Intel в сотрудничестве с Google реализовала проверку безопасности своей технологии Trust Domain Extensions (TDX), в результате которой были обнаружены десятки уязвимостей и ошибок. 

TDX - аппаратная технология вычислений, предназначенная для защиты конфиденциальных рабочих нагрузок и данных в облачных и многопользовательских средах, даже от взлома гипервизора или действий инсайдеров.

Intel TDX создает конфиденциальные виртуальные машины (также называемые доверенными доменами или TD), которые представляют собой аппаратно изолированные виртуальные машины, обеспечивающие надежную защиту как конфиденциальности, так и целостности данных.

Google Cloud Security в течение пяти месяцев сотрудничала с исследователями Intel INT31, используя ручной анализ кода, собственные инструменты и готовые решения на основе ИИ для анализа кода модуля TDX 1.5, который обрабатывает высокоуровневые функции TDX.

В результате анализа было выявлено пять уязвимостей, а также 35 ошибок, слабых мест и потенциальных проблем, которые следует устранить для повышения уровня безопасности.

Intel устранила все уязвимости, опубликовав соответствующее уведомление по безопасности и выпустив версию 1.5 TDX, которая также включает две новые функции: Live Migration и Trust Domain Partitioning.

Выявленные проблемы отслеживаются как CVE-2025-32007, CVE-2025-27940, CVE-2025-30513, CVE-2025-27572 и CVE-2025-32467 и могут быть использованы для EoP и раскрытия информации.

В свою очередь, Google обращает внимание на CVE-2025-30513, которая позволяет ненадёжному оператору полностью скомпрометировать гарантии безопасности TDX.

В частности, CVE-2025-30513 способна преобразовывать мигрируемый TD в отлаживаемый TD в процессе миграции при импорте его неизменяемого состояния.

После срабатывания все расшифрованное состояние TD становится доступным с хоста. На этом этапе злонамеренный хост может создать другой TD с расшифрованным состоянием или осуществлять мониторинг в режиме реального времени.

Поскольку миграция может произойти в любой момент жизненного цикла TD, атака может быть выполнена после завершения аттестации TD, что гарантирует наличие секретов в его состоянии.

По результатам своих изысканий Google выкатила полный технический отчет, а Intel у себя в блоге отразила общее описание исследовательского проекта.

Исследователи Flare обнаружили ботнет под управлением Linux под названием SSHStalker, который задействует протокол связи IRC (Internet Relay Chat) для организации C2.

Он был разработан еще в 1988 году, а пик его распространения пришелся на 1990-е годы, став основным текстовым средством обмена мгновенными сообщениями для группового и личного общения.

Технические сообщества по-прежнему ценят его за простоту реализации, совместимость, низкие требования к пропускной способности и отсутствие необходимости в графическом интерфейсе пользователя.

SSHStalker использует классические механизмы IRC вместо современных C2-фреймворков, отдавая приоритет отказоустойчивости, масштабируемости и низкой стоимости, а не скрытности и технической новизне.

По данным исследователей, этот подход распространяется и на другие особенности работы SSHStalker, такие как использование «шумных» SSH-сканирований, заданий cron с интервалом в одну минуту и обширный каталог уязвимостей CVE 15-летней давности.

Во Flare его описывают как громоздкий, кое-как собранный ботнет, сочетающий в себе управление IRC из старой школы, компиляцию бинарных файлов на хостах, массовый взлом SSH и сохранение активности на основе cron. Другими словами, в этой масштабируемая операция - надежность важнее скрытности.

SSHStalker получает первоначальный доступ посредством автоматического сканирования SSH и брута паролей, используя исполняемый файл на Go, который маскируется под популярную утилиту nmap.

Затем скомпрометированные хосты используются для сканирования на наличие дополнительных целей SSH, что напоминает механизм распространения ботнета, подобный червю.

Исследователи Flare также заметили файл с результатами почти 7000 сканирований ботов, проведенных в январе и в основном направленных на поставщиков облачного хостинга в инфраструктуре Oracle Cloud.

После заражения устройства вредоносной ПО SSHStalker она загружает на него инструмент GCC для компиляции вредоносных ПО, что обеспечивает лучшую персистентность и обход защиты.

Первыми полезными нагрузками являются IRC-боты на языке C с жестко запрограммированными серверами С2, которые подключают новую жертву к IRC-инфраструктуре ботнета.

Далее вредоносная ПО загружает архивы с именами GS и bootbou, содержащие варианты ботов для организации и последовательности выполнения.

Постоянное сохранение обеспечивается с помощью заданий cron, которые запускаются каждые 60 секунд, активируя механизм обновления, подобный таймеру, который проверяет, запущен ли основной процесс бота, и перезапускает его, если он завершен.

Ботнет также содержит эксплойты для 16 уязвимостей CVE, нацеленных на все версии ядра Linux 2009-2010 годов, что обеспечивает повышение привилегий.

По части монетизации во Flare заметили, что ботнет реализует сбор ключей AWS и сканирование сайтов, а также включает в себя наборы для майнинга крипты (в том числе Ethereum PhoenixMiner).

Также функционал позволяет проводить DDoS, н подобные активности исследователи не наблюдали. Фактически, боты SSHStalker к настоящему времени просто подключаются к C2, а затем переходят в режим ожидания.

Так что пока Flare не приписала SSHStalker какой-либо конкретной группе угроз, но тем не менее, отметила сходство с экосистемой ботнетов Outlaw/Maxlas.

В киберподполье активно продвигается новая коммерческая платформа для слежки за мобильными устройствами ZeroDayRAT, которая позиционируется как инструмент, обеспечивающий полный удаленный контроль над скомпрометированными устройствами Android и iOS.

Вредоносная ПО предоставляет покупателям полнофункциональную панель для управления зараженными устройствами, которая, как сообщается, поддерживает Android с 5 по 16 и iOS до версии 26 включительно.

