О, какие люди, Гостев заехал!

Старый добрый SecAtor никуда не подевался, просто остепенился немного, рубашку с безрукавкой на старые пузырчатые треники натянул и даже матом ругаться перестал (а ведь было, было…)

Но если честно (только тсссс), то самим иногда хочется окунуться в старое доброе веселье и замутить перфоманс типа принадлежности канала ГрИБам (мир их праху) или рассказать восторженной публике что такое фишинг.

К сожалению, согласно Постановлению Правительства номер 1428-6512/2025 все администраторы инфосек каналов, которые будут себя плохо вести в Телеграм, получат пизды.

Поэтому вот как есть.

Исследователи Лаборатории Касперского расчехлили новую вредоносную ПО для Android под названием BeatBanker.

Она позволяет захватывать устройства и мимикрирует под приложение Starlink на веб-сайтах, маскирующихся под официальный магазин Google Play.

BeatBanker сочетает в себе функции банковского трояна с поддержкой майнинга Monero, а также способна красть учетные данные и манипулировать криптовалютными транзакциями.

Обнаружить ЛК находку удалось в ходе кампаний, нацеленных на пользователей в Бразилии. Кроме того, установлено, что в последней версии вредоносного ПО вместо банковского модуля используется распространенный троян для удаленного доступа к Android под названием BTMOB RAT.

Он обеспечивает операторам полный контроль над устройством, возможность регистрации нажатий клавиш, записи экрана, доступа к камере, GPS-отслеживания и захвата учетных данных.

BeatBanker распространяется в виде APK-файла, который использует нативные библиотеки для расшифровки и загрузки скрытого кода DEX непосредственно в память с целью обхода защиты.

Перед запуском выполняется проверка окружения, после которой BeatBanker отображает фейковый экран обновления Play Store, чтобы обманом заставить жертв предоставить ей разрешение на установку дополнительных вредоносных ПО.

Чтобы избежать срабатываний, BeatBanker на некоторое время после установки приостанавливает вредоносные операции.

Как отмечают в ЛК, вредоносная ПО использует необычный метод для поддержания своего присутствия. В частности, непрерывно воспроизводит практически неслышимую 5-секундную запись китайской речи из MP3-файла с именем output8.mp3.

KeepAliveServiceMediaPlayback обеспечивает непрерывную работу, инициируя бесперебойное воспроизведение через MediaPlayer, поддерживая работу сервиса в фоновом режиме с помощью уведомлений и загружая небольшой непрерывный аудиофайл.

Это позволяет предотвращать приостановку или завершение процесса системой из-за бездействия.

BeatBanker использует модифицированный майнер XMRig версии 6.17.0, скомпилированный для устройств ARM, реализуя майнинг Monero.

XMRig подключается к контролируемым злоумышленниками майнинговым пулам, используя зашифрованные TLS-соединения, и переключается на прокси-сервер, если основной адрес не работает.

Запуск или остановка майнера могут осуществляться динамически в зависимости от состояния устройства, которое операторы тщательно отслеживают для обеспечения оптимальной работы и поддержания скрытности.

Используя Firebase Cloud Messaging (FCM), вредоносная ПО непрерывно отправляет на сервер C2 информацию об уровне заряда батареи и температуре устройства, состоянии зарядки, активности использования, а также о том, не перегрелось ли оно.

Останавливая майнинг во время использования устройства и ограничивая его физическое воздействие, BeatBanker может оставаться скрытой в течение более длительного периода, добывая криптовалюту, только когда позволяют условия.

На текущий момент все случаи заражения BeatBanker ЛК фиксируются только в Бразилии. Но не исключается, что они могут распространиться и на другие страны, если её эффективность будет реализована в этом сегменте.

Но будем посмотреть.

По всей видимости, Coruna, сложный набор инструментов для взлома iPhone, раскрытый Google и iVerify на прошлой неделе, является разработкой американского военного подрядчика L3Harris.

Такое предположение допустили двое бывших сотрудников L3Harris, по мнению которых Coruna была, по крайней мере частично, разработана подразделением компании по разработке хакерских и разведывательных технологий, Trenchant.

Они по работе были знакомы с инструментами компании для взлома iPhone и поделились своими выводами на условиях анонимности, поскольку не уполномочены вдаваться в подробности своей работы в компании. Причем Coruna было внутренним названием компонента.

Как отметил один из разработчиков, если взглянуть на технические детали, имея в виду некоторые из опубликованных Google артефактов, то многое из этого им оказалось знакомым.

При этом весь набор инструментов Trenchant включал в себя несколько различных компонентов, в том числе Coruna и связанные с ней эксплойты.

Другой бывший сотрудник подтвердил, что некоторые детали, включенные в опубликованный набор инструментов для взлома, были взяты из Trenchant.

L3Harris реализует инструменты для взлома и кибершпионажа, разработанные Trenchant, исключительно правительству США и его союзникам по разведальянсу Five eyes, в который входят Австралия, Канада, Новая Зеландия и Великобритания.

Не так давно в штатах прогремел скандал, связанный с разоблачением бывшего руководителя Trenchant, который получил семь лет тюрьмы за продажу эксплойтов своей компании представителям Operation Zero.

Тем не менее, возможная связь утечки Coruna с задержанием Питера Уильямса в отчете не подтверждается и пока нет оснований утверждать, что Coruna - это именно те инструменты, которые продал бывший руководитель Trenchant.

Но очевидно другое, две использованные Coruna уязвимости, названные Photon и Gallium, задейстововались в качестве нулей в «Операции Триангуляция», нацеленной на российских пользователей iPhone, которую раскрыли в Лаборатории Касперского в 2023 году.

Один из бывших сотрудников Trenchant отметил, что когда в 2023 году впервые была обнаружена Триангуляция, в компании считали, что по крайней мере одна из 0-day, раскрытых ЛК, «была создана нами и, возможно, «вырвана» из общего проекта, в который входила Coruna».

