Исследователи из Лаборатории Касперского представили дельный must-have, рассказав как обнаружить в инфраструктуре на основе анализа трафика следы Mythic, который активно стал задействоваться киберпреступниками в своих наступательных операциях.

Злоумышленники часто используют фреймворки для постэксплуатации в компьютерных атаках - для контроля за взломанными узлами и горизонтального перемещения внутри сети организации.

При этом если раньше они предпочитали закрытые фреймворки (Cobalt Strike и Brute Ratel C4), то в последние годы популярность обрели проекты с открытым исходным кодом, включая Mythic, Sliver, Havoc, а также сравнительно новые фреймворки - такие, как AdaptixC2.

Mythic C2 - это многопользовательская платформа C2, предназначенная для управления вредоносными агентами в сложных кибератаках.

Он построен на базе контейнерной архитектуры Docker, а его основные компоненты - сервер, агенты и транспортные модули - написаны на Python. Такая архитектура позволяет операторам добавлять новые агенты, каналы связи и пользовательские модификации на лету.

Этот фреймворк в последнее время пользуется популярностью у различных групп злоумышленников, в том числе APT Mythic Likho (Arcane Wolf) и GOFFEE (Paper Werewolf), позиционирующих себя как проукраинские и продолжающих активно атаковать российские компании.

Поскольку Mythic является универсальным инструментом для атакующего, с точки зрения защитника его использование может соответствовать многим этапам Unified Kill Chain, а также большому количеству TTPs в MITRE ATT&CK, включая Pivoting, сбор данных (Collection, TA0009), эксфильтрация (Exfiltration, TA0010), организация управления (Command and Control, TA0011)

Mythic и подобные фреймворки предоставляют расширенные C2-функции (выполнение команд по расписанию, туннелирование, мультиканальность), что усложняет обнаружение и блокировку их активности.

В целом, анализ популярных фреймворков показал, что при их разработке основное внимание уделяется механизмам уклонения от обнаружения антивирусами и EDR-решениями, но не системами анализа сетевого трафика.

Замаскировать сетевую активность агентов в целом довольно сложно, при этом агентам неизбежно нужно взаимодействовать с управляющими серверами. При этом различные реализации сетевых коммуникаций в Mythic имеют много общих черт и практически не меняются.

Соответственно, присутствие агента в системе и его вредоносные действия можно выявлять при помощи различных сетевых систем обнаружения атак (IDS) и, конечно, решений класса Network Detection and Response (NDR).

Mythic поддерживает достаточно много вариантов управления агентами на основе ряда сетевых протоколов. Анализ коммуникаций по этим ним показал, что их активность можно выявлять при помощи поиска данных в сетевом трафике по определенным шаблонам.

Основной критерий обнаружения заключается в отслеживании строк UUID в определенных позициях передаваемых данных, закодированных по алгоритму base64.

Однако, несмотря на то что в общем и целом подход к выявлению активности агентов одинаков для разных протоколов, для каждого из них используются и специфичные для него фильтры. Так что универсальной сигнатуры не существует.

В новом отчете исследователи ЛК сосредоточились исключительно на тактике Command and Control, техники которой могут быть эффективно детектированы в сетевом трафике агентов Mythic, рассмотрев возможные способы обнаружения на базе сигнатур из Kaspersky NDR.

Horizon3 обнаружила серию уязвимостей в платформе с открытым исходным кодом FreePBX для частных телефонных станций (PBX), включая критическую ошибку, которая при определенных конфигурациях может привести к обходу аутентификации.

В числе найденных проблем, о которых исследователи уведомили сопровождающих проект еще 15 сентября:

- CVE-2025-61675 (CVSS: 8.6): включает уязвимости, позволяющие осуществлять аутентифицированные SQL-инъекции, затрагивающие четыре уникальные конечные точки (базовая станция, модель, микропрограмма и пользовательское расширение) и 11 уязвимых параметров, обеспечивающих доступ на чтение и запись к базовой базе данных SQL.

- CVE-2025-61678 (CVSS: 8.6): уязвимость, позволяющая использовать конечную точку загрузки прошивки для загрузки веб-оболочки PHP после получения действительного PHPSESSID и выполнения произвольных команд для утечки содержимого конфиденциальных файлов (например, "/etc/passwd»).

- CVE-2025-66039 (CVSS: 9.3): уязвимость обхода аутентификации, возникающая, когда параметр AUTHTYPE установлен на «веб-сервер», что позволяет злоумышленнику войти в панель управления администратора через поддельный заголовок авторизации.

Стоит отметить, что в конфигурации FreePBX по умолчанию обход аутентификации невозможен, поскольку параметр «Тип авторизации» отображается только тогда, когда в разделе «подробные настройки» для трех следующих параметров установлено значение «да».

Однако, как только будет выполнено необходимое условие, злоумышленник сможет отправлять специально сформированные HTTP-запросы, чтобы обойти аутентификацию и внедрить вредоносного пользователя в таблицу базы данных ampusers.

Фактически это позволит добиться что-то похожее на CVE-2025-57819, другую уязвимость в FreePBX, которая, как стало известно в сентябре этого года, активно использовалась злоумышленниками.

Как отмечают исследователи Horizon3, все эти уязвимости достаточно легко эксплуатируются и позволяют как авторизованным, так и неавторизованным удаленным злоумышленникам выполнять удаленный код на уязвимых экземплярах FreePBX.

Проблемы были устранены в версиях: CVE-2025-61675 и CVE-2025-61678 - в версиях 16.0.92 и 17.0.6 (исправлено 14 октября) и CVE-2025-66039 - в версиях 16.0.44 и 17.0.23 (исправлено 9 декабря).

