Ivanti снова в тренде киберподполья: клиентам пора примерять новый фирменный мерч в коричневых тонах.

Управление по защите данных Нидерландов (AP) и Совет судебной власти официально подтвердили, что стали жертвами кибератак в виду эксплуатации недавно выявленных уязвимостей в Ivanti Endpoint Manager Mobile (EPMM).

Как сообщается, к рабочим данным сотрудников AP, включая установочные данные, адреса рабочей электронной почты и номера телефонов, получили доступ посторонние лица.

Немного ранее Европейская комиссия также сообщила о том, что ее центральная инфраструктура, управляющая мобильными устройствами, пострадала от кибератаки, которая могла привести к получению неправомерного доступа к именам и номерам телефонов ее сотрудников.

Инцидент был локализован в течение девяти часов, а компрометации мобильных устройств обнаружено не было.

Название поставщика при этом не называлось, но, предполагается, что это связано со вредоносной деятельностью, нацеленной на уязвимости в Ivanti EPMM.

Кроме того, финская госкомпания Valtori, предоставляющая информационные и коммуникационные технологии, также 30 января сообщила о взломе сервиса управления мобильными устройствами, в результате которого были раскрыты рабочие данные 50 000 госслужащих.

При этом, обновления были установлены 29 января, в тот же день, когда Ivanti выпустила исправления для CVE-2026-1281 и CVE-2026-1340 (CVSS: 9,8), которые потенциально могли быть использованы злоумышленником для несанкционированного RCE.

Ivanti в свойственной манере была вынуждена наконец признать, что уязвимости задействуется в качестве 0-day, но затрагивают «очень ограниченное число клиентов». Однако раскрыть точные данные о количестве жертв отказалась.

Расследование показало, что система управления не удаляла удаленные данные окончательно, а лишь помечала их как удаленные.

В результате данные устройств и пользователей, принадлежащие всем организациям, которые использовали сервис в течение его жизненного цикла, могли быть скомпрометированы.

В watchTowr полагают, что эти атаки не носят случайных характер, а скорее всего являются делом рук «высококвалифицированного, хорошо обеспеченного ресурсами злоумышленника, проводящего целенаправленную кампанию».

Впрочем, клиентов Ivanti уже ничем не удивить. Новый сезон приключений можно считать открытым.

Fortinet выпустила обновления для устранения критической уязвимости в FortiClientEMS, которая может привести к выполнению произвольного кода в уязвимых системах.

Проблема отслеживается как CVE-2026-21643 и имеет рейтинг CVSS 9,1 из 10 возможных. Она связана с неправильной нейтрализацией специальных элементов, используемых в уязвимости SQL-команды в FortiClientEMS, позволяя неавторизованному злоумышленнику выполнить несанкционированный код или команды с помощью специально сформированных HTTP-запросов.

Обнаружение приписывается Гвендалу Геньо из команды Fortinet. Недостаток затрагивает FortiClientEMS 7.4.4 (обновить до версии 7.4.5 или выше), FortiClientEMS 7.2 и FortiClientEMS 8.0 отмечены как незатронутые.

К настоящему времени Fortinet не упоминает об использовании этой уязвимости в реальных условиях, аналогично недавней CVE-2026-24858 в FortiOS, FortiManager, FortiAnalyzer, FortiProxy, FortiWeb, позволявшей злоумышленнику с учетной записью FortiCloud и зарегистрированным устройством входить в систему на других устройствах с активной FortiCloud SSO.

Впоследствии Fortinet признала, что злоумышленники активно использовали ее для создания локальных админских учетных записей для постоянного доступа, внесения изменений в конфигурацию, предоставляющих доступ к VPN, и кражи конфигурационных данных межсетевого экрана.

Позитивы решили забомбить отчетами.

В продолжение к прошлому исследованию в отношении мировых трендов IT и ИБ, сложившихся в 2025 году, Позитивы представили свое видение будущего отрасли, исходя из обозначенных ранее тенденций.

Отчет объемен и не менее информативен, включая аналитику по массовым и целевым атакам, ИИ, двойному вымогательству, кроссплатформенным угрозам, вирусы-трансформерам, AV/EDR-киллерам, фишкитам, дипфейкам, социнженерии, вишингу, AllFix, уязвимостям/эксплойтам, новым угрозам на периметре, RMM-решениям и IAB 2.0.

Исследователи Positive Technologies также продолжают отслеживать и обозревать активность хакерских группировок, нацеленных на российские организации.

Новый отчет включает аналитику по двум основным направлениям: шпионской активности и финансово мотивированным атакам.

Основное внимание сосредоточено на выявлении и сопоставлении повторяющихся паттернов атак, TTPs и штаммов вредоносного ПО с ретроспективой (для более точной фиксации преемственности инструментов и изменений в тактике). 

Такой подход позволил не только описать отдельные инциденты, но и подтвердить устойчивые паттерны группировок на примере сопоставимых цепочек, как это показано в материалах по APT31 и NetMedved.

Параллельно анализировалась эволюция инструментария группировок в динамике отчетного года, включая изменения в составе инструментов, способах закрепления и скрытного управления, а также в подходах к получению первичного доступа.

Наиболее показательным примером в этой части является ExCobalt, для которой характерна регулярная модификация компонентов и адаптация техник под конкретные инфраструктуры и условия эксплуатации.

Отдельно фиксировались кейсы активности группировок, ранее не проявлявших выраженного фокуса на российском направлении, включая кампании Silver Fox с использованием фишинговых уведомлений от государственных ведомств.

Накопленные наблюдения по инцидентам и инструментарию дополнены анализом общей динамики за 2025 год: рост числа атак и увеличение объема уникальных вредоносных семплов, ассоциированных с APT, указывают на ускорение цикла разработки и модификации вредоносного ПО.

Одним из факторов, влияющих на эту тенденцию, является расширение возможностей по созданию и адаптации кода с использованием LLM, которые упрощают разработку и повышают вариативность реализаций при сохранении типовых тактик и техник.

С учетом указанных тенденций квартальная аналитика обобщает краткие описания цепочек компрометации, используемых инструментов и ключевых IOCs для: АРТ31, ExCobalt, QuietCrabs, Rare Werewolf, PseudoGamaredon, а также Werewolves, NetMedved, Silver Fox и Hive0117.