Еще одна подсказка, указывающая на Trenchant, - как отметил исследователь Костин Райу, - это использование названий птиц для некоторых из 23 инструментов.

В 2021 году The Washington Post сообщала, что Azimuth, один из двух стартапов, позже приобретенных L3Harris и объединенных с Trenchant, продал ФБР инструмент для взлома под названием Condor в рамках известного дела о взломе iPhone в Сан-Бернардино.

На фоне новых деталей в кейсе Coruna будет интересно, как на этот раз Apple будет объяснять появление в ее коде Photon и Gallium. Впрочем, вряд ли уже что-то можно добавить. Но будем посмотреть.

Исследователи CyFirma также сообщают об обнаружении нового высокоэффективного трояна для удаленного доступа к Android под названием TaxiSpy RAT, который четко нацелен на российские банки, торговые площадки и приложения.

Вредоносная ПО использует передовые методы обхода защиты, такие как шифрование с помощью встроенных библиотек, обфускация строк с помощью скользящего XOR и удаленное управление в реальном времени, аналогичное VNC.

TaxiSpy RAT использует собственную библиотеку sysruntime.so для выполнения критически важных операций, чтобы избежать статического анализа, а также постоянно меняющиеся ключи для адресов C2, учетных данных Firebase и данных конфигурации. Кроме того, скрывает инфраструктуру и конфиденциальные данные до момента выполнения.

Связь с сервером C2 (193.233.112[.]229) реализуется с использованием протоколов HTTP POST и WebSocket, поддерживая динамическое выполнение команд, формирование отчетов о результатах выполнения и обновление конфигурации бота.

Команды Firebase push позволяют TaxiSpy RAT осуществлять удаленное управление и обеспечивать сохранение данных.

Вредоносная ПО обфусцирует обмен данными между контроллером и управляющим устройством (C2) с помощью пользовательских процедур XOR и нелинейных шаблонов доступа к памяти.

Для предотвращения обнаружения используется постоянно меняющиеся ключи шифрования и расшифровка конфиденциальных данных в режиме реального времени.

При этом использует случайные имена пакетов и ориентирован на новейшие API Android, сохраняя при этом обратную совместимость.

Доступ в режиме реального времени, аналогичный VNC, осуществляется через WebSockets, используя API Accessibility и MediaProjection.

Операторы получают возможность фиксировать экран, PIN-коды и действия пользователя на экране блокировки или в банковских приложениях, а также удаленно выполнять действия и осуществлять наблюдение.

Механизмы сохранения и скрытности TaxiSpy RAT включают многоуровневое сохранение данных, сокрытие значка приложения и обход оптимизации батареи, чтобы оставаться активным на устройстве.

Ее конструкция позволяет осуществлять всесторонний мониторинг устройства, включая SMS-сообщения, журналы звонков, контакты, уведомления и мониторинг банковских приложений, что подчеркивает ее финансовую направленность и региональную специфичность.

Исследователи также отмечают операционную гибкость нового трояна, который поддерживает несколько архитектур ЦП: arm64-v8a, armeabi-v7a, x86_64.

Обладает функционалом создания ключей для отдельных участников кампании, обеспечивая разделение партнерских программ или использование одной и той же инфраструктуры С2 сразу несколькими участниками.

TaxiSpy RAT способна похищать различные типы данных на основе команд злоумышленника, включая конфиденциальные пользовательские данные, медиафайлы и метаданные приложений.

Как отмечают в CyFirma, троянская программа разработана для скрытого взлома российских пользователей, сбора конфиденциальной информации и обеспечения удаленного управления с помощью нативных программ и командной инфраструктуры на базе Firebase.

Широкие права доступа, многоуровневое закрепление и логика, нацеленная на приложения, демонстрируют стратегически ориентированную, финансово мотивированную угрозу, что делает ее значительным риском для российских пользователей и банковских систем.

WordFence предупреждает об уязвимости SQL-инъекции в плагине Ally для WordPress от Elementor с более чем 400 000 установками.

Уязвимость отслеживается как CVE-2026-2413 и получила высокий уровень серьезности. Обнаружение приписывается Дрю Вебберому (mcdruid) из компании Acquia.

CVE-2026-2413 затрагивает все версии Ally до 4.0.3 включительно и позволяет неавторизованному злоумышленнику внедрять SQL-запросы через путь URL из-за некорректной обработки предоставленного пользователем параметра URL в критической функции.

Проблема обусловлена недостаточным экранированием параметра URL, предоставленного пользователем, в методе get_global_remediations(), где он напрямую объединяется в оператор SQL JOIN без надлежащей проверки на соответствие контексту SQL.

Хотя функция esc_url_raw() применяется для обеспечения безопасности URL-адресов, она не предотвращает внедрение метасимволов SQL (одиночных кавычек, скобок).

Это позволяет неавторизованным злоумышленникам добавлять дополнительные SQL-запросы к уже существующим запросам, которые могут быть использованы для извлечения конфиденциальной информации из базы данных с помощью методов слепой SQL-инъекции, основанных на времени.

Wordfence отмечает, что использование уязвимости возможно только в том случае, если плагин подключен к учетной записи Elementor и активен модуль «исправление ошибок».

Исследователи подтвердили наличие уязвимости и сообщили о ней поставщику 13 февраля. Elementor исправил уязвимость в версии 4.1.0 (последней), выпущенной 23 февраля, а исследователю было выплачено вознаграждение в размере 800 долларов.

При этом по данным WordPress, только около 36% сайтов с плагином Ally, обновились до версии 4.1.0, так что более 250 000 до сих пор остаются уязвимыми для CVE-2026-2413.

Помимо обновления Ally до версии 4.1.0 администраторам также рекомендуется установить последнее обновление безопасности для WordPress, выпущенное вчера. WordPress 6.9.2 включает исправления 10 уязвимостей, включая XSS, обход авторизации и SSRF.

Новые атаки в рамках кампании PhantomRaven, нацеленной на цепочку поставок, обрушились на npm, распространяя десятки вредоносных пакетов, которые похищают конфиденциальные данные у разработчиков JavaScript.

