, который позволяет взламывать iOS через ранее неизвестные уязвимости. Необходимо пропатчиться до последних версий iOS 26 или 18 (для более старых устройств). Также Apple рассылает на старые устройства специальные оповещения. DarkSword уже используется группой TA446 в атаках

⚠️ В ИИ-конструкторе Langflow обнаружена критичная уязвимость, позволяющая исполнение произвольного кода (CVE-2026-33017). Согласно Sysdig, она была исследована и по ней начались атаки через 20 часов после появления бюллетени уязвимости в открытом доступе

⚠️ Эксперты Qualys обнаружили в Ubuntu Linux уязвимость CVE-2026-3888, позволяющую повышение привилегий

➕ Файл ниже содержит IoA/IoC из аналитических отчетов этого выпуска дайджеста. Вы можете использовать их для обнаружения вредоносной активности