Американская CrowdStrike заявила о поимке крота в своих рядах, который, по их данным, делал скрины из внутренних систем и делился с участниками хакерской группы Scattered Lapsus$ Hunters, впоследствии публиковавшей их на своем ТГ-канале.

Ссылаясь на результаты собственного расследования, компания отметила, что в результате инцидента ее системы не были взломаны, а данные клиентов не были скомпрометированы.

На тот момент CrowdStrike не уточняла дополнительных деталей, в том числе кто из киберподполья был причастен к атаке и тем более какова роль инсайдера.

Однако позже все стало понятно, когда скриншоты систем CrowdStrike были опубликованы членами коллектива ShinyHunters, Scattered Spider и Lapsus$.

Сами хакеры отметили, что гонорар по итогам сотрудничества с бандой должен был составить 25 000 долларов и включал предоставление доступа к внутренней сети CrowdStrike.

При этом злоумышленники заявили, что в конечном итоге смогли получить файлы cookie аутентификации SSO от инсайдера, но к тому времени подозреваемый уже был под колпаком CrowdStrike, которая успела залочить ему доступ к сети.

Кроме того, банда вымогателей добавила, что они также пытались прикупить отчеты CrowdStrike по ShinyHunters и Scattered Spider, но не потерпели фиаско.

В общем, Scattered Lapsus$ Hunters можно сказать задрали планку вымогательства на достаточно высокий уровень и продолжают удивлять размахом своей хакерской активности. Чуть было не завалившийся на бок, Jaguar Land Rover (JLR), не даст соврать.

CrowdStrike повезло не угодить в их послужной список, в котором и без того именитые бренды: Google, Cisco, Toyota, Instacart, Cartier, Adidas, Sake Fifth Avenue, Air France и KLM, FedEx, Disney/Hulu, Home Depot, Marriott, Gap, McDonald's, Walgreens, Transunion, HBO MAX, UPS, Chanel и IKEA.

К настоящему времени продолжая масштабную кампанию со взломом Salesforce хакеры приступили к новой волне атак, жертвами которых уже стали: LinkedIn, GitLab, Atlassian, Thomson Reuters, Verizon, F5, SonicWall, DocuSign и Malwarebytes.

Причем запустили также и новую платформу RaaS под названием ShinySp1d3r (при участии ShinyHunters и Scattered Spider).

Ранее они использовали в атаках шифровальщики своих коллег по цеху, включая ALPHV/BlackCat, RansomHub, Qilin и DragonForce, однако теперь реализуют собственный шифровальщик, разработанный с нуля (образец был обнаружен на VirusTotal).

Так что продолжаем следить.

Исследователи Лабораторией Касперского обратили внимание на активно расширяющийся с середины 2025 года ботнет Tsundere, нацеленный на пользователей Windows.

В настоящее время подробности о том, как распространяется вредоносное ПО, мало.

Как минимум в одном случае операторы использовали легитимный инструмент RMM в качестве канала для загрузки установочного файла MSI со взломанного сайта.

При этом названия вредоносных артефактов - Valorant, r6x (Rainbow Six Siege X) и cs2 (Counter-Strike 2), также указывают на то, что имплант, вероятно, распространяется в качестве игровых приманок.

По всей видимости, цели атак - пользователи пиратских версии игр.

Независимо от используемого метода, фейковый установщик MSI предназначен для установки Node.js и запуска скрипта-загрузчика, отвечающего за расшифровку и выполнение основной полезной нагрузки ботнета.

Он также реализует среду, загружая три легитимные библиотеки, а именно ws, ethers и pm2, с помощью команды npm install.

Пакет pm2 устанавливается для обеспечения активности бота Tsundere и используется для его запуска. Кроме того, pm2 помогает обеспечить персистентность в системе, записывая данные в реестр и настраиваясь на перезапуск процесса при входе в систему.

Анализ панели C2 показал, что вредоносное ПО также распространяется в форме скрипта PowerShell, который выполняет аналогичную последовательность действий, развертывая Node.js на скомпрометированном хосте и загружая ws и ethers в качестве зависимостей.

Несмотря на то, что PowerShell не использует pm2, он выполняет те же действия, что и в установщике MSI, создавая значение ключа реестра, которое обеспечивает запуск бота при каждом входе в систему путем создания нового экземпляра самого себя.

Tsundere задействует блокчейн Ethereum для получения данных сервера WebSocket C2 (например, ws://193.24.123[.]68:3011 или ws://185.28.119[.]179:1234), создавая устойчивый механизм, позволяющий злоумышленникам менять инфраструктуру, используя смарт-контракт.

После получения адреса C2 он проверяет его на корректность URL-адреса WebSocket, а затем устанавливает WebSocket-соединение с указанным адресом и получает JavaScript-код, отправленный сервером.

Однако в ЛК так и не увидели никаких последующих команд от сервера в течение исследования.

Как отмечают исследователи высокая гибкость и динамичность бота Tsundere, позволяет операторам ботнета адаптировать его для широкого спектра действий, что также поддерживается панелью управления, которая также включает и торговую площадку в едином фронтенде.

Она позволяет зарегистрированным пользователям создавать новые артефакты с помощью MSI или PowerShell, управлять административными функциями, просматривать количество ботов в любой момент времени, создавать прокси для маршрутизации вредоносного трафика и др.

По части атрибуции артефакты указывают на русскоязычного злоумышленника koneko, а сама активность функционально перекликается с вредоносной кампанией npm, попавшей в поле зрения Checkmarx, Phylum и Socket в ноябре 2024 года.

Злоумышленник тогда пытался выдавать свои пакеты за Puppeteer, Bignum.js и другие криптовалютные библиотеки: всего было выявлено 287 вредоносных пакетов. Эта атака на цепочку поставок затронула пользователей Windows, Linux и macOS, однако просуществовала недолго.

Более того, анализ ЛК выявил связь между ботнетом Tsundere и 123 Stealer - стилером на C++, распространяемым по подписке за 120 долларов в месяц.

Панели управления обоих зловредов используют один и тот же сервер: основной домен выполняет роль фронтенда для панели управления 123 Stealer, а поддомен idk. отведен для ботнета Tsundere.

Так что можно считать, Tsundere является очередным пополнением в арсенале известного злоумышленника, демонстрирующим эволюцию атаки, замеченной в октябре прошлого года, в том числе по части новой техники со смарт-контрактами Web3 для размещения адресов С2.

По мнению ЛК, активность ботнета Tsundere в ближайшие месяцы, скорее всего, будет нарастать, а все технические подробности - в отчете.

Positive Technologies представила обширный отчет в отношении связанной с Китаем APT31, которая отметилась целевыми атаками на российский ИТ (прежде всего подрядчики и интеграторы для госсектора) в 2024-2025 гг.

