Позитивы подвели итоги своей работы по отслеживанию трендовых уязвимостей в самых разных и широко используемых в России продуктах и сервисах за 2025 год, обобщив наиопаснейшие из них.

Согласно классификации исследователей, это именно те уязвимости, которые активно применяются в атаках или с высокой степенью вероятности будут эксплуатироваться злоумышленниками в определенной перспективе.

Всего в 2025 году к трендовым было отнесено 66 уязвимостей в ОС, прикладном ПО, почтовых серверах, сетевых устройствах и других продуктах.

Из них по 54 (82%) фиксировались признаки эксплуатации в атаках, а 12 (18%) имели публичные эксплойты, но без следов эксплуатации.

Большинство (47%) трендовых уязвимостей было связано с RCE (31) и EoP (20 уязвимостей, что составило 30%).

В отечественных коммерческих решениях выявлено 4 трендовые уязвимости: 1 RCE в CommuniGate Pro (BDU:2025-01331) и цепочка из трех в TrueConf Server.

Все остальные касаются зарубежных коммерческих продуктов и проектов с открытым кодом.

Microsoft остается лидером в категории трендовых уязвимостей.

В 2025 году продукты вендора содержали 31 такую ошибку, что составило 46% от общего числа.

Среди них: 18 - EoP в ядре Windows и стандартных компонентах; 2 - RCE в Microsoft SharePoint; 2 - RCE в стандартных компонентах Windows, эксплуатирующиеся через взаимодействие с сетевым хостом, а также 9 - в стандартных компонентах Windows, которые могут эксплуатироваться в фишинговых атаках.

Кроме того, в фишинговых атаках могут использоваться 8 RCE в 7-Zip, WinRAR и XSS в MDaemon Email Server, Zimbra Collaboration.

По части Linux-систем - это 2 трендовые уязвимости повышения привилегий в Sudo и Linux Kernel.

3 трендовые уязвимости затрагивают широко используемые библиотеки и фреймворки: RCE в React Server Components, expr-eval, а также уязвимость межсайтового скриптинга в Django.

Еще 13 трендовых уязвимостей ставят под угрозу сетевую безопасность организации и могут являться точками проникновения злоумышленников.

Это RCE в Cisco ASA и FTD, CommuniGate Pro, TrueConf Server, Roundcube, XWiki Platform, Control Web Panel, Redis и Erlang/OTP, а также обход аутентификации в FortiOS и PAN-OS.

Среди трендовых уязвимостей, которые позволяют злоумышленникам скомпрометировать разработку ПО: RCE в Apache HTTP Server и Apache Tomcat, а также раскрытие информации в MongoDB.

Компрометация виртуальной инфраструктуры возможна благодаря 4 проблемам в ESXi (RCE, раскрытие информации и повреждение памяти) и Kubernetes(RCE).

Также злоумышленники могут воспользоваться двумя RCE в SAP NetWeaver для взлома системы управления предприятием.

Конкретные идентификаторы и вся сводная аналитика по всем трендовым багам доступна в расширенном отчете.

Ox Security предупреждает о критической уязвимости в решении FreeScout, использующем открытый исходный код для служб поддержки и общих почтовых ящиков, которая может быть использована для атак с удаленным выполнением кода (RCE) без клика.

Уязвимость отслеживается как CVE-2026-28289 (CVSS 10/10) и представляет собой обходной путь для CVE-2026-27636, недавно исправленной серьезной уязвимости удаленного выполнения кода с аутентификацией.

Первоначальная проблема, описанная как отсутствие файла .htaccess в списке ограничений на загрузку файлов, позволяет авторизованному злоумышленнику загрузить файл .htaccess, вмешаться в обработку файла и осуществить RCE.

Патч для первоначальной уязвимости CVE, обнаруженной Ox Security, можно обойти, используя символ пробела нулевой ширины, который невидим и проходит проверку на точку, в результате чего на диск сохраняется корректное имя файла .htaccess.

По мнению разработчиков FreeScout, CVE-2026-28289 - это уязвимость, связанная с проверкой времени использования (TOCTOU) в функции очистки имен файлов, «где проверка префикса точки происходит до того, как в процессе очистки удаляются невидимые символы».

Исправление CVE-2026-27636 было направлено на блокировку имен файлов с ограниченными расширениями или начинающиеся с точки («.») путем добавления подчеркивания к расширению файла.

