Теперь к резонансным процессам, задержаниям и разоблачениям, которые сотрясли инфосек за минувшие дни.

Немецкий суд приговорил владельца сети мошеннических колл-центров к семи с половиной годам тюремного заключения.

Гражданин Грузии и Израиля Михаил Биниашвили руководил сетью Milton Group из Албании в период с 2017 по 2019 год.

Колл-центры обманом заставляли жертв вкладывать свои средства в платформы, контролируемые Биниашвили и его сообщниками.

Кроме того, он приторговывал программным обеспечением для управления мошенническими колл-центрами другим злоумышленникам.

В США предъявили обвинение гражданину Украины в управлении порталом, посредством которого реализовались поддельные удостоверения личности. Юрий Назаренко заработал более 1,2 млн. долл. на OnlyFake.

Он признал свою вину и ему грозит до 15 лет лишения свободы.

Продолжая свое расследование Брайан Кребс смог выследить администратора ботнета Kimwolf, причастного к крупнейшим DDoS-атакам.

Им оказался 23-летний житель Оттавы, Канада.

Джейкоб Батлер, предположительно, является хакером под псевдонимом Дорт, который создал и к настоящему времени управляет ботнетом.

Сам Батлер сообщил Кребсу, что не использовал псевдоним Дорт с 2021 года и утверждает, что кто-то выдает себя за него.

В общем, уже по привычке напрашивается: да что себе позволяют эти русские хакеры?!

Google выкатила обновления безопасности для устранения 129 уязвимостей в Android, включая активно используемую 0-day в компоненте дисплея Qualcomm.

Несмотря на то, что Google не предоставила дополнительной информации об атаках на CVE-2026-21385, Qualcomm в своем бюллетене сообщила, что уязвимость представляет собой переполнение целочисленного значения в подкомпоненте Graphics, которое локальные злоумышленники могут использовать для вызова повреждения памяти.

Qualcomm получила уведомление об этой серьезной уязвимости 18 декабря и уведомила клиентов 2 февраля.

Согласно февральскому уведомлению, в котором пока не указано, что CVE-2026-21385 используется в атаках, уязвимость затрагивает 235 чипсетов Qualcomm.

Помимо упомянутой CVE-2026-21385 Google исправила 10 критических уязвимостей в компонентах System, Framework и Kernel, которые злоумышленники могут использовать для RCE, EoP или инициирования DoS.

Наиболее серьезной из них является критическая уязвимость в компоненте System, которая может привести к RCE без необходимости получения дополнительных прав на выполнение.

Причем для эксплуатации не требуется взаимодействие с пользователем.

Google традиционно выпустила два набора исправлений: уровни 01.03.2026 и 05.03.2026.

Последний включает в себя все исправления из первого, а также исправления для закрытых сторонних и ядерных компонентов, которые могут быть неприменимы ко всем устройствам Android.

Для устройств Google Pixel обновления поступят немедленно, другим производителям потребуется больше времени для тестирования и настройки их под конкретные аппаратные конфигурации.

Помимо Пентагона ИИ-помощник Claude Code от Anthropic не менее активно задействуется и киберподпольем.

Как отмечают в израильской Gambit Security, хакеры использовали уязвимость в коде Claude Code для разработки эксплойтов, собственных инструментов и автоматичзации кражи 150 ГБ данных в ходе кибератаки на системы правительства Мексики.

Инцидент ярко демонстрирует, как генеративный ИИ может быть использован в качестве оружия для ускорения проведения реальных кибер-операций.

Злоумышленники взломали 10 мексиканских правительственных учреждений, включая налоговую службу, избирательный институт, правительства штатов, гражданский реестр Мехико и водопроводную компанию Монтеррея, а также финансовое учреждение в декабре 2025 года.

Gambit Security обнаружила, что злоумышленники отправили более 1000 запросов в Claude Code, а затем применили GPT-4.1 от OpenAI для анализа украденных данных.

Обходя средства защиты ИИ и представляя действия как санкционированные, злоумышленники автоматизировали написание эксплойтов и кражу данных, добравшись таким образом до 195 млн. личных данных.

Выдавая себя за пентестеров, они создали подсказки для обхода защитных механизмов. Claude поначалу сопротивлялся, отмечая удаление журналов и инструкции по скрытному доступу как тревожные сигналы, прежде чем полностью лечь под манипуляций и провернуть операцию.