В рамках февральского PatchTuesday в этом месяце Microsoft устранила 58 уязвимостей, в том числе 6 активно используемых и трех публично раскрытых 0-day: CVE-2026-21510, CVE-2026-21514, CVE-2026-21513, CVE-2026-21519, CVE-2026-21533 и CVE-2026-21525.

В новом обновлении также исправлены пять критических уязвимостей, три из которых связаны с EoP, а две - с раскрытием информации. В целом распределение по категориям выглядит следующим образом: 25 - EoP, 5 - обход функции безопасности, 12 - RCE, 6 - раскрытие информации, 3 - DoS и 7 - подмена данных.

Кроме того, 3 уязвимости исправлены в Microsoft Edge, обновлены сертификаты Secure Boot, которые заменят оригинальные от 2011 года, срок действия которых истекает в июне 2026 года, а также выпущены расширенные обновления безопасности Windows 10.

Среди нулей на этот раз кучно:

- CVE-2026-21510: обход запросов безопасности Windows SmartScreen и Windows Shell.

Проблема позволяет обойти функцию безопасности Windows и может быть активирована при открытии специально созданной ссылки или файла ярлыка. Вероятно, приводит к обходу Mark of the Web.

Злоумышленник может обойти запросы безопасности Windows SmartScreen и Windows Shell, используя некорректную обработку в компонентах Windows Shell, что позволяет выполнять контент, контролируемый злоумышленником, без предупреждения или согласия пользователя.

Обнаружение приписывается Microsoft MSTIC и MSRC, группе безопасности Office, Google и анонимному исследователю, которые также раскрыли
CVE-2026-21513 и CVE-2026-21514.

- CVE-2026-21513: уязвимость в Internet Explorer для обхода средств защиты и потенциального выполнения кода через вредоносные HTML- или LNK-файлы.

Уязвимость связана со сбоем в механизме защиты MSHTML Framework, открывая неавторизованному злоумышленнику возможность обойти функцию безопасности в сети. Данные о том, как именно она была использована не раскрываются.

- CVE-2026-21514: уязвимость в Microsoft Word, позволяющая злоумышленнику обойти меры защиты OLE.

Для эксплуатации злоумышленнику необходимо отправить пользователю вредоносный файл Office и убедить его открыть его.

Microsoft заявляет, что уязвимость невозможно использовать в панели предварительного просмотра Office. Поскольку никаких подробностей не было приведено, предполагается, что CVE-2026-21510, CVE-2026-21513 и CVE-2026-21514 могли быть использованы в рамках одной кампании.

- CVE-2026-21519: уязвимость повышения привилегий в диспетчере окон рабочего стола Windows.

Злоумышленник, успешно использовавший эту уязвимость, может получить системные привилегии. Никаких подробностей о том, как именно была совершена атака, не сообщается.

Microsoft упоминает лишь то, что обнаружение уязвимости приписывается центрам Microsoft MSTIC и MSRC.

- CVE-2026-21525: DoS-уязвимость в диспетчере подключений удаленного доступа Windows.

Разыменование нулевого указателя в диспетчере подключений удаленного доступа Windows позволяет неавторизованному злоумышленнику запретить локальное обслуживание.

Microsoft приписала обнаружение ACROS, работающей с 0patch.

Исследователи отыскали уязвимость в общедоступном репозитории вредоносного ПО в ходе поиска эксплойта для CVE-2025-59230, но он не осведомлены, как именно она используется в атаках. Однако качество комбинированного эксплойта для обеих уязвимостей говорит о «профессионально проделанной работе».

- CVE-2026-21533: EoP-уязвимость в службах удаленного рабочего стола Windows.

Неправильное управление привилегиями в Windows Remote Desktop позволяет авторизованному злоумышленнику повысить привилегии локально. Обнаружение приписывается CrowdStrike.

По данным CrowdStrike, эксплойт для CVE-2026-21533 изменяет ключ конфигурации службы, заменяя его ключом, контролируемым злоумышленником, что может позволить повысить привилегии и добавить нового пользователя в группу админов.

CrowdStrike не связывает эту активность с конкретным актором, но полагают, что разработчики эксплойта, вероятно, ускорят свои попытки использовать или перепродать его в ближайшее время.

Полное описание каждой уязвимости и затронутых ею систем - здесь.

Intel в сотрудничестве с Google реализовала проверку безопасности своей технологии Trust Domain Extensions (TDX), в результате которой были обнаружены десятки уязвимостей и ошибок. 

TDX - аппаратная технология вычислений, предназначенная для защиты конфиденциальных рабочих нагрузок и данных в облачных и многопользовательских средах, даже от взлома гипервизора или действий инсайдеров.

Intel TDX создает конфиденциальные виртуальные машины (также называемые доверенными доменами или TD), которые представляют собой аппаратно изолированные виртуальные машины, обеспечивающие надежную защиту как конфиденциальности, так и целостности данных.

Google Cloud Security в течение пяти месяцев сотрудничала с исследователями Intel INT31, используя ручной анализ кода, собственные инструменты и готовые решения на основе ИИ для анализа кода модуля TDX 1.5, который обрабатывает высокоуровневые функции TDX.

В результате анализа было выявлено пять уязвимостей, а также 35 ошибок, слабых мест и потенциальных проблем, которые следует устранить для повышения уровня безопасности.

Intel устранила все уязвимости, опубликовав соответствующее уведомление по безопасности и выпустив версию 1.5 TDX, которая также включает две новые функции: Live Migration и Trust Domain Partitioning.

Выявленные проблемы отслеживаются как CVE-2025-32007, CVE-2025-27940, CVE-2025-30513, CVE-2025-27572 и CVE-2025-32467 и могут быть использованы для EoP и раскрытия информации.

В свою очередь, Google обращает внимание на CVE-2025-30513, которая позволяет ненадёжному оператору полностью скомпрометировать гарантии безопасности TDX.

В частности, CVE-2025-30513 способна преобразовывать мигрируемый TD в отлаживаемый TD в процессе миграции при импорте его неизменяемого состояния.