Кроме того, возможность выбора поставщика аутентификации теперь удалена из расширенных настроек и требует от пользователей установки его вручную через командную строку с помощью fwconsole.

В качестве временных мер FreePBX рекомендует пользователям установить для параметра «тип авторизации» значение «usermanager», для параметра «переопределить параметры только для чтения» значение «нет», применить новую конфигурацию и перезагрузить систему.

В случае, если параметр AUTHTYPE веб-сервера был включен по ошибке, то пользователям следует тщательно проанализировать свою систему на предмет признаков потенциального взлома.

Новая кампания ShinyHunters с Mixpanel получила неожиданное продолжение вслед за утечкой OpenAI и CoinTracker в ход пошли порноданные.

Пострадали премиум-клиенты PornHub, чья история поиска и просмотров теперь ушла в киберподполье и стала предметом шантажа. Компания подтвердила инцидиент.

Взлом Mixpanel случился 8 ноября 2025 года в результате SMS-фишинговой атаки (смишинга), которая позволила злоумышленникам скомпрометировать ее системы.

Как отмечает PornHub, взлом затронул только некоторых пользователей Premium и не повлиял на системы Pornhub: пароли, платежные данные и финансовая информация не были раскрыты.

При этом PornHub категорически заявляет, что не сотрудничает с Mixpanel с 2021 года, указывая на то, что украденные записи представляют собой исторические аналитические данные за 2021 год или более ранний период.

Новый инцидент примечателен тем, что теперь публично подтверждено, что за взломом Mixpanel стояла ShinyHunters.

В свою очередь, Mixpanel продолжает настаивать, что утечка данных затронула «ограниченное число» клиентов, а порноданные не были получены в результате недавней утечки данных в ноябре.

Во всяком случае компания не нашла каких-либо следов у себя.

Последний доступ к данным осуществлялся через легитимный аккаунт сотрудника материнской компании Pornhub в 2023 году.

Так что если эти данные оказались в руках неавторизованного лица, в Mixpanel не считают, что это результат инцидента безопасности на их стороне.

Так или иначе, на прошлой неделе ShinyHunters начали вымогать деньги у клиентов Mixpanel, рассылая электронные письма и предупреждая, что украденные данные будут опубликованы, если не будет выплачен выкуп.

В своем требовании о вымогательстве, направленном PornHub, ShinyHunters утверждает, что украла 94 ГБ данных, содержащих более 200 миллионов записей личной информации (результаты поиска, просмотров и скачиваний), в результате утечки данных Mixpanel.

Небольшая выборка данных показывает, что аналитические события, отправляемые в Mixpanel, содержат большое количество конфиденциальной информации, которую пользователи PornHub вряд ли хотели бы увидеть в публичном поле.

Слитые данные включают адрес электронной почты пользователя PornHub Premium, тип активности, местоположение, URL-адрес видео, название видео, ключевые слова, связанные с видео, а также временные метки.

В общем, послужная линейка ShinyHunters, включающая недавние Salesforce, GainSight и Oracle E-Business Suite, однозначно пополнилась не менее эффектной кампанией Mixpanel. А в совокупности стала серией самых крупных утечек данных в 2025 году, затронувшие сотни компаний.

В Positive Technologies приступили к подведению итогов 2025 года и прогнозированию основных трендов на ландшафте угроз в ближайшей перспективе.

Одним словом о том, с какими вызовами столкнулась отрасль ИБ в этом году, по мнению исследователей, - это кибершторм, а более подробно Позитивы решили разложить аналитику частями.

Первая из них про общие тренды и прогнозы вышла при непосредственном участии Алексея Лукацкого.

В 2025 году кибербезопасность столкнулась с рядом серьезных тенденций: участники отрасли по всему миру осознали новые риски и предприняли ответные шаги - от финансовых гарантий со стороны поставщиков ИБ до усиления государственных регуляторных мер.

Из основных итогов 2025 года и ожидаемых направлений развития в 2026, которые, по мнению эксперта, являются определяющими для понимания будущего кибербезопасности в России, отметим следующие:

- Одна из ярких тенденций 2025 года - новый взгляд на финансовую ответственность поставщиков решений по кибербезопасности за результаты своей работы, прежде всего, предоставление гарантий от взлома, в части, компенсации убытков.

При этом тренд подхватывают не только западные, но и российские игроки. Правда, пока такие инициативы носят скорее пилотный характер, но в 2026 году можно ожидать их развития.

- Год запомнился чередой киберинцидентов с рекордно высокими убытками, которые ощутили на себе крупные организации в разных отраслях по всему миру, включая и Россию. Тут и британский ритейлер Marks & Spencer, и Asahi Group в Японии.

В 2026 году, вероятно, все больше компаний будут уделять внимание оценке своей реальной киберустойчивости и потенциального ущерба, закладывая такую оценку в финансовое планирование и страховые резервы. 

- В 2025-м стало очевидно, что кибератака на одну крупную организацию может вызвать цепную реакцию проблем у ее партнеров и подрядчиков. Ярким примером является атака на Jaguar Land Rover (JLR).

Подобный эффект домино наблюдался и в других случаях. Атаки на провайдеров IT-сервисов или ПО приводят к сбоям у тысяч клиентов по всему миру.

В 2025 году тревожным звоночком стали атаки на российских IT-подрядчиков: число таких инцидентов приблизилось к 100.

Следует ожидать, что в 2026 году крупные компании будут проверять киберустойчивость поставщиков и закладывать планы на случай их простоя. Возрастет спрос на страхование сбоев в бизнесе, а государство выкатит новые требований ко экосистеме партнеров объектов КИИ.

- В 2025 году по всему миру, и в России, усилилась тенденция к государственному контролю над интернет-инфраструктурой, трафиком и контентом по соображениям национальной безопасности. Общий тренд таков, что эра «дикого» интернета сменяется эпохой контроля.