Уникальность этой кампании заключалась в продуманной тактике злоумышленников, которая позволяла им долгое время оставаться необнаруженными.

Группа также известна как Altaire, Bronze Vinewood, Judgement Panda, PerplexedGoblin, RedBravo, Red Keres и Violet Typhoon (ранее Zirconium) и, предположительно, действует как минимум с 2010 года.

За это время хакеры атаковали широкий спектр целей, включая правительственные учреждения, аэрокосмическую и оборонную промышленность, высокие технологии, строительство, машиностроение, телекоммуникации, СМИ, финансы и страхование.

Основная мотивация APT31 - кибершпионаж, в части сбора перспективной развединформации политического, экономического и военного характера в соответствии со стратегическими интересами Поднебесной.

Атаки на российском направлении характеризуются использованием легитимных облачных сервисов, предпочтительных в стране (таких как Yandex Cloud), для инфраструктуры C2 и маркированием эксфильтрации под обычный трафик для уклонения от обнаружения.

Подчеркивая особую изощренность злоумышленника, Позитивы отмечают, что хакеры размещали зашифрованные команды и полезную нагрузку в профилях соцсетей, а также практиковали атаки в выходные и праздничные дни.

Как минимум в одной атаке на IT-компанию, APT31 взломала её сеть ещё в конце 2022 года, а затем активизировала свою деятельность в период новогодних праздников 2023 года.

В рамках другого взлома в декабре 2024 года злоумышленники отправили фишинговое письмо с RAR-архивом, который, в свою очередь, включал LNK, отвечающий за запуск загрузчика Cobalt Strike, названного CloudyLoader, посредством загрузки DLL-библиотеки.

Подробности этой активности ранее были задокументированы исследователями Лаборатории Касперского в июле 2025 года, которые также выявили некоторые совпадения с кластером угроз, известным как EastWind.

Кроме того, исследователи обнаружили приманку в виде ZIP-архива, замаскированного под отчет МИД Перу, с целью в конечном итоге - запустить CloudyLoader.

Персистентность достигалась за счёт настройки запланированных задач, имитирующих работу легитимных приложений, таких как Яндекс.Диск и Google Chrome.

Для реализации последующих этапов атаки APT31 задействовала внушительный набор как сторонних (для перемещения по сети и разведки), так и собственных инструменты. При этом маскируя их под легитимное ПО.

Среди детектированных утилит и штаммов вредоносных ПО отмечены следующие: SharpADUserIP, SharpChrome.exe, SharpDir, StickyNotesExtract.exe, Tailscale VPN, Owawa, AufTime, COFFProxy, VtChatter, OneDriveDoor, LocalPlugX, CloudSorcerer и YaLeak.

В Positive Technologies отмечают, что APT31 постоянно пополняет свой арсенал, однако не отказывается от использования некоторых из своих старых инструментов, многие из которых настроены на работу в режиме сервера, ожидая подключения злоумышленников к зараженному хосту.

Группировка APT31 остается активной и по сей день. Их атаки остаются такими же продуманными - от времени атаки и до сценария команд.

Технические подробности и IOCs - в отчете.

Shai-Hulud вернулся с новой волной атакой на цепочку поставок, заразив 640 пакетов NPM.

Причем обновленная самовоспроизводящаяся версия червя обладает разрушительными возможностями: стирает содержимое домашнего каталога, если не может распространиться на другие репозитории.

Первая итерация Shai-Hulud произошла еще в середине сентября, тогда под раздачу попало более 180 пакетов, что привело к раскрытию учетных данных GitHub, NPM, AWS и Google Cloud, ключей Atlassian и ключей API Datadog.

После запуска на системе жертвы вредоносная ПО искала токены NPM, обобщала пакеты, к которым у жертвы есть доступ, внедряла в них скрипт после установки для своего распространения, переупаковывала их, а затем публиковала версии вредоносных пакетов в репозитории.

В течение нескольких дней Shai-Hulud скомпрометировала десятки учётных записей разработчиков, опубликовав более 700 версий вредоносных пакетов.

Собранная конфиденциальная информация жертв публиковалась в публичных репозиториях, также данные из приватных репозиториев переносились в публичные.

Исследователи предупреждают, что в новой версии атаки на цепочку поставок, запущенной на выходных, червь Shai-Hulud стал еще более агрессивным и обновился, получив разрушительные возможности.

Как отмечают в Wiz, в отличие от предыдущей версии, новые образцы Shai-Hulud используют для распространения предустановленные скрипты пакетов NPM, что значительно расширяет горизонт поражения на машинах разработки и конвейерах CI/CD.

Червь распространяет два файла: setup_bun.js и bun_environment.js, которые содержат загрузчик и полезную нагрузку соответственно.

Он также добавляет несколько рабочих процессов GitHub Actions, включая бэкдор, поддерживающий выполнение команд, инициированных через обсуждения в репозитории GitHub.

В свою очередь, JFrog заметила, что после заражения DNS-сервер системы перехватывается.

Если червь не находит токены GitHub или NPM для злоупотребления, он выполняет функцию очистки, удаляя все пользовательские данные в Windows, а также стерая все файлы и пустые каталоги в системах на базе Unix.

В Upwind обнаружили, что вредоносная ПО также запускает привилегированные контейнеры Docker и изменяет файлы sudoers, чтобы получить права root для повышения привилегий.

Wiz и Upwind заявили, что идентифицировали более 25 000 вредоносных репозиториев, опубликованных вредоносным ПО.

Wiz предупредила, что каждые 30 минут публикуется около 1000 новых пакетов.

Как и в сентябре, Shai-Hulud стремится собрать секреты разработчиков, включая токены, файлы cookie и данные локального рабочего пространства, которые он загружает в репозитории GitHub под контролем злоумышленников.

Как поясняет ReversingLabs, репозитории, связанные с утечкой данных и связанные с атакой, имеют случайные названия и описание Sha1-Hulud: Second Coming.

Компания выявила 27 000 таких репозиториев.

В отличие от предыдущей версии, новая версия Shai-Hulud может заразить до 100 пакетов NPM, поддерживаемых любой из жертв.

При этом первым троянизированным пакетом, распространяющим червя, мог быть asyncapi/specs, количество загрузок которого в неделю составляет около 1,4 млн.

Aikido сообщает, что обнаружила 36 пакетов AsyncAPI, которые были троянизированы.

Злоумышленники внедрили вредоносный код в сотни пакетов NPM, включая крупные пакеты Zapier, ENS, AsyncAPI, PostHog, Browserbase, Postman и др.

Если разработчик устанавливает один из этих вредоносных пакетов, вредоносное ПО незаметно запускается во время установки, ещё до того, как что-либо будет установлено. Общее количество ежемесячных загрузок скомпрометированных пакетов превышает 130 миллионов.