После срабатывания все расшифрованное состояние TD становится доступным с хоста. На этом этапе злонамеренный хост может создать другой TD с расшифрованным состоянием или осуществлять мониторинг в режиме реального времени.

Поскольку миграция может произойти в любой момент жизненного цикла TD, атака может быть выполнена после завершения аттестации TD, что гарантирует наличие секретов в его состоянии.

По результатам своих изысканий Google выкатила полный технический отчет, а Intel у себя в блоге отразила общее описание исследовательского проекта.

Исследователи Flare обнаружили ботнет под управлением Linux под названием SSHStalker, который задействует протокол связи IRC (Internet Relay Chat) для организации C2.

Он был разработан еще в 1988 году, а пик его распространения пришелся на 1990-е годы, став основным текстовым средством обмена мгновенными сообщениями для группового и личного общения.

Технические сообщества по-прежнему ценят его за простоту реализации, совместимость, низкие требования к пропускной способности и отсутствие необходимости в графическом интерфейсе пользователя.

SSHStalker использует классические механизмы IRC вместо современных C2-фреймворков, отдавая приоритет отказоустойчивости, масштабируемости и низкой стоимости, а не скрытности и технической новизне.

По данным исследователей, этот подход распространяется и на другие особенности работы SSHStalker, такие как использование «шумных» SSH-сканирований, заданий cron с интервалом в одну минуту и обширный каталог уязвимостей CVE 15-летней давности.

Во Flare его описывают как громоздкий, кое-как собранный ботнет, сочетающий в себе управление IRC из старой школы, компиляцию бинарных файлов на хостах, массовый взлом SSH и сохранение активности на основе cron. Другими словами, в этой масштабируемая операция - надежность важнее скрытности.

SSHStalker получает первоначальный доступ посредством автоматического сканирования SSH и брута паролей, используя исполняемый файл на Go, который маскируется под популярную утилиту nmap.

Затем скомпрометированные хосты используются для сканирования на наличие дополнительных целей SSH, что напоминает механизм распространения ботнета, подобный червю.

Исследователи Flare также заметили файл с результатами почти 7000 сканирований ботов, проведенных в январе и в основном направленных на поставщиков облачного хостинга в инфраструктуре Oracle Cloud.

После заражения устройства вредоносной ПО SSHStalker она загружает на него инструмент GCC для компиляции вредоносных ПО, что обеспечивает лучшую персистентность и обход защиты.

Первыми полезными нагрузками являются IRC-боты на языке C с жестко запрограммированными серверами С2, которые подключают новую жертву к IRC-инфраструктуре ботнета.

Далее вредоносная ПО загружает архивы с именами GS и bootbou, содержащие варианты ботов для организации и последовательности выполнения.

Постоянное сохранение обеспечивается с помощью заданий cron, которые запускаются каждые 60 секунд, активируя механизм обновления, подобный таймеру, который проверяет, запущен ли основной процесс бота, и перезапускает его, если он завершен.

Ботнет также содержит эксплойты для 16 уязвимостей CVE, нацеленных на все версии ядра Linux 2009-2010 годов, что обеспечивает повышение привилегий.

По части монетизации во Flare заметили, что ботнет реализует сбор ключей AWS и сканирование сайтов, а также включает в себя наборы для майнинга крипты (в том числе Ethereum PhoenixMiner).

Также функционал позволяет проводить DDoS, н подобные активности исследователи не наблюдали. Фактически, боты SSHStalker к настоящему времени просто подключаются к C2, а затем переходят в режим ожидания.

Так что пока Flare не приписала SSHStalker какой-либо конкретной группе угроз, но тем не менее, отметила сходство с экосистемой ботнетов Outlaw/Maxlas.

В киберподполье активно продвигается новая коммерческая платформа для слежки за мобильными устройствами ZeroDayRAT, которая позиционируется как инструмент, обеспечивающий полный удаленный контроль над скомпрометированными устройствами Android и iOS.

Вредоносная ПО предоставляет покупателям полнофункциональную панель для управления зараженными устройствами, которая, как сообщается, поддерживает Android с 5 по 16 и iOS до версии 26 включительно.

Препарировали новинку исследователи iVerify, которые полалагют, что ZeroDayRAT не только крадет данные, но и позволяет осуществлять слежку в режиме реального времени и совершать финансовые кражи.

Согласно данным iVerify, панель управления отображает перечень скомпрометированных устройств, а также информацию о модели, версии ОС, состоянии батареи, данных SIM-карты, стране и состоянии блокировки.

Вредоносная ПО может регистрировать использование приложений, хронологию активности, обмен SMS и предоставлять оператору общий обзор.

На других вкладках панели отображаются все полученные уведомления, а также представленные на зараженном устройстве учетные записи, включая адреса электронной почты и идентификатора пользователя, что потенциально открывает возможности для брута и угона аккаунтов.

В случае наличия разрешений на доступ к GPS вредоносная ПО также позволяет отслеживать жертву в режиме реального времени и отображать ее текущее местоположение на Google Maps с полной историей перемещений.

Помимо пассивной регистрации данных ZeroDayRAT также поддерживает активные операции, включая активацию камер (фронтальной и тыловой) и микрофона для получения доступа к видеопотоку в реальном времени, или же запись экрана жертвы для раскрытия других секретов.

Более того, если права доступа к SMS защищены, вредоносная ПО может перехватывать входящие одноразовые пароли (OTP), что позволит обойти 2Fa, а также отправлять SMS с устройства жертвы.

Разработчик вредоносного ПО также включил в программу кейлоггер, способный считывать ввод пользователя, например, пароли, жесты или графические ключи разблокировки экрана.

Помимо этого ZeroDayRAT содержит модуль для кражи криптовалюты, который активирует сканер приложений-кошельков для поиска MetaMask, Trust Wallet, Binance и Coinbase, регистрирует идентификаторы и балансы кошельков, а также реализует подмену адресов из буфера обмена.

Кроме того, ZeroDayRAT позволяет нацеливаться на банковские приложения, платформы UPI, такие как Google Pay и PhonePe, а также платежные сервисы Apple Pay и PayPal. Кража учетных данных происходит путем наложения поддельных экранов.

В iVerify не уточнили конкретные способы распространения вредоносного ПО, но отметили, что ZeroDayRAT поддерживает полноценный набор инструментов для компрометации различных мобильных устройств.