Как отметил директор по стратегии Gambit Security Кертис Симпсон, в общей сложности система сгенерировала тысячи подробных отчетов, включающих готовые к выполнению планы, точно указывающие оператору, какие внутренние цели следует атаковать и какие учетные данные использовать.

Когда Claude перестал выполнят команды, злоумышленники переключились на ChatGPT, дабы получить указания по дальнейшему проникновению в сеть и манипулированию учетными данными.

По мере развития взлома они неоднократно спрашивали, где еще можно найти государственные удостоверения личности и связанные с ними данные, а также какие еще системы следует атаковать.

Причем ранее нечто подобное провернули китайские хакеры, задействовав Claude Code в шпионской кампании, направленной против почти 30 организаций по всему миру.

Набирающий обороты тренд, как полагают исследователи, меняет все правила игры. Особенно это актуально, если принять в расчет, что Claude без каких-либо ограничений уже функционирует в интересах спецслужб и военных США.

Исследователи из Испании, Швейцарии и Люксембурга раскрыли подробности метода для отслеживания автомобилей через датчики давления в шинах.

Как показали исследования, передаваемые датчиками давления в шинах данные можно регистрировать с помощью доступного оборудования, размещая его вдоль дорог.

Система контроля давления в шинах (TPMS), которая теперь является обязательной для всех автомобилей во всем мире, передает уникальный идентификатор в открытом виде, что делает эти передачи уязвимыми для прослушивания и потенциального отслеживания.

Ученые смогли задействовать недорогие приемники для захвата этих незашифрованных пассивных передач и определения закономерностей передвижений автотранспорта.

В тестовом режиме они установили пять приемников, которые в течение 10 недель перехватили более 6 млн. сообщений от систем TPMS примерно от 20 000 автомобилей.

Поскольку уникальный идентификатор, передаваемый системой TPMS, не меняется на протяжении всего срока службы шины, исследователи смогли сопоставить сигналы с автомобилями и отследить группу контролируемых автомобилей.

Результаты показывают, что данные TPMS вполне себе пригодны для систематического получения потенциально конфиденциальной информации, включая наличие, тип, вес или стиль вождения автомобилиста.

Как объясняют исследователи, система слежения легко развертывается, каждый приемник стоит не более 100 долларов, что делает ее достаточно доступной и демонстрирует, что автопроизводителям следует пересмотреть использование беспроводной передачи данных.

Передача телеметрии TPMS осуществляется без шифрования или каких-либо механизмов защиты и включает уникальный идентификатор, позволяя через доступное оборудование, например, недорогой приемник Spectrum со стандартной антенной, записывать и отслеживать эти данные во времени и пространстве.

Исследователи утверждают, что злоумышленники могли бы развертывать такие приемники в широких масштабах для массового отслеживания водителей.

По их мнению, злоумышленники могли бы сочетать пассивное отслеживание с активной подменой сигналов датчиков, отправляя грузовикам ложные оповещения о проколе шины, заставляя водителей предпринимать остановку и получая таким образом доступ к нужной машине.

Злоумышленник также может связать датчики TPMS с конкретным интересующим его лицом для целенаправленного отслеживания, используя общедоступные программно-определяемые радиосистемы.

Солары поделились новой аналитикой по ландшафту вредоносных атак на инфраструктуру российских организаций, собранную с сенсоров сервиса PDNS в 4-м квартале (сравнивая с результатами третьего квартала и четвертого квартала 2024), и включая краткие итоги за 2025 год.

По мнению исследователей, отслеживание изменений в ландшафте угроз на основе данных PDNS позволяет прийти к общему пониманию того, какие угрозы представляют наибольшую опасность. Подробно обозревать не будем, отчет достаточно объемный, остановимся на главном.

Общая статистика:

- Общее число срабатываний продолжило снижаться. Если в 3-м квартале оно вернулось на уровень 4-го квартала 2024 года, то в 4-м квартале 2025-го снизилось на 44,6% год к году.

- Количество атакованных организаций также значительно снизилось.

- После снижения в 3-м квартале интенсивность атак (среднее число заражений на одну организацию) увеличилась более чем на 50%, а по сравнению с 4-м кварталом 2024 года этот показатель возрос почти в четыре раза.

Основные результаты 4-го квартала 2025 года:

- Интенсивность заражений различным вредоносным ПО в 4-м квартале после снижения активности в 3-м квартале выросла на 51%. В среднем каждая компания сталкивается со 157 потенциальными заражениями в месяц.

