Опрос
|
реклама
Быстрый переход
Dirty Frag превзошла Copy Fail: вторая за месяц критическая уязвимость Linux осталась без исправлений
08.05.2026 [11:16],
Дмитрий Федоров
Критическая уязвимость Dirty Frag позволяет любому локальному пользователю получить права администратора на большинстве популярных дистрибутивов Linux, выпущенных с 2017 года, включая Ubuntu, Arch, RHEL, Fedora и даже подсистему WSL2 в Windows 11. На момент публикации не существует ни одного исправления — ни в одном дистрибутиве, ни в основной ветке ядра Linux. 
Источник изображения: Sasun Bughdaryan / unsplash.com Dirty Frag работает по тому же принципу, что и недавняя уязвимость Copy Fail. Атака не зависит от настроек системы и не требует точного момента для запуска — это простая логическая ошибка операционной системы. Достаточно запустить небольшую программу, и обычный пользователь получает права администратора. Затронуты текущие версии Ubuntu (24 и 26), Arch, RHEL, OpenSUSE, CentOS Stream, Fedora, Alma и другие сборки Linux. В отличие от уязвимости Copy Fail, для которой патчи уже выпущены, Dirty Frag остаётся без исправлений, в том числе в основной ветке ядра Linux. Издание Tom's Hardware сообщило, что взлом успешно сработал на CachyOS с ядром 7.0.3-1-cachyos и на обновлённой системе Arch. Однако защититься несложно: достаточно отключить три компонента ядра — esp4, esp6 и rxrpc. Все три отвечают за шифрование сетевого трафика по протоколу IPSec и нужны только машинам, работающим в корпоративных VPN-сетях, поэтому для большинства рабочих станций и серверов их отключение пройдёт незаметно. О проблеме сообщили команде разработчиков ядра Linux ещё 30 апреля, но некая третья сторона нарушила договорённость и раскрыла уязвимость раньше срока. Tom's Hardware полагает, что уязвимость уже активно эксплуатируют злоумышленники, что и спровоцировало досрочную публикацию о ней в Сети. Технически Dirty Frag, как и Copy Fail, использует механизм нулевого копирования в ядре Linux: атакующий внедряет дескриптор страничного кеша в операцию splice, что позволяет записывать данные в файлы, к которым у обычного пользователя нет прав на запись, и через это получать привилегии администратора. Уязвимый код находится в модулях, связанных с шифрованием сетевого трафика IPSec. Исходная ошибка xfrm-ESP Page Cache Write появилась в коммите cac2661c53f3 в 2017 году. Поскольку встроенный механизм защиты AppArmor в Ubuntu закрывает именно эту первую брешь, демонстрационный код (PoC) дополнительно задействует вторую — RxRPC Page-Cache Write из коммита 2dc334f1a63a. Хакеры теперь грабят хакеров: новая группировка PCPJack перехватывает заражённые сети
08.05.2026 [10:48],
Дмитрий Федоров
Неизвестная хакерская группировка атакует системы, уже скомпрометированные киберпреступной группой TeamPCP, вытесняет её участников, удаляет их вредоносы и разворачивает собственное ПО для кражи учётных данных. Группировку, получившую название PCPJack, обнаружила ИБ-компания SentinelOne. 
Источник изображения: Sasun Bughdaryan / unsplash.com Проникнув в заражённые TeamPCP системы, хакеры PCPJack разворачивают в них собственные вредоносы, способные распространяться по облачной инфраструктуре жертв наподобие сетевого червя, похищать учётные данные и пересылать украденную информацию на серверы злоумышленников. Инструменты хакеров ведут собственный счётчик целей, из которых им удалось вытеснить участников TeamPCP. TeamPCP — киберпреступная группировка, привлёкшая внимание в последние недели серией резонансных атак. Среди них — взлом облачной инфраструктуры Европейской комиссии и масштабная атака на широко используемый сканер уязвимостей Trivy, затронувшая все компании, полагавшиеся на этот инструмент, в том числе LiteLLM и ИИ-стартап по рекрутингу Mercor. Алекс Деламотт (Alex Delamotte), старший исследователь компании SentinelOne, рассказала, что организаторы группировки пока не установлены. Деламотт выдвинула три версии: недовольные бывшие участники TeamPCP, конкурирующая группировка или третья сторона, которая решила создать свои инструменты атаки по образцу TeamPCP. «Сервисы, на которые нацелена PCPJack, во многом совпадают с мишенями декабрьских и январских атак TeamPCP, предшествовавших предполагаемой смене состава группы в феврале-марте», — сообщила Деламотт. Она также отметила, что хакеры атакуют не только системы, скомпрометированные TeamPCP, но и сканируют интернет в поисках открытых сервисов, таких как облачная платформа виртуализации Docker и базы данных MongoDB. Тем не менее в SentinelOne подчеркнули, что группировка сосредоточена преимущественно на вытеснении конкурентов из TeamPCP. Цели участников PCPJack носят исключительно финансовый характер. Они монетизируют украденные учётные данные тремя способами: перепродажей, продажей доступа к скомпрометированным системам и прямым вымогательством у жертв. При этом хакеры не устанавливают программы для майнинга криптовалюты, вероятно потому, что такая стратегия требует больше времени для получения выгоды, считает Деламотт. В ходе некоторых атак злоумышленники используют домены, указывающие на фишинг паролей, а также поддельные сайты технической поддержки, сообщила Деламотт. В ChatGPT появился «доверенный контакт» — его уведомят, если пользователь захочет навредить себе
08.05.2026 [09:30],
Павел Котов
Совершеннолетние пользователи ChatGPT теперь могут назначить в настройках своей учётной записи на платформе «доверенный контакт» — лицо, с которым OpenAI свяжется в экстренной ситуации, связанной с психическим здоровьем или безопасностью. Сервис отправит уведомление, если пользователь будет обсуждать с искусственным интеллектом такие вопросы как членовредительство или самоубийство. 