Сингапурское агентство по кибербезопасности (CSA) выступило с официальным заявлением и обвинениями в адрес китайских хакеров, которым удалось взломать системы всех четырех крупнейших телекоммуникационных компаний страны - M1, SIMBA Telecom, Singtel и StarHub.

CSA приписала атаки APT-группе, которую они отслеживают как UNC3886. Названный инцидент произошел в прошлом году, с тех пор на протяжении 11 месяцев специалисты CSA пытались вытравить китайских кибершпионов из скомпрометированных сетей.

По версии следствия, злоумышленники украли «небольшое количество технических данных» в рамках подготовки в будущим кампаниям, при этом расследователи, как заявляется, не обнаружили доказательств кражи личных данных клиентов.

Предполагается, что для обеспечения постоянного присутствия в сети использовались 0-day в межсетевых экранах телекоммуникационных компаний и руткиты.

Согласно представленным отчетам Google, Sygnia и Trend Micro (1, 2 и 3 соответственно), APT-группа имеет большой опыт по части умелого применения уязвимостей в сетевом и корпоративном оборудовании Fortinet, Juniper, Ivanti SecureConnect, а также VMware ESXi и vCenter.

Как отмечается, UNC3886 считается одной из самых активных китайских шпионских группировок за последние два-три года, наряду с более известной Salt Typhoon, еще одной китайской APT-группировкой, специализирующейся на взломе телекоммуникационных компаний.

Учитывая столь продолжительный период локализации инцидента, можно констатировать, что достичь своих целей китайским хакерам определено удалось.

Исключать их возвращения не стоит, но пока основные усилия будут направлены на реализации полученных данных в ходе дальнейших наступательных операций. Но будем посмотреть.

Apple выпустила экстренные обновления для устранения первой в этом году 0-day (в 2025 их было 7), которая задействовалась в «чрезвычайно изощренной атаке», нацеленной на узкий круг лиц на версиях iOS до 26.

Уязвимость отслеживается как CVE-2026-20700 и позволяет выполнять произвольный код в dyld, динамически подключаемом редакторе, используемом операционными системами Apple, включая iOS, iPadOS, macOS, tvOS, watchOS и visionOS.

В бюллетене Apple содержится предупреждение о том, что злоумышленник, обладающий возможностью записи в память, может выполнить произвольный код на затронутых устройствах.

В компании заявляют, что им известно о сообщениях о том, что эта уязвимость, наряду с CVE-2025-14174 и CVE-2025-43529, исправленными в декабре, была использована в одних и тех же инцидентах.

Apple приписала обнаружение CVE-2026-20700 Google TAG, но не предоставила никаких дополнительных подробностей о том, как именно она была использована.

К числу затронутых устройств относятся: iPhone 11 (и более поздние модели), iPad Pro 12,9 дюйма (3-го поколения), iPad Pro 11 дюймов (1-го поколения), iPad Air (3-го поколения), iPad (8-го поколения), iPad mini (5-го поколения и более поздних версий), а также Mac на macOS Tahoe.

Apple устранила уязвимость в iOS 18.7.5, iPadOS 18.7.5, macOS Tahoe 26.3, tvOS 26.3, watchOS 26.3 и visionOS 26.3.

Пользователям рекомендуется оперативно накатить последние обновления для защиты своих устройств.

Исследователи из Лаборатории Касперского выкатили свой ежегодный отчет с аналитикой по спаму и фишингу за 2025 год (предыдущие исследования за: 2021, 2022, 2023 и 2024).

Основная статистика представлена следующим образом:

- 44,99% писем по всему миру и 43,27% писем в Рунете были спамом;
- 32,50% всех спам-писем были отправлены из России;
- Почтовый антивирус ЛК заблокировал 144 722 674 вредоносных почтовых вложений;
- Система «Антифишинг» предотвратила 554 002 207 попыток перехода по фишинговым ссылкам.

В целом, ландшафт фишинга и скама изменился. В 2024 году наблюдалось множество массовых атак, а в 2025 их частота сократилась. Кроме того, в 2024 году онлайн-мошенники часто использовали схемы с редиректами, тогда как в 2025 этот инструмент оказался менее распространенным.

Страной с наибольшим процентом пользователей, столкнувшихся с фишинговыми атаками, остается Перу (17,46%). Второе место занимает Бангладеш (16,98%), а третье - Малави (16,65%). Далее - Тунис (16,19%), Колумбия (15,67%), Бразилия (15,48%) и Эквадор (15,27%).

В 2025 году, в отличие от тенденции, сохранявшейся на протяжении нескольких последних лет, большинство фишинговых страниц размещалось в доменной зоне XYZ - 21,64%, что в три раза больше показателя 2024 года.

Второй по популярности оказалась зона TOP (15,45%), после которой следует BUZZ (13,58%). На четвертой строчке расположился домен COM (10,52%), ранее занимавший первое место рейтинга. Такое снижение частично вызвано популярностью атак с использованием тайпсквоттинга).

Фишинговые страницы, имитирующие веб-сервисы (27,42%) и глобальные интернет-порталы (15,89%), не изменили свои позиции в TOP 10: они по-прежнему занимают первое и второе место соответственно. 

Традиционно популярные у злоумышленников онлайн-магазины вернулись на третью строчку с долей 11,27%. В 2025 году интерес фишеров возрос к пользователям онлайн-игр: веб-сайты, имитирующие игровые, поднялись с девятой строчки рейтинга на пятую (7,58%).

За ними следуют банки (6,06%), платежные системы (5,93%), мессенджеры (5,70%) и службы доставки (5,06%). Также фишинговые атаки были нацелены на учетные записи в соцсетях (4,42%) и госсервисах (1,77%).

В 2025 году средняя доля спама в мировом почтовом трафике составила 44,99%, что на 2,28 п. п. меньше значения предыдущего года. В российском сегменте наблюдалось более значительное снижение: средняя доля спама сократилась на 5,3 п. п. и составила 43,27%.

Первые три страны в рейтинге 2025 года по количеству отправляемого спама повторяют распределение предыдущего года: это Россия, Китай и США. На четвертое место поднялась Германия (3,46%), ранее занимавшая шестую строчку, сместив Казахстан с долей 2,89%.