Кампания была впервые обнаружена еще в октябре 2025 исследователями Koi, заметившими, что она действовала с августа и привела к публикации 126 вредоносных пакетов на платформе npm.

В свою очередь, Endor Labs обнаружила три дополнительных волны атак PhantomRaven в период с ноября 2025 года по февраль 2026 года, в ходе которых было распространено 88 пакетов с помощью 50 временных учетных записей.

В большинстве случаев злоумышленники использовали тактику «слопсквоттинга», мимикрируя под такие известные проекты, как Babel и GraphQL Codegen. Причем использовавшиеся имена при публикации вредоносных пакетов генерировались посредством LLM.

По данным Endor Labs, 81 вредоносный пакет PhantomRaven по-прежнему доступен в реестре npm.

PhantomRaven задействует метод обхода обнаружения, называемый удаленными динамическими зависимостями (RDD), при котором в метаданных package.json указывается зависимость по внешнему URL-адресу.

Таким образом, злоумышленнику не нужно внедрять вредоносный код в пакет, обходя автоматическую проверку.

Когда ничего не подозревающий разработчик запускает команду npm install, зависимость, содержащая вредоносное ПО, автоматически загружается с сервера злоумышленника и выполняется.

Согласно исследованию Endor Labs, вредоносная ПО собирает различную конфиденциальную информацию со скомпрометированного компьютера, включая электронные письма из файлов gitconfig, npmrc и переменные окружения.

В качестве целевых объектов также выступают токены CI/CD с платформ GitHub, GitLab, Jenkins и CircleCI.

Исследователи утверждают, что вредоносная ПО также собирает системную информацию, такую как IP-адрес, имя хоста, ОС и версия Node, для идентификации машины.

На заключительном этапе вредоносный пакет передает украденные данные на C2-сервер злоумышленника. Обычно это делается с помощью HTTP GET-запроса, но для большей надежности также используются HTTP POST и WebSocket.

Endor Labs также заметила, что инфраструктура остается стабильной на протяжении всех четырех наблюдаемых волн PhantomRaven: домены, содержащие слово artifact, размещены на платформе Amazon Elastic Compute Cloud (EC2) и не имеют TLS-сертификата.

Полезная нагрузка также была практически идентична во всех волнах, при этом 257 из 259 строк кода остались неизменными.

Однако злоумышленники усовершенствовали свои методы работы, меняя учетные записи npm и электронную почту, изменяя метаданные пакетов и модифицируя конечные точки PHP. Кроме того, они стали публиковать изменения чаще, добавив четыре пакета за один день, 18 февраля.

Несмотря на отсутствие сложных методов, PhantomRaven продолжается и использует все ту же технику, инфраструктурные схемы и структуру полезной нагрузки, оставаясь в рабочем состоянии при минимальных изменениях в доменах, конечных точкках, учетных записях npm и именах зависимостей.

Pillar Security сообщает о двух критических уязвимостях в n8n, которые могуь быть использованы для RCE и выхода из песочницы, что потенциально приведет к раскрытию всех учетных данных, хранящихся в базе данных n8n.

Первая ошибка, CVE-2026-27493 (CVSS 9,5), описывается как проблема внедрения выражений второго порядка, затрагивающая узлы Form платформы автоматизации рабочих процессов с открытым исходным кодом.

Успешная эксплуатация уязвимости позволяет неавторизованному злоумышленнику внедрить произвольные команды в поле Name и получить результат выполнения команды.

Уязвимость связана с ем, что n8n использовал два прохода оценки выражений для анализа пользовательского запроса, при этом полезная нагрузка злоумышленника оценивалась как новое выражение во время второго прохода.

По данным Pillar Security, эта уязвимость может быть связана со второй критической проблемой, которая отслеживается как CVE-2026-27577 (CVSS 9,4) и позволяет выйти за пределы песочницы n8n для выполнения команд на хосте.

Уязвимость обусловлена тем, что уязвимый узел работает на этапе компиляции, до запуска средств проверки работоспособности во время выполнения.

Обе уязвимости были устранены в конце февраля в n8n 2.10.1, 2.9.3 и 1.123.22.

Патч позволил устранить второй проход оценки выражений и некоторые ранее принятые параметры, включил несколько глобальных идентификаторов в список заблокированных идентификаторов песочницы и усилил анализ идентификаторов с учетом AST.

Обе проблемы затрагивали как локальные, так и облачные развертывания и могли быть использованы для извлечения всех учетных данных из баз данных n8n, включая ключи AWS, пароли, токены OAuth и ключи API.

Как отмечают в Pillar, по своей функции n8n - это хранилище учетных данных, где также располагаются ключи от каждой системы, к которой подключается. Единый выход из песочницы фактически открывает доступ к экземпляру n8n и каждой подключенной системе.

Поскольку конечные точки форм предназначены для доступа из интернета, CVE-2026-27493 может быть использована любым пользователем, отправившим всего одну форму и выполнившим GET-запрос.

В случае развертывания n8n Cloud и многопользовательских систем последствия выходят за рамки отдельного экземпляра.

Обход песочницы в n8n Cloud предоставляет доступ к общей инфраструктуре, создавая риск для разных пользователей: одна общедоступная форма в рабочем процессе одного пользователя может служить точкой входа.

Google анонсировала экстренные обновления для устранения двух серьезных уязвимостей в Chrome, которые задействовались в атаках в качестве 0-day.

Первая (CVE-2026-3909) связана с проблемой записи за пределы допустимого диапазона в Skia, библиотеке с открытым исходным кодом для 2D-графики, отвечающей за рендеринг веб-контента и элементов пользовательского интерфейса.

Злоумышленники могут использовать ее для вызова сбоя веб-браузера или даже для RCE.

Вторая, CVE-2026-3910, связана с некорректной реализацией в движке JavaScript и WebAssembly V8.

