T.Hunter | информационная безопасность

#news Anthropic присоединилась к хайпу от Google вокруг ближайшего будущего киберпреступных ИИ-агентов. Компания опубликовала отчёт о событии в своей экосистеме, обозначенном как “первая компания кибершпионажа под контролем ИИ”. Согласно отчёту, сумрачный китайский гений использовал Claude Code и MCP для атак на 30 крупных компаний, они по большей части были автономными, в отдельных случаях преуспели. Запитанные от Claude субагенты занимались базовым краснокомандным: от маппинга поверхностей атаки и скана инфры, до эксплойта и стягивания данных...

#news В США анонсировали создание спецподразделения для борьбы со скам-центрами из Юго-Восточной Азии. Дружная компания из ФБР, Госдепа и разведки займётся индустрией скама в Мьянме, Камбодже и Лаосе. О существовании скам-лагерей смерти широкая публика узнала недавно, между тем проблема разрослась до таких масштабов, что игнорировать не получается. Мошенничества на десятки миллиардов, сидящие в рабстве страдальцы из соседних стран, пропадающие девушки со всего мира. Всё это под патронажем...

#news Google продолжает нагнетать на тему ИИ. Согласно прогнозу на 2026-й, ИИ-модельки перестанут обслуживать базовые запросы киберпреступников — они будут во главе угла, вплоть до автоматизации целых кампаний. Всё это, как водится, из-за невероятного прогресса LLM’ок. Соответственно, уже в 2026-м из вспомогательного инструмента они превратятся в ядро цифровых угроз, управляющее операциями от написания кода до разведки и выбора жертв. А противостоять будет ИИ-агентура в SOC-отделах под присмотром...

#news Китайский ИБ-регулятор заявил, что американское правительство может быть ответственно за взлом майнингового пула LuBian в 2020-м. От создателей “Тайваньский скрипт-кидди нам не товарищ“ и “Американский лаовай взламывает себя сам”. Биткоиновый пул LuBian, работавший в Китае, пострадал от взлома в конце 2020-го: неизвестные злоумышленники стянули 127,272 битка. $3,5 миллиарда тогда и $15 миллиардов на момент “перехвата” США 14 октября, когда против владельца LuBian раскрыли дело, а битки волшебным образом экспроприировали...

#news Исследователи представили занятную атаку по сторонним каналам по LLM’кам. Она позволяет анализировать перехваченный трафик с токенами и определять, на какие темы юзер общается с моделью. В проверке концепции LLM’кой нагенерировали сто вариантов ответа на вопрос о законности отмывания денег, замешали с обычным трафиком и натренировали модельку отделять тему от других запросов. Затем время отклика и размер пакетов собрали сниффингом и… добились 98% точности. В сценарии посложнее...

#news В США судят брокера начального доступа рансомварь-группировки Yanluowang. Алексей Волков, он же chubaka.kor и nets, признал вину по восьми эпизодам атак по американским компаниям в 2021-м и 2022-м. ФБР получило доступ к серверу операции вместе с логами, данными и почтовыми ящиками. Волкова отследили по его Apple ID, криптотранзакциям и аккаунтам в соцсетях — твиттерный был на его номер и, соответственно, паспорт. А где заказ из Яндекс.Лавки или визит в Гемотест, там и база со всеми твоими данными для всех желающих, чтобы никто не ушёл обиженным...

#news В сетевых дебрях засветилась новая спайварь под Android, судя по всему, коммерческая. Её использовали в атаках через нулевой день по Самсунгам с середины 2024-го. Спайварь получила название LandFall, она эксплойтила уязвимость с нулевой интеракцией в моделях Galaxy. В атаке использовали вредоносные DNG-файлы — популярный сейчас эксплойт уязвимых библиотек для обработки формата. Уязвимость закрыли в сентябре в Samsung, схожую раньше исправила Apple. Но операторы остались, люди работают, так что найдутся и новые...

#news Хроники эволюции главного хита 2025-го — ClickFix. В свежих версиях атака обзавелась видеоинструкцией и таймером, а также обнаруживает версию ОС. Всё это завёрнуто в фейковую капчу Cloudflare, с которой юзер периодически сталкивается, так что готов с удовольствием последовать инструкциям. Бонусом идёт счётчик прошедших верификацию; задумка — моё почтение: 1237 человек за последний час справились за минуту, чем я хуже? Методы доставки и вредоносная нагрузка тоже не стоят на месте: в топе векторов Google c отравленной выдачей и малвертайзингом, по нагрузке полно креатива...

#news Reuters раскрывает секрет Полишинеля за нескончаемыми потоками вредоносной рекламы на разных платформах. В чём же он заключается? Деньги. У экстремистов из Meta от неё ~10% выручки за 2024-й. А это $16 миллиардов. Судя по внутренним документам, проблема вовсе не в том, что автоматические системы не справляются с масштабами, как заявляют бедные корпорации. Справляются ещё как, но верхи не могут [отказаться от барышей], а низы не хотят [переставать ходить по ссылкам]. Мошенников по сути монетизируют — вредоносную рекламу пускают по штрафным ставкам...

#news Google нагнетает обстановку вокруг LLM-малвари. Её безопасники обнаружили экспериментальный дроппер, эксплойтящий Gemini для генерации кода. Цель разраба — создать метаморфный вредонос на самоподдуве. Препятствие? Текущее качество кода от LLM’ок, конечно же. Пока это всё в активной, закоменченной разработке, и если вчитаться в отчёт, не особо впечатляющей. Задача абьюза Gemini API — переписывать код каждый час для обхода статического анализа и прочего на EDR’ом. Всё это в формате промпта со скрина “Пиши как экспертный VBScript обфускатор и обходи антивирусы”...

#news Cloudflare столкнулась с неожиданным последствием роста ботнетов. В публичном рейтинге популярных доменов на первые позиции внезапно вышли сайты ботнета Aisuru. Интернет вещей победил, ботнет оказался сильней. Aisuru — горячая новинка в мире ботнетов, стремительно растущая и обрастающая функциональностью. На его счету рекордные DDoS-атаки в этом году и перекат на рынок резидентских прокси, где маржа повыше и шуму поменьше. Но теперь он шумит...

#news После нашумевшего ограбления Лувра на его безопасность запоздало обратили внимание. И начали сразу с козырей: паролем от системы видеонаблюдения Лувра был… LOUVRE. Красивое. В остальном всё тоже оказалось не лучше. Сами системы охраны крутились на Windows Server 2003 — в этом году почётный пенсионер отпраздновал 10 лет окончания поддержки. На остальных дела аналогично: сегментации нет, те же дефолтные или слабые пароли с доступом к охранным зонам. Многие камеры и датчики устаревшие, на трети залов в крыле, где произошло ограбление, видеокамер не было вовсе, а бюджет на охрану порезали...