Препарировали новинку исследователи iVerify, которые полалагют, что ZeroDayRAT не только крадет данные, но и позволяет осуществлять слежку в режиме реального времени и совершать финансовые кражи.

Согласно данным iVerify, панель управления отображает перечень скомпрометированных устройств, а также информацию о модели, версии ОС, состоянии батареи, данных SIM-карты, стране и состоянии блокировки.

Вредоносная ПО может регистрировать использование приложений, хронологию активности, обмен SMS и предоставлять оператору общий обзор.

На других вкладках панели отображаются все полученные уведомления, а также представленные на зараженном устройстве учетные записи, включая адреса электронной почты и идентификатора пользователя, что потенциально открывает возможности для брута и угона аккаунтов.

В случае наличия разрешений на доступ к GPS вредоносная ПО также позволяет отслеживать жертву в режиме реального времени и отображать ее текущее местоположение на Google Maps с полной историей перемещений.

Помимо пассивной регистрации данных ZeroDayRAT также поддерживает активные операции, включая активацию камер (фронтальной и тыловой) и микрофона для получения доступа к видеопотоку в реальном времени, или же запись экрана жертвы для раскрытия других секретов.

Более того, если права доступа к SMS защищены, вредоносная ПО может перехватывать входящие одноразовые пароли (OTP), что позволит обойти 2Fa, а также отправлять SMS с устройства жертвы.

Разработчик вредоносного ПО также включил в программу кейлоггер, способный считывать ввод пользователя, например, пароли, жесты или графические ключи разблокировки экрана.

Помимо этого ZeroDayRAT содержит модуль для кражи криптовалюты, который активирует сканер приложений-кошельков для поиска MetaMask, Trust Wallet, Binance и Coinbase, регистрирует идентификаторы и балансы кошельков, а также реализует подмену адресов из буфера обмена.

Кроме того, ZeroDayRAT позволяет нацеливаться на банковские приложения, платформы UPI, такие как Google Pay и PhonePe, а также платежные сервисы Apple Pay и PayPal. Кража учетных данных происходит путем наложения поддельных экранов.

В iVerify не уточнили конкретные способы распространения вредоносного ПО, но отметили, что ZeroDayRAT поддерживает полноценный набор инструментов для компрометации различных мобильных устройств.

Сингапурское агентство по кибербезопасности (CSA) выступило с официальным заявлением и обвинениями в адрес китайских хакеров, которым удалось взломать системы всех четырех крупнейших телекоммуникационных компаний страны - M1, SIMBA Telecom, Singtel и StarHub.

CSA приписала атаки APT-группе, которую они отслеживают как UNC3886. Названный инцидент произошел в прошлом году, с тех пор на протяжении 11 месяцев специалисты CSA пытались вытравить китайских кибершпионов из скомпрометированных сетей.

По версии следствия, злоумышленники украли «небольшое количество технических данных» в рамках подготовки в будущим кампаниям, при этом расследователи, как заявляется, не обнаружили доказательств кражи личных данных клиентов.

Предполагается, что для обеспечения постоянного присутствия в сети использовались 0-day в межсетевых экранах телекоммуникационных компаний и руткиты.

Согласно представленным отчетам Google, Sygnia и Trend Micro (1, 2 и 3 соответственно), APT-группа имеет большой опыт по части умелого применения уязвимостей в сетевом и корпоративном оборудовании Fortinet, Juniper, Ivanti SecureConnect, а также VMware ESXi и vCenter.

Как отмечается, UNC3886 считается одной из самых активных китайских шпионских группировок за последние два-три года, наряду с более известной Salt Typhoon, еще одной китайской APT-группировкой, специализирующейся на взломе телекоммуникационных компаний.

Учитывая столь продолжительный период локализации инцидента, можно констатировать, что достичь своих целей китайским хакерам определено удалось.

Исключать их возвращения не стоит, но пока основные усилия будут направлены на реализации полученных данных в ходе дальнейших наступательных операций. Но будем посмотреть.

Apple выпустила экстренные обновления для устранения первой в этом году 0-day (в 2025 их было 7), которая задействовалась в «чрезвычайно изощренной атаке», нацеленной на узкий круг лиц на версиях iOS до 26.

Уязвимость отслеживается как CVE-2026-20700 и позволяет выполнять произвольный код в dyld, динамически подключаемом редакторе, используемом операционными системами Apple, включая iOS, iPadOS, macOS, tvOS, watchOS и visionOS.

В бюллетене Apple содержится предупреждение о том, что злоумышленник, обладающий возможностью записи в память, может выполнить произвольный код на затронутых устройствах.

В компании заявляют, что им известно о сообщениях о том, что эта уязвимость, наряду с CVE-2025-14174 и CVE-2025-43529, исправленными в декабре, была использована в одних и тех же инцидентах.

Apple приписала обнаружение CVE-2026-20700 Google TAG, но не предоставила никаких дополнительных подробностей о том, как именно она была использована.

К числу затронутых устройств относятся: iPhone 11 (и более поздние модели), iPad Pro 12,9 дюйма (3-го поколения), iPad Pro 11 дюймов (1-го поколения), iPad Air (3-го поколения), iPad (8-го поколения), iPad mini (5-го поколения и более поздних версий), а также Mac на macOS Tahoe.

Apple устранила уязвимость в iOS 18.7.5, iPadOS 18.7.5, macOS Tahoe 26.3, tvOS 26.3, watchOS 26.3 и visionOS 26.3.

Пользователям рекомендуется оперативно накатить последние обновления для защиты своих устройств.

Исследователи из Лаборатории Касперского выкатили свой ежегодный отчет с аналитикой по спаму и фишингу за 2025 год (предыдущие исследования за: 2021, 2022, 2023 и 2024).