- Интенсивность подобных атак выросла во всех исследуемых индустриях, кроме образования и IT. Больше всего (более чем на 200%, до 1205 срабатываний) она выросла в ТЭК.

- Общее число организаций, в которых было зарегистрировано хотя бы одно событие потенциального заражения, во 4-м квартале сократилось на 160% - до 5305. На это в том числе повлияло снижение бизнес-активности в 4-м квартале, обусловленное наступлением праздничного периода.

- Стилеры - вновь главная угроза. В 4-м квартале их доля выросла на 11 п. п., до 41,7% - и это после снижения числа заражений, которое длилось с лета по конец 3-го квартала. На втором и третьем месте - инструменты APT-группировок и средства удаленного доступа.

- Госсектор, IT, ТЭК, телеком и образование стали отраслями, в которых увеличилась доля событий, связанных с заражением посредством почти всех отслеживаемых типов угроз.

Основные результаты 2025 года

- Всего за год Солары зафиксировали 9 326 764 срабатывания в сетях 38 493 организаций. В среднем каждую организацию атаковали 242 раза.

- Стилеры стали самой часто встречающейся угрозой в 2025 году - на них пришлось 36% срабатываний. Индикаторы APT-группировк (27%) - на втором месте. Средства удаленного доступа (19%) - на третьем.

- Индустрии, в которых зафиксировано больше всего срабатываний, - промышленность (29%), здравоохранение (20%) и ТЭК (15%).

Картина заражений в индустриях, полученная с помощью PDNS, позволяет сделать несколько выводов.

Похищение конфиденциальной информации остается основной целью злоумышленников, а интенсивность атак, даже несмотря на снижение их общего количества, растет.

В фокусе атакующих - отрасли, оперирующие большим количеством конфиденциальных сведений. Как и предполагалось, ТЭК, промышленность и госсектор продолжают быть наиболее подверженными угрозам прежде всего шпионских атак.

Инфографика и рекомендации - в отчете.

Позитивы подвели итоги своей работы по отслеживанию трендовых уязвимостей в самых разных и широко используемых в России продуктах и сервисах за 2025 год, обобщив наиопаснейшие из них.

Согласно классификации исследователей, это именно те уязвимости, которые активно применяются в атаках или с высокой степенью вероятности будут эксплуатироваться злоумышленниками в определенной перспективе.

Всего в 2025 году к трендовым было отнесено 66 уязвимостей в ОС, прикладном ПО, почтовых серверах, сетевых устройствах и других продуктах.

Из них по 54 (82%) фиксировались признаки эксплуатации в атаках, а 12 (18%) имели публичные эксплойты, но без следов эксплуатации.

Большинство (47%) трендовых уязвимостей было связано с RCE (31) и EoP (20 уязвимостей, что составило 30%).

В отечественных коммерческих решениях выявлено 4 трендовые уязвимости: 1 RCE в CommuniGate Pro (BDU:2025-01331) и цепочка из трех в TrueConf Server.

Все остальные касаются зарубежных коммерческих продуктов и проектов с открытым кодом.

Microsoft остается лидером в категории трендовых уязвимостей.

В 2025 году продукты вендора содержали 31 такую ошибку, что составило 46% от общего числа.

Среди них: 18 - EoP в ядре Windows и стандартных компонентах; 2 - RCE в Microsoft SharePoint; 2 - RCE в стандартных компонентах Windows, эксплуатирующиеся через взаимодействие с сетевым хостом, а также 9 - в стандартных компонентах Windows, которые могут эксплуатироваться в фишинговых атаках.

Кроме того, в фишинговых атаках могут использоваться 8 RCE в 7-Zip, WinRAR и XSS в MDaemon Email Server, Zimbra Collaboration.

По части Linux-систем - это 2 трендовые уязвимости повышения привилегий в Sudo и Linux Kernel.

3 трендовые уязвимости затрагивают широко используемые библиотеки и фреймворки: RCE в React Server Components, expr-eval, а также уязвимость межсайтового скриптинга в Django.

Еще 13 трендовых уязвимостей ставят под угрозу сетевую безопасность организации и могут являться точками проникновения злоумышленников.

Это RCE в Cisco ASA и FTD, CommuniGate Pro, TrueConf Server, Roundcube, XWiki Platform, Control Web Panel, Redis и Erlang/OTP, а также обход аутентификации в FortiOS и PAN-OS.

Среди трендовых уязвимостей, которые позволяют злоумышленникам скомпрометировать разработку ПО: RCE в Apache HTTP Server и Apache Tomcat, а также раскрытие информации в MongoDB.