В 2026 году, вероятно, эта линия продолжится: власти могут перейти от точечных блокировок к более тотальному инспектированию трафика, вплоть до применения технологий DPI на всем магистральном уровне.

- По итогам 2025 года можно уверенно говорить: для высшего руководства и советов директоров крупных компаний киберриски вышли на первый план. Исследования показывают резкий рост вовлеченности топ-менеджеров в обсуждение кибербезопасности. 

В следующем году эта тенденция продолжится и, возможно, выйдет на уровень целых отраслей и даже всего государства.

- Развитие систем искусственного интеллекта стремительно отражается и на ландшафте киберугроз: из теории кибер-ИИ перешел в плоскость боевого применения.

С одной стороны, киберпреступники начали активно использовать генеративные модели и большие языковые модели (LLM) для усиления атак. С другой, ИИ стал мощным инструментом и для защитников - появилась множество новинок на рынке ИБ с приставкой AI.

В 2026 году эта гонка искусственных интеллектов по обе стороны баррикад лишь ускорится.

- В 2025 году в России наметился явный курс на централизацию государственного управления ИБ в руках силовых структур, прежде всего ФСБ, а следующий год принесет дальнейшие реформы.

Исследователи из Лаборатории Касперского в новом исследовании провели оценку безопасности протокола Zigbee в промышленной среде.

Современную жизнь уже сложно представить без различных IoT-устройств и систем домашней автоматизации - от умных колонок до датчиков, автоматически управляющих водяными насосами.

Для пользователя такие системы кажутся простыми и понятными, но за ними стоит сложное взаимодействие множества устройств и протоколов.

Один из них - упомянутый Zigbee.

Он представляет собой беспроводной протокол с низким энергопотреблением на основе стандарта IEEE 802.15.4, который обеспечивает обмен данными между умными устройствами.

Широко используется в умных домах, а также на промышленных объектах, где стабильность технологических процессов зависит от скоординированной работы сотен или даже тысяч датчиков.

Как отмечают в ЛК, в сети представлено достаточно большое количество руководств по оценке безопасности Zigbee, в основном сосредоточенных на «домашнем» использовании протокола, практически не затрагивая его развертывания на промышленных предприятиях.

Исследователи решили заполнить этот пробел, подробно изучив в отчете безопасность Zigbee от основ протокола до потенциальной поверхности атаки в типичных сценариях использования на примере двух реалистичных векторов, с которыми можно столкнуться на объектах.

Подробно останавливаться не будем, с технической частью и блоком рекомендаций предлагаем ознакомиться - в первоисточнике.

Исследователи F6 также выкатили свои предварительные итоги 2025 года, отмечая со своей стороны ряд ключевых трендов.

В 2025 году аналитики выявили на тематических Telegram-каналах и на андеграундных форумах 225 ранее не опубликованных украденных баз данных российских компаний (в 2024 году - 455) и 20 баз данных компаний из других стран СНГ, включая 10 по Беларуси.

Самой объемной «мегаутечкой» в очередной раз стал архив из 457 баз данных.

Скомпрометированные базы чаще всего содержали данные ФИО, даты рождения, адреса пользователей, электронные почтовые адреса, номера телефонов.

Наиболее пострадавшими в 2025 году по части утечек в первую очередь оказались ритейл, госсектор, профессиональные услуги, здравоохранение и IT.

Исследователи отмечают, что в условиях геополитического противостояния кибератаки на российские компании для диверсий или шпионажа продолжаются, однако их количество и интенсивность относительно стабилизировались.

Всего в 2025 году аналитики задетектили 27 APT-групп, атакующих Россию и СНГ (в 2024 году - 24). 

Часть групп не проявляли активности, но появились и новые: Silent Lynx, Telemancon, Mythic Likho, NGC6061, NGC4141, SkyCloak, NGC5081.

В их фокусе в 2025 году оказались госучреждения (их атаковали 13 групп), промышленность (11), НИИ (9), предприятия ВПК (8), ТЭК (7).

При этом замечен повышенный интерес злоумышленников к IT-компаниям, которые могут использоваться как плацдарм для атак на их клиентов.

В отчетном периоде выявлена активность более 20 финансово-мотивированных группировок. Наиболее примечательные из них: Vasy Grek, Hive0117, CapFIX.

Всего 4 группы отметились DDoS-атаками: CyberSec's (BadB), Himars DDOS, Кіберкорпус, IT Army of Ukraine.

Фокус политически мотивированных групп смещается на нанесение большего ущерба за счет использования программ-вымогателей.

В 2025 году более десяти таких группировок отметились хотя бы одной атакой с использованием этой разновидности вредоносного ПО.

В 2025 году количество ransomware-атак выросло на 15% по сравнению с предыдущим.

При этом в 15% подобных инцидентов, связанных со средними и крупными предприятиями, целью киберпреступников был не выкуп, а диверсия.

Максимальная сумма первоначального выкупа, заявленная группировкой CyberSec’s в 2025 году, составила 50 BTC (около 500 000 000 рублей на момент атаки), побив рекорд прошлого года - 240 000 000 рублей.

В среднем, суммы первоначального выкупа за расшифровку данных в 2025 году колебались от 4 000 000 до 40 000 000 рублей.

Для малого и среднего бизнеса - от 240 000 до 4 000 000 рублей.

Чаще всего злоумышленники атаковали производственные и инжиниринговые компании (17,1%), организации из сфер оптовой (14,3%) и розничной (12,9%) торговли, ИТ (7,1%), транспорта и логистики (7,1%).