Для обхода патча злоумышленник добавляет к имени файла символ нулевой ширины (Unicode U+200B). Поскольку этот символ не рассматривается как видимое содержимое, оно обходит проверку, символ U+200B удаляется, и файл сохраняется как настоящий точечный файл.

Атака реализуется путем отправки вредоносного электронного письма с любого адреса на почтовый ящик, настроенный в FreeScout.

Важно отметить, что для этого не требуется аутентификации и взаимодействия с пользователем. Вредоносная ПО записывается на диск на сервере FreeScout, после чего может быть использована для удаленного выполнения команд.

Как отмечает Ox Security, злоумышленник может предсказать, где файл будет сохранен на диске, что позволяет ему получить доступ к вредоносному коду и выполнять команды на сервере.

Успешная эксплуатация новой уязвимости позволяет злоумышленнику получить полный контроль над серверами, перехватить заявки в сапорт, содержимое почтовых ящиков и другие конфиденциальные данные из FreeScout, а также потенциально перейти на другие системы в сети.

Все установки FreeScout 1.8.206 затрагиваются при работе на Apache с включенной опцией AllowOverride All (распространенная конфигурация). CVE-2026-28289 была устранена в FreeScout 1.8.207.

Пользователям рекомендуется как можно скорее обновить свои развертывания.

Исследователи Google Threat Intelligence Group (GTIG) сообщили об обнаружении массовой атаки на iPhone, которая была реализована с помощью spyware правительственного уровня для взлома iOS, который просочился в арсеналы киберподполья.

Как отмечают в GTIG, набор эксплойтов, получивший название Coruna, поддерживает пять различных последовательностей атак (цепочек эксплойтов) и в общей сложности 23 эксплойта - необычайно большой и сложный комплект.

Для взлома устройства достаточно посещения жертвой сайта, куда внедряется вредоносный код. При этом заявляется, что Coruna может скрытно взломать iPhone, работающие под управлением версий iOS, выпущенных с 2019 года по декабрь 2023 года. Последняя затронутая версия - 17.2.1.

Google утверждает, что хакеры по всему миру используют Coruna в качестве «вторичного» эксплойт-комплекта. Причем многие злоумышленники уже освоили передовые методы эксплуатации, которые можно повторно использовать и модифицировать для вновь выявленных уязвимостей.

Вместе с тем, исследователи не раскрывают, каким образом киберпреступники могли получить доступ к этому мощному арсеналу, к которому прилагается обширная документация, включая docstrings и комментарии на английском языке.

В свою очередь, в iVerify указали в комментариях для The Wired, что изначально её, вероятно, разработали американские спецслужбы или по их непосредственному заказу один из поставщиков коммерческого spyware.

Свои выводы они мотивировали тем, что были обнаружены «сходства с предыдущими системами, разработанными злоумышленниками, связанными с правительством США».

В этом ключе компания проводит параллели с уязвимостью EternalBlue, разработкой АНБ США, которая в конечном итоге была украдена, слита в сеть и использована в кибератаках по всему миру, включая WannaCry и NotPetya.

Однако примечательнее всего то, что Coruna использует две уязвимости Apple, которые Лаборатория Касперского обнаружила в рамках «Операции Триангуляции» в начале 2023 года.

Однако, как отмечает Борис Ларин из ЛК, уязвимость - это не компонент. Им может быть эксплойт или имплант, а не сама уязвимость. Несмотря на заявления Google и iVerify об использовании компонентов Coruna в «Операции Триангуляция», нет никаких доказательств повторного использования кода в технических отчетах, подтверждающих это предположение.

Киберпреступники, по всей видимости, массово используют Coruna, в основном нацеливаясь на пользователей порнографических сайтов и ресурсов, посвященных криптовалютам.

Как только жертва посещает целевой сайт с вредоносным кодом, Coruna незаметно проверяет, находится ли устройство в режиме блокировки или контент загружается в приватном окне браузера - в этих случаях вредоносное ПО прекращает свою работу.

Пользователь видит только обычный ожидаемый контент. Однако код за миллисекунды определяет модель iPhone, версию iOS, подходящую цепочку эксплойтов, запускает атаку и предоставляет злоумышленнику полный контроль над iPhone.

Coruna включает несколько многократно используемых модулей для упрощения эксплуатации уязвимостей и обхода защиты устройства. Киберпреступники используют ее для распространения PlasmaLoader, программы для кражи финансовой информации. 

