CISOCLUB

VPN в России перестаёт быть личным способом открыть недоступный сайт и превращается в отдельную инфраструктурную статью для бизнеса. Компании используют подобные решения не только для доступа к зарубежным сервисам, но и для удалённой работы, подключения сотрудников, защиты каналов, администрирования систем, разработки и работы с подрядчиками. На уровне новых ограничений VPN становится не удобной опцией, а рабочей необходимостью с угрозой поломки части процессов при её отсутствии. Для бизнеса проблема уже не сводится к вопросу доступа к зарубежному ресурсу...

Изображение: grok Аналитики Smart Business Alert (SBA) компании ЕСА ПРО (входит в ГК “Кросс технолоджис”) фиксируют тренд в фишинге: злоумышленники начали отказываться от использования имен брендов в названиях доменов, чтобы усложнить автоматическое выявление по простым маскам. Традиционно фишинговые домены состоят из названия бренда или организации и ключевых слов. Таким образом, мошенники, с одной стороны, делают адреса более убедительными, а с другой стороны, становятся достаточно простой мишенью для обнаружения OSINT-специалистами и DRP-решениями...

CVE-2026-26956 — критическая уязвимость в библиотеке vm2, которая используется для запуска недоверенного JavaScript-кода в изолированной среде приложений Node.js. По данным отчета, проблема позволяет злоумышленнику выйти за пределы песочницы, реализованной в vm2 3.10.4, и выполнить произвольный код на хосте в процессе Node.js. Уязвимости присвоен CVSS 9.8, что указывает на крайне высокий уровень риска. Особую опасность представляет то, что проблема уже подтверждена на Node.js v25.6.1, работающем на x64 Linux. Иными словами, речь идет не о теоретическом сценарии, а о воспроизводимой атаке, затрагивающей реальные инфраструктуры...

CVE-2026-23918 — это уязвимость, обнаруженная в Apache HTTP Server (httpd), конкретно в его реализации HTTP/2. Проблема получила оценку CVSS 8.8, что указывает на высокий уровень серьезности и требует немедленного внимания со стороны администраторов и команд, отвечающих за эксплуатацию серверов. Уязвимость связана с условием double free, классифицируемым как CWE-415. Это происходит, когда программное обеспечение пытается освободить один и тот же участок памяти дважды. Такие ошибки могут приводить к повреждению структур кучи, сбоям приложения и, в наиболее опасных сценариях, к выполнению произвольного кода под контролем злоумышленника...

Operation HookedWing — это стойкая и сложная phishing campaign, которая ведётся с 2022 года и по настоящее время. Она нацелена на широкий круг отраслей, включая aviation, government administration, energy и critical infrastructure. По оценке аналитиков, кампания уже скомпрометировала более 2500 unique credentials из более чем 500 organizations, что говорит о её масштабе и высокой результативности. Ключевая особенность Operation HookedWing — использование собственного phishing kit, который не был связан ни с одним известным threat actor. Это указывает на высокий уровень адаптивности, технической изобретательности и, вероятно, значительные ресурсы, доступные злоумышленникам...

SentinelLABS выявила новый credential-stealing framework под названием PCPJack, предназначенный для проникновения в открытые cloud-инфраструктуры и последующего распространения внутри целевых сред. По данным исследователей, вредоносная активность строится вокруг кражи учетных данных из популярных сервисов и веб-приложений, а не вокруг классической схемы с криптомайнингом. PCPJack ориентирован на сбор данных доступа из Docker, Kubernetes, Redis, MongoDB и других уязвимых web application. Такой подход позволяет злоумышленникам не только развивать external spread, но и выполнять lateral movement внутри корпоративной сети...

Операция GriefLure — это сложная кампания целевого фишинга, нацеленная на старших руководителей Viettel Group, крупнейшей телекоммуникационной компании Вьетнама, а также на сотрудников Медицинского центра Святого Луки на Филиппинах. По данным отчета, злоумышленники выстроили атаку вокруг реального конфликта, связанного с утечкой данных, и использовали подлинные юридические документы, чтобы повысить доверие к рассылке и вынудить получателей открыть вредоносные файлы. Кампания опиралась на сочетание социальной инженерии и техники скрытого запуска вредоносного кода. Жертвам доставляли архив RAR, внутри которого находился вредоносный LNK-файл для Windows...

Operation HumanitarianBait — это сложная campaign кибершпионажа, нацеленная преимущественно на русскоязычных individuals и organizations. Злоумышленники используют social engineering, чтобы получить доступ к системам жертв, а затем разворачивают многоэтапную цепочку заражения, рассчитанную на скрытность, закрепление в системе и длительный сбор данных. Атака стартует с фишинговых писем, в которых содержится вредоносный LNK-file, спрятанный внутри RAR-архива. В сообщении используется тема запроса гуманитарной помощи, что помогает эксплуатировать contextual trust — доверие к теме и контексту переписки...

Salat Stealer — это сложная Trojan программа класса RAT, написанная на языке Go и совмещающая функции стилера, удалённого администрирования и пост-эксплуатации. В отличие от типичных инфостилеров, эта вредоносная платформа работает как полноценный фреймворк, рассчитанный на устойчивое закрепление в системе, скрытность и гибкое управление с сервера C2. Функциональность Salat Stealer выходит далеко за рамки кражи учётных данных. По сути, речь идёт о многоцелевом инструменте, который сочетает возможности удалённого доступа, перехвата информации и расширенного контроля над заражённым устройством. Такой...

Австралийский центр кибербезопасности (ACSC) сообщил о продолжающейся кампании ClickFix, в рамках которой злоумышленники используют скомпрометированные сайты на платформе WordPress для распространения Vidar Stealer. По данным специалистов, атака в первую очередь нацелена на австралийскую инфраструктуру в различных секторах и активно использует элементы социальной инженерии. Главная особенность кампании — применение поддельных CAPTCHA, которые убеждают пользователей самостоятельно запускать вредоносные скрипты. В результате на системе жертвы устанавливается вредоносное ПО, предназначенное для кражи конфиденциальных данных...

Набор инструментов FEMITBOT, выявленный аналитиками CTM360, демонстрирует, как легкие веб-приложения Telegram Mini Apps могут использоваться для создания масштабной и модульной мошеннической инфраструктуры. По данным отчета, операция строится вокруг имитации легитимных сервисов, брендов и пользовательских сценариев, чтобы повысить доверие жертв и удерживать их в управляемой злоумышленниками среде. Исследование указывает на то, что несколько мошеннических Telegram Mini Apps работают поверх общей бэкенд-системы. Это подтверждается повторяющимся ответом API: “Welcome to join the FEMITBOT platform”...

В экосистеме NuGet обнаружена масштабная вредоносная кампания: пять пакетов под аккаунтом ‘bmrxntfj’ оказались частью схемы, в которой злоумышленники имитировали популярные китайские .NET UI libraries и распространяли stealer, ориентированный на кражу конфиденциальных данных разработчиков и корпоративной инфраструктуры. По данным отчета, злоумышленники использовали технику typosquatting, подбирая названия пакетов так, чтобы они напоминали легитимные и широко применяемые китайские .NET libraries. Такой подход повышал вероятность того, что разработчики установят их по ошибке, особенно в средах, где эти зависимости уже используются...