Ресерчеры из Лаборатории Касперского препарировали новый загрузчик вредоносного ПО под названием RenEngine, обнаруженный в сети в этом месяце.

Киберподполье достаточно часто продвигает зловреды под видом читов для игр и пиратского ПО, но случается так, что иногда таким образом распространяются сложные штаммы с применением продвинутых техник и запутанных цепочек заражения.

В феврале этого года исследователи Howler Cell обнаружили массовую кампанию по распространению пиратских игр, троянизированных образцом ранее неизвестного семейства вредоносного ПО.

Им как раз и оказался загрузчик RenEngine, который доставлялся на устройство при помощи модифицированной версии лаунчера игры на базе движка Ren’Py.

Решения ЛК детектируют угрозу как Trojan.Python.Agent.nb и HEUR:Trojan.Python.Agent.gen.

Как оказалось, на самом деле эта угроза не новая: решения ЛК начали детектировать первые образцы загрузчика RenEngine еще в марте 2025 года, когда таким образом распространялся инфостилер Lumma (Trojan-PSW.Win32.Lumma.gen).

В текущих наблюдаемых инцидентах в качестве конечной полезной нагрузки распространяется ACR Stealer (Trojan-PSW.Win32.ACRstealer.gen).

Тогда в марте 2025 года злоумышленники распространяли вредоносное ПО под видом взломанной игры на популярном игровом ресурсе с двумя кнопками: Free Download Now и Direct Download: функциональность была одинаковой - пользователя перенаправляли в MEGA для укачивания архива с «игрой».

При запуске «игры» процесс загрузки якобы останавливается, достигнув 100%. Можно было подумать, что игра зависла, но это не так - «настоящий» вредоносный код только что начал свою работу.

Проанализировав исходные файлы, ЛК обнаружила скрипты на Python, которые начинают первоначальное заражение устройства, имитируя бесконечную загрузку игры.

Кроме того, в них содержатся функции обхода песочницы is_sandboxed и расшифровки вредоносной нагрузки xor_decrypt_file.

При помощи последней скрипт расшифровывает ZIP, распаковывает его содержимое в директорию .temp и запускает распакованные файлы.

Всего в директорию .temp грузятся пять файлов.

Исполняемый DKsyVGUJ.exe не является вредоносным, а является легитимным приложением для систематизации генеалогических данных с оригинальным именем Ahnenblatt4.exe.

Библиотека borlndmm.dll также не содержит вредоносный код, реализуя необходимый для запуска ехе-файла менеджер памяти.

Другая библиотека, cc32290mt.dll, содержит пропатченный злоумышленниками участок кода, перехватывающий управление при запуске приложения и развертывающий в памяти процесса первую стадию вредоносной нагрузки.

В качестве «контейнера» для запуска первой стадии вредоносной нагрузки используется системная библиотека dbghelp.dll.

Она перезаписывается в памяти расшифрованным шелл‑кодом, полученным из файла gayal.asp, при помощи библиотеки cc32290mt.dll.

Полученная нагрузка является загрузчиком HijackLoader - относительно новое средство доставки и развертывания вредоносной нагрузки, впервые обнаруженное летом 2023 года.

Отличительной особенностью этого семейства является модульность и гибкость настроек.

Внедрение итоговой нагрузки осуществляется двумя разными способами в зависимости от параметров конфигурации вредоносного образца. Она представляет собой EXE-файл, а параметры конфигурации настроены на ее инъекцию в дочерний процесс explorer.exe.

В дополнение к сайтам с играми, в ЛК обнаружили, что злоумышленники создали десятки различных сайтов для распространения RenEngine под видом пиратских ПО.

Картина распространения этого загрузчика говорит о том, что атаки не носят целевой характер, а наибольшее число инцидентов зафиксировано в России, Бразилии, Турции, Испании и Германии.

Другие технические подробности, IOCs и рекомендации - в отчете.

Продолжаем отслеживать наиболее трендовые уязвимости. По состоянию на пятницу 13-ого подборка представлена следующим образом:

1. Исследователи обнаружили 287 расширений для Chrome, похищающие историю просмотров пользователя и установленные более 37 миллионов раз.

Среди них - блокировщики рекламы, ИИ-помощники и офисные приложения.

2. LayerX раскрыла кластер из 30 расширений Chrome, маскирующихся под инструменты ИИ и использующих скрытые iframe для выполнения кода в браузерах пользователей.

3. Quarkslab обвинила Intego в отказе от исправления ряда уязвимостей в своих продуктах безопасности для macOS, несмотря на наличие достаточного времени для этого.

3. RCE Security опубликовала PoC для уязвимости внедрения команд без аутентификации в плагине W3 Total Cache для WordPress - CVE-2025-9501.

При этом плагин является одним из самых популярных в экосистеме WordPress.

4. Раскрыт новый вектор деанонимизации пользователей VPN на основе списков фильтров блокировки рекламы, установленных в их браузере.

Пользователей можно отследить до конкретных стран по доменам, включенным в списки блокировщиков рекламы.

5. Microsoft обнаружила, что метод, обычно используемый для тонкой настройки LLM после их развертывания, может быть использован для нейтрализации функций безопасности.

Новую атаку назвали GRP-Obliteration (по названию метода - Group Relative Policy Optimization (GRPO).