Источник изображения: openai.com «В основе функции „Доверенный контакт“ лежит простая, проверенная экспертами предпосылка: когда кто-то находится в кризисной ситуации, существенное значение может иметь связь с тем, кого он знает и кому доверяет. Она предлагает дополнительный уровень поддержки наряду с местными линиями помощи, уже доступными в ChatGPT», — рассказали в OpenAI. Подключать «Доверенный контакт» не обязательно. Включить её может любой взрослый пользователь ChatGPT, добавив контактные данные любого другого совершеннолетнего (от 18 лет во всём мире и от 19 лет в Южной Корее) человека в настройках своей учётной записи. Доверенный контакт в течение недели после получения запроса должен принять приглашение. Отредактировать или удалить доверенный контакт пользователь может в любое время, как и само доверенное лицо может отказаться от этого статуса. Содержание уведомления будет «намеренно ограничено», уточнили в OpenAI — фрагментов переписки с ИИ доверенный контакт не получит. Если системы ChatGPT обнаружат, что пользователь говорит о причинении себе вреда, платформа посоветует ему обратиться к своему доверенному лицу и сообщит ему, что это лицо может получить уведомление. Далее инцидент изучит «небольшая группа специально обученных людей», и ChatGPT отправит доверенному контакту короткое электронное письмо, текстовое сообщение или уведомление в приложении ChatGPT, если таковое установлено — и предупредит его, что переписка указывает на серьёзные проблемы с безопасностью. Даже хакеры устали от нейросетей: их форумы захлестнула ИИ-бурда
07.05.2026 [13:34],
Павел Котов
Хакеры, мошенники и другие киберпреступники стали жаловаться на ИИ-бурду, которая заполонила не только традиционные соцсети, но и закрытые форумы, где они обсуждают кибератаки и другую незаконную деятельность, пишет Wired. 
Источник изображения: JC Gellidon / unsplash.com Пользователи хакерских форумов начали жаловаться на то, что администраторы этих ресурсов взимают деньги и пытаются развернуть на платформах функции генеративного искусственного интеллекта. Рядовых пользователей этих ресурсов раздражают вторжение ИИ в их жизнь и огромные объёмы низкокачественных ИИ-материалов, которые публикуются в сообществах. К такому выводу пришли по результатам недавно проведённого исследования (PDF) учёные Эдинбургского университета (Великобритания). Они проанализировали 97 895 посвящённых ИИ переписок с момента запуска ChatGPT в ноябре 2022 до конца минувшего года. Пользователи хакерских ресурсов жалуются на то, что в сообществах публикуются сводки основных концепций кибербезопасности, на количество постов низкого качества и выражают обеспокоенность тем, что ИИ-обзоры в поиске Google снижает число посетителей форумов. На протяжении десятилетий эти форумы и торговые площадки стали платформами для ведения незаконного бизнеса: здесь хакеры обмениваются украденными данными, размещают объявления о своих услугах — и клевещут друг на друга. Несмотря на особую атмосферу этих сообществ и попытки обманывать друг друга, здесь также царит чувство общности. Пользователи нарабатывают себе репутацию, а администрации ресурсов проводят конкурсы. Пользователь одного из таких ресурсов выразил негодование, что другие участники сообщества публикуют сообщения, созданные с помощью ИИ, не тратя времени и сил, чтобы собственными силами написать хотя бы одну или две фразы. Другой указал, что приходит на форум за человеческим общением, а для переписки с ИИ мог бы открыть один из множества других сайтов. 