Основная статистика представлена следующим образом:

- 44,99% писем по всему миру и 43,27% писем в Рунете были спамом;
- 32,50% всех спам-писем были отправлены из России;
- Почтовый антивирус ЛК заблокировал 144 722 674 вредоносных почтовых вложений;
- Система «Антифишинг» предотвратила 554 002 207 попыток перехода по фишинговым ссылкам.

В целом, ландшафт фишинга и скама изменился. В 2024 году наблюдалось множество массовых атак, а в 2025 их частота сократилась. Кроме того, в 2024 году онлайн-мошенники часто использовали схемы с редиректами, тогда как в 2025 этот инструмент оказался менее распространенным.

Страной с наибольшим процентом пользователей, столкнувшихся с фишинговыми атаками, остается Перу (17,46%). Второе место занимает Бангладеш (16,98%), а третье - Малави (16,65%). Далее - Тунис (16,19%), Колумбия (15,67%), Бразилия (15,48%) и Эквадор (15,27%).

В 2025 году, в отличие от тенденции, сохранявшейся на протяжении нескольких последних лет, большинство фишинговых страниц размещалось в доменной зоне XYZ - 21,64%, что в три раза больше показателя 2024 года.

Второй по популярности оказалась зона TOP (15,45%), после которой следует BUZZ (13,58%). На четвертой строчке расположился домен COM (10,52%), ранее занимавший первое место рейтинга. Такое снижение частично вызвано популярностью атак с использованием тайпсквоттинга).

Фишинговые страницы, имитирующие веб-сервисы (27,42%) и глобальные интернет-порталы (15,89%), не изменили свои позиции в TOP 10: они по-прежнему занимают первое и второе место соответственно. 

Традиционно популярные у злоумышленников онлайн-магазины вернулись на третью строчку с долей 11,27%. В 2025 году интерес фишеров возрос к пользователям онлайн-игр: веб-сайты, имитирующие игровые, поднялись с девятой строчки рейтинга на пятую (7,58%).

За ними следуют банки (6,06%), платежные системы (5,93%), мессенджеры (5,70%) и службы доставки (5,06%). Также фишинговые атаки были нацелены на учетные записи в соцсетях (4,42%) и госсервисах (1,77%).

В 2025 году средняя доля спама в мировом почтовом трафике составила 44,99%, что на 2,28 п. п. меньше значения предыдущего года. В российском сегменте наблюдалось более значительное снижение: средняя доля спама сократилась на 5,3 п. п. и составила 43,27%.

Первые три страны в рейтинге 2025 года по количеству отправляемого спама повторяют распределение предыдущего года: это Россия, Китай и США. На четвертое место поднялась Германия (3,46%), ранее занимавшая шестую строчку, сместив Казахстан с долей 2,89%.

Как полагают исследователи, 2026 год определенно ознаменуется новыми способами злоупотребления технологией ИИ. Аккаунты мессенджеров останутся все такой же желанной добычей для злоумышленников.

Появление новых схем не исключит использования старых уловок и приемов, а это значит, что помимо использования надежного ПО необходимо соблюдать бдительность и внимательно относиться к любым предложениям в сети, которые могут вызвать хотя бы минимальное подозрение.

Повышенный интерес злоумышленников к кредам для порталов госуслуг сигнализирует об увеличении потенциального ущерба: доступ к таким сервисам может привести к краже средств, данных и личности.

Участились случаи злоупотребления легитимными инструментами и многоуровневые атаки, которые начинаются с безобидных файлов или ссылок: мошенники пытаются усыпить бдительность пользователей, в итоге преследуя злонамеренные цели.

В целом, отчет достаточно объемный, включает много инфографики и примеров, так что настоятельно рекомендуем ознакомиться в оригинале.

Microsoft устранила RCE-уязвимость в Блокноте Windows 11, которая позволяла злоумышленникам запускать локальные или удаленные программы, обманом заставляя пользователей переходить по ссылкам Markdown без отображения каких-либо предупреждений безопасности.

Блокнот появился с выходом еще Windows 1.0 и представлял собой простой и удобный текстовый редактор, который с годами стал популярен для быстрого создания заметок, чтения текстовых файлов, составления списков дел или в качестве редактора кода.

Позже Microsoft предложила пользователям Windows Write с поддержкой различных шрифтов, размеров и инструментов форматирования, а затем и WordPad. Однако с выходом Windows 11 компания решила прекратить поддержку WordPad и удалить его из Windows.

Вместо этого Microsoft переписала Блокнот, объединив в нем функционал простого текстового редактора и редактора RTF, а также добавив поддержку Markdown, которая позволяет форматировать текст и вставлять кликабельные ссылки.

Поддержка Markdown позволяет Блокноту открывать, редактировать и сохранять файлы Markdown (.md), которые представляют собой традиционные текстовые файлы с простыми символами для форматирования текста, списками или ссылками.

В рамках февральского PatchTuesday Microsoft исправила серьезную уязвимость удаленного выполнения кода в Notepad, которая отслеживается как CVE-2026-20841.

Как отмечено в бюллетене, некорректная нейтрализация специальных элементов, используемых в команде («внедрение команд») в приложении Блокнот Windows позволяет неавторизованному злоумышленнику выполнять код по сети.

Microsoft приписала обнаружение уязвимости Кристиану Папе, Аласдеру Горняку и Чену.

Потенциальный злоумышленник может обманом заставить пользователя перейти по вредоносной ссылке внутри файла Markdown, открытого в Блокноте, что приведет к запуску приложением непроверенных протоколов, которые загружают и выполняют удаленные файлы.

Вредоносный код будет выполняться в контексте безопасности пользователя, открывшего файл Markdown, предоставляя злоумышленнику те же права доступа, что и этому пользователю.

Уязвимость вызвала широкий резонанс в социальных медиа после того, как исследователи выяснили, насколько легко ее использовать.

Все, что нужно было сделать, это создать файл Markdown, например test.md, и создать ссылки file://, указывающие на исполняемые файлы, или использовать специальные URI, такие как ms-appinstaller://.