Как отмечают исследователи, по всей видимости, хакеры использовали LLM-модули для создания некоторых обновлений вредоносного ПО. Согласно отчету, Coruna уже использовали несколько злоумышленников.

Исследователи iVerify отмечают, что в результате действий лиц, преследующих финансовые мотивы, Coruna уже затронул около 42 000 устройств.

Так что всем пользователям яблочных девайсов настоятельно рекомендуется обновиться до последних версий, которые включают исправления для задействованных в Coruna уязвимостей.

Как мы и предполагали, эксплуатация недавно исправленной CVE-2026-22719 в VMware Aria Operations (ранее vRealize Operations) не заставила себя ждать.

Напомним, CVE-2026-22719 представляет собой серьезную проблему внедрения команд, которую можно использовать без аутентификации.

Как отметила Broadcom, злоумышленник может использовать эту уязвимость для выполнения произвольных команд, что может привести к удаленному выполнению кода в VMware Aria Operations во время миграции продукта с помощью службы поддержки

Предупреждение о задействовании ошибки в реальных атаках поступило от CISA, которая во вторник добавила CVE-2026-22719 в свой каталог известных эксплуатируемых уязвимостей (KEV).

В обновленной версии первоначального уведомления компания Broadcom пояснила: «Компания осведомлена о сообщениях о потенциальной эксплуатации уязвимости CVE-2026-22719 в реальных условиях, но мы не можем независимо подтвердить их достоверность».

В открытом доступе пока нет информации, описывающей атаки, использующие данную уязвимость. Так что неясно, узнала ли компания Broadcom об использовании уязвимости в реальных условиях от CISA или из другого источника.

Равно как и неизвестно, началось ли использование уязвимости после выпуска патча или же CVE-2026-22719 использовалась в качестве 0-day.

Тем не менее, стоит отметить в лучшую строну Broadcom за оперативность в обновлении статуса потенциальной эксплуатации.

Ведь ранее поставщик неоднократно подвергался критике за задержку подобных предупреждений, даже когда об эксплуатации уязвимости было известно в течение длительного времени.

Будем следить за появлением подробностей атак.

Подъехала актуальная аналитика по мобильной вирусологии от Лаборатории Касперского за 2025 год.

Начиная с третьего квартала 2025 года в ЛК изменили методику подсчета статпоказателей на основе телеметрии Kaspersky Security Network. Изменения коснулись всех разделов отчета, кроме статистики по установочным пакетам, на которую они не повлияли.

По данным Kaspersky Security Network, в 2025 году:

- Решения ЛК позволили отбить более 14 059 465 атак с использованием вредоносного, рекламного или нежелательного мобильного ПО.

- Самой распространенной угрозой для мобильных устройств традиционно стало рекламное ПО (AdWare) - 62% от всех обнаруженных угроз.

- Обнаружено более 815 тыс. вредоносных установочных пакетов, из которых 255 тыс. относились к мобильным банковским троянцам.

В 2025 году злоумышленники совершали в среднем около 1,17 млн. атак на мобильные устройства в месяц с использованием вредоносного, рекламного или нежелательного ПО.

В 2025 году, помимо вредоносного ПО из предыдущих отчетов, было найдено множество других знаковых троянцев.

В частности, в четвертом квартале в ЛК обнаружили предустановленный бэкдор Keenadu, попадающий в прошивки устройств еще на этапе сборки.

Вредоносный код встраивается в libandroid_runtime.so - ключевую библиотеку для работы Java-среды на Android, благодаря чему копия бэкдора попадает в адресное пространство всех запущенных приложений на устройстве.

Далее, в зависимости от приложения, зловред может, например, накручивать просмотры рекламы, показывать баннеры от имени других приложений, подменять поисковые запросы.

Функциональность Keenadu не ограничена: модули скачиваются динамически и могут обновляться.

Также исследователи обнаружили IoT-ботнет Kimwolf, нацеленный на приставки Android TV. Зараженные устройства могли проводить DDoS-атаки, а также работать в режиме обратного прокси и выполнять вредоносные действия через реверс-шелл.

Позже выяснилось, что функциональность обратного прокси Kimwolf использовалась провайдерами прокси через домашние устройства в качестве выходных точек (residential proxy).