Google обнаружила обе уязвимости и устранила их в течение двух дней. Новые версии доступны для систем Windows (146.0.7680.75), macOS (146.0.7680.76) и Linux (146.0.7680.75).

Традиционно компания сообщает об обнаружении следов эксплуатации двух 0-day, но при этом не приводит никаких дополнительных подробностей в отношении замеченных инцидентов.

С начала года это уже вторая и третья активно используемые 0-day в Chrome. Первая, CVE-2026-2441 в CSSFontFeatureValuesMap (реализация значений характеристик шрифтов CSS в Chrome), была исправлена в середине февраля.

Если динамика нулей сохраниться, то у Google будут все шансы повторить предыдущий год с 8 0-day, а может и вовсе перевалить за эту планку. Но будем посмотреть.

На фоне скандала с разоблачением Coruna в компании Apple решили приступить к срочным исправлениям уязвимостей в старых моделях iPhone и iPad, которые задействовались в кибершпионаже с помощью продвинутого эксплойт-набора.

Некоторые из этих уязвимостей безопасности уже были устранены в предыдущих обновлениях для более новых моделей устройств iOS, начиная с сентября 2023 года.

Apple заявляет, что вышедшие патчи устраняют проблемы безопасности iOS, на которые нацелены многочисленные цепочки эксплойтов, многие из которых используются в 0-day атаках, позволяя реализовать EoP или получение RCE на уязвимых устройствах.

В списке закрытых уязвимостей:

- CVE-2023-41974: проблема использования памяти после освобождения памяти ядром, устранена за счет улучшения управления памятью.

- CVE-2024-23222: проблема, связанная с путаницей в WekKit, исправлена путем улучшения проверок.

- CVE-2023-43000: проблема использования памяти после освобождения памяти в WebKit, закрыта за счет улучшения управления памятью.

- CVE-2023-43010: проблема в WebKit, решена за счет улучшения обработки памяти.

Линейка затронутых устройств достаточно широка и включает в себя широкий спектр старых моделей под управлением iOS 15.8.7/16.7.15 и iPadOS 15.8.7/16.7.15:

- iPhone 6s (все модели), iPhone 7 (все модели), iPhone SE (1-го поколения), iPhone 8 и 8 Plus, iPhone X

- iPad Air 2, iPad mini (4-го поколения), iPod touch (7-го поколения), iPad 5-го поколения, iPad Pro 9,7 дюйма и iPad Pro 12,9 дюйма 1-го поколения

В пятницу CISA добавила три из 23 уязвимостей, применяемых в Coruna, в свой каталог известных эксплуатируемых уязвимостей (KEV), включая уязвимость WebKit CVE-2023-43010, которую Apple перенесла в свою систему на этой неделе.

Как мы и предполагали, в Apple помимо патчей никак не комментируют ситуацию вокруг Coruna и тем более не принимают никакого участия в расследовании, ведь, как говорится, в любом расследовании - главное не выйти на самих себя.

Исследовали Solar 4RAYS выкатили отчет с результатами расследований инцидентов в 2025 году, которые проводились в российских частных и государственных организациях.

В абсолютном большинстве случаев речь идет об атаках профессиональных хакеров, преследующих либо финансовые цели либо работающих в интересах иностранных правительств.

Помимо данных, полученных непосредственно в ходе расследований, исследование содержит аналитику по наиболее атакуемым отраслям, квалификации злоумышленников и их мотивации.

Кроме того, в отчете представлен обзор основных кибергруппировок, с деятельностью которых в Solar 4RAYS столкнулись в ходе расследований. Новый отчет является финальной версией исследования, которое Солары публиковали в ноябре 2025 года.

Подробно останавливаться не будем отметим лишь наиболее значимые тренды:

- Количество инцидентов, расследованных Solar 4RAYS в 2025 году, осталось ровно на том же уровне, что и в 2024.

- Количество атакованных продвинутыми хакерами сфер экономики сократилось с 19 до 10. Госорганы, промышленность, IT, здравоохранение и энергетика оказались в топе. Организации из энергетики попали в поле пристального внимания злоумышленников в 2025 году впервые за всю историю наблюдений.

- Доля атак с целью шпионажа выросла на два процентных пункта (п.п.) и составила 60% от всех инцидентов были связаны с охотой за конфиденциальными данными.

- Атаки хактивистов упали на 3 п.п.: атакующие сфокусировались на более скрытных атаках в отношении значимых целей - крупных организаций из значимых сфер экономики.

- Масштаб деятельности проукраинских группировок значительно уменьшился. Если в 2024 году на них приходилось около 70% расследованных инцидентов, то в 2025 году их доля сократилась до 24,6%. Видимо, свет притушили.

- В 2025 году увеличилось количество группировок и кластеров вредоносной активности. В 2024 году Solar 4RAYS отследили деятельность девяти группировок, а в 2025 - уже 18. Многие из них - ранее неизвестные группы и кластеры.

- Каждый пятая расследованная атака длилась от 6 месяцев до года. Доля таких атак возросла на значительные 13 п.п., а это указывает на стремление атакующих к длительному присутствию в инфраструктурах компаний-жертв.

- Уязвимости в веб-приложениях остаются наиболее распространенным способом первоначального проникновения хакеров, однако в 2025 году значительный рост показали атаки через подрядчиков: 24% всех случаев. При этом в 2024 на такие инциденты приходилось всего 6%.

Подробная инфографика, обзоры инцидентов, наиболее интересные TTPs и рекомендации - в отчете.

Veeam Software устранила множество уязвимостей в своем решении для резервирования, включая четыре критические уязвимости, связанные с RCE.

Veeam Backup & Replication - это корпоративное ПО для резервного копирования и восстановления данных, которое помогает ИТ-администраторам создавать копии критически важных данных для быстрого восстановления после кибератак и сбоев оборудования.

Три RCE-уязвимости (CVE-2026-21666, CVE-2026-21667 и CVE-2026-21669) позволяют пользователям домена с низкими привилегиями выполнять удаленный код на уязвимых резервных серверах в рамках атак низкой сложности.