Наиболее активными проукраинскими группировками в этом году стали: Bearlyfy/ЛАБУБУ (не менее 55 атак), THOR (не менее 12), 3119/TR4CK (не менее 4), Blackjack/Mordor (не менее 4), Shadow (не менее 4).

Малый и средний российский бизнес с целью выкупа больше всего атаковали: Mimic/Pay2Key, Proton/Shinra, C77L.

В своих атаках киберпреступники чаще всего использовали программы-вымогатели (шифровальщики) Mimic/Pay2Key и LockBit 3 Black - на них пришлось до 25% и 21% инцидентов, а также Proton/Shinra (11,4%), Babuk (10,2%).

Кроме того, в 7,5% инцидентов для достижения целей вымогатели использовали легитимные программы для архивации файлов и полнодискового шифрования.

Подробная инфографика, а также аналитика по векторам, фишку и скаму - в отчете.

В 2026 F6 обещает выпустить еще более содержательный отраслевой анализ в качестве практического руководства для стратегического и тактического планирования проактивной киберзащиты.

Киберподполье приступило к активной эксплуатации критических уязвимостей в решениях Fortinet для получения несанкционированного доступа к учетным записям администраторов и кражи файлов конфигурации систем.

Обе проблемы отслеживаются как CVE-2025-59718 и CVE-2025-59719.

Первая из них связана с обходом аутентификации FortiCloud SSO и затрагивает FortiOS, FortiProxy и FortiSwitchManager.

Она обусловлена некорректной проверкой криптографических подписей в сообщениях SAML, что позволяет злоумышленнику войти в систему без действительной аутентификации, отправив специально созданное утверждение SAML.

Другая, CVE-2025-59719, также с обходом аутентификации FortiCloud SSO влияет на FortiWeb, возникая в виду аналогичной проблемы с проверкой криптографической подписи сообщений SAML и позволяя получить неаутентифицированный административный доступ через поддельный SSO.

Обе ошибки могут быть использованы только при включенной FortiCloud SSO, что не является настройкой по умолчанию.

Однако, если эта функция явно не отключена, она активируется автоматически при регистрации устройств через пользовательский интерфейс FortiCare.

Исследователи Arctic Wolf выявили атаки с использованием этих двух уязвимостей, начиная с 12 декабря.

Они отмечают, что вторжения осуществлялись с нескольких IP-адресов, связанных с The Constant Company, BL Networks и Kaopu Cloud HK.

Согласно данным Arctic Wolf, злоумышленники атаковали учетные записи администраторов с помощью вредоносных систем единого входа (SSO).

Получив доступ с правами администратора, хакеры через веб-интерфейс управления выполняли загрузку файлов конфигурации системы.

При этом в них потенциально раскрывается информацию о структуре сети, доступных из сервисах, политиках брандмауэра, потенциально уязвимых интерфейсах, таблицах маршрутизации, а также хешированных паролях.

Обе уязвимости затрагивают несколько версий продуктов Fortinet, за исключением FortiOS 6.4, FortiWeb 7.0 и FortiWeb 7.2.

Для нейтрализации потенциальных атак Fortinet рекомендует администраторам, использующим уязвимую версию, временно отключить функцию входа в FortiCloud до тех пор, пока не станет возможным обновление до: FortiOS 7.6.4, 7.4.9, 7.2.12 и 7.0.18, FortiProxy 7.6.4, 7.4.11, 7.2.15, 7.0.22, FortiSwitchManager 7.2.7, 7.0.6 и FortiWeb 8.0.1, 7.6.5, 7.4.10 (и более поздние).

При обнаружении любых признаков компрометации рекомендуется как можно скорее сменить учетные данные брандмауэра.

Arctic Wolf также рекомендует ограничить доступ к управлению брандмауэром/VPN только доверенными внутренними сетями.

Исследователи iVerify обратили внимание на новую засветившуюся на просторах даркнета вредоносную ПО для Android под названием Cellik, которая реализует широкий функиуонал, включая возможность встраивания в любое приложение, доступное в Google Play Store.

В частности, злоумышленники могут выбрать любое приложение из официального магазина Android и создавать его троянизированные версии, которые полностью мимикрируют под оригинал, сохраняя при этом интерфейс и функциональность настоящего приложения.

Благодаря этому заражение Cellik может оставаться незамеченным в течение более длительного времени.

Кроме того, продавец утверждает, что подобная упаковка вредоносного ПО позволяет обойти Play Protect, хотя это не подтверждено.

Исследователи iVerify обнаружили объявления о реализации Cellik на хакерских форумах по цене в 150 долларов за месяц или 900 - за безлимитный доступ.

Cellik представляет собой полноценную вредоносную ПО для Android, способную захватывать экран жертвы в режиме реального времени, перехватывать уведомления приложений, работать с файловой системой, удалять данные и взаимодействовать с С2 по зашифрованному каналу.

Вредоносная программа также имеет скрытый режим браузера, который злоумышленники могут использовать для доступа к веб-сайтам с зараженного устройства, используя сохраненные файлы cookie жертвы.

Система внедрения вредоносного кода в приложения позволяет злоумышленникам накладывать фейковые экраны входа в систему или внедрять вредоносный код в любое приложение для кражи учетных данных жертвы.

В числе перечисленных возможностей также есть опция внедрения вредоносных ПО в установленные приложения, что еще больше затруднит выявление источника заражения, поскольку давно зарекомендовавшие себя приложения внезапно станут вредоносными.

Однако главным преимуществом является интеграция Play Store в конструктор APK-файлов Cellik, которая позволяет киберпреступникам просматривать магазин в поисках приложений, выбирать нужные и создавать их вредоносные версии.

Разработчик утверждает, что Cellik способен обходить функции безопасности Google Play, интегрируя свой вредоносный код в доверенные приложения, тем самым, по сути, отключая обнаружение Play Protect.