Microsoft заявляет, что тесты позволили рассогласовать функции безопасности в 15 наиболее часто используемых на сегодняшний день LLM, от DeepSeek до GPT и Llama.

6. Исследователи LayerX раскрыли RCE-уязвимость в приложении Claude Desktop Extensions (DXT), позволяющую задействовать Google Календарь для компрометации систем, использующих расширения Claude Desktop Extensions.

Проблема затрагивает более 10 000 активных пользователей и 50 расширений DXT.

7. FIRST прогнозирует, что в течение года будет зарегистрировано около 60 000 уязвимостей. Это будет первый год в истории, когда количество глобальных сообщений об ошибках превысит порог в 50 000.

Причем не исключается, что их может оказаться по года более чем 100 000.

8. Positive Technologies выкатила февральский «В тренде VM», отметив среди трендовых: уязвимость, приводящая к RCE, в Microsoft 365 и Microsoft Office (CVE-2026-21509) и ошибку, приводящую к раскрытию информации, в Desktop Window Manager (CVE-2026-20805).

9. Китайский аналог Pwn2Own от Zero Day Initiative - Tianfu Cup после двухлетнего перерыва возобновился в 2026 году. Мероприятие состоялось 29-30 января.

По данным Natto Thoughts, соревнования хакеров организуются МОБ КНР и проходят в еще более засекреченном формате.

10. Microsoft считает, что вновь обнаруженные проблемы с подменой LNK-кода в Windows - это не уязвимости.

На фестивале Wild West Hackin' Fest исследователь Витце Беукема раскрыл несколько уязвимостей в файлах ярлыков Windows, которые позволяют злоумышленникам развертывать вредоносные ПО.

Обнаруженные проблемы  связаны с несоответствиями в том, как проводник Windows расставляет приоритеты для конфликтующих целевых путей, указанных в нескольких необязательных структурах данных в файлах ярлыков.

Исследователь также выпустил lnk-it-up - набор инструментов с открытым исходным кодом, который генерирует ярлыки Windows LNK с использованием представленных методов.

Google выпустила экстренные обновления для устранения серьезной уязвимости в Chrome, которая активно задействуется в атаках в качестве 0-day (первая с начала этого года, в прошлом их было восемь).

CVE-2026-2441 связана с использованием памяти после освобождения в компоненте CSS, о ней сообщил исследователь Шахин Фазим, которому в прошлом году также приписывалось раскрытие ряда ошибок.

Уведомление об активно используемой уязвимости было направлено поставщику 11 февраля, всего за два дня до того, как она была исправлена. 

Она обусловлена проблемой недействительности итератора в CSSFontFeatureValuesMap, реализации Chrome значений характеристик шрифтов CSS.

Успешная эксплуатация может позволить злоумышленникам вызвать сбои в работе браузера, проблемы с отображением, повреждение данных или другое непреждсказуемое поведение.

Как отмечается, патч CVE-2026-2441 решает «непосредственную проблему», но требуется доработка (483936078). Это свидетельствует о том, что текущее исправление может носить временный характер или же связанные дефекты все еще нуждаются в решении.

Google подтверждает, что ей известно об использовании 0-day в реальных условиях, но предоставить дополнительные подробности об этих инцидентах отказалась.

Однако, судя информации, предоставленной Google, эту уязвимость, вероятно, можно использовать для выполнения произвольного кода, заставив целевого пользователя перейти на вредоносный веб-сайт.

Однако код будет выполняться в изолированной среде, и для выхода из этой среды и полного захвата системы, вероятно, потребуется дополнительная уязвимость.

Компания устранила уязвимость для пользователей стабильного канала Desktop, и в ближайшие дни или недели новые версии будут распространяться для пользователей Windows, macOS (145.0.7632.75/76) и Linux (144.0.7559.75) по всему миру.

Популярный IT-предприниматель Ким Дотком вновь выкатился с сенсационными заявлениями, на этот раз по поводу «взлома» Palantir.

Что касается тотальной аффилированности Palantir с ЦРУ США - можно было даже не писать об этом.

Однако прочие утверждения про ядерное оружие для Украины, прослушку первых лиц США и массивы компромата на представителей мировой элиты - воспринимать без скептицизма достаточно сложно.

Кроме поста в X, нет ни дампов, ни скриншотов интерфейсов, ни технических артефактов, ни подтверждений от профильных киберкомпаний.

Автор заявления категорически отрицает свою причастность к возможному инциденту и выступает лишь в качестве информационного партнера.

При этом утверждает, что все якобы украденные у Palantir данные будут переданы в Россию и/или КНР.

В общем, будем посмотреть.

Исследователи из Лаборатории Касперского продолжают отслеживать активность проукраинскую Head Mare, которая в период конца 2025 – начала 2026 года провернула новую кампанию.

Новая волна атак продемонстрировала дальнейшее развитие инструментария группировки. Ключевой находкой стал новый бэкдор PhantomHeart, который изначально распространялся в виде DLL-библиотеки, а позднее был переработан в PowerShell-скрипт.

PowerShell-бэкдор реализует канал удаленного доступа, сочетающий HTTP-коммуникацию с C2 и возможность развертывания SSH-туннеля по запросу оператора.