Как полагают исследователи, 2026 год определенно ознаменуется новыми способами злоупотребления технологией ИИ. Аккаунты мессенджеров останутся все такой же желанной добычей для злоумышленников.

Появление новых схем не исключит использования старых уловок и приемов, а это значит, что помимо использования надежного ПО необходимо соблюдать бдительность и внимательно относиться к любым предложениям в сети, которые могут вызвать хотя бы минимальное подозрение.

Повышенный интерес злоумышленников к кредам для порталов госуслуг сигнализирует об увеличении потенциального ущерба: доступ к таким сервисам может привести к краже средств, данных и личности.

Участились случаи злоупотребления легитимными инструментами и многоуровневые атаки, которые начинаются с безобидных файлов или ссылок: мошенники пытаются усыпить бдительность пользователей, в итоге преследуя злонамеренные цели.

В целом, отчет достаточно объемный, включает много инфографики и примеров, так что настоятельно рекомендуем ознакомиться в оригинале.

Microsoft устранила RCE-уязвимость в Блокноте Windows 11, которая позволяла злоумышленникам запускать локальные или удаленные программы, обманом заставляя пользователей переходить по ссылкам Markdown без отображения каких-либо предупреждений безопасности.

Блокнот появился с выходом еще Windows 1.0 и представлял собой простой и удобный текстовый редактор, который с годами стал популярен для быстрого создания заметок, чтения текстовых файлов, составления списков дел или в качестве редактора кода.

Позже Microsoft предложила пользователям Windows Write с поддержкой различных шрифтов, размеров и инструментов форматирования, а затем и WordPad. Однако с выходом Windows 11 компания решила прекратить поддержку WordPad и удалить его из Windows.

Вместо этого Microsoft переписала Блокнот, объединив в нем функционал простого текстового редактора и редактора RTF, а также добавив поддержку Markdown, которая позволяет форматировать текст и вставлять кликабельные ссылки.

Поддержка Markdown позволяет Блокноту открывать, редактировать и сохранять файлы Markdown (.md), которые представляют собой традиционные текстовые файлы с простыми символами для форматирования текста, списками или ссылками.

В рамках февральского PatchTuesday Microsoft исправила серьезную уязвимость удаленного выполнения кода в Notepad, которая отслеживается как CVE-2026-20841.

Как отмечено в бюллетене, некорректная нейтрализация специальных элементов, используемых в команде («внедрение команд») в приложении Блокнот Windows позволяет неавторизованному злоумышленнику выполнять код по сети.

Microsoft приписала обнаружение уязвимости Кристиану Папе, Аласдеру Горняку и Чену.

Потенциальный злоумышленник может обманом заставить пользователя перейти по вредоносной ссылке внутри файла Markdown, открытого в Блокноте, что приведет к запуску приложением непроверенных протоколов, которые загружают и выполняют удаленные файлы.

Вредоносный код будет выполняться в контексте безопасности пользователя, открывшего файл Markdown, предоставляя злоумышленнику те же права доступа, что и этому пользователю.

Уязвимость вызвала широкий резонанс в социальных медиа после того, как исследователи выяснили, насколько легко ее использовать.

Все, что нужно было сделать, это создать файл Markdown, например test.md, и создать ссылки file://, указывающие на исполняемые файлы, или использовать специальные URI, такие как ms-appinstaller://.

При открытии этого файла Markdown в Блокноте Windows 11 версии 11.2510 и более ранних версиях и просмотре в режиме Markdown, приведенный выше текст отобразится как кликабельная ссылка.

При нажатии на ссылку с помощью Ctrl+Click файл будет автоматически запущен без предупреждения со стороны Windows, а что в Microsoft рассматривают как уязвимость удаленного выполнения кода.

Ведь это потенциально может позволить злоумышленникам создавать ссылки на файлы в удаленных SMB-ресурсах, которые затем будут выполняться без предупреждения.

После исправления уязвимости в Блокноте Windows 11 при нажатии на ссылку отображаются предупреждения, если она не использует протокол http:// или https://. Это также касается таких типов ссылок URI, как file, ms-settings, ms-appinstaller, mailto и ms-search.

Правда непонятно, почему Microsoft просто не заблокировала нестандартные ссылки, оставляя возможность для применения методов социнженерии, чтобы заставить пользователей одобрить соответствующие запросы.

Критическая уязвимость в плагине WPvivid Backup & Migration для WordPress на более чем на 900 000 веб-сайтах может быть использована для удаленного выполнения кода путем загрузки произвольных файлов без аутентификации.

Уязвимость отслеживается как CVE-2026-1357, получила оценку серьезности 9,8, затрагивая все версии плагина до 0.9.123 включительно, и приводит в случае успешной эксплуатации к полному захвату веб-сайта.

Несмотря на серьезность проблемы, исследователи Defiant утверждают, что критическое воздействие оказывается только на сайты, у которых включена нестандартная опция «получать резервную копию с другого сайта».

Кроме того, у злоумышленников есть 24-часовой период для эксплуатации уязвимости, который соответствует сроку действия сгенерированного ключа, необходимого другим сайтам для отправки резервных файлов, что ограничивает реальную возможность эксплуатации уязвимости.

Вместе с тем, плагин обычно применяется в процессе миграции сайтов и передачи резервных копий между хостами, поэтому администраторы, скорее всего, активируют эту функцию в какой-то момент, по крайней мере временно.

Исследователь Лукас Монтес (NiRoX) сообщил об этой уязвимости в Defiant 12 января. Основная причина найденной проблемы кровется в некорректной обработке ошибок при расшифровке RSA в сочетании с недостаточной проверкой пути.

В частности, если функция openssl_private_decrypt() завершается с ошибкой, плагин не останавливает выполнение, а вместо этого передает результат ошибки (false) в подпрограмму AES (Rijndael).

Криптографическая библиотека обрабатывает это как строку нулевых байтов, создавая предсказуемый ключ шифрования, который злоумышленник может использовать для создания вредоносных ПО, которые плагин сможет принять.