При открытии этого файла Markdown в Блокноте Windows 11 версии 11.2510 и более ранних версиях и просмотре в режиме Markdown, приведенный выше текст отобразится как кликабельная ссылка.

При нажатии на ссылку с помощью Ctrl+Click файл будет автоматически запущен без предупреждения со стороны Windows, а что в Microsoft рассматривают как уязвимость удаленного выполнения кода.

Ведь это потенциально может позволить злоумышленникам создавать ссылки на файлы в удаленных SMB-ресурсах, которые затем будут выполняться без предупреждения.

После исправления уязвимости в Блокноте Windows 11 при нажатии на ссылку отображаются предупреждения, если она не использует протокол http:// или https://. Это также касается таких типов ссылок URI, как file, ms-settings, ms-appinstaller, mailto и ms-search.

Правда непонятно, почему Microsoft просто не заблокировала нестандартные ссылки, оставляя возможность для применения методов социнженерии, чтобы заставить пользователей одобрить соответствующие запросы.

Критическая уязвимость в плагине WPvivid Backup & Migration для WordPress на более чем на 900 000 веб-сайтах может быть использована для удаленного выполнения кода путем загрузки произвольных файлов без аутентификации.

Уязвимость отслеживается как CVE-2026-1357, получила оценку серьезности 9,8, затрагивая все версии плагина до 0.9.123 включительно, и приводит в случае успешной эксплуатации к полному захвату веб-сайта.

Несмотря на серьезность проблемы, исследователи Defiant утверждают, что критическое воздействие оказывается только на сайты, у которых включена нестандартная опция «получать резервную копию с другого сайта».

Кроме того, у злоумышленников есть 24-часовой период для эксплуатации уязвимости, который соответствует сроку действия сгенерированного ключа, необходимого другим сайтам для отправки резервных файлов, что ограничивает реальную возможность эксплуатации уязвимости.

Вместе с тем, плагин обычно применяется в процессе миграции сайтов и передачи резервных копий между хостами, поэтому администраторы, скорее всего, активируют эту функцию в какой-то момент, по крайней мере временно.

Исследователь Лукас Монтес (NiRoX) сообщил об этой уязвимости в Defiant 12 января. Основная причина найденной проблемы кровется в некорректной обработке ошибок при расшифровке RSA в сочетании с недостаточной проверкой пути.

В частности, если функция openssl_private_decrypt() завершается с ошибкой, плагин не останавливает выполнение, а вместо этого передает результат ошибки (false) в подпрограмму AES (Rijndael).

Криптографическая библиотека обрабатывает это как строку нулевых байтов, создавая предсказуемый ключ шифрования, который злоумышленник может использовать для создания вредоносных ПО, которые плагин сможет принять.

Кроме того, плагину не удается должным образом проверить имена загружаемых файлов, что позволяет осуществлять обход каталогов, а это открывает возможность записывать файлы за пределы предназначенного для резервного копирования каталога и загружать вредоносные PHP-файлы для RCE.

Defiant уведомила поставщика, WPVividPlugins, 22 января после подтверждения работоспособности предоставленного PoC, а 28 января было выпущено обновление в составе версии 0.9.124.

Оно включает в себя добавление проверки для остановки выполнения в случае сбоя расшифровки RSA, включение проверки чистоты имен файлов и ограничение загрузки только разрешенными типами файлов резервных копий, такими как ZIP, GZ, TAR и SQL.

Пользователям плагина WPvivid Backup & Migration для WordPress следует учитывать риски, связанные с этой уязвимостью, и как можно скорее обновиться до 0.9.124.

GreyNoise сообщает о 417 сеансах эксплуатации недавно обнаруженной уязвимости в Ivanti Endpoint Manager Mobile (EPMM), совершенных с 8 IP в период 1-9 февраля, из которых 346 (83% от всех попыток) приходились на один 193.24.123[.]42 в хостинговой инфраструктуре PROSPERO.

Вредоносная активность нацелена на CVE-2026-1281 (CVSS: 9,8), одну из двух критических уязвимостей в EPMM, наряду с CVE-2026-1340, которая может быть использована злоумышленником для RCE.

В конце прошлого месяца Ivanti признала, что «очень ограниченное число клиентов» пострадало в результате эксплуатации 0-day.

С тех пор ряд европейских госструуктур, включая Управление по защите данных Нидерландов (AP), Судебный совет, Европейскую комиссию и финскую компанию Valtori, стали жертвами атак неизвестных злоумышленников, использующих эти уязвимости.

Дальнейший анализ показал, что на тот же хост одновременно отрабатывал три другие уязвимости в: CVE-2026-21962 (Oracle WebLogic) - 2902 сессии; CVE-2026-24061 (GNU InetUtils telnetd) - 497 сеансов и CVE-2025-24799 (GLPI) - 200 сеансов.

IP переключается между 300 уникальными строками пользовательских агентов, охватывающими Chrome, Firefox, Safari и множество вариантов ОС.

Как полагают в GreyNoise, такое разнообразие фингерпринтов в сочетании с одновременной эксплуатацией четырех несвязанных ПО соответствует признакам автоматизированного тестирования.

По некоторым данным, PROSPERO связан с другой автономной системой под названием Proton66, которая известна распространением вредоносных ПО для ПК и Android, включая GootLoader, Matanbuchus, SpyNote, Coper (Octo) и SocGholish.

GreyNoise также отметила, что в 85% случаев атаки осуществлялась через DNS для подтверждения того, что "цель пригодна для атаки", без развертывания вредоносного ПО или кражи данных.

Стоит отметить, что несколько дней ранее Defused Cyber также сообщила о кампании с использованием «спящей оболочки», в рамках которой в скомпрометированные экземпляры EPMM по пути /mifs/403.jsp был развернут неактивный загрузчик классов Java в оперативной памяти.