Источник изображения: Philipp Katzenberger / unsplash.com С момента появления ChatGPT интерес к киберпреступной деятельности с использованием ИИ значительно возрос — он оказался востребован как опытными, так и начинающими хакерами. ИИ используется для создания дипфейков, атак с использованием методов социальной инженерии, перевода, написания кода и поиска уязвимостей. Вот только написанные ИИ хакерские продукты вызывают недоверие — у них обнаруживаются слабые места и уязвимости, через которые подчас удаётся раскрыть базовую инфраструктуру хакеров. Одни киберпреступники порой указывают другим, что те только и могут, что пользоваться ИИ. Впрочем, явно негативных эффектов ИИ в хакерском сообществе пока не отмечается: значительного снижения порога входа в «отрасль» пока не произошло, не обнаружено и серьёзных сбоев в работе бизнес-моделей и прочих действий. Чаще всего киберпреступники используют ИИ в областях, которые и без того были в значительной мере автоматизированы: в SEO-мошенничестве, в управлении ботами в соцсетях и в мошеннических схемах на сайтах знакомств. Некоторые хакеры указали, что хотели бы поработать с ИИ, который помогал бы им лучше формулировать мысли и писать грамотнее. Обсуждается идея запуска работающих с помощью ИИ торговых площадок для киберпреступников, но эту идею поддерживают далеко не все — у некоторых сформировалось стойкое предубеждение в отношении ИИ. Браузер Edge выгружает все сохранённые пароли в память в открытом виде — и Microsoft не видит в этом проблемы
06.05.2026 [11:56],
Павел Котов
При запуске браузер Microsoft Edge в открытом виде выгружает в оперативную память все сохранённые пользователем пароли, что значительно упрощает возможность их прочитать или перехватить для хакеров и вредоносного ПО. В Microsoft не стали отрицать существование подобного механизма и не нашли в этом никакой проблемы. 
Источник изображения: microsoft.com На нестандартное поведение Microsoft Edge обратил внимание один из пользователей соцсети X. «Edge — единственный из протестированных мной браузеров, который ведёт себя подобным образом. <..> Когда сохраняешь пароли в Edge, браузер расшифровывает все учётные данные при запуске и хранит их в памяти процесса. Это происходит, даже если никогда не посещаешь сайт, на на котором используются эти учётные данные. Если злоумышленник получит административный доступ к серверу удалённых рабочих столов, то сможет получить доступ к памяти всех процессов авторизованных пользователей», — рассказал он. Microsoft Edge основан на платформе Chromium наряду с такими браузерами как Chrome, Brave и Opera — и он единственный из всего семейства, что при запуске выгружает в память все пароли в открытом виде. Chrome, например, делает это только тогда, когда пользователь запрашивает просмотр данных в менеджере паролей или в меню авторизации. В Microsoft, однако, по данному вопросу хранят олимпийское спокойствие. «Безопасность и защита выступают основополагающими принципами Microsoft Edge. Доступ к данным браузера, как описано в сообщении, предполагал бы, что компьютер уже скомпрометирован. При проектировании этой области принимаются решения, учитывающие баланс производительности, удобства в использовании и безопасности, и мы продолжаем проводить проверки на предмет развивающихся угроз. Браузеры получают доступ к данным паролей в памяти, чтобы помочь пользователям быстро и безопасно входить в систему — это ожидаемая функция приложения. Рекомендуем пользователям устанавливать последние обновления безопасности и антивирусное ПО для защиты от угроз», — прокомментировали открытие в Microsoft. Другие словами, софтверный гигант знает об этом механизме работы и не считает его серьёзной проблемой. Компания реализовала его намеренно, чтобы ускорить процесс входа в систему и аутентификацию для конечного пользователя. Исправлять эту схему в Microsoft не намерены — вместо этого компания просто рекомендует устанавливать актуальные средства безопасности. Официальный сайт Daemon Tools уже месяц распространяет заражённый установщик с трояном
06.05.2026 [06:06],
Дмитрий Федоров
«Лаборатория Касперского» обнаружила, что установщики программы DAEMON Tools для монтирования образов дисков заражены вредоносным кодом: пользователи скачивают доверенное программное обеспечение (ПО), а получают скрытую программу удалённого управления системой. Заражённые версии с 12.5.0.2421 по 12.5.0.2434 распространяются с 8 апреля 2026 года и затронули частных лиц и организации более чем в 100 странах. 