Как отмечает Upwind, серьезную угрозу новой атаке на цепочку поставок представляют скорость и автоматизация, превращающие каждого зараженного в точку усиления.

Украденные токены мгновенно используются для повторной публикации вредоносных пакетов и внедрения мошеннических рабочих процессов, превращая Shai Hulud 2.0 в червя всей экосистемы, а не в изолированный инцидент в цепочке поставок.

Исследователи из Лаборатории Касперского в новом отчете анализируют методологию APT ToddyCat по получению доступа к служебной почте целевых компаний.

ToddyCat, действующая с 2020 года, имеет богатый опыт атак на различные организации в Европе и Азии с использованием различных инструментов, включая Samurai и TomBerBil, для обеспечения доступа и кражи файлов.

Ранее в апреле этого года хакерской группе приписывали эксплуатацию уязвимости в сканере командной строки ESET (CVE-2024-11859, CVSS: 6,8) для распространения вредоносного ПО под кодовым названием TCESB.

Помимо изучения самих инцидентов второй половины 2024 - начала 2025 года, в ЛК подробно остановились на том, как злоумышленники смогли реализовать новый вектор атаки с использованием специального инструмента под названием TCSectorCopy.

Вновь выявленная атака позволяет с помощью браузера пользователя получить токены для протокола авторизации OAuth 2.0, которые можно использовать вне периметра скомпрометированной инфраструктуры для доступа к корпоративной почте.

В атаках, наблюдавшихся с мая по июнь 2024 года, задействовалась версия TomBerBil на PowerShell (в отличие от версий C++ и C#, отмеченных ранее), которая позволяет извлекать данные из Mozilla Firefox.

Важной особенностью этой версии является то, что она работает на контроллерах домена от имени привилегированного пользователя и способна получать доступ к файлам браузера через общие сетевые ресурсы по протоколу SMB.

В ЛК отметили, что вредоносная ПО запускалась с помощью запланированной задачи, выполняющей команду PowerShell. В частности, она ищет историю браузера, файлы cookie и сохранённые учётные данные на удалённом хосте по протоколу SMB.

Несмотря на шифрование с помощью API защиты данных Windows (DPAPI) скопированных файлов с этой информацией, TomBerBil может перехватить ключ шифрования, необходимый для их расшифровки.

Предыдущая версия TomBerBil работала на хосте и копировала токен пользователя. В результате DPAPI использовался для расшифровки главного ключа в текущем сеансе пользователя, а затем и самих файлов.

В новой серверной версии TomBerBil копирует файлы, содержащие пользовательские ключи шифрования, используемые DPAPI. Используя эти ключи, а также SID и пароль пользователя, злоумышленники могут расшифровать все скопированные файлы локально.

Кроме того, установлено, что злоумышленники получают доступ к корпоративным электронным письмам в локальном хранилище Microsoft Outlook в виде файлов OST с помощью TCSectorCopy (xCopy.exe), обходя ограничения доступа к таким файлам при работе приложения.

Написанный на C++, TCSectorCopy принимает на вход файл для копирования (в данном случае OST-файлы), а затем открывает диск как устройство только для чтения и последовательно копирует его содержимое посекторно.

После записи OST-файлов в папку, выбранную злоумышленником, содержимое электронной переписки извлекается с помощью XstReader - программы с открытым исходным кодом для просмотра OST- и PST-файлов Outlook.

Другая тактика, применяемая ToddyCat, реализуется через получение токенов доступа непосредственно из памяти в случаях, когда жертва использовала облачный сервис Microsoft 365.

Веб-токены JSON (JWT) достаются с помощью инструмента SharpTokenFinder на C# с открытым исходным кодом, который считывает приложения Microsoft 365 для получения токенов аутентификации в виде простого текста.

Однако, как отмечают исследователи, злоумышленник столкнулся с неудачной попыткой как минимум в одном расследованном инциденте после того, как установленное в системе защитное ПО заблокировало попытку SharpTokenFinder создать дамп процесса Outlook.exe.

Чтобы нивелировать это ограничение, злоумышленник использовал инструмент ProcDump из пакета Sysinternals с определёнными аргументами для создания дампа памяти процесса Outlook.

В ЛК заключили, что APT ToddyCat постоянно совершенствует свои техники, ориентируясь на те, которые бы позволили скрыть следы доступа к корпоративной переписке внутри скомпрометированной инфраструктуры.

В ЛК большинство таких техник успешно детектируются, а IOCs и матчасть - в отчете.

Исследователи Positive Technologies задетектили фишинговую активность хакерской группы NetMedved, которая атакует российские компании с использованием вредоносной версии NetSupport Manager (NetSupportRAT).

Первые фишинговые рассылки попали в поле зрения Позитивов в середине октября 2025 года. Отправления содержали архивы с набором приманок, имитирующих документооборот российских компаний, а также замаскированным вредоносным LNK.

В системе жертвы он запускал PowerShell в скрытом режиме с командой из тела LNK, в начале которой была вставлена последовательность из наборов букв, визуально похожих на слова. Затем подгружалась сборка System.Windows.Forms для проверок окружения и антианализа.

При этом перенос развернутой антианализ-логики непосредственно в командную строку LNK представляет собой характерную особенность (в типичных фишинговых сценариях все ограничивается командой запуска PowerShell без сложных проверок).

После антиотладочных проверок LNK инициирует загрузку и выполнение PowerShell-сценария, который создаёт рабочий каталог в LocalAppData, скачивает с задействованного домена ZIP, замаскированный под PDF-документ, и распаковывает его штатными средствами Windows.

Далее из распакованного каталога запускается документ-приманка и параллельно исполняется NetSupportRAT, после чего в планировщике Windows создаётся задача с автозапуском, что обеспечивает закрепление в системе.

Состав архива помимо NetSupportRAT и приманки включает исполняемый набор библиотек для корректной работы вредоносного ПО и конфигурационный client32.ini с жёстко заданными доменами в качестве С2 и точек подключения клиента.

Характерной деталью является то, что используемая сборка NetSupportRAT по метаданным датируется 2017 годом и не является новой разработкой.

Аналогичные экземпляры уже фигурировали в ряде операций, а в 2023 году исследователи VMware отдельно описывали кампанию с применением той же сборки NetSupportRAT.

К концу октября и началу ноября атаки расширились за счёт использования домена metrics-strange[.]com (помимо уже засвеченного cdn-reserved[.]com) и структурно повторяли общую схему.

Одновременно с этим в первых числах ноября злоумышленники модифицировали цепочку, отказавшись от PowerShell-скрипта. Первичная нагрузка оставалась прежней.