При этом обратные вызовы OAST указывают на то, что кампания нацелена на каталогизацию уязвимых целей, без развертывания полезных нагрузок, что может указывать на проведение операции первоначального доступа.

Пользователям Ivanti EPMM исследователи рекомендовали установить патчи, провести аудит инфраструктуры MDM, доступной из интернета, просмотреть журналы DNS на предмет обратных вызовов по шаблону OAST, отслеживать путь /mifs/403.jsp на экземплярах EPMM и заблокировать автономную систему PROSPERO (AS200593) на уровне периметра сети.

В свою очередь, Ivanti предоставила «высокоточные» IOCs, технический анализ на момент обнаружения угроз, а также скрипт для обнаружения эксплойтов, который был разработан совместно с NCSC-NL в рамках противодействии этой угрозе. И, еще новый мерч с коричневым оттенком.

Как мы и предполагали ранее, прошло не так много времени после выпуска PoC для критической CVE-2026-1731 (CVSS 9,9) в устройствах BeyondTrust Remote Support и Privileged Remote Access, как киберподполье принялось ее активно эксплуатировать.

Уязвимость затрагивает версии BeyondTrust Remote Support 25.3.1 и более ранние, а также Privileged Remote Access 24.3.4 и более ранние.

BeyondTrust сообщила об уязвимости 6 февраля, предупреждая, что неавторизованные злоумышленники могут даленно выполнять код до аутентификации, отправляя специально сформированные клиентские запросы.

Причем для успешной эксплуатации не требуется аутентификация или взаимодействие с пользователем, она может привести к компрометации системы, включая несанкционированный доступ, утечку данных и сбои в работе сервисов.

Уязвимость обнаружила Hacktron, ответственно проинформировав о ней BeyondTrust 31 января. По данным исследователей, в сети оказалось около 11 000 уязвимых экземпляров BeyondTrust Remote Support, при этом примерно 8 500 из них были развернуты локально.

В свою очередь, watchTowr уже заметила, как злоумышленники начали активно использовать уязвимость, предупреждая, что если устройства не будут обновлены, их следует считать скомпрометированными.

Атаки нацелены на уязвимые порталы BeyondTrust и задействуют функцию get_portal_info для извлечения значения x-ns-company, который затем используется для создания веб-сокета с целевым устройством, что позволяет злоумышленникам выполнять команды на уязвимых системах.

Причем эта уязвимость появилась спустя день после публикации на GitHub демонстрационного эксплойта, ориентированного на ту же самую конечную точку.

WatchTowr настоятельно рекомендует организациям, использующим самостоятельно размещенные устройства BeyondTrust Remote Support или Privileged Remote Access, немедленно установить доступные исправления или обновить систему до последних версий.

В BeyondTrust пока никак не комментируют ситуацию.

Ресерчеры из Лаборатории Касперского препарировали новый загрузчик вредоносного ПО под названием RenEngine, обнаруженный в сети в этом месяце.

Киберподполье достаточно часто продвигает зловреды под видом читов для игр и пиратского ПО, но случается так, что иногда таким образом распространяются сложные штаммы с применением продвинутых техник и запутанных цепочек заражения.

В феврале этого года исследователи Howler Cell обнаружили массовую кампанию по распространению пиратских игр, троянизированных образцом ранее неизвестного семейства вредоносного ПО.

Им как раз и оказался загрузчик RenEngine, который доставлялся на устройство при помощи модифицированной версии лаунчера игры на базе движка Ren’Py.

Решения ЛК детектируют угрозу как Trojan.Python.Agent.nb и HEUR:Trojan.Python.Agent.gen.

Как оказалось, на самом деле эта угроза не новая: решения ЛК начали детектировать первые образцы загрузчика RenEngine еще в марте 2025 года, когда таким образом распространялся инфостилер Lumma (Trojan-PSW.Win32.Lumma.gen).

В текущих наблюдаемых инцидентах в качестве конечной полезной нагрузки распространяется ACR Stealer (Trojan-PSW.Win32.ACRstealer.gen).

Тогда в марте 2025 года злоумышленники распространяли вредоносное ПО под видом взломанной игры на популярном игровом ресурсе с двумя кнопками: Free Download Now и Direct Download: функциональность была одинаковой - пользователя перенаправляли в MEGA для укачивания архива с «игрой».

При запуске «игры» процесс загрузки якобы останавливается, достигнув 100%. Можно было подумать, что игра зависла, но это не так - «настоящий» вредоносный код только что начал свою работу.

Проанализировав исходные файлы, ЛК обнаружила скрипты на Python, которые начинают первоначальное заражение устройства, имитируя бесконечную загрузку игры.

Кроме того, в них содержатся функции обхода песочницы is_sandboxed и расшифровки вредоносной нагрузки xor_decrypt_file.

При помощи последней скрипт расшифровывает ZIP, распаковывает его содержимое в директорию .temp и запускает распакованные файлы.

Всего в директорию .temp грузятся пять файлов.

Исполняемый DKsyVGUJ.exe не является вредоносным, а является легитимным приложением для систематизации генеалогических данных с оригинальным именем Ahnenblatt4.exe.

Библиотека borlndmm.dll также не содержит вредоносный код, реализуя необходимый для запуска ехе-файла менеджер памяти.

Другая библиотека, cc32290mt.dll, содержит пропатченный злоумышленниками участок кода, перехватывающий управление при запуске приложения и развертывающий в памяти процесса первую стадию вредоносной нагрузки.

В качестве «контейнера» для запуска первой стадии вредоносной нагрузки используется системная библиотека dbghelp.dll.

Она перезаписывается в памяти расшифрованным шелл‑кодом, полученным из файла gayal.asp, при помощи библиотеки cc32290mt.dll.

Полученная нагрузка является загрузчиком HijackLoader - относительно новое средство доставки и развертывания вредоносной нагрузки, впервые обнаруженное летом 2023 года.