Источник изображения: blog.daemon-tools.cc Злоумышленники подменили в составе DAEMON Tools три исполняемых файла: DTHelper.exe, DiscSoftBusServiceLite.exe и DTShellHlp.exe. Все три имеют действующую цифровую подпись разработчика — компании AVB Disc Soft, поэтому Windows воспринимает их как доверенные. Файлы запускаются при старте компьютера, и каждый раз активируется скрытый бэкдор — программа удалённого управления. Она обращается к управляющему серверу злоумышленников по доменному имени, которое зарегистрировано за неделю до начала атаки и почти неотличимо от адреса настоящего DAEMON Tools. В ответ сервер передаёт команды для загрузки в систему жертвы дополнительных вредоносных компонентов. Аналитики выявили три типа таких компонентов. На большинстве заражённых машин запускался сборщик информации — программа на платформе .NET, которая отправляет злоумышленникам MAC-адрес сетевой карты, имя хоста, DNS-имя домена, список запущенных процессов, перечень установленного ПО и язык системы. Эти сведения помогают атакующим отобрать наиболее ценные цели. Только на десятке компьютеров затем разворачивался минималистичный бэкдор, который загружает вредоносные файлы, выполняет команды в системной оболочке и запускает дополнительные модули в памяти. Самый сложный вредонос, троян QUIC RAT, был обнаружен лишь у одного российского учебного заведения. Этот вредонос поддерживает семь протоколов связи с управляющим сервером (HTTP, UDP, TCP, WSS, QUIC, DNS и HTTP/3) и способен внедрять вредоносный код в системные процессы notepad.exe и conhost.exe. С 8 апреля специалисты «Лаборатории Касперского» зафиксировали тысячи попыток установки таких вредоносных компонентов. Большинство жертв находилось в России, Бразилии, Турции, Испании, Германии, Франции, Италии и Китае. Около 10 % затронутых систем принадлежат организациям. При этом серьёзный бэкдор обнаружен лишь на десятке компьютеров — в государственных, научных, производственных и розничных организациях России, Беларуси и Таиланда. Такая избирательность подтверждает целевой характер кибератаки, но её цель — кибершпионаж или вымогательство у крупных организаций — пока не ясна. Обнаружение атаки заняло около месяца — это сопоставимо со сроками выявления компрометации приложения 3CX, которую «Лаборатория Касперского» расследовала при участии экспертного сообщества в 2023 году. С начала 2026 года компания расследовала уже четыре подобные атаки: в январе — eScan, в феврале — Notepad++, в апреле — CPU-Z, теперь — DAEMON Tools. Широко используемые и доверенные приложения становятся всё более привлекательным каналом для злоумышленников: одного взлома разработчика достаточно, чтобы вредоносный код одновременно попал на машины тысяч его пользователей. Google повысила вознаграждение за обнаружение эксплойтов в Android до $1,5 млн
05.05.2026 [16:43],
Павел Котов
Google решила пересмотреть программу вознаграждения за обнаружение уязвимостей в ОС Android и браузере Chrome, предложив вознаграждение до $1,5 млн за самые сложные эксплойты. За простые уязвимости, которые теперь обнаруживаются при помощи ИИ, размер вознаграждения решили снизить. 
Источник изображения: Denny Müller / unsplash.com Максимальное вознаграждение в размере $1,5 млн компания выплатит за схему атаки с эксплуатацией полной цепочки уязвимостей для чипа безопасности Pixel Titan M2 с сохранением активности — это наиболее сложный сценарий в программе; за те же эксплойты без сохранения активности компания готова заплатить до $750 тыс. За атаку с эксплуатацией цепочки уязвимостей Google Chrome на современных ОС и компьютерах компания выплатит до $250 тыс.; дополнительная премия в $250 тыс. будет выплачена за схему атаки с обходом механизма защиты памяти MiraclePtr. В программе Google Chrome акцент смещается на краткие отчёты с доказательствами ошибок и указанием на важные недоработки — длинные письменные анализы, которые сейчас может генерировать ИИ, компанию не интересуют. В программе для Android приоритетом являются уязвимости ядра Linux применительно к компонентам, которые разрабатывает Google; и прочие уязвимости, если исследователь сможет продемонстрировать работающий эксплойт на Android. В 2025 году Google выплатила 747 обнаружившим уязвимости экспертам $17,1 млн, и это исторический рекорд — общий размер выплат вырос на 40 % по сравнению с 2024 годом. С момента запуска программы в 2010 году сумма премий составила $81,6 млн; в 2026 году, несмотря на сокращение некоторых индивидуальных сумм вознаграждений, компания ожидает дальнейшего увеличения общего размера выплат. Google внедрит «аналог блокчейна» для проверки подлинности приложений и модулей Android
05.05.2026 [16:36],
Павел Котов
Учитывая, какие объёмы личной информации современный человек доверяет собственному смартфону, приходится прилагать немалые усилия, чтобы обеспечить безопасность данных на устройстве. Один из лучших способов это сделать — устанавливать приложения только из надёжных источников, и в Google решили для этого заручиться поддержкой технологии блокчейна. 