Компрометация виртуальной инфраструктуры возможна благодаря 4 проблемам в ESXi (RCE, раскрытие информации и повреждение памяти) и Kubernetes(RCE).

Также злоумышленники могут воспользоваться двумя RCE в SAP NetWeaver для взлома системы управления предприятием.

Конкретные идентификаторы и вся сводная аналитика по всем трендовым багам доступна в расширенном отчете.

Ox Security предупреждает о критической уязвимости в решении FreeScout, использующем открытый исходный код для служб поддержки и общих почтовых ящиков, которая может быть использована для атак с удаленным выполнением кода (RCE) без клика.

Уязвимость отслеживается как CVE-2026-28289 (CVSS 10/10) и представляет собой обходной путь для CVE-2026-27636, недавно исправленной серьезной уязвимости удаленного выполнения кода с аутентификацией.

Первоначальная проблема, описанная как отсутствие файла .htaccess в списке ограничений на загрузку файлов, позволяет авторизованному злоумышленнику загрузить файл .htaccess, вмешаться в обработку файла и осуществить RCE.

Патч для первоначальной уязвимости CVE, обнаруженной Ox Security, можно обойти, используя символ пробела нулевой ширины, который невидим и проходит проверку на точку, в результате чего на диск сохраняется корректное имя файла .htaccess.

По мнению разработчиков FreeScout, CVE-2026-28289 - это уязвимость, связанная с проверкой времени использования (TOCTOU) в функции очистки имен файлов, «где проверка префикса точки происходит до того, как в процессе очистки удаляются невидимые символы».

Исправление CVE-2026-27636 было направлено на блокировку имен файлов с ограниченными расширениями или начинающиеся с точки («.») путем добавления подчеркивания к расширению файла.

Для обхода патча злоумышленник добавляет к имени файла символ нулевой ширины (Unicode U+200B). Поскольку этот символ не рассматривается как видимое содержимое, оно обходит проверку, символ U+200B удаляется, и файл сохраняется как настоящий точечный файл.

Атака реализуется путем отправки вредоносного электронного письма с любого адреса на почтовый ящик, настроенный в FreeScout.

Важно отметить, что для этого не требуется аутентификации и взаимодействия с пользователем. Вредоносная ПО записывается на диск на сервере FreeScout, после чего может быть использована для удаленного выполнения команд.

Как отмечает Ox Security, злоумышленник может предсказать, где файл будет сохранен на диске, что позволяет ему получить доступ к вредоносному коду и выполнять команды на сервере.

Успешная эксплуатация новой уязвимости позволяет злоумышленнику получить полный контроль над серверами, перехватить заявки в сапорт, содержимое почтовых ящиков и другие конфиденциальные данные из FreeScout, а также потенциально перейти на другие системы в сети.

Все установки FreeScout 1.8.206 затрагиваются при работе на Apache с включенной опцией AllowOverride All (распространенная конфигурация). CVE-2026-28289 была устранена в FreeScout 1.8.207.

Пользователям рекомендуется как можно скорее обновить свои развертывания.

Исследователи Google Threat Intelligence Group (GTIG) сообщили об обнаружении массовой атаки на iPhone, которая была реализована с помощью spyware правительственного уровня для взлома iOS, который просочился в арсеналы киберподполья.

Как отмечают в GTIG, набор эксплойтов, получивший название Coruna, поддерживает пять различных последовательностей атак (цепочек эксплойтов) и в общей сложности 23 эксплойта - необычайно большой и сложный комплект.

Для взлома устройства достаточно посещения жертвой сайта, куда внедряется вредоносный код. При этом заявляется, что Coruna может скрытно взломать iPhone, работающие под управлением версий iOS, выпущенных с 2019 года по декабрь 2023 года. Последняя затронутая версия - 17.2.1.

Google утверждает, что хакеры по всему миру используют Coruna в качестве «вторичного» эксплойт-комплекта. Причем многие злоумышленники уже освоили передовые методы эксплуатации, которые можно повторно использовать и модифицировать для вновь выявленных уязвимостей.

Вместе с тем, исследователи не раскрывают, каким образом киберпреступники могли получить доступ к этому мощному арсеналу, к которому прилагается обширная документация, включая docstrings и комментарии на английском языке.

В свою очередь, в iVerify указали в комментариях для The Wired, что изначально её, вероятно, разработали американские спецслужбы или по их непосредственному заказу один из поставщиков коммерческого spyware.