Отличительной особенностью этого семейства является модульность и гибкость настроек.

Внедрение итоговой нагрузки осуществляется двумя разными способами в зависимости от параметров конфигурации вредоносного образца. Она представляет собой EXE-файл, а параметры конфигурации настроены на ее инъекцию в дочерний процесс explorer.exe.

В дополнение к сайтам с играми, в ЛК обнаружили, что злоумышленники создали десятки различных сайтов для распространения RenEngine под видом пиратских ПО.

Картина распространения этого загрузчика говорит о том, что атаки не носят целевой характер, а наибольшее число инцидентов зафиксировано в России, Бразилии, Турции, Испании и Германии.

Другие технические подробности, IOCs и рекомендации - в отчете.

Продолжаем отслеживать наиболее трендовые уязвимости. По состоянию на пятницу 13-ого подборка представлена следующим образом:

1. Исследователи обнаружили 287 расширений для Chrome, похищающие историю просмотров пользователя и установленные более 37 миллионов раз.

Среди них - блокировщики рекламы, ИИ-помощники и офисные приложения.

2. LayerX раскрыла кластер из 30 расширений Chrome, маскирующихся под инструменты ИИ и использующих скрытые iframe для выполнения кода в браузерах пользователей.

3. Quarkslab обвинила Intego в отказе от исправления ряда уязвимостей в своих продуктах безопасности для macOS, несмотря на наличие достаточного времени для этого.

3. RCE Security опубликовала PoC для уязвимости внедрения команд без аутентификации в плагине W3 Total Cache для WordPress - CVE-2025-9501.

При этом плагин является одним из самых популярных в экосистеме WordPress.

4. Раскрыт новый вектор деанонимизации пользователей VPN на основе списков фильтров блокировки рекламы, установленных в их браузере.

Пользователей можно отследить до конкретных стран по доменам, включенным в списки блокировщиков рекламы.

5. Microsoft обнаружила, что метод, обычно используемый для тонкой настройки LLM после их развертывания, может быть использован для нейтрализации функций безопасности.

Новую атаку назвали GRP-Obliteration (по названию метода - Group Relative Policy Optimization (GRPO).

Microsoft заявляет, что тесты позволили рассогласовать функции безопасности в 15 наиболее часто используемых на сегодняшний день LLM, от DeepSeek до GPT и Llama.

6. Исследователи LayerX раскрыли RCE-уязвимость в приложении Claude Desktop Extensions (DXT), позволяющую задействовать Google Календарь для компрометации систем, использующих расширения Claude Desktop Extensions.

Проблема затрагивает более 10 000 активных пользователей и 50 расширений DXT.

7. FIRST прогнозирует, что в течение года будет зарегистрировано около 60 000 уязвимостей. Это будет первый год в истории, когда количество глобальных сообщений об ошибках превысит порог в 50 000.

Причем не исключается, что их может оказаться по года более чем 100 000.

8. Positive Technologies выкатила февральский «В тренде VM», отметив среди трендовых: уязвимость, приводящая к RCE, в Microsoft 365 и Microsoft Office (CVE-2026-21509) и ошибку, приводящую к раскрытию информации, в Desktop Window Manager (CVE-2026-20805).

9. Китайский аналог Pwn2Own от Zero Day Initiative - Tianfu Cup после двухлетнего перерыва возобновился в 2026 году. Мероприятие состоялось 29-30 января.

По данным Natto Thoughts, соревнования хакеров организуются МОБ КНР и проходят в еще более засекреченном формате.

10. Microsoft считает, что вновь обнаруженные проблемы с подменой LNK-кода в Windows - это не уязвимости.

На фестивале Wild West Hackin' Fest исследователь Витце Беукема раскрыл несколько уязвимостей в файлах ярлыков Windows, которые позволяют злоумышленникам развертывать вредоносные ПО.

Обнаруженные проблемы  связаны с несоответствиями в том, как проводник Windows расставляет приоритеты для конфликтующих целевых путей, указанных в нескольких необязательных структурах данных в файлах ярлыков.

Исследователь также выпустил lnk-it-up - набор инструментов с открытым исходным кодом, который генерирует ярлыки Windows LNK с использованием представленных методов.

Google выпустила экстренные обновления для устранения серьезной уязвимости в Chrome, которая активно задействуется в атаках в качестве 0-day (первая с начала этого года, в прошлом их было восемь).

CVE-2026-2441 связана с использованием памяти после освобождения в компоненте CSS, о ней сообщил исследователь Шахин Фазим, которому в прошлом году также приписывалось раскрытие ряда ошибок.

Уведомление об активно используемой уязвимости было направлено поставщику 11 февраля, всего за два дня до того, как она была исправлена. 

Она обусловлена проблемой недействительности итератора в CSSFontFeatureValuesMap, реализации Chrome значений характеристик шрифтов CSS.

Успешная эксплуатация может позволить злоумышленникам вызвать сбои в работе браузера, проблемы с отображением, повреждение данных или другое непреждсказуемое поведение.

Как отмечается, патч CVE-2026-2441 решает «непосредственную проблему», но требуется доработка (483936078). Это свидетельствует о том, что текущее исправление может носить временный характер или же связанные дефекты все еще нуждаются в решении.

Google подтверждает, что ей известно об использовании 0-day в реальных условиях, но предоставить дополнительные подробности об этих инцидентах отказалась.

Однако, судя информации, предоставленной Google, эту уязвимость, вероятно, можно использовать для выполнения произвольного кода, заставив целевого пользователя перейти на вредоносный веб-сайт.

Однако код будет выполняться в изолированной среде, и для выхода из этой среды и полного захвата системы, вероятно, потребуется дополнительная уязвимость.

Компания устранила уязвимость для пользователей стабильного канала Desktop, и в ближайшие дни или недели новые версии будут распространяться для пользователей Windows, macOS (145.0.7632.75/76) и Linux (144.0.7559.75) по всему миру.