Еще одной интересной находкой стал троянец-шпион LunaSpy, мимикрирующий под антивирусное ПО, который ворует пароли из браузеров и мессенджеров, SMS, журналы звонков. Также может записывать звук и видео. Угроза в основном была нацелена на российских пользователей.

В целом, в 2025 году продолжился тренд на снижение общего количества уникальных установочных пакетов нежелательного ПО.

При этом в ЛК отметили значительный рост в детектировании некоторых угроз относительно предыдущего года, в частности мобильных банковских троянцев и шпионов, однако большинство обнаруженных угроз по-прежнему оказалось рекламными приложениями.

Среди зафиксированных мобильных угроз мы стали чаще встречать предустановленные бэкдоры (Triada и Keenadu).

Как и в прошлом году, некоторые мобильные зловреды продолжают распространяться через официальные магазины приложений.

Исследователи также фиксируют интерес со стороны злоумышленников к использованию зараженных устройств в качестве прокси.

Как всегда, четкая инфографика и конкретные статпоказатели - в отчете.

Cisco выпустила обновления для устранения двух уязвимостей максимальной степени серьезности в своем программном обеспечении Secure Firewall Management Center (FMC).

Secure FMC -реализует веб-интерфейс или интерфейс SSH, позволяющий администраторам управлять межсетевыми экранами Cisco и настраивать контроль приложений, предотвращение вторжений, фильтрацию URL-адресов и расширенную защиту от вредоносных ПО.

Обе уязвимости могут быть использованы удаленно неаутентифицированными злоумышленниками.

При этом уязвимость обхода аутентификации (CVE-2026-20079) позволяет злоумышленникам получить root-доступ к базовой ОС, а другая CVE-2026-20131 позволяет выполнять произвольный код Java с правами root на незащищенных устройствах.

Злоумышленник может использовать эту уязвимость, отправляя специально сформированные HTTP-запросы на уязвимое устройство.

По части CVE-2026-20079 успешная эксплуатация может позволить злоумышленнику выполнить различные скрипты и команды, обеспечивающие получение root-прав на устройстве.

Злоумышленник может реализовать ее, отправив специально созданный сериализованный Java-объект в веб-интерфейс управления уязвимого устройства. Успешная эксплуатация может позволить злоумышленнику выполнить произвольный код на устройстве и повысить привилегии до уровня root.

Обе уязвимости затрагивают Cisco Secure FMC, но CVE-2026-20131 также влияет и на Cisco Security Cloud Control (SCC) Firewall Management, облачный менеджер политик безопасности, упрощающий управление политиками на межсетевых экранах Cisco и других устройствах.

На данный момент у Cisco PSIRT нет доказательств того, что две уязвимости используются в атаках, равно как и не ясно доступен ли PoC в интернете. Но время покажет.

Помимо указанных проблем Cisco также устранила десятки других уязвимостей, в том числе 15 серьезных уязвимостей в Secure FMC, Secure Firewall Adaptive Security Appliance и Secure Firewall Threat Defense.

Исследователи BI.ZONE в своем новом отчете анализируют активность Forbidden Hyena в декабре 2025 - январе 2026 года, раскрывая в арсенале группировки ранее неизвестный троян удаленного доступа, который BlackReaperRAT.

Кроме того, им удалось выявить и изучить обновленную версию шифровальщика Blackout Locker, который злоумышленники переименовали в Milkyway.

В декабре 2025 года специалисты выявлили распространяемые Forbidden Hyena RAR-архивы, каждый из которых содержал два файла.

Первый, batch-скрипт 1.bat, предназначался для запуска VBS-скрипта 1.vbs из того же архива. В одном из вариантов Batch-скрипта запуск VBS-файла осуществлялся с использованием cscript.exe, в другом дополнительно применялся запуск через wscript.exe.

В свою очередь, обфусцированный VBS-скрипт 1.vbs представлял собой вредоносный загрузчик. Скрипт предназначен для загрузки и запуска отвлекающего документа, а также VBS-скрипта следующей стадии - BlackReaperRAT.

Последний относится к троянам удаленного доступа, реализован в виде VBS-скрипта и выполняется в контексте процесса wscript.exe или cscript.exe.

Он поддерживает широкий функционал: передает системную информацию, генерирует собственную копию, закрепляется в системе различными способами, поддерживает выполнение команд, грузит и запускает исполняемые файлы, а также способен распространяться через съемные носители информации.