На этапе инициализации вредоносное ПО формирует идентификатор жертвы и затем использует его как для дальнейшей коммуникации с C2, так и для привязки конфигурации бэкдора к конкретному хосту.

Список управляющих серверов хранится в зашифрованном виде и расшифровывается во время выполнения. Для этого используется алгоритм AES-128-CBC, при этом ключ генерируется на основе MAC-адреса зараженной системы.

После расшифровки адресов PhantomHeart переходит в основной цикл взаимодействия с C2. Для обмена данными используются HTTP POST-запросы, содержащие вредоносную нагрузку в формате JSON. Запросы отправляются через встроенные PowerShell-механизмы.

Ключевой функциональной возможностью PhantomHeart является развертывание SSH-туннеля по указанию C2-сервера. Отдельного внимания заслуживает механизм закрепления: бэкдор запускался через планировщик задач под видом легитимного скрипта обновления, размещенного в директории LiteManager.

Новая волна активности Head Mare затронула широкий спектр российских компаний, включая как организации из госсектора, так и в строительной и промышленной отраслях.

Замеченный переход отражает стремление Head Mare активнее применять подход Living-off-the-Land и опираться на нативные механизмы Windows для постэксплуатации.

Такая стратегия прослеживается и в остальном арсенале группы: в рамках текущей кампании прокси-инструмент PhantomProxyLite, характерный для атак группы, также получил реализацию на PowerShell, сохранив при этом сохраняет ту же архитектурную логику.

Вместо фонового сервиса закрепление теперь осуществляется через задачу планировщика Windows с тем же именем, SSHService, настроенную на запуск при старте системы от имени учетной записи SYSTEM.

Кроме того, исследователи ЛК выявили новые кастомизированные утилиты с ограниченной, узкой функциональностью, используемые для закрепления в инфраструктуре жертв и повышения привилегий.

При этом подходы к первоначальному доступу остаются прежними. Head Mare продолжает эксплуатировать уязвимость в TrueConf Server, а в отдельных случаях - фишинговые рассылки, сочетая проверенные векторы проникновения с постепенно обновляемым арсеналом.

Выявленная активность Head Mare показывает, что группировка продолжает перестраивать свой инструментарий и цепочки атак.

Появление нового PhantomHeart и все более активное использование средств автоматизации позволяют ей реплицировать и масштабировать свои операции.

Все технические подробности и актуальные IOCs - в отчете.

В Palo Alto Networks хотят и рыбку съесть, и не лишиться прочего. Чудеса эквилибристики проявлены в ходе недавнего исследования, в котором ресерчеры изучали новую APT-группу под названием TGR-STA-1030, которой приписали «теневые кампании» кибершпионажа.

Как сообщается в отчете, за последний год эта группа скомпрометировала правительственные организации и объекты критической инфраструктуры в 37 странах, а в период с ноября по декабрь 2025 группа проводила разведку правительственной инфраструктуры в 155 странах.

В данной работе Palo Alto описывает техническую изощренность участников, включая методы фишинга и эксплуатации уязвимостей, используемые инструменты и инфраструктуру группы, а также приводит обширный состав IOCs, включая активную инфраструктуру.

Реализован также углубленный анализ виктимологии по регионам с целью демонстрации предполагаемых мотивов APT. Результаты показывают, что хакеры отдают приоритет атакам на страны, которые установили или изучают определенные экономические партнерства.

Кроме того, Palo Alto предварительно поделилась результатами с коллегами по отрасли, дабы обеспечить надежную межотраслевую защиту от этого злоумышленника.

Но коллег смутило нечто другое: руководство Palo Alto всячески избегает приписывания APT-атаки китайскому актору, даже несмотря на атрибуцию собственных и сторонних отраслевых экспертов.

Такое поведение не осталось незамеченным и представителями СМИ. В частности, источники Reuters, заявляют, что компания пошла на такие казуистические уловки, опасаясь ответных мер со стороны китайского правительства.

Поэтому в отчете ограничилась приписываем «теневой» кампании неназванной APT, действующей из Азии.

Дело в том, что в начале этого года Пекин потребовал от китайских компаний прекратить использование решений по инфобезу десятка западных вендоров.

Palo Alto Networks оказалось в их числе, попав в т.н. черный список, переданный руководству китайских компаний, наряду с CrowdStrike, SentinelOne, Mandiant, Wiz и др.

В ответ на просьбу прокомментировать якобы смягченную формулировку в недавнем отчете, Palo Alto сослались на то, что «указание источника не имеет значения».

Впрочем, как и про активность западных APT, которая также «не имеет значения», чтобы вообще ее указывать.

Microsoft раскрыла подробности новой версии ClickFix, в которой злоумышленники обманом заставляют ничего не подозревающих пользователей запускать команды, выполняющие поиск в DNS для получения следующего этапа вредоносного кода.

Атака основана на использовании команды nslookup (nameserver lookup) для выполнения пользовательского поиска DNS через диалоговое окно "Выполнить" в Windows.

ClickFix остается достаточно популярным в киберподполье методом, традиционно реализуемым посредством фишинга, вредоносной рекламы или вредоносных ПО, часто перенаправляющих жертв на фейковые целевые страницы с фальшивой проверкой CAPTCHA или специальными инструкциями для выполнения команд через «Выполнить» в Windows или «Терминал» в macOS.