Кроме того, плагину не удается должным образом проверить имена загружаемых файлов, что позволяет осуществлять обход каталогов, а это открывает возможность записывать файлы за пределы предназначенного для резервного копирования каталога и загружать вредоносные PHP-файлы для RCE.

Defiant уведомила поставщика, WPVividPlugins, 22 января после подтверждения работоспособности предоставленного PoC, а 28 января было выпущено обновление в составе версии 0.9.124.

Оно включает в себя добавление проверки для остановки выполнения в случае сбоя расшифровки RSA, включение проверки чистоты имен файлов и ограничение загрузки только разрешенными типами файлов резервных копий, такими как ZIP, GZ, TAR и SQL.

Пользователям плагина WPvivid Backup & Migration для WordPress следует учитывать риски, связанные с этой уязвимостью, и как можно скорее обновиться до 0.9.124.

GreyNoise сообщает о 417 сеансах эксплуатации недавно обнаруженной уязвимости в Ivanti Endpoint Manager Mobile (EPMM), совершенных с 8 IP в период 1-9 февраля, из которых 346 (83% от всех попыток) приходились на один 193.24.123[.]42 в хостинговой инфраструктуре PROSPERO.

Вредоносная активность нацелена на CVE-2026-1281 (CVSS: 9,8), одну из двух критических уязвимостей в EPMM, наряду с CVE-2026-1340, которая может быть использована злоумышленником для RCE.

В конце прошлого месяца Ivanti признала, что «очень ограниченное число клиентов» пострадало в результате эксплуатации 0-day.

С тех пор ряд европейских госструуктур, включая Управление по защите данных Нидерландов (AP), Судебный совет, Европейскую комиссию и финскую компанию Valtori, стали жертвами атак неизвестных злоумышленников, использующих эти уязвимости.

Дальнейший анализ показал, что на тот же хост одновременно отрабатывал три другие уязвимости в: CVE-2026-21962 (Oracle WebLogic) - 2902 сессии; CVE-2026-24061 (GNU InetUtils telnetd) - 497 сеансов и CVE-2025-24799 (GLPI) - 200 сеансов.

IP переключается между 300 уникальными строками пользовательских агентов, охватывающими Chrome, Firefox, Safari и множество вариантов ОС.

Как полагают в GreyNoise, такое разнообразие фингерпринтов в сочетании с одновременной эксплуатацией четырех несвязанных ПО соответствует признакам автоматизированного тестирования.

По некоторым данным, PROSPERO связан с другой автономной системой под названием Proton66, которая известна распространением вредоносных ПО для ПК и Android, включая GootLoader, Matanbuchus, SpyNote, Coper (Octo) и SocGholish.

GreyNoise также отметила, что в 85% случаев атаки осуществлялась через DNS для подтверждения того, что "цель пригодна для атаки", без развертывания вредоносного ПО или кражи данных.

Стоит отметить, что несколько дней ранее Defused Cyber также сообщила о кампании с использованием «спящей оболочки», в рамках которой в скомпрометированные экземпляры EPMM по пути /mifs/403.jsp был развернут неактивный загрузчик классов Java в оперативной памяти.

При этом обратные вызовы OAST указывают на то, что кампания нацелена на каталогизацию уязвимых целей, без развертывания полезных нагрузок, что может указывать на проведение операции первоначального доступа.

Пользователям Ivanti EPMM исследователи рекомендовали установить патчи, провести аудит инфраструктуры MDM, доступной из интернета, просмотреть журналы DNS на предмет обратных вызовов по шаблону OAST, отслеживать путь /mifs/403.jsp на экземплярах EPMM и заблокировать автономную систему PROSPERO (AS200593) на уровне периметра сети.

В свою очередь, Ivanti предоставила «высокоточные» IOCs, технический анализ на момент обнаружения угроз, а также скрипт для обнаружения эксплойтов, который был разработан совместно с NCSC-NL в рамках противодействии этой угрозе. И, еще новый мерч с коричневым оттенком.

Как мы и предполагали ранее, прошло не так много времени после выпуска PoC для критической CVE-2026-1731 (CVSS 9,9) в устройствах BeyondTrust Remote Support и Privileged Remote Access, как киберподполье принялось ее активно эксплуатировать.

Уязвимость затрагивает версии BeyondTrust Remote Support 25.3.1 и более ранние, а также Privileged Remote Access 24.3.4 и более ранние.

BeyondTrust сообщила об уязвимости 6 февраля, предупреждая, что неавторизованные злоумышленники могут даленно выполнять код до аутентификации, отправляя специально сформированные клиентские запросы.

Причем для успешной эксплуатации не требуется аутентификация или взаимодействие с пользователем, она может привести к компрометации системы, включая несанкционированный доступ, утечку данных и сбои в работе сервисов.

Уязвимость обнаружила Hacktron, ответственно проинформировав о ней BeyondTrust 31 января. По данным исследователей, в сети оказалось около 11 000 уязвимых экземпляров BeyondTrust Remote Support, при этом примерно 8 500 из них были развернуты локально.

В свою очередь, watchTowr уже заметила, как злоумышленники начали активно использовать уязвимость, предупреждая, что если устройства не будут обновлены, их следует считать скомпрометированными.

Атаки нацелены на уязвимые порталы BeyondTrust и задействуют функцию get_portal_info для извлечения значения x-ns-company, который затем используется для создания веб-сокета с целевым устройством, что позволяет злоумышленникам выполнять команды на уязвимых системах.

Причем эта уязвимость появилась спустя день после публикации на GitHub демонстрационного эксплойта, ориентированного на ту же самую конечную точку.

WatchTowr настоятельно рекомендует организациям, использующим самостоятельно размещенные устройства BeyondTrust Remote Support или Privileged Remote Access, немедленно установить доступные исправления или обновить систему до последних версий.

В BeyondTrust пока никак не комментируют ситуацию.

Ресерчеры из Лаборатории Касперского препарировали новый загрузчик вредоносного ПО под названием RenEngine, обнаруженный в сети в этом месяце.

Киберподполье достаточно часто продвигает зловреды под видом читов для игр и пиратского ПО, но случается так, что иногда таким образом распространяются сложные штаммы с применением продвинутых техник и запутанных цепочек заражения.