Обнаруженный BI.ZONE в январе 2026 года новый вариант Blackout Locker подвергся незначительным изменениям. Помимо смены названия основное преобразование коснулось визуализации записки с требованиями о выкупе.

При этом исследователи отмечают, что в образце Blackout Locker, представленном в отчете Лаборатории Касперского, записки о выкупе сохранялись на хосте жертвы рекурсивно в каждом каталоге каждого диска.

В новом же исполнении шифровальщик сохраняет записку по следующим путям: C:\Windows\Temp\README.txt, C:\Users\Public\README.txt, C:\README.txt и C:\Users\Public\Desktop\README.txt. Также в новом варианте Blackout Locker увеличился список завершаемых процессов и сервисов.

В целом, как отмечают в BI.ZONE, продолжает фиксироваться интерес злоумышленников к использованию AI-инструментов.

В частности, некоторые из обнаруженных образцов имеют признаки генерации с помощью ИИ.

Атакующие активно злоупотребляют легитимными инструментами и штатными средствами ОС для решения задач на разных этапах жизненного цикла кибератаки.

В ряде случаев это позволяет им избежать обнаружения.

В арсенале по-прежнему присутствуют вайперы и ransomware, которые используются как для вывода IT-инфраструктуры из строя, так и для получения финансовой выгоды.

Технические подробности цепочки атак, разбор инфраструктуры/инструментария и IOCs Forbidden Hyena - в отчете.

Cisco предупреждает о начале активной волны эксплуатации двух недавно исправленных уязвимостей в Catalyst SD-WAN в реальных условиях.

25 февраля поставщик уведомил клиентов о доступности исправлений для пяти уязвимостей Catalyst SD-WAN, включая критические и серьезные проблемы, которые могут быть использованы для доступа к уязвимым системам и повышения привилегий до уровня root. 

По состоянию на 5 марта Cisco обновила свое изначальное уведомление, предупредив о том, что ей стало известно об активной эксплуатации двух из пяти уязвимостей: CVE-2026-20128 и CVE-2026-20122.

Первая, CVE-2026-20128, - это уязвимость, приводящая к раскрытию информации и затрагивающая функцию агента сбора данных (DCA) в Catalyst SD-WAN Manager. Она позволяет авторизованному локальному злоумышленнику получить права пользователя DCA в целевой системе.

Другая, CVE-2026-20122, представляет собой это уязвимость, затрагивающую API Catalyst SD-WAN Manager. Она позволяет удалённому авторизованному злоумышленнику перезаписывать произвольные файлы в системе и получать повышенные привилегии.

В Cisco пока не предоставили никаких подробностей об атаках, нацеленных на эти уязвимости, но в описании указано, что они были объединены с другими ошибками.

Но стоит отметить, что обновление статуса произошло примерно через неделю после того, как Cisco предупредила клиентов об атаках с использованием критической 0-day, затрагивающей Catalyst SD-WAN.

CVE-2026-20127 может быть использована удаленно для обхода аутентификации и получения административных привилегий на уязвимом устройстве.

Тогда CISA сообщала, что уязвимость объединялась в атаках с более старой уязвимостью Catalyst, CVE-2022-20775, для обхода аутентификации, повышения привилегий и обеспечения постоянного присутствия в целевой системе.

Cisco Talos связала эти атаки с UAT-8616, продвинутым злоумышленником, действующим как минимум с 2023 года. Но неясно, были ли все эти уязвимости Catalyst SD-WAN использованы в одной или разных кампаниях. 

Кроме того, Cisco также недавно детектила атаки с нулями, проводимыми китайской APT, отслеживаемой как UAT-9686. В общем, будем следить.

Силовики вновь кучно прошлись по киберподполью, прихлопнув LeakBase и Tycoon2FA.

Сообщается, что в результате совместной операции правоохранитеоей был ликвидирован LeakBase, один из крупнейших в форумов, где шла активная торговля утечками и инструментами для совершения кибернападений.

В скоординированном заявлении Европол сообщил, что LeakBase специализируется на продаже логов киберпреступников, содержащих архивы учетных данных, полученных с помощью инфостилеров, которые затем используются для взлома аккаунтов, мошенничества и других кибератак.

По данным Минюста США, по состоянию на декабрь 2025 года LeakBase насчитывал более 142 000 участников и более 215 000 сообщений. Ходовым товаром выступали слитые базы данных, финансовая и банковская информация, пользовательские сведения.