Несмотря на то, что Google Play Protect обычно помечает неизвестные или вредоносные приложения, однако трояны, скрытые внутри популярных пакетов приложений, могут ускользнуть от автоматической проверки или сканирования на уровне устройства.

В Google на этот счет пока не дают никаких комментариев. Но, вероятно, какая-то реакция определенно последует, так что будем посмотреть.

Исследователи из Уханьского университета, Нанкинского университета авиации и космонавтики, Национального университета оборонных технологий и Пекинского университета почты и телекоммуникаций анонсировали Touchscreen Electromagnetic Side-channel Leakage Attack.

Результаты исследования будут представлены на 61-й конференции ACM/IEEE по автоматизации проектирования (DAC'26).

Новая бесконтактная техника атаки под названием TESLA позволяет в точности восстанавливать прикосновения к сенсорным экранам смартфонов путем перехвата электромагнитных излучений.

Уязвимость была обнаружена в ходе исследования электромагнитных побочных излучений в емкостных сенсорных экранах.

В отличие от традиционных атак с использованием датчиков или акустических каналов, TESLA работает полностью пассивно и без доступа к устройству, полагаясь исключительно на электромагнитные сигналы, непреднамеренно излучаемые в ходе взаимодействия с экраном.

Эти излучения являются побочным эффектом работы емкостных экранов в части обнаружения касаний, использующих метод последовательного сканирования (SDM) и основанных на сетке передающих (TX) и принимающих (RX) электродов.

Когда пользователь пишет на экране, синхронизация этих сигналов, модулированная емкостной связью человеческого тела, создает едва уловимые электромагнитные сигналы, которые могут быть зафиксированы поблизости.

Исследователи воспользовались этим, разместив недорогой электромагнитный зонд (стоимостью менее 100 долларов) на расстоянии 15 см от смартфона.

Затем полученный сигнал обрабатывался с помощью конвейера глубокого обучения на основе трансформерных нейронных сетей, которые с высокой точностью восстанавливали двумерные траектории рукописного ввода.

Исследователи протестировали TESLA на четырех популярных смартфонах: iPhone X, Xiaomi 10 Pro, Samsung S10 и Huawei Mate 30 Pro.

Опыты при этом проводились как в изолированных помещениях, так и общественных местах, демонстрируя высокую точность распознавания символов - до 76,8%.

Восстановление данных было возможно даже на расстоянии до 15 см, при этом точность распознавания составила 73%.

Важно отметить, что TESLA показала стабильные результаты для разных марок и технологий отображения, подтверждая, что эта утечка не является специфическим недостатком устройства, а представляет собой системную уязвимость в конструкции емкостных сенсорных экранов.

Восстановленные траектории не просто читаемы - они сохраняют достаточный объем уникальных пространственных характеристик, даже чтобы потенциально подделать биометрические подписи.

Атака продемонстрировала эффективность не только в извлечении содержимого (например, рукописных заметок), но и в имитации механизмов аутентификации рукописного текста, таких как проверка подписи, широко используемых в финансовой и юридической сферах.

Метод TESLA превосходит предыдущие методы по скрытности и главное - практичности, поскольку не требует установки ПО на целевое устройство, не предполагает особых требований к стилю письма и дорогостоящего оборудования (в отличие от радиолокационных систем).

TESLA реализуема на коммерчески доступных зондах, общедоступных фреймворках машинного обучения и простых методах съема данных (например, под столами или внутри сумок).

Исследователи предупреждают, что современная архитектура смартфонов не обладают достаточной электромагнитной защитой для блокирования подобных атак, а программные средства (например, рандомизация времени сигнала) могут сказаться на производительности.

Так что теперь пользователям, полагающимся на рукописный ввод на смартфонах при выполнении важных задач, следует помнить, что без защиты система остается уязвимой для пассивного наблюдения в общественных и полузакрытых помещениях.

Исследователи из Лаборатории Касперского также раскрыли новый сложный Android-троян под названием Frogblight, нацеленный, в основном, на пользователей турецкого сегмента.

Первые образцы Frogblight удалось задетектить в августе 2025 года.

Frogblight мимикрирует под легитимные официальные правительственные приложения и имеет широкий функционал, начиная от банковского трояна до полноценных шпионского инструмента.

С момента создания вредоносная ПО продвигалось за счет социнженерии, выдавая себя за приложение для доступа к материалам судебных дел через официальные государственные порталы Турции.

Основным каналом распространения выступает смишинг.

Потенциальным жертвам приходят сообщения о якобы инциированном судебном деле с предложением срочно установить «официальное» приложение для ознакомления.

После установки все выглядит максимально правдоподобно: Frogblight открывает доступ к реальному государственному ресурсу по судебному делопроизводству прямо через встроенный WebView.

Параллельно Frogblight запрашивает различные разрешения - всего 24.

Среди них - управление sms и контактами, служба специальных возможностей (Accessibility Services), обход ограничений энергосбережения и др, получая фактически полный контроль над устройством.

В случае авторизации в онлайн-банке через предложенные варианты, Frogblight внедряет вредоносный JavaScript-код и перехватывает все введённые данные, отправляя их на серверы злоумышленников.

По данным ЛК, Frogblight активно дорабатывался в течение сентября 2025 года, обрастая дополнительными возможностями от версии к версии.

Более поздние образцы маскировались уже под браузер Chrome и получили расширенный шпионский функционал: выгрузка списка контактов, журналов вызовов и запись нажатий клавиш с помощью собственной клавиатуры.

Свежие образцы задействуют WebSocket вместо REST API для связи с инфраструктурой С2, что указывает на дальнейшее развитие платформы.