В феврале этого года исследователи Howler Cell обнаружили массовую кампанию по распространению пиратских игр, троянизированных образцом ранее неизвестного семейства вредоносного ПО.

Им как раз и оказался загрузчик RenEngine, который доставлялся на устройство при помощи модифицированной версии лаунчера игры на базе движка Ren’Py.

Решения ЛК детектируют угрозу как Trojan.Python.Agent.nb и HEUR:Trojan.Python.Agent.gen.

Как оказалось, на самом деле эта угроза не новая: решения ЛК начали детектировать первые образцы загрузчика RenEngine еще в марте 2025 года, когда таким образом распространялся инфостилер Lumma (Trojan-PSW.Win32.Lumma.gen).

В текущих наблюдаемых инцидентах в качестве конечной полезной нагрузки распространяется ACR Stealer (Trojan-PSW.Win32.ACRstealer.gen).

Тогда в марте 2025 года злоумышленники распространяли вредоносное ПО под видом взломанной игры на популярном игровом ресурсе с двумя кнопками: Free Download Now и Direct Download: функциональность была одинаковой - пользователя перенаправляли в MEGA для укачивания архива с «игрой».

При запуске «игры» процесс загрузки якобы останавливается, достигнув 100%. Можно было подумать, что игра зависла, но это не так - «настоящий» вредоносный код только что начал свою работу.

Проанализировав исходные файлы, ЛК обнаружила скрипты на Python, которые начинают первоначальное заражение устройства, имитируя бесконечную загрузку игры.

Кроме того, в них содержатся функции обхода песочницы is_sandboxed и расшифровки вредоносной нагрузки xor_decrypt_file.

При помощи последней скрипт расшифровывает ZIP, распаковывает его содержимое в директорию .temp и запускает распакованные файлы.

Всего в директорию .temp грузятся пять файлов.

Исполняемый DKsyVGUJ.exe не является вредоносным, а является легитимным приложением для систематизации генеалогических данных с оригинальным именем Ahnenblatt4.exe.

Библиотека borlndmm.dll также не содержит вредоносный код, реализуя необходимый для запуска ехе-файла менеджер памяти.

Другая библиотека, cc32290mt.dll, содержит пропатченный злоумышленниками участок кода, перехватывающий управление при запуске приложения и развертывающий в памяти процесса первую стадию вредоносной нагрузки.

В качестве «контейнера» для запуска первой стадии вредоносной нагрузки используется системная библиотека dbghelp.dll.

Она перезаписывается в памяти расшифрованным шелл‑кодом, полученным из файла gayal.asp, при помощи библиотеки cc32290mt.dll.

Полученная нагрузка является загрузчиком HijackLoader - относительно новое средство доставки и развертывания вредоносной нагрузки, впервые обнаруженное летом 2023 года.

Отличительной особенностью этого семейства является модульность и гибкость настроек.

Внедрение итоговой нагрузки осуществляется двумя разными способами в зависимости от параметров конфигурации вредоносного образца. Она представляет собой EXE-файл, а параметры конфигурации настроены на ее инъекцию в дочерний процесс explorer.exe.

В дополнение к сайтам с играми, в ЛК обнаружили, что злоумышленники создали десятки различных сайтов для распространения RenEngine под видом пиратских ПО.

Картина распространения этого загрузчика говорит о том, что атаки не носят целевой характер, а наибольшее число инцидентов зафиксировано в России, Бразилии, Турции, Испании и Германии.

Другие технические подробности, IOCs и рекомендации - в отчете.

Продолжаем отслеживать наиболее трендовые уязвимости. По состоянию на пятницу 13-ого подборка представлена следующим образом:

1. Исследователи обнаружили 287 расширений для Chrome, похищающие историю просмотров пользователя и установленные более 37 миллионов раз.

Среди них - блокировщики рекламы, ИИ-помощники и офисные приложения.

2. LayerX раскрыла кластер из 30 расширений Chrome, маскирующихся под инструменты ИИ и использующих скрытые iframe для выполнения кода в браузерах пользователей.

3. Quarkslab обвинила Intego в отказе от исправления ряда уязвимостей в своих продуктах безопасности для macOS, несмотря на наличие достаточного времени для этого.

3. RCE Security опубликовала PoC для уязвимости внедрения команд без аутентификации в плагине W3 Total Cache для WordPress - CVE-2025-9501.

При этом плагин является одним из самых популярных в экосистеме WordPress.

4. Раскрыт новый вектор деанонимизации пользователей VPN на основе списков фильтров блокировки рекламы, установленных в их браузере.

Пользователей можно отследить до конкретных стран по доменам, включенным в списки блокировщиков рекламы.

5. Microsoft обнаружила, что метод, обычно используемый для тонкой настройки LLM после их развертывания, может быть использован для нейтрализации функций безопасности.

Новую атаку назвали GRP-Obliteration (по названию метода - Group Relative Policy Optimization (GRPO).

Microsoft заявляет, что тесты позволили рассогласовать функции безопасности в 15 наиболее часто используемых на сегодняшний день LLM, от DeepSeek до GPT и Llama.

6. Исследователи LayerX раскрыли RCE-уязвимость в приложении Claude Desktop Extensions (DXT), позволяющую задействовать Google Календарь для компрометации систем, использующих расширения Claude Desktop Extensions.

Проблема затрагивает более 10 000 активных пользователей и 50 расширений DXT.

7. FIRST прогнозирует, что в течение года будет зарегистрировано около 60 000 уязвимостей. Это будет первый год в истории, когда количество глобальных сообщений об ошибках превысит порог в 50 000.

Причем не исключается, что их может оказаться по года более чем 100 000.

8. Positive Technologies выкатила февральский «В тренде VM», отметив среди трендовых: уязвимость, приводящая к RCE, в Microsoft 365 и Microsoft Office (CVE-2026-21509) и ошибку, приводящую к раскрытию информации, в Desktop Window Manager (CVE-2026-20805).

9. Китайский аналог Pwn2Own от Zero Day Initiative - Tianfu Cup после двухлетнего перерыва возобновился в 2026 году. Мероприятие состоялось 29-30 января.

По данным Natto Thoughts, соревнования хакеров организуются МОБ КНР и проходят в еще более засекреченном формате.