LeakBase - это один из псевдонимов Чакки, который также известен в даркнете под никами Chuckies и Sqlrip.

По данным SOCRadar, он известен тем, что распространял обширные коллекции баз данных, часто содержащих конфиденциальную информацию крупнейших компаний в мире.

Более того, в начале прошлого месяца SpyCloud сообщала, что форум не работал несколько дней, а Chuckies искал нового хостинг-провайдера.

Среди других известных администраторов и модераторов LeakBase - BloodyMery, OrderCheck и TSR.

Форум был активен с июня 2021 года. Теперь при попытке доступа к сайту leakbase[.]la висит традиционная плашка о конфискации ресурса ФБР США в рамках международной операции по обеспечению правопорядка.

Как заявили в ФБР, весь контент форума, включая учетные записи пользователей, посты, переписку и IP-адреса, задокументирован и будет оформлен в качестве доказательств для дальнейшего расследования в отношении фигурантов.

В рамках операции, получившей условное наименование «Operation Leak», в период 3-4 марта силовики провели обыски, аресты и допросы в США, Австралии, Бельгии, Польше, Португалии, Румынии, Испании и Великобритании.

В Европоле отметили, что по всему миру было проведено около 100 оперативно-следственных мероприятий, включая принятие «неуказанных» мер в отношении 37 наиболее активных пользователей платформы.

Другим трофеем силовиков стала Tycoon2FA, крупная PhaaS-платформа с ежемесячной отработкой до десяткой миллионов фишинговых сообщений.

В общей сложности в ходе этой совместной операции при координации Европола было изъято и отключено 330 доменов, входящих в инфраструктуру криминальной службы (включая панели управления и фишинговые страницы).

Технически взлом провернула Microsoft при поддержке коалиции из частных партнеров, а захват инфраструктуры и оперативный блок отработали правоохранители Латвии, Литвы, Португалии, Польши, Испании и Великобритании.

Операция стартовала после того, как Trend Micro поделилась развединформацией. Европол ретранслировал их через свои консультативные группы EC3 и оперативные сети, что позволило выработать скоординированную оперативную стратегию.

Поучастовали также Cloudflare, Coinbase, Intel471, Proofpoint, Shadowserver Foundation, SpyCloud, eSentire, Crowell, Resecurity и Health-ISAC.

Tycoon 2FA действовала как минимум с августа 2023 и использовалась хакерами для обхода MFA и компрометации учетных записей почти 100 000 организаций по всему миру. Доступный прайс (120 долл. за 10 дней доступа) обеспечил порог вхождения для неопытных преступников.

Она действовала как платформа "adversary-in-the-middle", используя обратный прокси-сервер для перехвата учетных данных и сессионных файлов cookie жертв в режиме реального времени в атаках, направленных на пользователей Microsoft и Google.

По данным Microsoft, к середине 2025 Tycoon2FA ежемесячно генерировала десятки млн. фишинговых писем, поражая более 500 000 организаций и обеспечивая 60% всех заблокированных фишинговых попыток.

Существует пять стадий принятия (модель Кюблер-Росс), включая: отрицание, гнев, торг, депрессия и принятие.

И мы искренне надеемся, что Microsoft найдет в себе силы преодолеть их как можно быстрее.

На этой неделе специалисты компании прошли, пожалуй, самую сложную и ушли в глубокое отрицалово, начав массовый бан упоминаний слова Microslop на официальном Discord-сервере Copilot, что, наоборот, спровоцировало волну мемов на тему внедрения ИИ-контента в Windows 11.

Суть в том, что выражение Microslop объединяет название компании Microsoft и уничижительное название ИИ-контента slop, которое с английского дословно переводится как «помои».

Обычно словом «нейрослоп» в сети называют низкокачественный контент, сгенерированный с помощью ИИ. В русскоязычном сегменте также используется «нейрошлак».

После бана аудитория начала массово спамить словом Microslop, но через слегка измененные варианты. Например, Microsl0p через ноль или раскладками на других языках.

Спустя некоторое время пользовательские чаты на Discord-сервере Copilot были закрыты вовсе, так как модерация не справлялась с недовольством аудитории и большим количеством спама. 

На тематических форумах, а также на reddit, появилось большое количество тем, связанных с Microslop.