Кроме того, зловред способен определять запуск в эмуляторе и не активируется на устройствах в США.

Примечательнее то, что Frogblight может реализовываться в формате MaaS.

Исследователям удалось обнаружить его панель управления, а в ней - название fr0g, поэтому семейству присвоили имя Frogblight.

При этом использование специальных ключей для аутентификации WebSocket-соединений и распределения доступа к конкретным образцам через административную панель также укладывается в эту логику.

Однозначно атрибутировать новую угрозу пока не удалось, но были найдены некоторые пересечения Frogblight с семейством Coper, код которого размещался на GitHub.

Кроме того, так как комментарии в коде Frogblight написаны на турецком языке, можно предположить, что его разработчики владеют этим языком.

Технические подробности и IOCs - в отчете.

Hewlett Packard Enterprise (HPE) исправила уязвимость максимальной степени серьезности в своем ПО HPE OneView, которая позволяла злоумышленникам удаленно выполнять произвольный код.

OneView - это программное обеспечение для управления инфраструктурой, которое помогает ИТ-администраторам оптимизировать операции и автоматизировать управление серверами, системами хранения данных и сетевыми устройствами из централизованного интерфейса.

Закрытую CVE-2025-37164 раскрыл вьетнамский исследователь Нгуен Куок Кхань (brocked200).

Она все версии OneView, выпущенные до v11.00 и может быть использована неавторизованными злоумышленниками в атаках с внедрением кода низкой сложности для получения возможности RCE на незащищенных системах.

Для уязвимости нет обходных путей или способов устранения, поэтому администраторам рекомендуется как можно скорее установить обновления на уязвимые системы.

Компания HPE пока не подтвердила, была ли эта уязвимость целью атак, и заявляет, что пострадавшие организации могут обновить OneView до версии 11.00 или более поздней, доступной через Центр ПО HPE.

На устройствах, работающих под управлением OneView версий от 5.20 до 10.20, уязвимость можно устранить путем развертывания исправления, которое необходимо повторно установить после обновления с версии 6.60 или более поздней до версии 7.00.00, или после любых операций переустановки системы с помощью HPE Synergy Composer.

Отдельные файлы для загрузки исправления виртуального устройства и исправления Synergy доступны на специальных страницах поддержки.

Учитывая, что услугами HPE пользуются более 55 000 организаций по всему миру, включая 90% компаний из списка Fortune 500, киберподполье не упустит открывшейся возможности. Но будем посмотреть.

SonicWall предупредила клиентов о необходимости устранить уязвимость в консоли управления устройством SonicWall SMA1000 (AMC), которая использовалась в цепочке атак в качестве 0-day для EoP.

SMA1000 - это защищенное устройство удаленного доступа, используемое для обеспечения VPN-доступа к корпоративным сетям.

Учитывая их критически важную роль, незакрытые уязвимости несут особенно высокий риск эксплуатации.

По данным SonicWall, эта уязвимость средней степени серьезности позволяет локально повысить привилегии (CVE-2025-40602) и была обнаружена Google Threat Intelligence Group.

При этом она не затрагивает SSL-VPN, работающий на межсетевых экранах SonicWall.

Удаленные неаутентифицированные злоумышленники объединили эту уязвимость с критической ошибкой десериализации предварительной аутентификации SMA1000 (CVE-2025-23006) в атаках 0-day для выполнения произвольных команд ОС с правами root в определенных условиях.

CVE-2025-23006 была устранена в сборке версии 12.4.3-02854 (platform-hotfix) и более поздних версиях (выпущенных 22 января 2025).

В свою очередь, Shadowserver отслеживает более 950 устройств SMA1000 в сети, однако некоторые из них, возможно, уже были защищены от потенциальных атак.

Учитывая активные посягательства на решения SonicWall, пользователям продукта SMA1000 настоятельно рекомендуется обновить его до последней версии с исправлениями, чтобы устранить уязвимость и связанные с ней риски эксплуатации в реальных условиях.

Продолжаем отслеживать кейс React2Shell, которым уже помимо замеченных акторов заинтересовались банды вымогателей, использующих CVE-2025-55182 для получения первоначального доступа к корпоративным сетям и развертывания ransomware в считанные минуты.

React2Shell - это уязвимость небезопасной десериализации в протоколе Flight компонентов сервера React (RSC), используемом библиотекой React и фреймворком Next.js.

Её можно использовать удалённо без аутентификации для выполнения кода JavaScript в контексте сервера.

Спустя несколько часов после опубличивания APT-субъекты взяли на вооружение React2Shell для проведени кибершпионажа и развертывания нового вредоносного ПО, включая EtherRAT.

Киберпреступники также быстро применили его в атаках с майнингом криптовалюты.

Теперь же исследователи из S-RM обнаружили, что 5 декабря злоумышленник использовал React2Shell в атаке, запустив штамм программы-вымогателя Weaxor.

Weaxor появился в конце 2024 года и, как полагают, является ребрендингом Mallox/FARGO (TargetCompany), которая специализировалась на взломе серверов MS-SQL.

Подобно Mallox, Weaxor - это менее изощрённая операция, которая нацелена на общедоступные серверы в ходе оппортунистических атак, требуя относительно небольшой выкуп.

Weaxor не практикует DLS-портал для целью двойного вымогательства, и вообще нет никаких признаков того, что реализуется эксфильтрация до этапа шифрования.

Исследователи S-RM утверждают, что злоумышленник развернул шифратор вскоре после получения первоначального доступа через React2Shell.

Однако вероятность автоматизации атаки не нашла своих доказательств.

Сразу после взлома хакеры выполнили зашифрованную команду PowerShell, которая развернула маяк Cobalt Strike для связи с инфраструктурой C2.