Четвертая CVE-2026-21708 позволяет Backup Viewer получить доступ к удаленному выполнению кода от имени пользователя postgres.

Veeam также устранила несколько серьезных уязвимостей, которые могут быть использованы для EoP на серверах Veeam Backup & Replication под управлением Windows, извлечения учетных данных SSH и обхода ограничений для манипулирования произвольными файлами в хранилище резервных копий.

Все они были обнаружены в ходе внутреннего тестирования, а также раскрыты через HackerOne. Устранены в версиях Veeam Backup & Replication 12.3.2.4465 и 13.0.1.2067.

Кроме того, Veeam предупредила администраторов о необходимости как можно скорее обновить ПО до последней версии, поскольку злоумышленники часто начинают разрабатывать эксплойты вскоре после выпуска обновлений.

Стоит отметить, что VBR весьма популярен среди поставщиков управляемых услуг, средних и крупных предприятий. И не менее востребован среди киберподполья, поскольку служит отправной точкой для горизонтального перемещения внутри взломанных сетей, упрощает кражу данных и позволяет легко блокировать попытки восстановления через удаление резервных копии.

В прошлом дефекты в VBR активно использовались бандами вымогателей Conti, BlackBasta и Cuba. В сентябре 2024 операторы Frag умело препарировали RCE в VBR, которая также фигурировала в атаках Akira и Fog, замеченных позже в октябре 2024 года.

И не удивительно, ведь продукцией Veeam пользуются более 550 000 клиентов по всему миру, в том числе 74% компаний из списка Global 2000 и 82% компаний из Fortune 500. Так что будем следить за новой партией CVE.

Исследователи F6 выкатили разбор новой версии банковского Android-трояна Falcon, зафиксировав новую волну атак на пользователей в России.

Впервые о нем специалисты F6 сообщили еще в начале февраля 2026.

По данным F6, на конец февраля, в России насчитывалось более 10 тыс. Android-устройств, скомпрометированных трояном Falcon.

Falcon - вредоносная ПО для Android, впервые обнаруженная в июле 2021 года, в основе которой банковский троян Anubis.

Она похищает информацию с зараженного устройства с помощью команд, полученных с управляющего сервера.

Летом 2022 года ее распространяли под видом российских банковских приложений.

Образцы этой вредоносной ПО аналитики F6 обнаружили в начале 2026 года. Исследование показало: по сравнению с версией трёхлетней давности новый Falсon серьёзно усовершенствовали.

В приложение добавили модуль VNC для удалённого управления устройством пользователя, возможность отправлять скомпрометированные данные через Telegram – и это лишь малая часть изменений, которые превратили хорошо забытое вредоносное ПО в очень опасного монстра.

В отличие от трояна Mamont и вредоносных версий легитимного приложения NFCGate, которые злоумышленники изначально создавали для кражи денег с банковских счетов пользователей, Falcon предназначался в первую очередь для кражи данных.

Однако Falcon образца 2026 года напоминает высокотехнологичный швейцарский нож, которым киберпреступники могут воспользоваться не только для кражи ключа от квартиры, где «деньги лежат», так и для хищения кошелька, и для шпионажа.

Особая опасность новой версии трояна – в том, что для неопытного пользователя его действия, которые приводят к получению контроля над устройством и краже чувствительных данных, малозаметны и порой могут казаться «глюками» в работе Android-смартфона.

Сам FalconRAT мимикрирует под приложения крупных банков, государственных структур, платёжные сервисы, а также VPN-сервисы, подменяя название приложения и его интерфейс.

Falcon ориентирован на кражу данных более чем 30 приложений ведущих российских банков и инвестфондов, госсервисов, операторов связи, маркетплейсов, соцсетей и мессенджеров, магазинов приложений, популярных сервисов объявлений, приложений для бесконтактных платежей, заказа такси, покупки билетов и бронирований, российских почтовых и облачных сервисов, YouTube, а также VPN.

Проще говоря, вредоносная ПО действует как универсальная «отмычка», с помощью которой злоумышленники могут получить доступ к учётным записям пользователей для работы в самых разных сервисах.

Для этого Falcon в момент запуска целевых приложений подменяет изображение на экране, открывая фейковую страницу, стилизованную под конкретный сервис.

Как только пользователь введёт логин, пароль и код 2Fa, все данные сразу же отправляются злоумышленникам.

В F6 отмечают крайне высокий уровень защиты вредоносной ПО от антивирусов. Falcon способен их удалять с устройства сразу после установки, а также препятствать пользователю в использовании встроенных механизмов для анализа устройства и удаления вредоносного приложения.

Наличие антивируса на Android-устройстве не гарантирует его безопасности при атаке с использованием Falcon. Защита RAT от антифрод-систем включает смену названий пакетов и высокий уровень обфускации трояна.

Технический разбор и подробности - как всегда, в отчете.

Анонсирован новый инструмент с открытым исходным кодом Betterleaks, который способен сканировать каталоги, файлы, репозитории Git и идентифицировать действительные секреты, используя правила по умолчанию или пользовательские правила.

Сканеры секретов представляют собой класс специализированных утилит для сканирования репозиториев на предмет конфиденциальной информации, такой как учетные данные, ключи API, закрытые ключи и токены, которые разработчики случайно добавили в исходный код.

Поскольку злоумышленники часто сканируют конфигурационные файлы в общедоступных репозиториях на предмет конфиденциальной информации, подобные утилиты могут помочь выявить секреты и защитить их до того, как злоумышленники доберутся до них.

Новый проект задуман как более совершенный преемник Gitleaks и поддерживается той же командой при участии бельгийской компании Aikido, предоставляющей платформу для обеспечения безопасности цикла разработки.

Betterleaks был разработан Заком Райсом из Aikido Security, который также является автором популярного Gitleaks, имеющего 26 миллионов загрузок на GitHub и более 35 миллионов запросов на Docker и GitHub Container Registry (GHCR).