Многие отметили, что Microsoft, неадекватно отреагировав блокировкой слова в пользовательском сообществе, лишь усугубила ситуацию и побудила аудиторию к более активному его муссированию, столкнувшись с «Эффектом Стрейзанд». 

Позже Microsoft выдала официальный комментарий Windows Latest.

По версии компании, сервер подвергся скоординированной спам-атаке: это были полотнища нерелевантного текста, и модераторы ввели временные фильтры по отдельным словам, чтобы замедлить поток.

Блокировка Microslop и других фраз, как утверждает компания, была краткосрочной мерой. В итоге сервер временно закрыли, чтобы внедрить дополнительные механизмы защиты.

Впрочем, по части уязвимостей микромягкие справляются аналогичным образом, часто допуская более серьезные дефекты в ходе попыток закрыть изначальную проблему.

Так что пора бы им уже перескочить еще три ступени и уже принять новую парадигму своего Microslop-бизнеса.

По всей видимости, новая атака на цепочку мудаков уже на подходе.

Как передают, более 100 000 серверов (из них более половины - в США, однако и в России имеются - почти 3 тыс.) автоматизации n8n с искусственным интеллектом находятся в сети и не имеют критически важных обновлений безопасности.

На горизонте вовсю маячит CVE-2026-27495, обнаруженная на прошлой неделе, которая позволяет злоумышленникам выйти за пределы песочницы сервера.

В конфигурации по умолчанию это может привести к «полной компрометации хоста n8n».

Google Threat Intelligence Group в своем отчете сообщает об отслеживании 90 0-day, которые активно использовались в течение 2025 года, причем почти половина из них - в корпоративном ПО и устройствах.

Причем показатель на 15% выше по сравнению с 2024 годом, когда в реальных условиях было задокументировано 78 случаев использования нулей, но ниже рекордных 100 в 2023 году.

Как отмечают в GTIG, Из 90 нулей в 2025 году - 47 были нацелены на платформы конечных пользователей, а 43 - на корпоративные продукты.

К основным типам используемых уязвимостей относятся RCE, EoP, уязвимости внедрения и десериализации, обход авторизации и ошибки повреждения памяти (использование после освобождения).

Google сообщает, что на проблемы безопасности памяти приходилось 35% всех использованных нулей в прошлом году.

Наиболее уязвимыми корпоративными системами оказались устройства безопасности, сетевая инфраструктура, VPN и платформы виртуализации, поскольку они обеспечивают привилегированный доступ к сети и часто не имеют мониторинга EDR.

По данным GTIG, в прошлом году наиболее часто используемой категорией были ошибки в ОС: в атаках задействовалось 24 нуля в настольных ОС и 15 - в мобильных платформах.

Число 0-day в браузерах, напротив, сократилось до восьми, что является резким снижением по сравнению с предыдущими годами.

Аналитики в Google предполагают, что это может быть связано с усилением мер безопасности в этой категории ПО, либо следствием использования злоумышленниками более совершенных методов обхода защиты и более эффективного сокрытия вредоносной деятельности.

Согласно телеметрии GTIG, Microsoft была лидером среди поставщиков, подвергшихся 0-day атакам (25), за ней следовали Google с 11, Apple с 8, Cisco и Fortinet с 4, а Ivanti и VMware - с 3.

Впервые с тех пор, как Google начал отслеживать 0-day, коммерческие поставщики шпионского ПО оказались крупнейшими пользователями таких незадокументированных уязвимостей, превзойдя APT, которые, возможно, также используют более эффективные методы сокрытия.

В целом, тенденция последних пяти лет не меняется: все большая доля эксплуатации 0-day осуществляется компаниями, предоставляющими услуги по разработке программного обеспечения (CSV), и/или их клиентами, что демонстрирует медленное, но верное движение в этой сфере.

Исследователи Google утверждают, что среди APT-субъектов наиболее активными остаются связанные с Китаем группировки, которые в 2025 году использовали 10 нулей.

Атаки были направлены в основном на периферийные устройства, устройства безопасности и сетевое оборудование с целью получения долговременного постоянного доступа.

Еще одна заметная тенденция, отмеченная в прошлом году, - это рост числа случаев эксплуатации 0-day со стороны лиц, движимых финансовыми мотивами (прежде всего, это банды вымогателей), на долю которых приходится девять таких уязвимостей.