10. Microsoft считает, что вновь обнаруженные проблемы с подменой LNK-кода в Windows - это не уязвимости.

На фестивале Wild West Hackin' Fest исследователь Витце Беукема раскрыл несколько уязвимостей в файлах ярлыков Windows, которые позволяют злоумышленникам развертывать вредоносные ПО.

Обнаруженные проблемы  связаны с несоответствиями в том, как проводник Windows расставляет приоритеты для конфликтующих целевых путей, указанных в нескольких необязательных структурах данных в файлах ярлыков.

Исследователь также выпустил lnk-it-up - набор инструментов с открытым исходным кодом, который генерирует ярлыки Windows LNK с использованием представленных методов.

Google выпустила экстренные обновления для устранения серьезной уязвимости в Chrome, которая активно задействуется в атаках в качестве 0-day (первая с начала этого года, в прошлом их было восемь).

CVE-2026-2441 связана с использованием памяти после освобождения в компоненте CSS, о ней сообщил исследователь Шахин Фазим, которому в прошлом году также приписывалось раскрытие ряда ошибок.

Уведомление об активно используемой уязвимости было направлено поставщику 11 февраля, всего за два дня до того, как она была исправлена. 

Она обусловлена проблемой недействительности итератора в CSSFontFeatureValuesMap, реализации Chrome значений характеристик шрифтов CSS.

Успешная эксплуатация может позволить злоумышленникам вызвать сбои в работе браузера, проблемы с отображением, повреждение данных или другое непреждсказуемое поведение.

Как отмечается, патч CVE-2026-2441 решает «непосредственную проблему», но требуется доработка (483936078). Это свидетельствует о том, что текущее исправление может носить временный характер или же связанные дефекты все еще нуждаются в решении.

Google подтверждает, что ей известно об использовании 0-day в реальных условиях, но предоставить дополнительные подробности об этих инцидентах отказалась.

Однако, судя информации, предоставленной Google, эту уязвимость, вероятно, можно использовать для выполнения произвольного кода, заставив целевого пользователя перейти на вредоносный веб-сайт.

Однако код будет выполняться в изолированной среде, и для выхода из этой среды и полного захвата системы, вероятно, потребуется дополнительная уязвимость.

Компания устранила уязвимость для пользователей стабильного канала Desktop, и в ближайшие дни или недели новые версии будут распространяться для пользователей Windows, macOS (145.0.7632.75/76) и Linux (144.0.7559.75) по всему миру.

Популярный IT-предприниматель Ким Дотком вновь выкатился с сенсационными заявлениями, на этот раз по поводу «взлома» Palantir.

Что касается тотальной аффилированности Palantir с ЦРУ США - можно было даже не писать об этом.

Однако прочие утверждения про ядерное оружие для Украины, прослушку первых лиц США и массивы компромата на представителей мировой элиты - воспринимать без скептицизма достаточно сложно.

Кроме поста в X, нет ни дампов, ни скриншотов интерфейсов, ни технических артефактов, ни подтверждений от профильных киберкомпаний.

Автор заявления категорически отрицает свою причастность к возможному инциденту и выступает лишь в качестве информационного партнера.

При этом утверждает, что все якобы украденные у Palantir данные будут переданы в Россию и/или КНР.

В общем, будем посмотреть.

Исследователи из Лаборатории Касперского продолжают отслеживать активность проукраинскую Head Mare, которая в период конца 2025 – начала 2026 года провернула новую кампанию.

Новая волна атак продемонстрировала дальнейшее развитие инструментария группировки. Ключевой находкой стал новый бэкдор PhantomHeart, который изначально распространялся в виде DLL-библиотеки, а позднее был переработан в PowerShell-скрипт.

PowerShell-бэкдор реализует канал удаленного доступа, сочетающий HTTP-коммуникацию с C2 и возможность развертывания SSH-туннеля по запросу оператора.

На этапе инициализации вредоносное ПО формирует идентификатор жертвы и затем использует его как для дальнейшей коммуникации с C2, так и для привязки конфигурации бэкдора к конкретному хосту.

Список управляющих серверов хранится в зашифрованном виде и расшифровывается во время выполнения. Для этого используется алгоритм AES-128-CBC, при этом ключ генерируется на основе MAC-адреса зараженной системы.

После расшифровки адресов PhantomHeart переходит в основной цикл взаимодействия с C2. Для обмена данными используются HTTP POST-запросы, содержащие вредоносную нагрузку в формате JSON. Запросы отправляются через встроенные PowerShell-механизмы.

Ключевой функциональной возможностью PhantomHeart является развертывание SSH-туннеля по указанию C2-сервера. Отдельного внимания заслуживает механизм закрепления: бэкдор запускался через планировщик задач под видом легитимного скрипта обновления, размещенного в директории LiteManager.

Новая волна активности Head Mare затронула широкий спектр российских компаний, включая как организации из госсектора, так и в строительной и промышленной отраслях.

Замеченный переход отражает стремление Head Mare активнее применять подход Living-off-the-Land и опираться на нативные механизмы Windows для постэксплуатации.

Такая стратегия прослеживается и в остальном арсенале группы: в рамках текущей кампании прокси-инструмент PhantomProxyLite, характерный для атак группы, также получил реализацию на PowerShell, сохранив при этом сохраняет ту же архитектурную логику.

Вместо фонового сервиса закрепление теперь осуществляется через задачу планировщика Windows с тем же именем, SSHService, настроенную на запуск при старте системы от имени учетной записи SYSTEM.

Кроме того, исследователи ЛК выявили новые кастомизированные утилиты с ограниченной, узкой функциональностью, используемые для закрепления в инфраструктуре жертв и повышения привилегий.

При этом подходы к первоначальному доступу остаются прежними. Head Mare продолжает эксплуатировать уязвимость в TrueConf Server, а в отдельных случаях - фишинговые рассылки, сочетая проверенные векторы проникновения с постепенно обновляемым арсеналом.

Выявленная активность Head Mare показывает, что группировка продолжает перестраивать свой инструментарий и цепочки атак.

Появление нового PhantomHeart и все более активное использование средств автоматизации позволяют ей реплицировать и масштабировать свои операции.

Все технические подробности и актуальные IOCs - в отчете.