Свои выводы они мотивировали тем, что были обнаружены «сходства с предыдущими системами, разработанными злоумышленниками, связанными с правительством США».

В этом ключе компания проводит параллели с уязвимостью EternalBlue, разработкой АНБ США, которая в конечном итоге была украдена, слита в сеть и использована в кибератаках по всему миру, включая WannaCry и NotPetya.

Однако примечательнее всего то, что Coruna использует две уязвимости Apple, которые Лаборатория Касперского обнаружила в рамках «Операции Триангуляции» в начале 2023 года.

Однако, как отмечает Борис Ларин из ЛК, уязвимость - это не компонент. Им может быть эксплойт или имплант, а не сама уязвимость. Несмотря на заявления Google и iVerify об использовании компонентов Coruna в «Операции Триангуляция», нет никаких доказательств повторного использования кода в технических отчетах, подтверждающих это предположение.

Киберпреступники, по всей видимости, массово используют Coruna, в основном нацеливаясь на пользователей порнографических сайтов и ресурсов, посвященных криптовалютам.

Как только жертва посещает целевой сайт с вредоносным кодом, Coruna незаметно проверяет, находится ли устройство в режиме блокировки или контент загружается в приватном окне браузера - в этих случаях вредоносное ПО прекращает свою работу.

Пользователь видит только обычный ожидаемый контент. Однако код за миллисекунды определяет модель iPhone, версию iOS, подходящую цепочку эксплойтов, запускает атаку и предоставляет злоумышленнику полный контроль над iPhone.

Coruna включает несколько многократно используемых модулей для упрощения эксплуатации уязвимостей и обхода защиты устройства. Киберпреступники используют ее для распространения PlasmaLoader, программы для кражи финансовой информации. 

Как отмечают исследователи, по всей видимости, хакеры использовали LLM-модули для создания некоторых обновлений вредоносного ПО. Согласно отчету, Coruna уже использовали несколько злоумышленников.

Исследователи iVerify отмечают, что в результате действий лиц, преследующих финансовые мотивы, Coruna уже затронул около 42 000 устройств.

Так что всем пользователям яблочных девайсов настоятельно рекомендуется обновиться до последних версий, которые включают исправления для задействованных в Coruna уязвимостей.

Как мы и предполагали, эксплуатация недавно исправленной CVE-2026-22719 в VMware Aria Operations (ранее vRealize Operations) не заставила себя ждать.

Напомним, CVE-2026-22719 представляет собой серьезную проблему внедрения команд, которую можно использовать без аутентификации.

Как отметила Broadcom, злоумышленник может использовать эту уязвимость для выполнения произвольных команд, что может привести к удаленному выполнению кода в VMware Aria Operations во время миграции продукта с помощью службы поддержки

Предупреждение о задействовании ошибки в реальных атаках поступило от CISA, которая во вторник добавила CVE-2026-22719 в свой каталог известных эксплуатируемых уязвимостей (KEV).

В обновленной версии первоначального уведомления компания Broadcom пояснила: «Компания осведомлена о сообщениях о потенциальной эксплуатации уязвимости CVE-2026-22719 в реальных условиях, но мы не можем независимо подтвердить их достоверность».

В открытом доступе пока нет информации, описывающей атаки, использующие данную уязвимость. Так что неясно, узнала ли компания Broadcom об использовании уязвимости в реальных условиях от CISA или из другого источника.

Равно как и неизвестно, началось ли использование уязвимости после выпуска патча или же CVE-2026-22719 использовалась в качестве 0-day.

Тем не менее, стоит отметить в лучшую строну Broadcom за оперативность в обновлении статуса потенциальной эксплуатации.

Ведь ранее поставщик неоднократно подвергался критике за задержку подобных предупреждений, даже когда об эксплуатации уязвимости было известно в течение длительного времени.

Будем следить за появлением подробностей атак.

Подъехала актуальная аналитика по мобильной вирусологии от Лаборатории Касперского за 2025 год.

Начиная с третьего квартала 2025 года в ЛК изменили методику подсчета статпоказателей на основе телеметрии Kaspersky Security Network. Изменения коснулись всех разделов отчета, кроме статистики по установочным пакетам, на которую они не повлияли.

По данным Kaspersky Security Network, в 2025 году:

- Решения ЛК позволили отбить более 14 059 465 атак с использованием вредоносного, рекламного или нежелательного мобильного ПО.