На следующем этапе злоумышленник отключил защиту в реальном времени в Windows Defender и запустил программу-вымогатель.

Все это произошло менее чем за минуту с момента первоначального доступа.

По словам исследователей, атака ограничивалась конечной точкой, уязвимой для React2Shell, никакой активности по перемещению внутри сети не наблюдалось.

После шифрования файлы получили расширение WEAX и в каждой затронутой директории обнаружился файл с запиской о выкупе под названием RECOVERY INFORMATION.txt.

При этом Weaxor также стер теневые копии томов, чтобы затруднить их восстановление, и очистил журналы событий, чтобы усложнить криминалистический анализ.

Причем впоследствии тот же хост был скомпрометирован другими злоумышленниками, использовавшими различные вредоносные ПО, что свидетельствует о весьма высоком уровне вредоносной активности вокруг React2Shell.

Эти выводы также подтверждают исследователи BI.ZОNE TDR.

В декабре 2025 года они также зафиксировали серию атак на российские организации в сферах страхования, e-commerce и IT.

В основу кампании легла эксплуатация React2Shell.

В большинстве случаев злоумышленники внедряли майнер XMRig.

Также были зафиксированы инциденты с использованием импланта Sliver, ботнетов Kaiji и RustoBot.

Аналитики обнаружили и другие эпизоды эксплуатации React2Shell, не направленные на Россию.

Они связаны с распространением CrossC2 для Cobalt Strike, Tactical RMM, VShell и EtherRAT.

Все технические детали изложили - в отчете, подробно останавливаться не будем.

Исследователи из Лаборатории Касперского продолжают отслеживать серию сложных кибератак с использованием уязвимости CVE-2025-2783 в браузере Google Chrome, которая впервые была раскрыта в марте 2025 года и получила название Форумный тролль.

Ранее в ЛК подробно описали вредоносные импланты, которые использовались в этой операции: бэкдор LeetAgent, а также сложное шпионское ПО Dante, разработанное компанией Memento Labs (Hacking Team).

Однако злоумышленники, стоящие за этой кампанией, не остановились на весенних атаках и продолжили заражать цели, находящиеся в России, несмотря на все последовавшие после разоблачения оправдания от руководства Memento Labs.

В октябре 2025 года, всего за несколько дней до того, как ЛК представила доклад про атаки APT-группы ForumTroll на конференции Security Analyst Summit, была выявлена новая таргетированная фишинговая кампания этой же группы.

Осенняя кампания была уже нацелена на конкретных лиц: ученых в области политологии, международных отношений и мировой экономики из крупнейших российских университетов и научных учреждений.

Письма отправлялись с support@e-library[.]wiki, а сама рассылка велась якобы от имени научной электронной библиотеки eLibrary, реальный веб-сайт которой - elibrary.ru.

В фишинговых отправлениях содержалась вредоносная ссылка https://e-library[.]wiki/elib/wiki.php?id=<8 псевдослучайных букв и цифр> - по ней получателям предлагалось скачать отчет о проверке на плагиат в формате архива с указанием ФИО жертвы.

Стоит отметить, что атакующие довольно тщательно подготовились к отправке фишинговых писем.

Вредоносный домен регистрировался за полгода до рассылки дабы избежать попадания в спам и упрочить доверие.

Кроме того, на странице https://e-library[.]wiki атакующие разместили копию главной страницы библиотеки eLibrary. Также атакующие ограничили повторную загрузку архива, что усложнило анализ.

Вредоносные архивы включали: вредоносный lnk с ФИО жертвы и директорию .Thumbs, в которой содержалось около ста изображений с именами на русском языке.

Они не использовались для заражения и, вероятно, делали архивы менее подозрительными для защитных решений.

При нажатии на ярлык выполнялся PowerShell-скрипт, основная цель которого - загрузка полезной нагрузки на PowerShell с вредоносного сервера и ее запуск.

Скачиваемая полезная нагрузка обращалась по ссылке для получения финальной полезной загрузки - DLL-файла, который сохранялся в %localappdata%\Microsoft\Windows\Explorer\iconcache_<4 псевдослучайные цифры>.dll.

Затем полезная нагрузка закреплялась в системе при помощи техники COM Hijacking, записывая путь к DLL-файлу в ключ реестра HKCR\CLSID\{1f486a52-3cb1-48fd-8f50-b8dc300d9f9d}\InProcServer32.

И, наконец, загружалась PDF-приманка, в которой не содержалось какой-либо полезной информации помимо размытого отчета, сгенерированного одной из российских систем проверки документов на плагиат.

DLL-файлом, загружаемым на зараженные устройства, оказался обфусцированный при помощи OLLVM загрузчик, а финальная полезная нагрузка - коммерческий фреймворк для редтиминга Tuoni, позволяющий получить удаленный доступ к устройству под управлением Windows.

Как и ранее, в качестве C2-серверов злоумышленники использовали сервис fastly.net.

Как заключили в ЛК, осенью APT-группа ForumTroll вместо нулей полностью положились на социальную инженерию и менее редкое вредоносное ПО - фреймворк Tuoni.

Учитывая продолжительный срок активности, эта APT-группа, вероятно, продолжит атаковать интересующие ее цели на территории России и Беларуси, что позволит исследователям пролить свет на находящиеся в тени вредоносные импланты, как это случилось с Dante spyware.

Исследователи сорвали приличный куш на хакерском конкурсе Zeroday Cloud в Лондоне в размере 320 000 долларов за демонстрацию критических RCE-уязвимостей в компонентах, используемых в облачной инфраструктуре.

Первое подобное в своем роде мероприятие в сфере облачных систем проводит Wiz Research в партнерстве с Amazon Web Services, Microsoft и Google Cloud.