Этот метод получил широкое распространение за последние два года, поскольку основан на заражении жертвами собственных компьютеров вредоносным ПО, позволяя злоумышленникам обходить средства защиты.

Эффективность социнженерного ClickFix оказалась настолько высока, что привела к появлению сразу нескольких разновидностей, включая FileFix, JackFix, ConsentFix, CrashFix и GlitchFix.

В последней наблюдаемой версии развертывания на основе DNS с использованием ClickFix начальная команда выполняется через cmd.exe и осуществляет поиск DNS-сервера, жестко заданного внешним DNS-сервером, а не стандартным системным резолвером.

При этом вывод фильтруется для извлечения DNS-ответа Name:, который выполняется в качестве полезной нагрузки второго этапа.

Microsoft отмечает, что новая разновидность ClickFix задействует DNS в качестве «легковесного канала для подготовки или передачи сигналов», позволяя злоумышленнику получить доступ к контролируемой инфраструктуре, а также создать новый уровень проверки перед выполнением полезной нагрузки второго этапа.

Такое использование DNS снижает зависимость от традиционных веб-запросов и может обеспечить интеграцию вредоносной активности в обычный сетевой трафик.

Загруженная полезная нагрузка впоследствии запускает цепочку атак, которая приводит к загрузке ZIP-архива с внешнего сервера (azwsappdev[.]com).

Затем извлекается и запускается вредоносный скрипт на Python для проведения разведки, выполнения команд обнаружения и внедрения VBScript, ответственного за запуск ModeloRAT на основе Python, ранее распространявшегося через CrashFix.

Для обеспечения постоянного присутствия вредоносная ПО создает в папке автозагрузки Windows файл ярлыка, указывающий на VBScript, для автоматического запуска каждый раз при старте операционной системы.

Резко набирающий тренд повсеместного внедрения агентного ИИ-помощника OpenClaw также оседлали в киберподполье, представители которого уже успели разработать инфостилер, нацеленный на эту платформу для кражи ключей API, токенов аутентификации и другие секретов.

OpenClaw (ранее ClawdBot и MoltBot) - это локально работающая платформа для ИИ-агентов с поддержкой постоянной конфигурации и среды памяти на компьютере пользователя.

Инструмент способен получать доступ к локальным файлам, входить в почтовые и коммуникационные приложения на хосте, а также взаимодействовать с онлайн-сервисами.

С момента своего выпуска OpenClaw получил широкое распространение по всему миру: пользователи стали активно полагаться на него для решения повседневных задач и в качестве ИИ-помощника.

Однако вслед за стремительной популярностью фреймворка возросли и связанные с ним риски, прежде всего по части потенциальной уязвимости для атак, нацеленных на конфигурационные файлы с секретными ключами аутентификации для доступа к облачным сервисам и платформам ИИ.

В свою очередь, Hudson Rock удалось задокументировать первый в реальных условиях инцидент с кражей файлов, связанных конфигурационной средой OpenClaw, с целью извлечения содержащихся в них секретов.

Таким образом, индустрия инфокрадов реализует переориентирование: с краж учетных данных браузера на персональные агенты ИИ.

Причем в HudsonRock предсказывали это еще в конце прошлого месяца, называя OpenClaw «новой более привлекательной целью для инфостилеров», в виду крайне конфиденциальных данных, с которыми работают агенты, и их относительно слабой защиты.

Как полагают в Hudson Rock, по всей видимости, в поле зрения исследователей попал одна из модификации Vidar.

При этом вредоносная ПО не нацелена конкретно на OpenClaw, а вместо этого выполняет обширную процедуру кражи файлов, сканируя их на наличие конфиденциальных файлов и каталогов, содержащих ключевые слова, такие как «токен» и «закрытый ключ».

Поскольку файлы в конфигурационном каталоге openclaw содержали и эти, и другие ключевые слова, вредоносная ПО их отработала. Среди них оказались следующие:

- openclaw.json (раскрыт адрес электронной почты жертвы, путь к рабочему пространству и токен аутентификации шлюза, что может позволить удаленное подключение к локальному экземпляру OpenClaw или выдачу себя за другого клиента в аутентифицированных запросах).

- device.json (содержал как publicKeyPem, так и privateKeyPem, используемые для сопряжения и подписи, которые позволяют обходить проверки «безопасного устройства» и получать доступ к зашифрованным журналам или облачным сервисам).

- soul.md, AGENTS.md, MEMORY.md (определяют поведение агента и хранят постоянные контекстные данные, включая журналы ежедневной активности, личные сообщения и события календаря).

Проанализировав все данные, в HudsonRock пришли к выводу, что украденных данных оказалось достаточно для потенциальной полной компрометации цифровой личности жертвы.

Исследователи прогнозируют, что злоумышленники будут и дальше фокусироваться на OpenClaw по мере того, как этот инструмент будет все глубже интегрироваться в профессиональные рабочие процессы и получать новый функционал.

Исследователи BI.ZONE в своей новой аналитике отметили основные тренды атак на веб‑ресурсы по итогам 2025 года.