- Самой распространенной угрозой для мобильных устройств традиционно стало рекламное ПО (AdWare) - 62% от всех обнаруженных угроз.

- Обнаружено более 815 тыс. вредоносных установочных пакетов, из которых 255 тыс. относились к мобильным банковским троянцам.

В 2025 году злоумышленники совершали в среднем около 1,17 млн. атак на мобильные устройства в месяц с использованием вредоносного, рекламного или нежелательного ПО.

В 2025 году, помимо вредоносного ПО из предыдущих отчетов, было найдено множество других знаковых троянцев.

В частности, в четвертом квартале в ЛК обнаружили предустановленный бэкдор Keenadu, попадающий в прошивки устройств еще на этапе сборки.

Вредоносный код встраивается в libandroid_runtime.so - ключевую библиотеку для работы Java-среды на Android, благодаря чему копия бэкдора попадает в адресное пространство всех запущенных приложений на устройстве.

Далее, в зависимости от приложения, зловред может, например, накручивать просмотры рекламы, показывать баннеры от имени других приложений, подменять поисковые запросы.

Функциональность Keenadu не ограничена: модули скачиваются динамически и могут обновляться.

Также исследователи обнаружили IoT-ботнет Kimwolf, нацеленный на приставки Android TV. Зараженные устройства могли проводить DDoS-атаки, а также работать в режиме обратного прокси и выполнять вредоносные действия через реверс-шелл.

Позже выяснилось, что функциональность обратного прокси Kimwolf использовалась провайдерами прокси через домашние устройства в качестве выходных точек (residential proxy).

Еще одной интересной находкой стал троянец-шпион LunaSpy, мимикрирующий под антивирусное ПО, который ворует пароли из браузеров и мессенджеров, SMS, журналы звонков. Также может записывать звук и видео. Угроза в основном была нацелена на российских пользователей.

В целом, в 2025 году продолжился тренд на снижение общего количества уникальных установочных пакетов нежелательного ПО.

При этом в ЛК отметили значительный рост в детектировании некоторых угроз относительно предыдущего года, в частности мобильных банковских троянцев и шпионов, однако большинство обнаруженных угроз по-прежнему оказалось рекламными приложениями.

Среди зафиксированных мобильных угроз мы стали чаще встречать предустановленные бэкдоры (Triada и Keenadu).

Как и в прошлом году, некоторые мобильные зловреды продолжают распространяться через официальные магазины приложений.

Исследователи также фиксируют интерес со стороны злоумышленников к использованию зараженных устройств в качестве прокси.

Как всегда, четкая инфографика и конкретные статпоказатели - в отчете.

Cisco выпустила обновления для устранения двух уязвимостей максимальной степени серьезности в своем программном обеспечении Secure Firewall Management Center (FMC).

Secure FMC -реализует веб-интерфейс или интерфейс SSH, позволяющий администраторам управлять межсетевыми экранами Cisco и настраивать контроль приложений, предотвращение вторжений, фильтрацию URL-адресов и расширенную защиту от вредоносных ПО.

Обе уязвимости могут быть использованы удаленно неаутентифицированными злоумышленниками.

При этом уязвимость обхода аутентификации (CVE-2026-20079) позволяет злоумышленникам получить root-доступ к базовой ОС, а другая CVE-2026-20131 позволяет выполнять произвольный код Java с правами root на незащищенных устройствах.

Злоумышленник может использовать эту уязвимость, отправляя специально сформированные HTTP-запросы на уязвимое устройство.

По части CVE-2026-20079 успешная эксплуатация может позволить злоумышленнику выполнить различные скрипты и команды, обеспечивающие получение root-прав на устройстве.

Злоумышленник может реализовать ее, отправив специально созданный сериализованный Java-объект в веб-интерфейс управления уязвимого устройства. Успешная эксплуатация может позволить злоумышленнику выполнить произвольный код на устройстве и повысить привилегии до уровня root.

Обе уязвимости затрагивают Cisco Secure FMC, но CVE-2026-20131 также влияет и на Cisco Security Cloud Control (SCC) Firewall Management, облачный менеджер политик безопасности, упрощающий управление политиками на межсетевых экранах Cisco и других устройствах.

На данный момент у Cisco PSIRT нет доказательств того, что две уязвимости используются в атаках, равно как и не ясно доступен ли PoC в интернете. Но время покажет.

Помимо указанных проблем Cisco также устранила десятки других уязвимостей, в том числе 15 серьезных уязвимостей в Secure FMC, Secure Firewall Adaptive Security Appliance и Secure Firewall Threat Defense.

