🔥 Самые опасные уязвимости, новые тактики BO Team, вредоносное ПО в ИИ-ответах и другие новости ИБ за неделю ⚡️Статистика мобильных угроз за 2025 год. Почти треть вредоносных установочных пакетов относилась к банковским троянцам, и хотя число «условно не вредоносного ПО» (рекламного, создающего риски) значительно снизилось, троянцы, напротив, стабильно растут. Почти половина обнаруженных зловредов относится к семейству Mamont, на втором месте Creduz (22,5%). 🟢Подробный анализ поведения и стратегий (TTPs) новой группировки CL-UNK-1068, которая более десяти лет атакует объекты КИИ в ЮВА, предположительно с целью шпионажа и создания постоянного доступа в инфраструктуру. Группа использует широкий кроссплатформенный набор инструментов, включающий модифицированные утилиты с открытым исходным кодом, подручные средства (LOLBAS) и собственное ВПО. 🟢Группировка BO Team/Foribidden Hyena, атакующая российские организации, вооружилась новым фирменным троянцем BlackReaperRAT, а также переименовала и обновила уже известный нам Blackout Locker — теперь он Milkyway. Группа продолжает злоупотреблять легитимным ПО и сочетать деструктивные атаки с вымогательскими. 🟢Организации здравоохранения в разных странах атакуют через фишинг ИТ-поддержки, проводимый на корпоративной платформе MS Teams, а затем разворачивают новое ВПО A0backdoor. 🟢Тенденции реальной эксплуатации уязвимостей в 4 квартале 2025. Космически выросли атаки на ОС Linux, а хакерские группировки полюбили уязвимость React2Shell — напишем об этом отдельно. 🟢Кстати, компания Google в своём отчёте тоже называет двумя самыми популярными атаками на облачные инфраструктуры Reach2Shell и уязвимость CVE-2025-24893 в платформе XWiki. 🟢Группировка APT36/Transparent Tribe перешла от использования стандартного, распространённого ВПО к оригинальным зловредам низкого качества, написанным с помощью ИИ. 🟢Новая тактика в фишинге: злоумышленники научились злоупотреблять техническим доменом .arpa, который имеет строго определённое значение в системе DNS, но доступен для манипуляций у некоторых поставщиков доменных имён. 🟢Редкий формат новостей в нашем дайджесте (к счастью) — ИА Fars News сообщило, что удары по ЦОД на Ближнем Востоке были целенаправленными, чтобы «определить роль этих центров в поддержке военных и разведывательных активностей врага». 🤯 А вы учли это в своей модели угроз? (tm) 🟢Анализ платформы для эксплуатации уязвимостей в iOS, Coruna. В числе двух дюжин уязвимостей «под капотом» есть и два дефекта из «Операции Триангуляция». 🟢У злоумышленников получается протаскивать вредоносный контент в ИИ-ответы поисковика Bing. Советы от ИИ, которые выдаются вверху страницы поиска, могут включать вредоносные ссылки на сайты-клоны, в данном примере — фальшивый OpenClaw. 🟢Разбор ВПО для Android BeatBanker, которое сначала имитирует магазин Google Play, а потом устанавливает жертве и майнера, и банковского троянца. Интересно, что зловред постоянно воспроизводит еле слышный звук, чтобы защититься от убивающих фоновые процессы менеджеров задач. 🟢В целом, благодаря инструментам, интересным и технической, и нетехнической аудитории (Claude Code и прочие), неподготовленные люди чаще встречаются с инсталляторами вида «запусти эту командную строку» вместо «скачай и запусти exe-файл». Поэтому уже появились сайты-двойники Claude Code, отличающиеся от оригинала самой мелочью — собственно командной строкой. 🤪 🟢Подробный разбор методов, которыми группировка Lazarus и соседи по кластеру используют ИИ-инструменты в своих атаках. Буквально всё делают на широкую ногу — от разработки фальшивых профилей для социнженерии до автоматизации разведки и управления инфраструктурой. 🟢Наша новая любимая платформа и будущий король хит-парадов критических уязвимостей, n8n, может похвастаться более чем сотней тысяч уязвимых хостов на данный момент. В РФ примерно 3,5 тысячи. #APT #дайджест @П2Т