Источник изображения: blog.google Традиционно для проверки аутентичности ПО использовались технологии электронной подписи — они призваны гарантировать, что приложения происходят от подлинного источника. Но и это не гарантирует полной защиты: имеющий доступ к ключам подписи злоумышленник теоретически сохраняет возможность нанести ущерб. Поэтому в Google решили прибегнуть к технологии публичного реестра Binary Transparency — своеобразного аналога блокчейна. Технология Binary Transparency дебютировала несколько лет назад и была призвана служить подтверждением подлинности образов прошивки для смартфонов Google Pixel. Идея состоит в создании общедоступных записей об официальных выпусках прошивки Pixel по образцу блокчейна. При загрузке смартфон проверяет цифровую подпись прошивки, а с помощью этой технологии рядовой пользователь может самостоятельно убедиться, что пользуется версией, которую сама Google зарегистрировала как официальную, а не взломанным вариантом, который какой-нибудь злонамеренный разработчик снабдил бэкдором. Это решение будет работать и дальше, и в Google решили добавить два компонента: Binary Transparency для собственных приложений Google и для модулей основной ветки Android. Они обновляются чаще, чем прошивка целиком, и для пользователей не менее важно доверять этим приложениям. Как и раньше, существует общедоступный реестр по образцу блокчейна, в который Google добавляет записи обо всех официальных обновлениях приложений и системных компонентов. После внесения записи в этот реестр отменить её нельзя, что обеспечивает работу журнала одобренных Google выпусков. В реестр попадут только официальные релизы. Это важно, потому что, например, предназначенная для внутреннего употребления альфа-версия приложения может быть подписана обычной цифровой подписью как разработанная Google, но содержать уязвимости, которые можно эксплуатировать. Злоумышленник может попытаться обманом заставить наивного пользователя установить такое приложение, — но теперь его можно проверить и убедиться, что эта версия не получила одобрения, и запускать её не следует. Обновлённая система начала работать с мая, и в дальнейшем Google будет вести учёт каждого официально публикуемого приложения и системного компонента. «Поставщики с высоким риском»: Еврокомиссия порекомендовала странам ЕС убрать оборудование Huawei и ZTE из сетей
04.05.2026 [20:04],
Сергей Сурабекянц
Европейская комиссия рекомендовала государствам-членам Евросоюза исключить оборудование Huawei и ZTE из инфраструктуры связи местных телекоммуникационных операторов. По словам представителя Еврокомиссии, новые правила кибербезопасности предоставят ЕС возможность запретить использование оборудования «от поставщиков с высоким риском».  Ряд европейских стран, а также Великобритания, предприняли шаги по запрету использования оборудования Huawei в наиболее важных сегментах своих телекоммуникационных сетей, заявив, что связи компании с Китаем «представляют угрозу безопасности». Ещё в 2020 году Еврокомиссия опубликовала добровольные рекомендации по использованию технологий 5G, в которых странам предлагалось ограничить использование оборудования «поставщиков с высоким уровнем риска». Исполнительный вице-президент Еврокомиссии Хенна Вирккунен (Henna Virkkunen) ищет способы заставить страны блока постепенно отказаться от использования оборудования Huawei и ZTE в телекоммуникационной инфраструктуре. В январе она предложила ввести обязательные меры по обеспечению безопасности сетей в рамках «Закона о кибербезопасности». На прошлой неделе Китай пригрозил ответными мерами против ЕС, если новые правила кибербезопасности будут применены, поскольку Пекин считает предлагаемые правила «дискриминационными». Представительство Китая в ЕС потребовало, чтобы Еврокомиссия исключила из предложения Вирккунен формулировки, в которых китайское оборудование объявляется угрозой кибербезопасности. Москвичей лишат мобильного интернета и SMS на майские праздники
04.05.2026 [14:29],
Владимир Фетисов
Стало известно, что 5, 7 и 9 мая в Москве планируются отключения мобильного интернета в «целях безопасности». Об этом пишет «Коммерсантъ» со ссылкой на собственные осведомлённые источники на телекоммуникационном рынке. 