Создание улучшенной версии Gitleaks началось после того, как Райс потерял полный контроль над проектом, к разработке которого он приступил еще восемь лет назад. Новый инструмент включает в себя целый набор улучшений, среди которых:

- Проверка, определяемая правилами, с использованием CEL (Common Expression Language).
- Сканирование эффективности токенов на основе токенизации BPE, вместо энтропии, достигло 98,6% полноты по сравнению с 70,4% при использовании энтропии на наборе данных CredData.
- Реализация на чистом Go (без зависимостей от CGO или Hyperscan).
- Автоматическая обработка секретов с двойным/тройным кодированием.
- Расширен набор правил для большего числа поставщиков услуг.
- Параллельное сканирование Git для более быстрого анализа репозитория

Помимо этого разработчик также раскрыл дополнительные функции, запланированные для следующей версии Betterleaks:
- поддержка дополнительных источников данных помимо репозиториев и файлов Git,
- анализ с использованием LLM для более точной классификации секретов,
- больше фильтров обнаружения,
- автоматическое аннулирование секретов через API поставщиков,
- сопоставление разрешений и оптимизация производительности.

Что касается управления проектом, Райс поясняет, что использует лицензию с открытым исходным кодом MIT и поддерживается тремя дополнительными участниками помимо него самого, включая коллег из Королевского банка Канады, Red Hat и Amazon.

Райс подчеркнул, что философия дизайна Betterleak сочетает в себе ориентированность на человека и учет рабочих процессов агентов ИИ, включая функции командной строки, оптимизированные для автоматизированных инструментов, сканирующих код, сгенерированный ИИ.

Исследователи Qualys обнаружили многочисленные уязвимости в модуле AppArmor ядра Linux, которые могут быть использованы непривилегированными пользователями для обхода защиты ядра, повышения привилегий до уровня root и подрыва изоляции контейнеров.

В общей сложности девять уязвимостей второго уровня получили общее кодовое название CrackArmor и существуют с 2017 года. Идентификаторы CVE для этих уязвимостей пока не присвоены.

AppArmor - это модуль безопасности Linux, обеспечивающий обязательный контроль доступа (MAC) и защищающий ОС от внешних и внутренних угроз, предотвращая использование известных и неизвестных уязвимостей приложений. Включен в основное ядро Linux начиная с версии 2.6.36.

Как отмечают исследователи, уязвимость в механизме замещенияс позволяет манипулировать профилями безопасности с помощью псевдофайлов, обходить ограничения пространства имен пользователей и выполнять произвольный код в ядре.

Ошибки облегчают локальное повышение привилегий до уровня root посредством сложного взаимодействия с такими инструментами, как Sudo и Postfix, а также DoS-атаки путем исчерпания стека и обхода алгоритма рандомизации адресного пространства ядра (KASLR) посредством чтения за пределы допустимого диапазона.

По сути, проблема заключается в использовании доверия, связанного с более привилегированным инструментом, для выполнения команды, которая приводит к повышению привилегий.

Qualys отмечает, что субъект, не имеющий разрешений на выполнение какого-либо действия, может манипулировать профилями AppArmor для отключения критически важных средств защиты служб или применять политики «запретить все», что приведет к DoS.

Манипулирование политиками компрометирует весь хост, а обход пространств имен облегчает сложные эксплойты ядра, такие как произвольное раскрытие памяти.

Возможности DoS-атак и LPE приводят к сбоям в работе служб, подделке учетных данных с помощью root-прав без пароля или раскрытию KASLR, что позволяет создавать дальнейшие цепочки удаленной эксплуатации.

Ситуация усугубляется тем, что CrackArmor позволяет непривилегированным пользователям создавать полнофункциональные пользовательские пространства имен, фактически обходя ограничения на пользовательские пространства имен Ubuntu, реализованные через AppArmor, а также подрывая критически важные гарантии безопасности (изоляция контейнеров, обеспечение минимальных привилегий и усиление защиты сервисов).

В Qualys пока воздерживаются от публикации демонстрационных PoC для выявленных уязвимостей, дабы дать пользователям время определить приоритетность установки исправлений и минимизировать риски.

Проблема затрагивает все ядра Linux, начиная с версии 4.11, на любых дистрибутивах, использующих AppArmor.

Учитывая, что более 12,6 миллионов корпоративных экземпляров Linux работают с включенным по умолчанию AppArmor в нескольких основных дистрибутивах, таких как Ubuntu, Debian и SUSE, рекомендуется немедленно установить патчи ядра для устранения этих уязвимостей.

Microsoft выпустила внеплановое обновление (OOB) для устранения уязвимостей, затрагивающих устройства Windows 11 Enterprise, которые получают обновления Hotpatch вместо обычных накопительных обновлений Patch Tuesday.

Вышло KB5084597 с устранением уязвимости в инструменте управления службой маршрутизации и удаленного доступа Windows (RRAS), которые могли позволить удаленное выполнение кода при подключении к вредоносному серверу.

Проблема касается лишь ограниченного набора сценариев, связанных с корпоративными клиентскими устройствами, на которых выполняются обновления с помощью «горячих патчей» и которые используются для удаленного управления серверами.

Обновление KB5084597 ориентировано на версии Windows 11 25H2 и 24H2, а также на системы Windows 11 Enterprise LTSC 2024.

Microsoft отслеживает исправленные в этом патче уязвимости как CVE-2026-25172, CVE-2026-25173 и CVE-2026-26111, которые были исправлены в рамках мартовского Patch Tuesday.

Злоумышленник, прошедший аутентификацию в домене, может использовать эту уязвимость, обманом заставив пользователя, подключенного к домену, отправить запрос на вредоносный сервер через RRAS (Routing and Remote Access Service).

Обновление является накопительным и включает в себя все исправления и улучшения из мартовского обновления безопасности Windows 2026 года, выпущенного 10 марта. При этом установка накопительных обновлений требует перезагрузки устройств.