Исследователи BI.ZONE в своем новом отчете анализируют активность Forbidden Hyena в декабре 2025 - январе 2026 года, раскрывая в арсенале группировки ранее неизвестный троян удаленного доступа, который BlackReaperRAT.

Кроме того, им удалось выявить и изучить обновленную версию шифровальщика Blackout Locker, который злоумышленники переименовали в Milkyway.

В декабре 2025 года специалисты выявлили распространяемые Forbidden Hyena RAR-архивы, каждый из которых содержал два файла.

Первый, batch-скрипт 1.bat, предназначался для запуска VBS-скрипта 1.vbs из того же архива. В одном из вариантов Batch-скрипта запуск VBS-файла осуществлялся с использованием cscript.exe, в другом дополнительно применялся запуск через wscript.exe.

В свою очередь, обфусцированный VBS-скрипт 1.vbs представлял собой вредоносный загрузчик. Скрипт предназначен для загрузки и запуска отвлекающего документа, а также VBS-скрипта следующей стадии - BlackReaperRAT.

Последний относится к троянам удаленного доступа, реализован в виде VBS-скрипта и выполняется в контексте процесса wscript.exe или cscript.exe.

Он поддерживает широкий функционал: передает системную информацию, генерирует собственную копию, закрепляется в системе различными способами, поддерживает выполнение команд, грузит и запускает исполняемые файлы, а также способен распространяться через съемные носители информации.

Обнаруженный BI.ZONE в январе 2026 года новый вариант Blackout Locker подвергся незначительным изменениям. Помимо смены названия основное преобразование коснулось визуализации записки с требованиями о выкупе.

При этом исследователи отмечают, что в образце Blackout Locker, представленном в отчете Лаборатории Касперского, записки о выкупе сохранялись на хосте жертвы рекурсивно в каждом каталоге каждого диска.

В новом же исполнении шифровальщик сохраняет записку по следующим путям: C:\Windows\Temp\README.txt, C:\Users\Public\README.txt, C:\README.txt и C:\Users\Public\Desktop\README.txt. Также в новом варианте Blackout Locker увеличился список завершаемых процессов и сервисов.

В целом, как отмечают в BI.ZONE, продолжает фиксироваться интерес злоумышленников к использованию AI-инструментов.

В частности, некоторые из обнаруженных образцов имеют признаки генерации с помощью ИИ.

Атакующие активно злоупотребляют легитимными инструментами и штатными средствами ОС для решения задач на разных этапах жизненного цикла кибератаки.

В ряде случаев это позволяет им избежать обнаружения.

В арсенале по-прежнему присутствуют вайперы и ransomware, которые используются как для вывода IT-инфраструктуры из строя, так и для получения финансовой выгоды.

Технические подробности цепочки атак, разбор инфраструктуры/инструментария и IOCs Forbidden Hyena - в отчете.

Cisco предупреждает о начале активной волны эксплуатации двух недавно исправленных уязвимостей в Catalyst SD-WAN в реальных условиях.

25 февраля поставщик уведомил клиентов о доступности исправлений для пяти уязвимостей Catalyst SD-WAN, включая критические и серьезные проблемы, которые могут быть использованы для доступа к уязвимым системам и повышения привилегий до уровня root. 

По состоянию на 5 марта Cisco обновила свое изначальное уведомление, предупредив о том, что ей стало известно об активной эксплуатации двух из пяти уязвимостей: CVE-2026-20128 и CVE-2026-20122.

Первая, CVE-2026-20128, - это уязвимость, приводящая к раскрытию информации и затрагивающая функцию агента сбора данных (DCA) в Catalyst SD-WAN Manager. Она позволяет авторизованному локальному злоумышленнику получить права пользователя DCA в целевой системе.

Другая, CVE-2026-20122, представляет собой это уязвимость, затрагивающую API Catalyst SD-WAN Manager. Она позволяет удалённому авторизованному злоумышленнику перезаписывать произвольные файлы в системе и получать повышенные привилегии.

В Cisco пока не предоставили никаких подробностей об атаках, нацеленных на эти уязвимости, но в описании указано, что они были объединены с другими ошибками.

Но стоит отметить, что обновление статуса произошло примерно через неделю после того, как Cisco предупредила клиентов об атаках с использованием критической 0-day, затрагивающей Catalyst SD-WAN.

CVE-2026-20127 может быть использована удаленно для обхода аутентификации и получения административных привилегий на уязвимом устройстве.