Источник изображения: freestocks/Unsplash «Ограничения будут, но их масштаб пока не ясен», — сообщил один из источников. Он также добавил, что, вероятнее всего, отключения будут в день репетиции праздничного парада 7 мая, а также в День Победы — 9 мая. Однако точных сведений о том, какие районы города будут затронуты и сколько продлится отключение, нет. Отметим, что подобные ограничения сотовой связи уже наблюдались в столице в прошлом. Так перед 9 мая год назад фиксировались перебои со связью. В начале марта нынешнего года мобильный интернет в городе отключался более чем на полторы недели. На тот момент для пользователей вводились так называемые «белые списки» доступных сайтов. В «Билайне» подтвердили «Ведомостям» рассылку абонентам сообщений об ограничении мобильной связи на территории Москвы в период с 5 по 9 мая. Ограничения также затронут отправку SMS-сообщений. В информационной рассылке «Билайн» рекомендует абонентам использовать Wi-Fi для доступа в интернет, а совершать звонки с помощью функции VoLTE. Представители МТС, «Мегафон» и Т2 от комментариев по данному вопросу воздержались. Незнакомые QR-коды опасны: Microsoft зафиксировала рост фишинга через такие метки на 146 %
02.05.2026 [15:10],
Дмитрий Федоров
Microsoft зафиксировала рост числа фишинговых атак через QR-коды (квишинг) на 146 % за I квартал 2026 года. Эти данные были получены после анализа 8,3 млрд фишинговых писем, которые средства защиты Microsoft обнаружили за квартал. Помимо квишинга, выросло число атак с компрометацией корпоративной электронной почты (BEC), попыток обойти средства обнаружения через CAPTCHA-страницы и фишинговых писем с вложениями и ссылками для кражи учётных данных. 
Источник изображения: ChatGPT / 3DNews Общий ежемесячный объём QR-фишинговых атак с января по март колебался, однако Microsoft отметила отчётливый сдвинг в этом направлении в тактике злоумышленников на протяжении всего I квартала. Атакующие адаптировались к усилению защитных мер и увеличили число атак через QR-коды, поэтому за последний год квишинг (англ. — quishing) достиг максимального значения. Средства защиты на основе сканирования быстро распознают обычные текстовые фишинговые письма, но с трудом обрабатывают встроенные в них QR-коды. Получатель такого письма, как правило, сканирует код с мобильного устройства и тем самым выходит за пределы защищённой среды рабочего компьютера, минуя корпоративные средства информационной безопасности. Риск возрастает ещё больше, если жертва сканирует QR-код с личного смартфона. 
График показывает резкий рост QR-фишинга к концу марта 2026 года, когда недельный объём атак приблизился к 5 млн писем. Источник изображения: Microsoft Threat Intelligence На протяжении I квартала основным способом доставки вредоносных QR-кодов оставались PDF-файлы, однако в марте число кодов, размещаемых прямо в тексте письма без вложений, выросло на 336 %. Одновременно Microsoft зафиксировала резкий рост атак с CAPTCHA-страницами: после нисходящего тренда в январе и феврале их число в марте подскочило более чем на 125 %. CAPTCHA-страницы помогают злоумышленникам уйти от обнаружения, заставляя жертву взаимодействовать со страницей перед получением вредоноса. В отдельных случаях атакующие используют саму CAPTCHA как инструмент доставки вредоносного ПО. Жертва уверена, что проходит обычную проверку, а на деле копирует и выполняет вредоносные команды прямо на своём устройстве. 
График показывает, что после январско-февральского снижения CAPTCHA-фишинг резко вырос в марте, превысив 12 млн писем. Источник изображения: Microsoft Threat Intelligence По наблюдениям Microsoft, злоумышленники, использующие CAPTCHA-метод, по-видимому, не отдают предпочтения какому-либо одному способу доставки и экспериментируют с HTML-вложениями, SVG-файлами, PDF-файлами, файлами DOC/DOCX и встроенными в письма фишинговыми ссылками. В марте Microsoft и Европол совместно ликвидировали инфраструктуру фишинговой платформы Tycoon2FA, работавшей по модели «фишинг как услуга» (PhaaS). Это снизило число связанных с группировкой атак на 15 %. Эффект, однако, вряд ли будет долговременным, потому что группировка перестраивает инфраструктуру и регистрирует домены в новых зонах верхнего уровня, в том числе в .RU. По данным Microsoft, с последней недели марта на зону .RU приходится 41 % всех доменов Tycoon2FA. 
Источник изображения: ChatGPT / 3DNews Microsoft обнаружила 10,7 млн фишинговых писем, нацеленных на корпоративную почту. По наблюдениям компании, злоумышленники явно предпочитают письма с приманкой. Такое письмо обычно содержит шаблонную реплику вроде «Вы на месте?», которая помогает завязать переписку с получателем, а вредонос приходит жертве уже отдельным сообщением. Злоумышленники отходят и от прежней схемы с просьбами о подарочных сертификатах. В налоговый сезон они рассылают запросы на обновление платёжных реквизитов для начисления заработной платы. В феврале число таких атак выросло на 15 %. Для защиты от фишинговых атак Microsoft рекомендует проверить параметры Exchange Online Protection и Microsoft Defender для Office 365, убедиться, что рекомендуемые настройки безопасности включены, и проводить для сотрудников учебные симуляции фишинговых рассылок. В Defender для Office 365 компания советует включить функции Zero-hour auto purge (ZAP) и Safe Links, а в Microsoft Defender для конечных точек — функцию Network Protection. Наконец, Microsoft предлагает защитить учётные записи устойчивой к фишингу многофакторной аутентификацией (2FA), ключами FIDO2 или биометрией. Инструмент анализа данных на Python на полдня стал вредоносным — он крал ключи и токены
01.05.2026 [15:12],
Павел Котов
Неизвестный киберпреступник загрузил на платформу PyPI модифицированную версию 0.23.3 утилиты elementary-data, предназначенной для мониторинга информации. Вредоносный вариант приложения производит кражу учётных данных: ключей SSH, данных доступа к ресурсам AWS, токенов API и криптовалютных кошельков. Легитимный разработчик удалил скомпрометированный пакет, но тот оставался доступным для широкой аудитории в течение половины дня и, вероятно, успел нанести ущерб. 