В целом, за прошлый год Бизоны зафиксировали значительные изменения в поведении злоумышленников. Атакующие стали пропускать этап разведки и сразу пытаться получить доступ к критическим данным.

По данным экспертов, в 2024 году доля запросов на этапе разведки выросла с 7% в первом полугодии до 22% во втором. В первой половине 2025 года доля автоматического сканирования уязвимостей достигла 38%, однако во второй половине года резко снизилась до 4,5%.

Такой спад может быть связан с тем, что WAF‑сервисы блокируют IP‑адреса с высокой активностью запросов, а это препятствует автоматическим сканированиям.

Дополнительно на снижение активности влияет технологическое развитие защиты. Разработчики все чаще стали использовать статический и динамический анализ кода, а также инструменты на базе AI, устраняя уязвимости еще на этапе разработки.

По результатам злоумышленники теряют «легкие» цели: сканеры сталкиваются с защищенным кодом или подозрительную активность предотвращает WAF.

Количество атак на пользователей с целью кражи учетных данных выросло в 2,4 раза: с 6% в первом полугодии до 15% во втором. Также злоумышленники пытаются получить прямой доступ к данным и служебной информации. Доля таких попыток достигла 42%.

Такая картина связана с общим ростом качества разработки и технической защиты серверов. Сложные атаки на ПО становятся менее эффективными за счет регулярных обновлений и более строгого контроля качества кода.

Также этому способствуют инструменты на базе LLM, которые помогают разработчикам избегать типовых ошибок, корректнее выстраивать логику и снижать риск небезопасных практик на этапе разработки.

Так что атакующие все чаще смещают фокус с эксплуатации уязвимостей в коде на методы XSS и брут учетных данных, стремясь получить легитимный доступ администратора или сотрудника для продолжения атаки изнутри системы.

В I полугодии 2025 злоумышленники атаковали государственные информационные системы, намереваясь получить доступ к служебной информации и документам.

Во втором на первое место уже вышли атаки, направленные на доступ к базам данных: их доля составила 53%, что указывает на попытки массового извлечения данных.

Изменения произошли и в ритейле. Разведывательная активность заметно снизилась: ее доля уменьшилась с 90% в начале года до 35% в конце.

В отраслях с физическими активами (строительство и логистика), Бизоны отметили изменение стратегии атак. Вместо фокусировки на сайты и захвата инфраструктуры злоумышленники сосредоточились на получении доступа к закрытым сегментам порталов и файловых хранилищ.

В сфере строительства число атак, направленных на поиск конфигурационных файлов и чувствительных данных, выросло с 50% до 87%. Попытки взлома серверов (RCE) сократились: их стало менее 5%.

Аналогичная тенденция наблюдается в логистической отрасли: если в первом полугодии 89% атак были на RCE, то во втором их доля упала до 30%. Основное внимание теперь сосредоточено на краже файлов и служебной информации: доля этой тактики выросла с 10% до 53%.

Во II полугодии 2025‑го большинство кибератак совершались с российских IP, составляя 95% случаев RCE и в 98% - кражи пользовательских данных.

Для защиты компании используют геоблокировки трафика, что сопровождается использованием геофильтрации как дополнительного уровня защиты и формированием «белых списков» российских IP, однако эффективность геофильтров за последние годы снизилась.

Главные тренды 2025 свидетельствуют о том, что злоумышленники переходят от массовых атак к более прицельным. В связи с чем, бизнесу важно продолжать защищать веб‑приложения и код, а также контролировать доступ к данным, которые могут быть использованы для дальнейших атак.

Группа исследователей из ETH Zurich выкатила результаты нового исследования, согласно которому многие облачные менеджеры паролей, включая Bitwarden, LastPass, Dashlane и 1Password, уязвимы для компрометации хранилища при использовании вредоносного сервера.

Проанализировав популярные менеджеры паролей, исследователи нашли способы, с помощью которых злоумышленники могут скомпрометировать хранилища паролей пользователей и получить доступ к конфиденциальным данным.

При этом устойчивость к внешним или клиентским атакам не тестировалась, вместо этого в фокусе оказалось - шифрование с нулевым разглашением - модель безопасности, при которой поставщик услуг не имеет доступа к зашифрованным данным пользователя, и данные должны быть защищены даже в случае компрометации серверов поставщика.

В связи с этим в ETH Zurich провели анализ популярных облачных менеджеров паролей, исходя из предположения, что серверы, хранящие пользовательские хранилища, являются «полностью вредоносными».

На каждом из указанных менеджеров обкатывались различные типы атак, направленных на снижение уровня безопасности, подрыва ожидаемой защиты и полной компрометации учетных записей пользователей.

Эксперты сосредоточились на восстановление учетных записей и входе через SSO, а также на функциях, разработанных для обеспечения обратной совместимости.

Они проводили атаки, используя некорректную целостность хранилища и полагаясь на функцинал совместного использования, который позволяют семьям или предприятиям использовать одни и те же учетные данные.

Почти в каждом из исследованных менеджеров исследователям удалось добиться компрометации хранилища, включая полную компрометацию (Bitwarden и LastPass), а также компрометацию общего хранилища (Dashlane).

Причем они на практике продемонстрировали, что во многих случаях злоумышленник способен не только просмотреть учетные данные пользователей, но и модифицировать их.