GTIG считает, что использование инструментов ИИ поможет автоматизировать обнаружение уязвимостей и ускорить разработку эксплойтов, поэтому ожидается, что уровень эксплуатации уязвимостей нулевого дня в 2026 году останется высоким.

В свою очередь, в своем отчете Brickstorm также делает акцент на том, что хакеры переключают свое внимание с кражи исходного кода на обнаружение уязвимостей в будущих программных продуктах.

Для обнаружения и предотвращения эксплуатации нулей Google рекомендует уменьшать поверхность атаки и уязвимость привилегий, постоянно отслеживать системы на предмет аномального поведения, а также поддерживать процессы обновления ПО и реагирования на инциденты.

ФБР США взломали и теперь спецслужба расследует свой собственный инцидент.

Примечательно, что скомпрометировали системы, используемые агентами для управления ордерами на слежку и прослушивание телефонных разговоров.

Безусловно, в ФБР отказываются сообщать более подробную информацию о масштабах и общих последствиях инцидента, оно уверенно заявляют, что ситуация уже локализована с использованием всех технических возможностей для реагирования.

Первыми об инциденте сообщили репортеры CNN со ссылкой на анонимный источник, который и поведал, что взлом непосредственно затронул технические системы, предназначенные для организации прослушки телефонных переговоров, а также задействуемые в контрразведке.

На данный момент неясно, связан ли этот инцидент с предыдущим, когда китайская Salt Typhoon проникла в системы федерального правительства США, используемые для запросов на прослушивание телефонных разговоров, санкционированных судом, в 2024 году.

Ничего не понятно, но очень интересно, в общем будем следить.

Помимо ФБР щупальца киберподполья добрались и до платформы KodexGlobal, которая для безопасного обмена данными между технологическими компаниями и правоохранительными органами по запросам последних.

Она служит единым порталом для обработки всех оперативно-следственных запросов о предоставлении информации, объединяя более 15 000 государственных структур.

Как заявляет селлер, доступ к аккаунтам силовиков на платформе реализуется по цене в 2000 долл.

Уязвимость Rockwell Automation, позволяющая осуществлять удаленный взлом промышленных систем управления (ICS), была выявлена и устранена в 2021 году, но факт её использования в реальных условиях стал известен только сейчас.

В четверг CISA добавила CVE-2021-22681 в свой каталог известных эксплуатируемых уязвимостей (KEV). 

Уязвимость в системе безопасности затрагивает Studio 5000 Logix Designer и ряд программируемых логических контроллеров (ПЛК) Logix, включая устройства CompactLogix, ControlLogix, DriveLogix, FlexLogix, GuardLogix и SoftLogix.

Впервые она была обнаружена еще в феврале 2021 года, когда поставщик объявил о мерах по её устранению и выразил благодарность южнокорейскому университету Сунчунхян, Лаборатории Касперского и Claroty за сообщение о ней.

Причем последняя сообщила о проблеме в Rockwell ещё раньше в 2019 году.

Проблема связана с недостаточно защищенным криптографическим ключом и позволяет удаленному неаутентифицированному злоумышленнику обойти проверку и подключиться к целевому контроллеру, имитируя рабочую станцию инженера.

В реальных условиях промышленного производства эта уязвимость может потенциально обеспечить удаленным злоумышленникам манипулировать логикой ПЛК и нарушать производственные процессы или даже наносить физический ущерб оборудованию.

В четверг Rockwell наряду с CISA обновила свое первоначальное предупреждение, упомянув о задействовании CVE-2021-22681 в реальных условиях, однако никакой информации об этих атаках компания не предоставила.

Телеметрия Shodan в настоящее время показывает почти 6000 устройств Rockwell, подключенных к интернету, но неясно, сколько из них могут быть затронуты CVE-2021-22681.

При этом в 2024 году Rockwell также выпускала уведомление о безопасности, настоятельно призывая клиентов убедиться, что их устройства ICS не подключены к интернету.

Одна из уязвимостей, указанных в том предупреждении, - CVE-2021-22681, что указывает на то, что производитель не исключил возможности злонамеренной эксплуатации.

К настоящему времени CVE-2021-22681 - единственная в продуктах Rockwell, включенная в каталог ключевых уязвимостей CISA. Предыдущие уже становились целями APT-атак в 2023 году, как на этот раз обстоят дела - будем посмотреть.