Источник изображения: Towfiqu barbhuiya / unsplash.com Злоумышленник воспользовался уязвимостью в одном из рабочих процессов GitHub Actions проекта разработки elementary-data. Используя автоматически предоставленный ему GITHUB_TOKEN, он создал запрос на слияние (pull request) легитимного пакета с вредоносным кодом и сумел добиться автоматического выпуска заражённой новой версии пакета. Этот пакет предназначался для сбора широкого спектра конфиденциальных данных: ключей SSH, учётных данных облачных ресурсов Amazon Web Services (AWS), контейнеров Docker и Kubernetes, а также файлов криптовалютных кошельков, в том числе Bitcoin, Litecoin, Dogecoin и Ethereum. Украденные данные компилировались в файл trin.tar.gz и отправлялись на подконтрольный злоумышленнику сервер. Киберпреступник воспользовался свежезарегистрированной учётной записью GitHub, 25 апреля в 2:20 мск загрузил в проект вредоносную версию elementary-data на PyPI, а в 2:24 загрузил в GitHub Container Registry заражённый образ Docker с этим пакетом, расширив тем самым вектор вредоносной кампании. Администраторы проекта Elementary удалили вредоносные файлы только в 13:45 того же дня, то есть более чем через 11 часов, и заменили пакет очищенной версией elementary-data 0.23.4. Связанные с ним пакет Elementary dbt, ресурсы Elementary Cloud и другие версии самого проекта в ходе инцидента не пострадали, сообщили разработчики. Пользователям, установившим заражённую версию elementary-data 0.23.3, настоятельно рекомендуется удалить её и заменить безопасным вариантом 0.23.4. Необходимо также удалить файлы кеша и файл-маркер «.trinny-security-update» вредоносного пакета — если этот файл присутствует в системе, значит, вредонос в ней запускался. Разработчики Elementary обновили токен публикации PyPI, токен GitHub, учётные данные GitHub Container Registry, удалили уязвимый рабочий процесс GitHub Actions и проверили все остальные. Опасная уязвимость обнаружена в большинстве дистрибутивов Linux: 732 байта кода откроют любому root-права
30.04.2026 [10:39],
Павел Котов
Разработчики основанного на алгоритмах искусственного интеллекта средства безопасности Xint Code обнаружили в ядре Linux и, соответственно, в большинстве популярных дистрибутивов опасную уязвимость, которая получила название Copy Fail и номер CVE-2026-31431. Эксплуатируя эту уязвимость, любой пользователь без особых привилегий может получить права администратора (root) практически на любом сервере или ПК под управлением Linux. Для этого достаточно кода размером всего 732 байта на Python. 