Однако LNK стал работать иначе: в нем также присутствовала длинная последовательность символов, однако вместо скачивания PowerShell запускалась командная строка Windows, в которой выполнялся запрос finger к узлу api.metrics-strange[.]com.

Ключевой приём заключается в том, что вывод запроса целиком перенаправляется в cmd для исполнения, в результате чего код второй стадии динамически подгружается с удалённого сервера через протокол finger и воспринимается оболочкой как обычный пакет команд.

Внутри кода реализуется проверка, после чего создаётся случайный путь в LocalAppData и с использованием копии curl под случайным именем для загрузки zip с домена metrics-strange[.]com, замаскированного под PDF.

Затем создаётся каталог, содержимое архива распаковывается встроенной утилитой tar, открывается документ-приманка, а через rundll32 запускается NetSupportRAT.

В завершение при помощи PowerShell создаётся задача планировщика с автозапуском Fosters.

Ретроспективный анализ связей между файлами конфигурации NetSupport RAT и архивами, позволил выявить фишинговую активность середины августа - начала сентября с доменом real-fishburger[.]com и вредоносными HTA.

Кроме того, были выявлены инфраструктурные пересечения кампании с ранее зафиксированными атаками Lumma Stealer и NetSupportRAT, где использовался GitHub-репозиторий NonaDoc/Nonadoc для распространения приманок и вредоносного ПО.

На основе указанных пересечений этот кластер был обозначен Позитивами как TA NetMedved: Net отражает использование NetSupportRAT, а Medved - отсылку к учётной записи prevedmedved6724993 как характерному лингвистическому маркеру инфраструктуры злоумышленников.

В США хакеры положили систему оповещения о чрезвычайных ситуациях, взломав платформу OnSolve CodeRED, что подтвердил ее разработчик - Crisis24.

Платформа CodeRED задействуется в работе федеральных и местных властей, полицейскими и пожарными по всей стране, позволяя оперативно информировать жителей о чрезвычайных ситуациях, погодных катаклизмах и доставки других важных сообщений.

В результате инцидента Crisis24 была вынуждена вывести из эксплуатации среду CodeRED, что привело к масштабным сбоям в работе всех ее пользователей.

Компания отметила, что атака ограничилась средой CodeRED и не затронула ни одну из других систем компании.

Тем не менее, в результате предварительного расследования также был установлен факт кражи данных с платформы.

Среди них - имена, адреса, адреса электронной почты, номера телефонов и пароли, используемые для пользователей CodeRED.

На текущий момент в Crisis24 заявляют, что пока не видели никаких признаков того, что украденные данные были публично опубликованы.

Поставщик активно восстанавливает работу, используя резервные копии от 31 марта 2025 года, так что отлаживать упущенное придется уже в ручном режиме, что определенно затянет процесс.

Официально Crisis24 упоминает о причастности к инциденту «организованной киберпреступной группы».

Однако в киберподполье ответственность за атаку уже взяла на себя банда вымогателей INC.

Хакеры уже отметили OnSolve на своем сайте DLS и опубликовали скрины, на которых, по всей видимости, фигурируют данные клиентов, включая адреса электронной почты и связанные с ними пароли в открытом виде.

Сами злоумышленники утверждают, что взломали системы OnSolve еще 1 ноября 2025 года и зашифровали файлы немного позже - 10 ноября.

После того, как переговоры по выкупу не удались, злоумышленники теперь намерены распродать данные в молотка.

Исследователи F6 продолжают отслеживать активности VasyGrek (предыдущий разбор - здесь), связанные с фишинговыми рассылками в адрес российских организаций с целью кражи информации.

VasyGrek (Fluffy Wolf) - русскоязычный злоумышленник, нацеленный на российские компании различных сфер, действует как минимум с 2016 года.

Кибератаки проводились с использованием вредоносного ПО через рассылки на бухгалтерскую тематику и фишинговые домены, которые, как правило, имитировали сайты финансовых организаций.

Обычно VasyGrek применял вредоносные модификации легитимных RMS и TeamViewer, разработанные Mr.Burns и классифицируемые как семейство BurnsRAT, а также стилеры RedLine и META, троян AveMaria и ПО от разработчика PureCoder (PureCrypter, PureHVNC (PureRAT), PureLogs Stealer).

После публикации в июле 2024 года исследования, в том числе о его сотрудничестве с продавцом ВПО Mr.Burns, VasyGrek перестал использовать BurnsRAT, но в целом цепочки заражений злоумышленника с того момента не претерпевали существенных изменений.

Он по-прежнему рассылал фишинговые письма, в которых вредоносный файл доставлялся потенциальной жертве как в виде вложения, так и по ссылкам на репозитории GitHub или на домены, регистрируемые VasyGrek.

Вредоносный файл представлял собой архив с исполняемым файлом внутри или сразу исполняемый файл PureCrypter, которое имеет возможность доставлять на систему жертвы последующие стадии и внедрять полезные нагрузки в нужные процессы.

Стадии могли как загружаться с внешних ресурсов, так и храниться локально в зашифрованном виде. VasyGrek отдавал предпочтение инструментам от разработчика PureCoder, но иногда к ним в дополнение шла нетипичная полезная нагрузка - в ряде случаев Pay2Key.

В новом отчете F6 подробно остановились на инструментах и атаках VasyGrek в августе-ноябре 2025 года.

В частности, замечены некоторые изменения цепочек заражений: в качестве вложений писем вместо архивов с исполняемыми файлами внутри стали использоваться архивы с файлами BAT и VBS.

В цепочке с файлом VBS конечной полезной нагрузкой было вредоносное ПО PureHVNC, но для его доставки вместо привычного PureCrypter использовался другой загрузчик - powershell stego downloader.

Он использовался разными атакующими, в частности, неоднократно был замечен в арсенале группы Sticky Werewolf.

Группа использовала его для доставки полезных нагрузок Ozone RAT и Darktrack и инжектировала их в процесс RegAsm.exe.

За этот период VasyGrek атаковал российские компании из следующих сфер деятельности: промышленность, строительство, энергетика, сельское хозяйство, безопасность, торговля, финансы, информационные технологии, медиа, развлечения.

Злоумышленник продолжал использовать ранее зарегистрированные и регистрировал новые домены для загрузки вредоносного ПО.

В качестве С2 почти год использовал IP-адрес 195[.]26[.]227[.]209 (с декабря 2024), но в конце октября 2025 года сменил его на 195[.]26[.]225[.]113.

Все детали и IOCs из атак VasyGrek за август-ноябрь 2025 года - в отчете.

Исследователи из Лаборатории Касперского выкатили новую квартальную аналитику в отношении развития информационных угроз в 3 квартале 2025 года (статистика по ПК - здесь, мобильная статистика - здесь).