Некоторые их поставщиков отметили, что методы атаки, реализованные исследователями, требуют полного взлома серверов менеджера паролей и продвинутых навыков для осуществления криптографических атак. 

Dashlane считает, что для получения ряда представленных результатов необходимы «либо особые обстоятельства, либо чрезвычайно значительный промежуток времени».

Кроме того, в случае обмена данными и шифрования симметричных ключей с помощью открытых ключей получателя, как и в большинстве систем сквозного шифрования (E2EE) с участием сервера, создает структурную зависимость от подлинности каталога открытых ключей.

При подмене открытого ключа злоумышленник получить доступ к содержимому общих файлов, зашифрованных с помощью вредоносного открытого ключа, а это, как полагают в Dashlane, уже широко распространенная в отрасли проблема.

Тем не менее, после уведомления поставщики выпустили исправления и меры по устранению многих уязвимостей, но отметив, что некоторые проблемы решить достаточно затруднительно. 

В свою очередь, Bitwarden отметила, что из 10 выявленных проблем, выявленных (каждая из которых оценена как имеющая среднее или низкое влияние), семь были или находятся в процессе устранения.

Однако три из этих недостатков «были признаны преднамеренными проектными решениями, необходимыми для обеспечения функциональности продукта».

LastPass также «высоко оценило» проведенное исследование, но также выразила несогласие с некоторыми оценками исследователей, однако внедрила ряд краткосрочных мер по усилению защиты, а также разработала планы по исправлению соответствующих компонентов.

В 1Password считают, что выявленные исследователями векторы атак уже были задокументированы в общедоступном документе компании «Security Design White Paper». Компанией используется технология SRP для аутентификации пользователей без передачи ключей шифрования, что помогает смягчить целые классы атак на стороне сервера.

Целевой квишинг со спамом и яичницей

Исследователи Лаборатории Касперского сообщают о внедрении в прошивки планшетов на базе Android бэкдора под названием Keenadu в результате атаки на цепочку поставок. Причем некоторые заражения фиксировались еще в августе 2023 года.

Отыскать новый бэкдор удалось после обнаружения ЛК в апреле 2025 года бэкдора Triada, заразившего прошивки поддельных Android-устройств, которые распространялись через популярные маркетплейсы. Находка побудила исследователей провести исследование и поискать другие угрозы.

Новый обнаруженный исследователями бэкдор также внедряется в Zygote, центральный процесс операционной системы Android, откуда его невозможно удалить без полной прошивки и переустановки устройства.

Он попадал туда на этапе сборки - вредоносная статическая библиотека линковалась с libandroid_runtime.so. Уже на устройстве она, как и Triada, заражала процесс Zygote. В некоторых случаях вредоносная прошивка загружалась с OTA-обновлением.

Копия бэкдора попадает в адресное пространство каждого приложения при его запуске на устройстве. Зловред представляет собой многоуровневый загрузчик, который предоставляет операторам неограниченные возможности для контроля устройства жертвы.

При этом Keenadu остается скрытым в течение двух с половиной месяцев, прежде чем начать инициировать какое-либо вредоносное поведение. По истечении этого периода Keenadu пингует свою инфраструктуру С2, откуда загружает и запускает дополнительные модули.

На данный момент обнаружено, что вредоносное ПО развертывает компоненты. В зависимости от зараженного приложения, они подменяют поисковые запросы в браузере, монетизируют установки новых программ, а также скрытно взаимодействуют с рекламными элементами.

Одна из полезных нагрузок, полученная в ходе исследования, также обнаружилась в множестве приложений, которые распространялись как через неофициальные источники, так и через Google Play и Xiaomi GetApps.

В прошивках некоторых устройств Keenadu был встроен в важные системные приложения: сервис для распознавания лиц, приложение для рабочего стола и т. д.

По данным ЛК, вредоносная ПО работает имеет сильное сходство с Triada, который в течение последних 3-4 лет был предустановлен на дешевых планшетах и смартфонах Android.

Исследователи обнаружили множество сходств в коде и инфраструктуре между Keenadu и Triada, а также Vo1d и BADBOX - двумя ботнетами, которые также поставлялись через предустановку на некоторых недорогих смарт-телевизорах.

Тем не менее, в ЛК не связывают все эти операции между собой, вероятно, но серьезная взаимосвязь все же существует, и, скорее всего, обусловлена активностью группы злоумышленников, специализирующихся на взломе инструментов разработчиков и внедрении вредоносного кода, который впоследствии доставляется в прошивку и приложения Android-устройств.

Источником, по всей видимости, является разработчик или общая библиотека, поскольку некоторые из зараженных обновлений прошивки также были подписаны и доставлены по беспроводной сети непосредственно с серверов производителя.

По данным Лаборатории Касперского, проблема потенциально затрагивает сразу нескольких производителей планшетов, в числе которых упоминается Alldocube.

Телеметрия ЛК показывает, что бэкдор установлен более чем на 13 000 устройствах, но число заражений, вероятно, на порядок выше. Ведь, только Vo1D и BADBOX заразили более 1 млн. устройств каждый.

Наибольшее число пользователей, атакованных Keenadu, защитные решения ЛК зафиксировали в России, Японии, Германии, Бразилии и Нидерландах.