В ходе 13 хакерских сессий исследователям удалось успешно реализовать 85% попыток взлома, выявив 11 0-day.

В первый день вручены призы в размере 200 000 долларов за успешное использование уязвимостей в Redis, PostgreSQL, Grafana и ядре Linux.

На второй день исследователи заработали еще 120 000 долларов, продемонстрировав уязвимости в Redis, PostgreSQL и MariaDB - самых популярных базах данных, используемых облачными системами для хранения важной информации.

Ядро Linux было скомпрометировано из-за уязвимости, позволяющей злоумышленникам выходить из контейнеров, что дало возможность нарушить изоляцию между облачными арендаторами и подорвать ключевую гарантию безопасности облачных сервисов.

Исследователи из Zellic и DEVCORE получили грант в размере 40 000 долларов за свои достижения.

Также затрагивалась проблематика ИИ, включая попытки взлома моделей vLLM и Ollama, которые могли привести к утечке данных из закрытых моделей, наборов данных и подсказок, но обе попытки провалились из-за нехватки времени.

По итогам первого этапа соревнований Zeroday Cloud команда Xint Code стала победителем за успешную эксплуатацию уязвимостей Redis, MariaDB и PostgreSQL.

За три успешно осуществленные атаки команда Xint Code получила 90 000 долларов.

Несмотря на положительный результат, присужденная сумма составляет лишь небольшую часть от общего призового фонда в размере 4,5 млн. долл., доступного исследователям, продемонстрировавшим эффективность в борьбе с различными целевыми объектами.

В число категорий и продуктов, в которых не было обнаружено уязвимостей в ходе конкурса, вошли: ИИ (Ollama, vLLM, Nvidia Container Toolkit), Kubernetes, Docker, веб-серверы (ngnix, Apache Tomcat, Envoy, Caddy), Apache Airflow, Jenkins и GitLab CE.

Позитивы продолжают подводить итоги 2025 года и делиться прогнозами относительно ландшафта угроз, на этот раз основной фокус - на ближайшее будущее.

Заглядывая в 2026, исследователи прогнозируют, что по итогам 2025 года общее количество успешных кибератак вырастет на 20-45% по сравнению с предыдущим годом, в котором их число достигло практически 500, а в 2026-м может увеличиться еще на 30-35%.

При этом, отмечая, что на протяжении многих лет Россия входит в число наиболее приоритетных целей киберпреступников.

По данным Positive Technologies, в период с июля 2024-го по сентябрь 2025 года на нашу страну пришлось от 14% до 16% всех успешных кибератак в мире.

Рост количества нападений касается не только крупных предприятий и организаций, но и малого и среднего бизнеса, которые все чаще становятся жертвами.

Ожидается рост числа атак на цепочки поставок, приводящих к к наиболее масштабным последствиям.

Основное влияние на ландшафт киберугроз для российских организаций в 2026 году с большой вероятностью будут оказывать два драйвера - темпы цифровизации и геополитическая обстановка.

Импортозамещение также усиливает риски: переход на отечественные IT-решения часто реализуется в сжатые сроки, без должного внимания к их защищенности, что упрощает задачу злоумышленникам - особенно при наличии 0-day или утечек исходного кода.

На данный момент процент применения зарубежного ПО в России остается высоким; помимо этого, пока что страна зависит от импорта аппаратных средств.

Геополитика уже играет и будет играть не менее важную роль. В случае ее усугубления возрастет число целевых хактивистских атак на КИИ.

Несмотря на то что организации в отдельных регионах и отраслях России продолжают регулярно сталкиваться с DDoS-атаками, они перестали преобладать в хактивистских кампаниях.

На первый план вышли деструктивные атаки с использованием шифровальщиков и вайперов.

Большинство хактивистов используют общедоступные инструменты и вредоносное ПО по модели MaaS.

Однако в арсенале некоторых группировок все чаще стали появляться собственные разработки, что ранее в атаках хактивистов отмечалось крайне редко.

Промышленность и госучреждения лидируют по количеству атак, и в 2026 году ситуация не изменится.

В ближайшие годы в целом активная цифровизация, внедрение IoT и ИИ, а также переход на российские решения будут расширять поверхность атак на промышленность и госсектор.

Российские IT- и телеком-компании остаются не только одними из самых частых мишеней, но и наиболее уязвимыми к последствиям атак в виду особой опасности инцидентов, связанных с цепочками поставок и доверительными отношениями.

Важно отметить, что злоумышленники будут реже использовать этот доступ для немедленного разрушения IT-инфраструктуры.

Вместо этого они смогут затаиться и готовить почву для будущих взломов, закладывая бэкдоры на случай обострения ситуации.

DDoS-атаки в 2026 году полностью не исчезнут, оставаясь эффективным инструментом давления. При росте напряженности стоит ожидать как увеличения числа атак, так и их большей агрессивности.

Если говорить про методы, то социнженерия и вредоносное ПО останутся ключевыми методами кибератак в 2026 году, однако их формы станут более сложными.

Уже сегодня наблюдаются многоступенчатые фишинговые кампании, а в будущем злоумышленники все чаще будут использовать ИИ для создания персонализированных дипфейков.

При этом кибератаки в 2026 году чаще будут приводить к комбинированным последствиям - одновременным утечкам данных и нарушениям бизнес-процессов.

Отдельно Позитивы рассматривают рынок киберпреступности, который оказывает непосредственное влияние на ландшафт киберугроз для российских организаций. Данные из дарквеба показывают, что успешные операции многократно окупаются.

Кроме того, дарквеб превратился в полноценный рынок киберуслуг, где сервисная модель и утечки инструментов резко снижают порог входа и затрудняют атрибуцию инцидентов.