Статистика по ПК в третьем квартале 2025 года выглядит следующим образом:

- решения ЛК отразили более 389 миллионов атак с различных интернет-ресурсов;

- веб-антивирус среагировал на 52 млн. уникальных ссылок;

- файловый антивирус заблокировал более 21 млн. вредоносных и потенциально нежелательных объектов;

- было обнаружено 2,2 тысячи новых модификаций шифровальщиков;

- почти 85 тысяч пользователей столкнулись с атаками шифровальщиков;

- 15% всех жертв шифровальщиков, данные которых опубликованы на DLS-сайтах группировок, пострадали от Qilin;

- более 254 тысяч пользователей столкнулись с майнерами.

Из главных тенденций и события квартала отмечены следующие:

1. Успехи правоохранителей:

- NCA в рамках расследования атаки шифровальщика во многих европейских аэропортах в сентябре 2025 арестовало первого подозреваемого.

- Минюст США предъявил обвинения администратору банд вымогателей LockerGoga, MegaCortex и Nefilim.

- Власти США изъяли активы и люксовый автомобиль у оператора Zeppelin.

- В ходе международной операции под флагом ФБР США ликвидирована инфраструктура BlackSuit.

2. Уязвимости и атаки:

- Исследователи фиксируют рост числа атак Akira на межсетевые экраны SonicWall с поддержкой SSL VPN. Компания связывает инциденты с уже исправленной CVE-2024-40766.

- Scattered Spider (UNC3944) атакует виртуальные среды VMware, выдавая себя за сотрудников компании. 

- Замечены атаки на SharePoint-серверы с использованием цепочки уязвимостей ToolShell, затронувшие более 140 организаций по всему миру,
обнаружен вымогатель 4L4MD4R, основанный на коде Mauri870.

- Британский злоумышленник с помощью Claude создал и запустил платформу RaaS.

- Исследователи обнаружили шифровальщик, использующий LLM-модель непосредственно в ходе атаки, и дали ему название PromptLock (позже выяснилось, что PromptLock, вероятно, основан на их учебном проекте).

3. Наиболее активные группировки:

- Как и в прошлом квартале, самой продуктивной оказалась группа Qilin, чья доля выросла на 1,89 п. п. и составила 14,96%.

- Шифровальщик Clop снизил свою активность, а доля Akira (10,02%) незначительно выросла.

- На третье место поднялась группа INC Ransom (8,15%), действующая с 2023 года.

Что важно, на этот раз в ЛК в части мобильной статистики был модифицирован подход в подсчете статистических показателей на основе Kaspersky Security Network. Изменения коснулись всех разделов отчета, кроме статистики по установочным пакетам, на которую они не повлияли.

Для демонстрации динамики между отчетными периодами также были пересчитаны данные за предыдущие кварталы, поэтому они могут значительно отличаться от опубликованных ранее.

Основные показатели третьего квартала 2025 года:

- предотвращено 3,47 млн атак с использованием вредоносного, рекламного или нежелательного мобильного ПО;

- среди вредоносного ПО для мобильных устройств самой распространенной угрозой стали троянцы - с ними столкнулись 15,78% от всех атакованных пользователей решений Лаборатории Касперского;

- было обнаружено более 197 тысяч вредоносных установочных пакетов, из которых: 52 723 - относились к мобильным банковским троянцам, 1564 пакета - к мобильным троянцам-вымогателям.

Подробная инфографика, разбор наиболее актуальных трендов и много полезной инфы - в отчетах по ПК и мобильным устройствам (1 и 2 соответственно).

Почти месяц потребовался Бюджетному управлению Конгресса США (CBO), чтобы окончательно локализовать киберинцидент, с которым столкнулась служба безопасности агентства в начале месяца.

О победе над особо продвинутыми хакерами неназванной APT отрапортовал сам директор Филипп Свагель, который заявил о полном изгнании злоумышленника из своей сети.

Он ответил, что в настоящее время нет «новых доказательств несанкционированного доступа к электронной почте CBO. Все это время федеральным органам запрещалось коммуницировать с управлением и обмениваться любой информацией.

Тем не менее, расследование продолжается и по мере поступления дополнительной информации, управление информировать законодателей «за закрытыми дверями».

Так что ожидаем очередных ангажированных отчетов с соответствующей атрибуцией. Не зря же целый месяц ковырялись.

Солары представили результаты своего исследования, отмечая увеличение числа атакующих в 2025 году российские компании хакерских группировок более чем в 2 раза.

По данным исследователей, к ноябрю доля присутствия профессиональных хакерских групп в инфраструктурах российских компаний выросла до 35%, что на 10 п.п. больше, чем по итогам 2 квартала.

Анализ срабатываний сенсоров показал, что число заражений вредоносным ПО в 3-ем квартале 2025 года снизилось почти на 50% в сравнении со 2-ым, до 1,4 млн. Вместе с этим уменьшилось и число атакуемых организаций (на 19%, до 13,8 тыс.).

Тем не менее, интенсивность атак в целом продолжает расти - для сравнения, еще в 4-ом квартале 2024 года каждая компания сталкивалась с 40 заражениями вредоносным ПО против 99 за октябрь 2025 года.

В 3-ем квартале хакеры чаще пытались атаковать организации из сфер промышленности (27% сработок сенсоров, -5 п.п. в сравнении со 2‑ым кварталом), ТЭК (17%, + 6 п.п.), здравоохранения (17%, -1 п.п.) и госструктур (13%, + 6 п.п.).

Чуть меньше заражений было зафиксировано в IT-компаниях (11%), образовательных организациях (10%), кредитно-финансовой отрасли (4%) и телекоме (1%).

При этом за октябрь доля заражений ВПО в ТЭК и вовсе выросла до 30%, на здравоохранение - до 29%, а на госструктуры - до 26%. Остальные заражения пришлись на промышленность (6%), образование (4%) и другие отрасли.

Эксперты связывают рост интереса злоумышленников к ТЭК с их важностью для экономики и безопасности страны - они интересны как прогосударственным атакующим, так и киберпреступникам, которые хотят заработать на вымогательстве.

Большая часть сработок сенсоров пришлась на индикаторы присутствия APT (32% в 3-ем квартале, +7 п.п. в сравнении со 2-ым кварталом), стилеры (30%, -8 п.п.) и RAT (24%,+ 5 п.п.).

В октябре 2025 года доля присутствия профессиональных хакеров вовсе выросла до 36%, доля стилеров - до 32%, а RAT осталась примерно на том же уровне и составила 23%.

Изучение сложных кибератак профессиональных хакеров позволил выявить за 10 месяцев этого года 18 кластеров и APT-группировок - в прошлом году их было 8.