Как полагают исследователи, несмотря на то, что Keenadu пока не проявляла признаков кражи учетных данных с зараженных устройств, это, скорее всего, все же произойдет в ближайшем будущем. Как в случае с Triada, она приобрела эту возможность по мере своего развития.

Подробный технический анализ и IOCs - в отчете.

В Notepad++ реализовали механизм обновления с «двойной блокировкой» для устранения недавно обнаруженных уязвимостей, которые привели к компрометации цепочки поставок.

Новый алгоритм имплементирован в недавнюю версию Notepad++ 8.9.2, а работа над ним началась еще в 8.8.9 с реализации проверки подписанного установщика из GitHub.

Вторая часть системы двойной блокировки заключается в проверке подписанного XML-файла из домена notepad-plus-plus.org.

На практике это означает, что XML-файл, возвращаемый службой обновлений, имеет цифровую подпись (XMLDSig).

По мнению команды разработчиков, сочетание двух механизмов проверки обеспечивает более надежный и «практически неуязвимый» процесс обновления.

В числе дополнительных изменений, направленных на повышение безопасности системы автоматического обновления:

- Удаление файла libcurl.dll для устранения риска загрузки DLL-библиотек через сторонние источники.

- Удаление двух незащищенных опций SSL для cURL: CURLSSLOPT_ALLOW_BEAST и CURLSSLOPT_NO_REVOKE.

- Ограничение выполнения управления плагинами программами, подписанными тем же сертификатом, что и WinGup.

В новом объявлении пользователи также могут исключить автоматическое обновление во время установки через пользовательский интерфейс или развернуть пакет MSI с помощью команд: msiexec /i npp.8.9.2.Installer.x64.msi NOUPDATER=1.

Напомним, что обновления подкатили после того, как ранее в этом месяце Notepad++ и Rapid7 раскрыли ходе шестимесячную кампанию китайской Lotus Blossom, в результате которой инфраструктура обновления текстового редактора была скомпрометирована.

Начиная с июня 2025 года, злоумышленник взломал хостинг-провайдера, на котором работало обновление Notepad++, и выборочно перенаправлял запросы на обновление от определенных пользователей на вредоносные серверы.

В атаках задействовались уязвимости в механизмах проверки обновлений и продолжались до их обнаружения 2 декабря 2025 года.

Исследователи Rapid7 установили, что китайские хакеры использовали в качестве части цепочки атак специально разработанный бэкдор под названием Chrysalis.

Так что помимо обновления, инфраструктура Notepad++ мигрировала на другого хостинг-провайдера.

Так что всем пользователям теперь рекомендуется обновить программу до 8.9.2 и грузить установочные файлы с только официального сайта.

Исследователи Mandiant и Google GTIG сообщают об активности китайской APT, нацеленной на 0-day в в системе безопасности Dell с середины 2024 года.

Как поясняют в Dell, UNC6201 задействовала уязвимость с жестко закодированными учетными данными максимальной степени серьезности (CVE-2026-22769) в Dell RecoverPoint for Virtual Machines в версиях до 6.0.3.1 HF1, решении, используемом для резервного копирования и восстановления виртуальных машин VMware.

Уязвимость позволяет неаутентифицированному удаленному злоумышленнику, владеющему жестко закодированными учетными данными, получить доступ к базовой ОС и сохранению прав root.

Проникнув в сеть жертвы, UNC6201 развернул несколько вредоносных ПО, включая недавно обнаруженный бэкдор под названием Grimbolt.

Написанный на C# и созданный с использованием относительно новой техники компиляции, вредоносный код разработан с прицелом на усложнение анализа, нежели его предшественник, бэкдор под названием Brickstorm.

UNC6201 заменила Brickstorm на Grimbolt в сентябре 2025 года, чем был обусловлен переход неясно: то ли в плановом порядке, то ли после детектирования со стороны Mandiant или их коллег.

Злоумышленники также применили новые методы для более глубокого проникновения в виртуализированную инфраструктуру жертв, включая создание скрытых сетевых интерфейсов (т.н. «призрачных сетевых адаптеров»).

Как отмечают в Mandiant, эти временные виртуальные сетевые порты использовались для переключения с скомпрометированных виртуальных машин во внутренние или SaaS-среды, чего компания не наблюдала ранее в ходе своих расследований.

Как и в предыдущей кампании BRICKSTORM, UNC6201 продолжает ориентироваться на устройства, которые не имеют традиционных средств EDR, дабы оставаться незамеченными в течение длительного времени.

Кроме того, исследователи обнаружили совпадения между UNC6201 и другим китайским кластером угроз, UNC5221, который отметился в атаках на 0-day Ivanti в правительственных учреждениях с помощью специально разработанных вредоносных ПО Spawnant и Zipline.

Причем в GTIG рассматривают UNC5221 и Silk Typhoon как два идентичных кластера угроз.

По данным исследователей, в сентябре хакеры UNC5221 использовали Brickstorm для получения долговременного доступа к сетям нескольких американских организаций в юридическом и технологическом секторах.

В свою очередь, тогда CrowdStrike связала атаки с использованием вредоносного ПО Brickstorm на серверы VMware vCenter юридических, технологических и производственных компаний в США с китайской APT, которую она отслеживает как Warp Panda.