Популярный IT-предприниматель Ким Дотком вновь выкатился с сенсационными заявлениями, на этот раз по поводу «взлома» Palantir.

Что касается тотальной аффилированности Palantir с ЦРУ США - можно было даже не писать об этом.

Однако прочие утверждения про ядерное оружие для Украины, прослушку первых лиц США и массивы компромата на представителей мировой элиты - воспринимать без скептицизма достаточно сложно.

Кроме поста в X, нет ни дампов, ни скриншотов интерфейсов, ни технических артефактов, ни подтверждений от профильных киберкомпаний.

Автор заявления категорически отрицает свою причастность к возможному инциденту и выступает лишь в качестве информационного партнера.

При этом утверждает, что все якобы украденные у Palantir данные будут переданы в Россию и/или КНР.

В общем, будем посмотреть.

Исследователи из Лаборатории Касперского продолжают отслеживать активность проукраинскую Head Mare, которая в период конца 2025 – начала 2026 года провернула новую кампанию.

Новая волна атак продемонстрировала дальнейшее развитие инструментария группировки. Ключевой находкой стал новый бэкдор PhantomHeart, который изначально распространялся в виде DLL-библиотеки, а позднее был переработан в PowerShell-скрипт.

PowerShell-бэкдор реализует канал удаленного доступа, сочетающий HTTP-коммуникацию с C2 и возможность развертывания SSH-туннеля по запросу оператора.

На этапе инициализации вредоносное ПО формирует идентификатор жертвы и затем использует его как для дальнейшей коммуникации с C2, так и для привязки конфигурации бэкдора к конкретному хосту.

Список управляющих серверов хранится в зашифрованном виде и расшифровывается во время выполнения. Для этого используется алгоритм AES-128-CBC, при этом ключ генерируется на основе MAC-адреса зараженной системы.

После расшифровки адресов PhantomHeart переходит в основной цикл взаимодействия с C2. Для обмена данными используются HTTP POST-запросы, содержащие вредоносную нагрузку в формате JSON. Запросы отправляются через встроенные PowerShell-механизмы.

Ключевой функциональной возможностью PhantomHeart является развертывание SSH-туннеля по указанию C2-сервера. Отдельного внимания заслуживает механизм закрепления: бэкдор запускался через планировщик задач под видом легитимного скрипта обновления, размещенного в директории LiteManager.

Новая волна активности Head Mare затронула широкий спектр российских компаний, включая как организации из госсектора, так и в строительной и промышленной отраслях.

Замеченный переход отражает стремление Head Mare активнее применять подход Living-off-the-Land и опираться на нативные механизмы Windows для постэксплуатации.

Такая стратегия прослеживается и в остальном арсенале группы: в рамках текущей кампании прокси-инструмент PhantomProxyLite, характерный для атак группы, также получил реализацию на PowerShell, сохранив при этом сохраняет ту же архитектурную логику.

Вместо фонового сервиса закрепление теперь осуществляется через задачу планировщика Windows с тем же именем, SSHService, настроенную на запуск при старте системы от имени учетной записи SYSTEM.

Кроме того, исследователи ЛК выявили новые кастомизированные утилиты с ограниченной, узкой функциональностью, используемые для закрепления в инфраструктуре жертв и повышения привилегий.

При этом подходы к первоначальному доступу остаются прежними. Head Mare продолжает эксплуатировать уязвимость в TrueConf Server, а в отдельных случаях - фишинговые рассылки, сочетая проверенные векторы проникновения с постепенно обновляемым арсеналом.

Выявленная активность Head Mare показывает, что группировка продолжает перестраивать свой инструментарий и цепочки атак.

Появление нового PhantomHeart и все более активное использование средств автоматизации позволяют ей реплицировать и масштабировать свои операции.

Все технические подробности и актуальные IOCs - в отчете.

В Palo Alto Networks хотят и рыбку съесть, и не лишиться прочего. Чудеса эквилибристики проявлены в ходе недавнего исследования, в котором ресерчеры изучали новую APT-группу под названием TGR-STA-1030, которой приписали «теневые кампании» кибершпионажа.

Как сообщается в отчете, за последний год эта группа скомпрометировала правительственные организации и объекты критической инфраструктуры в 37 странах, а в период с ноября по декабрь 2025 группа проводила разведку правительственной инфраструктуры в 155 странах.

В данной работе Palo Alto описывает техническую изощренность участников, включая методы фишинга и эксплуатации уязвимостей, используемые инструменты и инфраструктуру группы, а также приводит обширный состав IOCs, включая активную инфраструктуру.

Реализован также углубленный анализ виктимологии по регионам с целью демонстрации предполагаемых мотивов APT. Результаты показывают, что хакеры отдают приоритет атакам на страны, которые установили или изучают определенные экономические партнерства.

Кроме того, Palo Alto предварительно поделилась результатами с коллегами по отрасли, дабы обеспечить надежную межотраслевую защиту от этого злоумышленника.

Но коллег смутило нечто другое: руководство Palo Alto всячески избегает приписывания APT-атаки китайскому актору, даже несмотря на атрибуцию собственных и сторонних отраслевых экспертов.

Такое поведение не осталось незамеченным и представителями СМИ. В частности, источники Reuters, заявляют, что компания пошла на такие казуистические уловки, опасаясь ответных мер со стороны китайского правительства.

Поэтому в отчете ограничилась приписываем «теневой» кампании неназванной APT, действующей из Азии.

Дело в том, что в начале этого года Пекин потребовал от китайских компаний прекратить использование решений по инфобезу десятка западных вендоров.

Palo Alto Networks оказалось в их числе, попав в т.н. черный список, переданный руководству китайских компаний, наряду с CrowdStrike, SentinelOne, Mandiant, Wiz и др.