В противном случае доступно горячее исправление, позволяющее применять новые исправления уязвимостей путем внесения изменений в память запущенных процессов. Одновременно они обновляют файлы на диске, так что при следующей перезагрузке устройства исправления остаются в силе.

Microsoft заявляет, что ранее выпускала исправления для этих уязвимостей, но вчера повторно выпустила их, чтобы «обеспечить всестороннее покрытие всех затронутых сценариев».

Но это обновление будет доступно только для устройств, зарегистрированных в программе обновления и управляемых через Windows Autopatch, оно будет установлено автоматически без необходимости перезагрузки.

Исследователи из Лаборатории Касперского раскрыли подробности в отношении активности новой группы Toy Ghouls (тbearlyfy или laboo.boo), нацеленной на российские организации.

Злоумышленники действуют как минимум с января 2025 года и преследуют финансовые цели, практикуя вымогательство. При этом они не разрабатывают собственные инструменты, а полагаются преимущественно на общедоступные утилиты и слитый код.

В качестве финальной полезной нагрузки группа использует программы-вымогатели из семейств LockBit и RedAlert для систем Windows, а также Babuk для Linux и ESXI. При этом у группы нет DLS сайта: в принципе не выявлено никаких признаков сбора конфиденциальных данных.

При этом Toy Ghouls отличаются креативным подходом к созданию записок о выкупе, представляясь монстром Лабубу и часто включая в свои послания аллюзии на сферу деятельности атакованной компании вместе с едкими шутками в адрес жертвы.

Вместе с тем, в деятельности Toy Ghouls обнаружись признаки возможной связи с группой Head Mare, в частности - совпадения в используемых инструментах и сетевой инфраструктуре.

Чаще всего злоумышленники получают доступ к системам жертв либо через скомпрометированную инфраструктуру подрядчиков, либо через общедоступные сервисы. 

В большинстве атак хакеры использовали RDP и злоупотребляли действительными локальными или доменными учетными записями, чьи учетные данные OpenVPN или SSH были скомпрометированы.

Оказавшись внутри инфраструктуры, Toy Ghouls предпринимали попытки горизонтального перемещения при помощи того же RDP. Группа использует небезопасную конфигурацию серверов 1C для загрузки инструмента 1C-Shell, а также инструменты удаленного администрирования MeshAgent, RuDesktop и AnyDesk.

Toy Ghouls используют NSSM для создания или изменения служб Windows, которые запускают вредоносные исполняемые файлы. Также для обеспечения постоянного доступа к хосту создают новые локальные учетные записи с помощью системной утилиты net.exe.

Еще один метод закрепления в системе, выполнения вредоносных действий и инструментов - запланированные задачи. С их помощью группа Toy Ghouls, в частности, создает SSH-туннели и отключает виртуальные машины.

В ходе своих атак группа часто доставляет на атакуемые хосты утилиты, которые впоследствии помогут злоумышленникам перемещаться по сети - OpenSHH и localtonet.

Основной метод перенаправления трафика у Toy Ghouls заключается в применении обратного SSH-туннеля с использованием переадресации портов (-R) для обеспечения доступа к серверу внешнего хоста. Также используют утилиты GOST, rsocx, cloudflared и localtonet.

Для разведки внутренней сети злоумышленники используют сканеры сети SoftPerfect и fscan, утилиту AdExplorer из пакета Sysinternals Suite для просмотра и анализа структуры Active Directory, а также в разведывательных целях - целый ряд утилит из пакета PSTools.

Toy Ghouls выполняет различные действия на скомпрометированных хостах при помощи запланированных задач, используют PowerShell для выполнения вредоносных скриптов, командную оболочку Windows для выполнения команд в этой ОС и Bash в системах *nix. Для удаленного выполнения команд применяют утилиту PAExec.

Как и многие злоумышленники, Toy Ghouls используют mimikatz, чтобы получить доступ к секретам LSA, извлечь данные из LSASS и другие учетные данные.

В общем, угрозы на российском направлении динамично меняются: все больше групп объединяют свои ресурсы, используют общую инфраструктуру и перенимают друг у друга методы и инструменты. Многие из них значительно повышают уровень своих навыков.

В новых атаках они активно эксплуатируют уязвимости доменной инфраструктуры и используют техники, основанные на доменных механизмах, стремятся действовать более скрытно и все чаще переходят на использование легитимных утилит и методов Living Off the Land.

Как отмечают в ЛК, именно к таким группам можно отнести и Toy Ghouls.

Подробный разбор TTPs Toy Ghouls по модели Unified Kill Chain и IOCs - в отчете.

Исследователи Positive Technologies представили объемный отчет с аналитикой по атакам киберпреступных (от APT до хактивистских) групп в 2025 году, констатировав попадание России в число трех стран, которые чаще всего становились их мишенью, наряду с США и Китаем.

По данным исследования, в 2025 году ключевыми целями злоумышленников оставались кража конфиденциальной информации, промышленный шпионаж, саботаж и получение финансовой выгоды.

При этом в атаках киберпреступники активно применяли ИИ, а также нестандартные инструменты для создания фишинговых кампаний и дипфейков.

Основная часть всех атак в СНГ пришлась на три страны: Россию (46%), Беларусь (11%) и Казахстан (8%). Эксперты связывают это с региональными геополитическими процессами, масштабом экономической деятельности и численностью населения.

Чаще всего СНГ атаковали APT-группировки, а на долю хактивистов пришлось всего 19% атак в регионе. Такое распределение связано с тем, что политически мотивированные злоумышленники зачастую либо подчиняются APT-группам, либо вытесняются ими, выполняя роль посредников.

Всего в 2025 году на территории СНГ Позитивы отслеживали деятельность 123 киберпреступных групп, из которых 57 проявили себя в России. Активнее всего действовали Rare Werewolf, Lifting Zmiy, PhantomCore, Cyber Partisans, Silent Crow и TA558.

Их главными целями стали промышленные предприятия, правительственные учреждения и финансовые организации: на эти сферы пришлось почти 50% всех атак. При этом промышленность атаковало большинство активных группировок.