В общем, для предотвращения продолжающихся атак, нацеленных на CVE-2026-22769, клиентам Dell рекомендуется следовать рекомендациям, изложенным в уведомлении по безопасности.

Исследователи Positive Technologies раскрыли новую APT-кампанию, нацеленную на телекоммуникационные компании в Кыргызстане и Таджикистане.

Атаки привлекли внимание необычными документами, которые использовали сразу два редких инструмента китайского происхождения и уникальное ПО. При этом используемое в атаках вредоносное ПО мимикрирует под легитимное ПО Microsoft.

В процессе исследования Позитивы обнаружили в атаках бэкдор MarsSnake, который ранее был обнаружен исследователями ESET. Разобрав его функциональность, исследователи нашли другие атаки, которые таргетировались на СНГ, а также на китайские компании.

Помимо этого в арсенале группировки был замечен бэкдор LuciDoor, получивший свое название из-за уникальной особенности настройки шрифта Lucida Console 11×18 для корректного отображения текста в терминале.

Бэкдор отличается исключительной «настойчивостью» при установлении соединения с С2: сначала он пытается подключиться напрямую, затем - через системный прокси с последовательным перебором различных механизмов проксирования, включая активные прокси-узлы пользователя.

Как и в случае с LuciDoor, бэкдор MarsSnake обладает характерной особенностью: его конфигурация может изменяться без пересборки исполняемого файла и имеет характерную метку. Для обновления параметров конфигурации злоумышленникам достаточно изменить встроенный блок, зашифрованный XOR.

В качестве начального этапа цепочки заражения злоумышленники использовали фишинговые документы на тему телекоммуникаций. Для рассылки злоумышленники использовали почтовые сервисы Microsoft: Hotmail и Outlook.

Ко всем обнаруженным письмам прикреплялся документ. При открытии документа показывалась картинка, которая побуждала жертву «включить содержимое». Причем в обнаруженных письмах потенциальная жертва и фишинговый документ не совпадали.

Внутри документа - OLE-объект NewMacros. Макрос сильно обфусцирован, но его основная функциональность проста: собирает полезную нагрузку из большого количества строк, хранящихся в hex-виде, сохраняет в C:\ProgramData с именем Perfrom.exe и запускает.

Последний - это лоадер, который Позитивы назвали LuciLoad из-за его связи со следующим стейджем - бэкдором LuciDoor. Как и в случае с LuciLoad и LuciDoor, MarsSnake - это конечная полезная нагрузка, которую загружает лоадер, названный MarsSnakeLoader.

В компании полагают, что TTPs и инструментарии атакующей APT указывают на ее сходство с восточноазиатской UnsolicitedBooker.

Ранее UnsolicitedBooker, по данным ESET, атаковала Саудовскую Аравию. При этом осенью 2025-го группировка активно переключилась на телекоммуникационные компании СНГ и продолжила свои атаки в 2026 году.

Интересно, что в самом начале группа использовала бэкдор LuciDoor, но впоследствии переключилась на MarsSnake. При этом в 2026 году группа сделала разворот и снова начала использовать LuciDoor.

Помимо этого, как минимум в одном случае Позитивы заметили, что злоумышленники использовали взломанный роутер в качестве С2-сервера, а также то, что их инфраструктура в части атак мимикрировала под российскую.

Технические подробности анализа и IOCs - в отчете.

Попутно упражняясь с конкурентами, IoT-ботнет Kimwolf случайно атаковал The Invisible Internet Project (I2P), перегрузив анонимную сеть и фактически лишив пользователей возможности взаимодействовать с легитимными узлами.

Сбои начали фиксироваться две недели назад, 3 февраля, и препятствуют подключению легитимных пользователей к ресурсам I2P, децентрализованной сети зашифрованной связи, предназначенной для анонимизации и защиты онлайн-коммуникаций.

Как оказалось, все дело в том, что Kimwolf начал использовать I2P для размещения некоторых своих серверов С2 и обхода попыток блокировки.

Что по итогу переполнило анонимную сеть соединениями от миллионов взломанных маршрутизаторов и телевизионных приставок.

В тот же день, когда пользователи I2P начали замечать сбои, операторы Kimwolf опубликовали у себя в Discord сообщение с извинениями, отметив, что они случайно нарушили работу I2P, попытавшись подключить 700 000 зараженных ботов в качестве узлов к сети.

При том, что вся сеть I2P в настоящее время ежедневно насчитывает от 15 000 до 20 000 устройств, распределенных по всему миру, причем каждый участник выступает одновременно и в роли маршрутизатора (для ретрансляции трафика), и в роли клиента.

В свою очередь, основатель Бенджамин Брундейдж - основатель Synthient, стартапа, отслеживающего прокси-сервисы, первым задокументировал уникальные методы распространения Kimwolf.

Он отметил, что операторы ботнета экспериментируют с I2P и аналогичной сетью анонимности - Tor, в качестве резервной сети С2 (при этом в последнее время сообщений о масштабных сбоях в Tor не поступало).

По его наблюдениям, операторы «просто тестируют что-то, проводят эксперименты в реальных условиях, но численность ботнета сейчас значительно снижается, и, похоже, они не понимают, что делают».

Но мы бы не спешили с выводами, будем посмотреть.