В ответ на просьбу прокомментировать якобы смягченную формулировку в недавнем отчете, Palo Alto сослались на то, что «указание источника не имеет значения».

Впрочем, как и про активность западных APT, которая также «не имеет значения», чтобы вообще ее указывать.

Microsoft раскрыла подробности новой версии ClickFix, в которой злоумышленники обманом заставляют ничего не подозревающих пользователей запускать команды, выполняющие поиск в DNS для получения следующего этапа вредоносного кода.

Атака основана на использовании команды nslookup (nameserver lookup) для выполнения пользовательского поиска DNS через диалоговое окно "Выполнить" в Windows.

ClickFix остается достаточно популярным в киберподполье методом, традиционно реализуемым посредством фишинга, вредоносной рекламы или вредоносных ПО, часто перенаправляющих жертв на фейковые целевые страницы с фальшивой проверкой CAPTCHA или специальными инструкциями для выполнения команд через «Выполнить» в Windows или «Терминал» в macOS.

Этот метод получил широкое распространение за последние два года, поскольку основан на заражении жертвами собственных компьютеров вредоносным ПО, позволяя злоумышленникам обходить средства защиты.

Эффективность социнженерного ClickFix оказалась настолько высока, что привела к появлению сразу нескольких разновидностей, включая FileFix, JackFix, ConsentFix, CrashFix и GlitchFix.

В последней наблюдаемой версии развертывания на основе DNS с использованием ClickFix начальная команда выполняется через cmd.exe и осуществляет поиск DNS-сервера, жестко заданного внешним DNS-сервером, а не стандартным системным резолвером.

При этом вывод фильтруется для извлечения DNS-ответа Name:, который выполняется в качестве полезной нагрузки второго этапа.

Microsoft отмечает, что новая разновидность ClickFix задействует DNS в качестве «легковесного канала для подготовки или передачи сигналов», позволяя злоумышленнику получить доступ к контролируемой инфраструктуре, а также создать новый уровень проверки перед выполнением полезной нагрузки второго этапа.

Такое использование DNS снижает зависимость от традиционных веб-запросов и может обеспечить интеграцию вредоносной активности в обычный сетевой трафик.

Загруженная полезная нагрузка впоследствии запускает цепочку атак, которая приводит к загрузке ZIP-архива с внешнего сервера (azwsappdev[.]com).

Затем извлекается и запускается вредоносный скрипт на Python для проведения разведки, выполнения команд обнаружения и внедрения VBScript, ответственного за запуск ModeloRAT на основе Python, ранее распространявшегося через CrashFix.

Для обеспечения постоянного присутствия вредоносная ПО создает в папке автозагрузки Windows файл ярлыка, указывающий на VBScript, для автоматического запуска каждый раз при старте операционной системы.

Резко набирающий тренд повсеместного внедрения агентного ИИ-помощника OpenClaw также оседлали в киберподполье, представители которого уже успели разработать инфостилер, нацеленный на эту платформу для кражи ключей API, токенов аутентификации и другие секретов.

OpenClaw (ранее ClawdBot и MoltBot) - это локально работающая платформа для ИИ-агентов с поддержкой постоянной конфигурации и среды памяти на компьютере пользователя.

Инструмент способен получать доступ к локальным файлам, входить в почтовые и коммуникационные приложения на хосте, а также взаимодействовать с онлайн-сервисами.

С момента своего выпуска OpenClaw получил широкое распространение по всему миру: пользователи стали активно полагаться на него для решения повседневных задач и в качестве ИИ-помощника.

Однако вслед за стремительной популярностью фреймворка возросли и связанные с ним риски, прежде всего по части потенциальной уязвимости для атак, нацеленных на конфигурационные файлы с секретными ключами аутентификации для доступа к облачным сервисам и платформам ИИ.

В свою очередь, Hudson Rock удалось задокументировать первый в реальных условиях инцидент с кражей файлов, связанных конфигурационной средой OpenClaw, с целью извлечения содержащихся в них секретов.

Таким образом, индустрия инфокрадов реализует переориентирование: с краж учетных данных браузера на персональные агенты ИИ.

Причем в HudsonRock предсказывали это еще в конце прошлого месяца, называя OpenClaw «новой более привлекательной целью для инфостилеров», в виду крайне конфиденциальных данных, с которыми работают агенты, и их относительно слабой защиты.

Как полагают в Hudson Rock, по всей видимости, в поле зрения исследователей попал одна из модификации Vidar.

При этом вредоносная ПО не нацелена конкретно на OpenClaw, а вместо этого выполняет обширную процедуру кражи файлов, сканируя их на наличие конфиденциальных файлов и каталогов, содержащих ключевые слова, такие как «токен» и «закрытый ключ».

Поскольку файлы в конфигурационном каталоге openclaw содержали и эти, и другие ключевые слова, вредоносная ПО их отработала. Среди них оказались следующие:

- openclaw.json (раскрыт адрес электронной почты жертвы, путь к рабочему пространству и токен аутентификации шлюза, что может позволить удаленное подключение к локальному экземпляру OpenClaw или выдачу себя за другого клиента в аутентифицированных запросах).

- device.json (содержал как publicKeyPem, так и privateKeyPem, используемые для сопряжения и подписи, которые позволяют обходить проверки «безопасного устройства» и получать доступ к зашифрованным журналам или облачным сервисам).

- soul.md, AGENTS.md, MEMORY.md (определяют поведение агента и хранят постоянные контекстные данные, включая журналы ежедневной активности, личные сообщения и события календаря).

Проанализировав все данные, в HudsonRock пришли к выводу, что украденных данных оказалось достаточно для потенциальной полной компрометации цифровой личности жертвы.

Исследователи прогнозируют, что злоумышленники будут и дальше фокусироваться на OpenClaw по мере того, как этот инструмент будет все глубже интегрироваться в профессиональные рабочие процессы и получать новый функционал.