Тогда CISA сообщала, что уязвимость объединялась в атаках с более старой уязвимостью Catalyst, CVE-2022-20775, для обхода аутентификации, повышения привилегий и обеспечения постоянного присутствия в целевой системе.

Cisco Talos связала эти атаки с UAT-8616, продвинутым злоумышленником, действующим как минимум с 2023 года. Но неясно, были ли все эти уязвимости Catalyst SD-WAN использованы в одной или разных кампаниях. 

Кроме того, Cisco также недавно детектила атаки с нулями, проводимыми китайской APT, отслеживаемой как UAT-9686. В общем, будем следить.

Силовики вновь кучно прошлись по киберподполью, прихлопнув LeakBase и Tycoon2FA.

Сообщается, что в результате совместной операции правоохранитеоей был ликвидирован LeakBase, один из крупнейших в форумов, где шла активная торговля утечками и инструментами для совершения кибернападений.

В скоординированном заявлении Европол сообщил, что LeakBase специализируется на продаже логов киберпреступников, содержащих архивы учетных данных, полученных с помощью инфостилеров, которые затем используются для взлома аккаунтов, мошенничества и других кибератак.

По данным Минюста США, по состоянию на декабрь 2025 года LeakBase насчитывал более 142 000 участников и более 215 000 сообщений. Ходовым товаром выступали слитые базы данных, финансовая и банковская информация, пользовательские сведения.

LeakBase - это один из псевдонимов Чакки, который также известен в даркнете под никами Chuckies и Sqlrip.

По данным SOCRadar, он известен тем, что распространял обширные коллекции баз данных, часто содержащих конфиденциальную информацию крупнейших компаний в мире.

Более того, в начале прошлого месяца SpyCloud сообщала, что форум не работал несколько дней, а Chuckies искал нового хостинг-провайдера.

Среди других известных администраторов и модераторов LeakBase - BloodyMery, OrderCheck и TSR.

Форум был активен с июня 2021 года. Теперь при попытке доступа к сайту leakbase[.]la висит традиционная плашка о конфискации ресурса ФБР США в рамках международной операции по обеспечению правопорядка.

Как заявили в ФБР, весь контент форума, включая учетные записи пользователей, посты, переписку и IP-адреса, задокументирован и будет оформлен в качестве доказательств для дальнейшего расследования в отношении фигурантов.

В рамках операции, получившей условное наименование «Operation Leak», в период 3-4 марта силовики провели обыски, аресты и допросы в США, Австралии, Бельгии, Польше, Португалии, Румынии, Испании и Великобритании.

В Европоле отметили, что по всему миру было проведено около 100 оперативно-следственных мероприятий, включая принятие «неуказанных» мер в отношении 37 наиболее активных пользователей платформы.

Другим трофеем силовиков стала Tycoon2FA, крупная PhaaS-платформа с ежемесячной отработкой до десяткой миллионов фишинговых сообщений.

В общей сложности в ходе этой совместной операции при координации Европола было изъято и отключено 330 доменов, входящих в инфраструктуру криминальной службы (включая панели управления и фишинговые страницы).

Технически взлом провернула Microsoft при поддержке коалиции из частных партнеров, а захват инфраструктуры и оперативный блок отработали правоохранители Латвии, Литвы, Португалии, Польши, Испании и Великобритании.

Операция стартовала после того, как Trend Micro поделилась развединформацией. Европол ретранслировал их через свои консультативные группы EC3 и оперативные сети, что позволило выработать скоординированную оперативную стратегию.

Поучастовали также Cloudflare, Coinbase, Intel471, Proofpoint, Shadowserver Foundation, SpyCloud, eSentire, Crowell, Resecurity и Health-ISAC.

Tycoon 2FA действовала как минимум с августа 2023 и использовалась хакерами для обхода MFA и компрометации учетных записей почти 100 000 организаций по всему миру. Доступный прайс (120 долл. за 10 дней доступа) обеспечил порог вхождения для неопытных преступников.

Она действовала как платформа "adversary-in-the-middle", используя обратный прокси-сервер для перехвата учетных данных и сессионных файлов cookie жертв в режиме реального времени в атаках, направленных на пользователей Microsoft и Google.

По данным Microsoft, к середине 2025 Tycoon2FA ежемесячно генерировала десятки млн. фишинговых писем, поражая более 500 000 организаций и обеспечивая 60% всех заблокированных фишинговых попыток.