При этом фиксируется снижение активности проукраинских групп - например, инструментарий Shedding Zmiy был обнаружен лишь в 2% атак, а в прошлом году их доля присутствия составляла 37%.

В целом доля инцидентов с проукраинскими хакерами снизилась до 20%.

Главной целью продвинутых хакеров в этом году по-прежнему остается шпионаж (61%, + 7 п.п. год к году). Доля финансово-мотивированных атак снизилась на 3 п.п. год к году, до 17%, а хактивистских - на 11 п.п., до 11%.

Чаще всего группировки атаковали организации из госсектора (33%, -3 п.п. год к году) и промышленности (20%, +3 п.п. год к году). Также значительно выросло число расследований сложных атак в IT-отрасли - на 10 п.п. год к году, до 16%.

Кроме того, фиксируется всплеск атак профессиональных хакеров и в отрасли энергетики (9%).

При этом 27% сложных атак начинались через доверительные отношения - это в 3,3 раза больше, чем в прошлом году. Чуть чаще хакеры проникают в инфраструктуры через уязвимости (31%), скомпрометированные учетные данные (28%), а реже - через фишинг (14%).

Вместе с этим хакеры стали дольше сидеть в инфраструктурах жертв: доля сложных атак сроком от шести месяцев до года выросла на 12 п.п. год к году - до 19%, а от года до двух лет - на 8 п.п., до 14%.

Исследователи Лаборатории Касперского в последнее время буквально бомбят очередями из исследований, одно из которых посвящено поиску работы IT-специалистами в даркнете и фактически является новой итерацией аналогичного, вышедшего в 2022 году.

Как отмечают в ЛК, с тех пор рынок труда конечно же изменился, как и ожидания и требования к специалистам. Тем не менее, рекрутинг и хедхантинг в даркнете по-прежнему активны.

В новом отчёте рассматривается, как функционируют системы занятости и подбора персонала в даркнете, на основе 2225 сообщений о вакансиях, собранных на теневых форумах в период с января 2023 года по июнь 2025 года.

Анализ показывает, что даркнет продолжает выступать неким параллельным рынком труда со своими собственными правилами, практикой подбора и ожиданиями по зарплате, отражая при этом более широкие глобальные экономические изменения.

Примечательно, что соискатели всё чаще рассказывают о своём предыдущем опыте работы в теневой экономике, что говорит о том, что для многих эта среда знакома и устоялась.

Большинство соискателей не указывают профессиональную область, 69% из них готовы взяться за любую доступную работу. При этом представлен широкий спектр вакансий, особенно в сфере ИТ.

Разработчики, тестировщики на проникновение и специалисты по отмыванию денег остаются наиболее востребованными специалистами, а специалисты по реверс-инжинирингу получают самую высокую среднюю зарплату.

Также наблюдается значительный контингент на рынке труда из числа подростков, многие из которых ищут быстрый заработок и зачастую уже знакомы со многими мошенническими схемами.

Безусловно, теневой рынок отличается от легального трудоустройства в таких аспектах, как формальность контрактов и скорость найма, между ними прослеживаются явные параллели

Обе сферы всё больше отдают приоритет практическим навыкам перед формальным образованием, проводят проверку биографических данных и демонстрируют синхронизированные колебания спроса и предложения.

Прогнозируя тренды, исследователи ожидают роста среднего возраста и квалификации соискателей работы в даркнете, отчасти за счёт глобальных увольнений.

В конечном счёте, рынок труда в даркнете не изолирован - он развивается параллельно с легальным рынком труда под влиянием тех же глобальных экономических сил.

Подробности о том, какие предпочтения в работе и зарплаты, лучшие специализации и анализ типичных соискателей, а также корреляции между легальным и теневым рынками труда - в отчете Лаборатории Касперского (можно получить здесь).

Критическая CVE-2025-13540 (CVSS 9.8 v3.1) обнаружена в плагине Tiare Membership для WordPress, которая позволяет неавторизованным пользователям регистрироваться в качестве администраторов через REST API.

Tiare Membership реализует управление членством на сайтах WordPress.

Проблема затрагивает все версии плагина, разработанного Qode Interactive, до до 1.2 включительно, исправление в настоящее время недоступно.

Основная причина обусловлена некорректным управлением привилегиями в функции tiare_membership_init_rest_api_register, которая обрабатывает регистрацию пользователей через REST API.

В частности, эта функция не проверяет и не ограничивает параметр роли пользователя, предоставленный при регистрации.

В результате злоумышленник может создать запрос на регистрацию, указав роль «администратор», получив тем самым полные административные привилегии на сайте WordPress, обойдя все стандартные средства аутентификации и авторизации.

Успешная эксплуатация уязвимости позволяет злоумышленнику, не прошедшему аутентификацию, получить полный контроль над сайтом WordPress, включая установку вредоносных плагинов, изменение контента, кражу конфиденциальных данных или нарушение работы сайта.

К настоящему времени случаев задействования уязвимости в реальных атака пока не выявлено, но специфика делают её весьма привлекательной целью для киберподполья.

При этом простота эксплуатации без аутентификации или взаимодействия с пользователем также означает, что атаки могут быть автоматизированы и реализованы в рамках широкомасштабных кампаний.

В качестве мер по смягчению предлагается отключение плагина Tiare Membership до тех пор, пока Qode Interactive не выпустит исправление.

В противном случае следует ограничить доступ к конечной точке регистрации REST API посредством брандмауэров или средств управления доступом на уровне сервера.

Так что будем следить.

Вторая волна атаки на цепочку поставок Shai-Hulud 2 перекинулась на экосистему Maven, скомпрометировав более 830 пакетов в реестре npm.

Исследователи Socket сообщили, что обнаружили пакет Maven Central с именем org.mvnpm:posthog-node:4.18.1, который содержит те же два компонента, что и Sha1-Hulud: загрузчик setup_bun.js и основную полезную нагрузку bun_environment.js.

Это означает, что PostHog скомпрометировал релизы в экосистемах JavaScript/npm и Java/Maven, использующие одну и ту же полезную нагрузку Shai Hulud v2.

Представители Maven Central заявили, что работают над реализацией дополнительных мер защиты, чтобы предотвратить повторную сборку уже известных скомпрометированных компонентов npm.

По состоянию на 25 ноября 2025 года все зеркальные копии были удалены.

В целом, как отмечают многие исследователи, последняя версия Shai-Hulud 2 стала более скрытной, агрессивной, масштабируемой и разрушительной.

Помимо заимствования всей цепочки заражения из первоначального сентябрьского варианта, атака позволяет злоумышленникам получать несанкционированный доступ к учётным записям разработчиков npm и публиковать троянизированные версии своих пакетов.