Последствия подобных киберпреступлений принимали разные формы: от крупных утечек конфиденциальных данных до прямого вывода из строя объектов инфраструктуры.

Фишинг и эксплуатация уязвимостей в публично доступных приложениях оставались в 2025 году главными векторами проникновения во всех регионах мира.

При этом злоумышленники активно внедряли ИИ как для создания более убедительного фишинга, так и для написания вредоносного кода.

Например, Rare Werewolf задействовала собственные вредоносные модули, разработанные с помощью ИИ, в атаках на предприятия авиационной и радиопромышленности. Goffee также применяла нейросети в атаках на российские оборонные компании.

Потенциальный ущерб от таких атак включает не только кражу данных, но и незаметное использование вычислительных мощностей предприятий для добычи криптовалюты.

Для обхода сигнатурных средств защиты, широко распространенных в регионе, злоумышленники маскировали вредоносное ПО под легитимные файлы и популярные расширения, обфусцировали код и применяли автозагрузку через реестр или планировщик задач.

Для выполнения вредоносных скриптов в основном использовались интерпретаторы командной строки. Некоторые группировки также адаптировали вредоносы для проверки среды выполнения, снижая риск их запуска в песочницах.

В совокупности это показывает: квалификация атакующих повышается, а значит, и подходы к защите нуждаются в системном пересмотре. Для минимизации рисков целевых атак необходимо проактивно анализировать угрозы, проводить реалистичные тестирования и обучение команд.

Эксперты ожидают, что в 2026 году высокая активность APT-группировок и хактивистов в регионе сохранится. Даже при возможной заморозке текущих конфликтов атакующие сосредоточатся на промышленном шпионаже и получении разведывательной информации.

Киберпреступники будут активно использовать огромное количество уже скомпрометированных учетных данных в новых попытках получить несанкционированный доступ. Кроме того, запланированные на 2026 год в СНГ масштабные мероприятия могут расширить поверхность атаки.

На этом фоне рынок кибербезопасности в СНГ продолжит активно расти. По прогнозам, с 2024 по 2029 год его объем будет увеличиваться в среднем на 5,97% ежегодно и достигнет к 2029 году 5,52 млрд. долл.

Подробная аналитика (в том числе по регионам), прогнозы и практические рекомендации - в отчете.

Исследователи LayerX раскрыли подробности новой атаки, основанной на изменении отображения шрифтов, которая заставляет ИИ-помощников пропускать вредоносные команды, отображаемые на веб-страницах, скрывая их в, казалось бы, безобидном HTML-коде.

Метод основан на социнженерии и направлен на то, чтобы убедить пользователей выполнить вредоносную команду, отображаемую на веб-странице, при этом команда остается закодированной в базовом HTML-коде, чтобы ИИ-помощники не могли ее проанализировать.

Для подтверждения результатов своего исследования в LayerX разработали PoC, задействующий пользовательские шрифты, которые переназначают символы путем замены глифов, и CSS, который скрывает безобидный текст с помощью уменьшения размера шрифта или выбора определенного цвета, при этом четко отображая вредоносный код на веб-странице.

В ходе тестирования инструменты ИИ проанализировали HTML-код страницы, обнаружив только безобидный текст от злоумышленника, но не смогли проверить вредоносные инструкции, отображаемые пользователю в браузере.

Чтобы скрыть опасную команду, исследователи закодировали её таким образом, чтобы она выглядела для ИИ-помощника как бессмысленный, нечитаемый контент. Однако браузер расшифровывает этот фрагмент и отображает его на странице.

Исследователи полагают, что по состоянию на декабрь 2025 года эта технология успешно реализовывалась в отношении множества популярных ИИ-помощников, включая ChatGPT, Claude, Copilot, Gemini, Leo, Grok, Perplexity, Sigma, Dia, Fellou и Genspark.

Как пояснили исследователи, ИИ анализирует веб-страницу как структурированный текст, а браузер преобразует эту веб-страницу в визуальное представление для пользователя.

В рамках такого слоя рендеринга злоумышленники могут изменять видимое для человека значение страницы, не изменяя базовый DOM. При этом это несоответствие между тем, что видит ассистент, и тем, что видит пользователь, приводит к неточным ответам, опасным рекомендациям и подрыву доверия.

Атака начинается с того, что пользователь заходит на страницу, которая кажется безопасной и обещает какое-то вознаграждение, которое можно получить, выполнив команду для обратной оболочки на машине. Если жертва попросит ИИ-помощника определить, безопасны ли инструкции, она получит обнадеживающий ответ.

Для демонстрации атаки LayerX создала специальную демонстрационную страницу, на которой обещана пасхалка из видеоигры Bioshock, если пользователь будет следовать инструкциям на экране.

В базовом HTML-коде страницы содержится безобидный текст, скрытый от пользователя, но не от ИИ-помощника, а также указанная выше опасная инструкция, которая игнорируется инструментом ИИ, поскольку она закодирована, но видна пользователю благодаря пользовательскому шрифту.

Таким образом, помощник интерпретирует только безопасную часть страницы и не может корректно ответить на вопрос о том, безопасно ли выполнять команду.

LayerX ретранслировала свои выводы поставщикам затронутых ИИ-помощников 16 декабря 2025 года, но большинство из них классифицировали проблему как «выходящую за рамки исследования», поскольку она требовала применения методов социнженерии.

Microsoft выступила единственной компанией, принявшей отчет и запросившей дату полного раскрытия информации, что привело к эскалации проблемы путем открытия обращения в MSRC. В общем, только Microsoft полностью погрузилась в проблему.

В свою очередь, Google первоначально также приняла отчет, присвоив ему высокий приоритет, но позже понизила приоритет и закрыла проблему, заявляя, что она не может причинить «значительный вред пользователям» и что она «чрезмерно основана на социнженерии».

Общая рекомендация для пользователей заключается в том, что не следует слепо доверять ИИ-помощникам, поскольку у них могут отсутствовать средства защиты от определенных типов атак.