Когда ничего не подозревающие разработчики загружают и запускают эти библиотеки, встроенный вредоносный код проникает в их собственные машины, сканирует их на наличие секретных данных и передаёт их в репозитории GitHub, используя украденные токены.

Инцидент уже затронул более 28 000 репозиториев.

Как отмечают в Cycode, новая версия значительно повышает скрытность, используя среду выполнения Bun для сокрытия основной логики, и увеличивает потенциальный масштаб, увеличивая лимит заражения с 20 до 100 пакетов.

Также используется новый метод обхода системы безопасности: украденные данные переносятся в случайно поименованные публичные репозитории GitHub, а не в один, жёстко заданный.

Более того, способность вредоносного ПО к саморепликации означает, что одной зараженной учетной записи достаточно, чтобы за короткий промежуток времени расширить радиус атаки и превратить ее в масштабную эпидемию.

Анализ Aikido показал, что злоумышленники использовали уязвимости, в частности, сосредоточившись на неправильных настройках CI в рабочих процессах pull_request_target и workflow_run в существующих рабочих процессах GitHub Actions, чтобы скомпрометировать проекты, связанные с AsyncAPI, PostHog и Postman.

Предполагается, что данная активность является продолжением более широкого спектра атак, нацеленных на экосистему, которые начались с кампании S1ngularity в августе 2025 года, затронувшей несколько пакетов Nx в npm.

Shai-Hulud 2 - это новая и значительно более агрессивная волна вредоносного ПО для цепочек поставок npm, сочетающая в себе скрытное выполнение, широту и деструктивное поведение, что делает ее одной из самых мощных атак на цепочки поставок в этом году, по мнению Apiiro.

Данные, собранные GitGuardian (1), OX Security (2)и Wiz, показывают, что в ходе кампании были раскрыты сотни токенов доступа и учётных данных GitHub, связанных с AWS, Google Cloud и Microsoft Azure.

Более 5000 файлов с украденными секретными данными были загружены на GitHub. Анализ 4645 репозиториев, проведённый GitGuardian, выявил 11 858 уникальных секретов, из которых 2298 оставались действительными и были публично раскрыты по состоянию на 24 ноября.

Пользователям рекомендуется провести ротацию всех токенов и ключей, проверить все зависимости, удалить скомпрометированные версии, переустановить чистые пакеты и надлежащим образом защитить среды разработки и CI/CD.

OpenAI начала уведомлять некоторых клиентов API ChatGPT о том, что в результате утечки данных стороннего поставщика аналитики Mixpanel была раскрыта ограниченная идентифицирующая информация.

Mixpanel реализует аналитику событий, которую OpenAI использует для отслеживания взаимодействий пользователей на внешнем интерфейсе API-продукта.

По данным компании, киберинцидент затронул «ограниченные аналитические данные, относящиеся к некоторым пользователям API», и не затронул пользователей ChatGPT или других продуктов.

Согласно официальному заявлению, инцидент не был взломом систем OpenAI: никакие чаты, запросы API, данные об использовании API, пароли, учётные данные, ключи API, платёжные данные или правительственные идентификаторы не были скомпрометированы или раскрыты.

В свою очередь, Mixpanel сообщила, что атака «затронула ограниченное число ее клиентов» и стала результатом смишинговой кампании, которую удалось обнаружить 8 ноября. Однако не предоставила никакой технической информации о взломе.

OpenAI получила подробную информацию в отношении скомпрометированного массива данных 25 ноября после того, как ей сообщили о расследовании Mixpanel.

Утечка может включать в себя: имя в учетной записи API, адрес электронной почты, связанный с ней, примерное местоположение (город, штат, страна), операционная система и браузер, связанные сайты, а также идентификаторы организаций или пользователей.

Поскольку никакие конфиденциальные учетные данные не были раскрыты, пользователям не нужно сбрасывать пароли или повторно генерировать ключи API.

Некоторые пользователи также сообщают, что CoinTracker также подверглась атаке, в результате которой были раскрыты данные, в том числе метаданные устройства и ограниченное количество транзакций.

OpenAI начала расследование, чтобы установить истинные масштабы инцидента.

В качестве меры предосторожности компания удалила Mixpanel из своих рабочих сервисов и уведомила организации, администраторов и отдельных пользователей напрямую.

Тем не менее, несмотря на то, что OpenAI подчеркивает, что затронуты только пользователи ее API, компания уведомила всех своих подписчиков.

Компания также настоятельно рекомендует пользователям включить 2FA и никогда не отправлять конфиденциальную информацию, включая пароли, ключи API или коды подтверждения, по электронной почте, в текстовых сообщениях или чате.

В ответ на атаку Mixpanel отозвала активные сеансы и авторизации, провела ротацию скомпрометированных учётных данных, заблокировала IP злоумышленников и сбросила пароли всех сотрудников.

Учитывая, что Mixpanel отказалась раскрывать детали инцидента, вероятно, масштабы могут оказаться явно шире, чем заявлено официально. Но будем, конечно, посмотреть.

ASUS выпустила новую прошивку с исправлением девяти уязвимостей (CVE-2025-59365 - CVE-2025-59372, CVE-2025-12003 и CVE-2025-59373), включая критическую ошибку обхода аутентификации в маршрутизаторах с включенным AiCloud.

AiCloud - это функция удаленного доступа на основе облака, которая есть во многих маршрутизаторах ASUS и превращает их в частные облачные серверы для удаленной потоковой передачи мультимедиа и облачного хранения.

Как пояснил производитель, CVE-2025-59366 может быть вызвана непреднамеренным побочным эффектом функциональности Samba, что потенциально может привести к выполнению определенных функций без надлежащего разрешения.

Удаленные злоумышленники без привилегий могут воспользоваться этой уязвимостью, объединив обход пути и уязвимость внедрения команд ОС в атаках низкой сложности, не требующих взаимодействия с пользователем.

ASUS не уточнила, какие именно модели маршрутизаторов затронуты, а лишь упомянула версии прошивок (3.0.0.4_386, 3.0.0.4_388 и 3.0.0.6_102), рекомендуя немедленно обновить их до последней доступной.

Компания также отметила меры по смягчению последствий для пользователей моделей с EoL, которые не будут получать обновления прошивки.

Для блокировки потенциальных атак пользователям рекомендуется отключить все службы, доступные из Интернета, включая удаленный доступ из WAN, переадресацию портов, DDNS, VPN-сервер, DMZ, переключение портов и FTP, а также ограничить удаленный доступ к устройствам, работающим под управлением ПО AiCloud, уязвимого для атак CVE-2025-59366.

Исследователи сингапурской Group-IB сообщают о географии атак Bloody Wolf с использованием NetSupport RAT на основе Java.

Злоумышленнику приписывают участие в кибератаке, нацеленной на Кыргызстан по крайней мере с июня 2025 года с целью доставки NetSupport RAT.

По данным исследователей, с октября 2025 года активность хакеров распространилась и на Узбекистан.

Атаки были направлены на финансовый сектор, государственный сектор и сектор информационных технологий.

Злоумышленники выдавали себя за Министерство юстиции Кыргызстана с помощью официальных PDF-документов и доменных имен, на которых, в свою очередь, размещались вредоносные файлы Java Archive (JAR), предназначенные для развертывания NetSupport RAT.

Как отмечают в Group-IB, весьма умелое сочетание социнженерии и доступных инструментов позволили Bloody Wolf проводить эффективные кампании, не привлекая к себе внимания.

Bloody Wolf действует как минимум с конца 2023 года и реализует фишинговые атаки на объекты в Казахстане и России, используя такие инструменты, как STRRAT и NetSupport.

Нацеливание на Кыргызстан и Узбекистан с использованием схожих методов первоначального доступа свидетельствует о расширении операций злоумышленников в Центральной Азии.

Цепочки атак так или иначе следуют по одному и тому же сценарию: получателей сообщений обманным путем заставляют нажимать на ссылки, которые загружают вредоносные файлы-загрузчики архивов Java (JAR) вместе с инструкциями по установке Java Runtime.

В электронном письме утверждается, что установка необходима для просмотра документов, но на самом деле она используется для запуска загрузчика

После запуска он извлекает полезную нагрузку следующего этапа (NetSupport RAT) из инфраструктуры злоумышленника и обеспечивает её сохранение тремя способами: через запланированные задачи, путем добавления значения в реестр Windows и перемещения пакетного скрипта в папку %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup.

Кампания по Узбекистану примечательна введением ограничений по геозонированию, в результате чего запросы из-за пределов страны перенаправлялись на легитимный сайт data.egov[.]uz, а из Узбекистана запускали загрузку JAR по ссылке, встроенной в PDF-вложение.

Group-IB отметили, что загрузчики JAR-файлов, обнаруженные в ходе атак, созданы на основе Java 8, выпущенной в марте 2014 года.

Предполагается, что злоумышленники используют специальный генератор JAR-файлов или шаблон для создания этих артефактов.

В качестве полезной нагрузки NetSupport RAT используется старая версия NetSupport Manager от октября 2013 года.

В общем, Bloody Wolf наглядно демонстрирует, как недорогие коммерчески доступные инструменты могут быть использованы для проведения сложных региональных киберопераций.

Используя доверие к государственным учреждениям и применяя простые загрузчики на базе JAR, группировка продолжает сохранять прочные позиции в ландшафте угроз Центральной Азии.

Исследователи Лаборатории Касперского под конец года активизировались и продолжают делиться с сообществом результатами всесторонних исследований.

Без внимания в этом году не осталась и ежегодная серия отчетов (публиковались в 2021, 2022, 2023 и 2024 годах) с изучением ландшафта киберугроз, связанных с рынком электронной коммерции и онлайн-шопинга.

Отмечается, что мировой рынок электронной коммерции развивался быстрее, чем когда-либо прежде, благодаря росту онлайн-торговли и потребительского спроса во всём мире.

Причем тренд сохранится, а темпы роста составят 7–9% ежегодно до 2040 года.

Причем, по данным ЛК, описанный всплеск активности онлайн-покупок непосредственно отразился и в киберугрозах.

В 2025 году фиксировались атаки, нацеленные не только на пользователей платформ электронной коммерции, но и на онлайн-покупателей в целом, включая тех, кто использует цифровые торговые площадки, платёжные сервисы и приложения для повседневных покупок.

В этом году исследователи также проанализировали, как киберпреступники использовали игровые платформы, поскольку эта индустрия стала неотъемлемой частью мирового календаря распродаж.

Традиционно злоумышленники активизировали свои действия в периоды пиковых распродаж, прежде всего в Чёрную пятницу, полагаясь на высокий спрос и снижение бдительности пользователей для совершения кражи личных данных, средств или распространения вредоносного ПО.

Для отслеживания угроз в сфере онлайн-шопинга, в ЛК ежегодно проводят оценку широко распространённых вредоносных техник, включая финансовое вредоносное ПО, фишинговые страницы, а также спам-кампании, перенаправляющие пользователей на мошеннические сайты.

В 2025 году особое внимание уделялось также угрозам, связанным с играми.

Полностью обозревать не будем, отметим лишь основные моменты:

- За первые десять месяцев 2025 года Лаборатория Касперского выявила почти 6,4 млн. фишинговых атак, нацеленных на пользователей интернет-магазинов, платежных систем и банков. При этом 48,2% таких атак были направлены на интернет-покупателей.

- За первые две недели ноября удалось заблокировать более 146 000 спам-сообщений на тему Черной пятницы.

- Обнаружено более 2 миллионов фишинговых атак, связанных с онлайн-играми.

- В сезон Черной пятницы 2025 года было зафиксировано около 1,09 млн. атак банковских троянов.

- Число попыток атак на игровые платформы резко возросло в 2025 году, достигнув более 20 млн., что является значительным ростом по сравнению с предыдущими годами.

- В 2025 году под видом Discord было совершено более 18 млн. попыток вредоносных атак, что более чем в 14 раз больше, чем годом ранее, в то время как Steam остался в пределах своего обычного пятилетнего диапазона колебаний.

Подробная инфографика, примеры и разборы основных трендов - в отчете.

GreyNoise Labs выкатила общедоступный инструмент GreyNoise IP Check, который позволяет пользователям проверять, был ли их IP замечен во вредоносных операциях, включая ботнеты и резидентные прокси-сети.

Как отмечают исследователи, эта проблематика значительно обострилась за последний год.

Многие пользователи даже не в курсе, что их сетевая инфраструктура задействуется во вредоносной активности в Интернете, фактические превращаясь в точки выхода для чужого трафика.

Безусловно, существуют различные способы задетектить исходящую вредоносную активность, например, через проверку журналов устройств, конфигураций, сетевого трафика и шаблонов активности.

Теперь благодаря GreyNoise Labs появился более простой способ, достаточно посетить страницу сканера.

Варианты анализа могут быть следующие: Clean (сканирующая активность не обнаружена), Malicious/Suspicious (IP демонстрирует признаки сканирования) или Common Business Service (IP-адрес принадлежит VPN, корпоративной сети или облачному провайдеру).

Если какая-либо активность соотносится с предоставленным IP, платформа также включает 90-дневную историческую временную шкалу, которая позволяет определить потенциальную точку заражения.

Для более продвинутых пользователей GreyNoise также предоставляет не требующий аутентификации JSON API без ограничений по скорости, доступный через curl, который можно интегрировать в скрипты или системы проверки.