Источник изображения: AltumCode / unsplash.com Уязвимость Copy Fail связана с тем, как Linux работает с файлами — ОС не считывает данные жёсткого или твердотельного диска при каждом обращении к файлу, а записывает его содержимое в особую область оперативной памяти — страничный кеш (Page Cache), который разбивается на фрагменты (страницы) размером по 4 кбайт. Этот кеш является общим для всей системы — даже если речь идёт о процессах внутри контейнеров Docker на серверах, обращение идёт к одному и тому же кешу. Для эксплуатации уязвимости используется программа su (Switch User или Substitute User), которая позволяет обычному пользователю получить права администратора, введя его пароль, поэтому она является излюбленной целью для хакеров. Скрипт, который требует наличия в системе Python 3.10 и более поздних версий и имеет размер всего 732 байта, позволяет изменить всего четыре байта внутри программы su или любой другой, причём обращение он производит не к соответствующему файлу на диске, а к её копии в страничном кеше оперативной памяти — и её выполнение производится с правами root. Это оказалось возможным за счёт трёх особенностей Linux: интерфейса AF_ALG, который позволяет обращаться к криптографическим алгоритмам в ядре Linux; функции splice(), которая позволяет производить обращение к ядру ОС из страничного кеша любого файла, если пользователь имеет право хотя бы читать этот файл; а также алгоритма authencesn в системе защищённых сетевых соединений IPsec, который во время работы использует часть выделенной ему памяти в качестве «черновика» и как раз записывает вышеупомянутые четыре байта прямо в страницы кеша su. Сам файл данной программы на диске остаётся нетронутым, поэтому средства защиты этого изменения не замечают. Опасность предложенной схемы в том, что она не требует особых условий и срабатывает с первого раза; один актуальный для всех дистрибутивов скрипт действует скрытно и остаётся незамеченным; наконец, атакующий имеет возможность выйти за пределы контейнеров Docker или Kubernetes на уровень сервера. Чтобы устранить эту уязвимость, выявившие её специалисты разработали патч, отменяющий одну из оптимизаций Linux, выпущенную ещё в 2017 году. При его установке фрагменты страничного кеша перестают попадать в область памяти, доступную для записи. Администраторам систем под Linux рекомендуется оперативно обновить ядро системы до последней доступной версии; в качестве временного решения можно также отключить опасный модуль algif_aead в интерфейсе AF_ALG. GitHub похвалился, что устранил критическую уязвимость менее чем за шесть часов
29.04.2026 [17:05],
Владимир Фетисов
Специалисты GitHub устранили критическую уязвимость, эксплуатация которой могла позволить злоумышленникам осуществить удалённое выполнение кода и получить доступ к миллионам публичных и приватных репозиториев кода. Залатать брешь в платформе удалось менее чем за шесть часов. Проблему выявила компания Wiz Research с помощью ИИ-алгоритмов, после чего сообщила о ней в GitHub. 
Источник изображения: AI «Наша команда безопасности немедленно приступила к проверке отчёта в рамках программы вознаграждений за обнаружение уязвимостей. В течение 40 минут мы воспроизвели уязвимость в тестовой среде и подтвердили её серьёзность. Это была критическая проблема, требовавшая немедленных действий», — рассказал Алексис Уэльс (Alexis Wales), глава подразделения информационной безопасности GitHub. Инженеры GitHub оперативно разработали патч и развернули его чуть более чем через час после выявления первопричины, тем самым защитив GitHub.com и GitHub Enterprise Server. «Менее чем за два часа мы подтвердили обнаружение уязвимости, развернули исправление на github.com и начали расследование, в результате чего пришли к выводу, что уязвимость не эксплуатировалась», — добавил Уэльс. Это означает, что на полноценное устранение проблемы у команды GitHub, включая проведение расследования, ушло менее шести часов с момента получения отчёта Wiz Research. По данным источника, уязвимость в инфраструктуре GitHub была обнаружена с помощью ИИ, но какая именно модель помогла выявить проблему, не уточняется. «Примечательно, что это одна из первых критических уязвимостей, обнаруженных в бинарных файлах с закрытым исходным кодом с помощью ИИ, что подчёркивает сдвиг в том, как выявляются подобные недостатки», — считает ИБ-специалист из Wiz Research Саги Цадик (Sagi Tzadik). Несмотря на то, что команда GitHub быстро устранила уязвимость, в Wiz Research отметили, что её было «очень легко использовать», несмотря на сложность базовой системы GitHub. «Находка такого уровня и степени серьёзности встречается редко, она принесла обнаружившим её одно из самых больших вознаграждений, доступных в рамках нашей программы обнаружения уязвимостей, и служит напоминанием о том, что наиболее результативные исследования в области безопасности проводятся квалифицированными специалистами, умеющими задавать правильные вопросы», — отметил Уэльс. Случайный баг в коде вируса-вымогателя Vect превратил его в истребитель файлов
29.04.2026 [16:17],
Анжелла Марина
Специалисты по кибербезопасности выявили критическую ошибку в новом вирусе-вымогателе Vect, которая делает восстановление данных невозможным. Из-за программного бага вредонос безвозвратно уничтожает файлы размером более 128 кбайт, лишая жертв шанса на расшифровку даже после выплаты выкупа. 
Источник изображения: xAI Согласно данным Check Point Research, на которые сослался Tom's Hardware, вирус, запущенный в декабре 2025 года, фактически работает как «вайпер» (необратимое уничтожение данных) из-за некорректного алгоритма шифрования. Программа разбивает крупные файлы на части и сохраняет проверочные значения в единый буфер, где каждое новое значение перезаписывает предыдущее. В итоге у пользователя остаётся ключ только для последнего фрагмента данных, что делает полную дешифровку технически невыполнимой операцией. Низкое качество кода натолкнуло исследователей на мысль, что вымогатель был создан с помощью инструментов искусственного интеллекта или на базе устаревших исходников. В частности, в программе обнаружены неработающие функции маскировки и ошибки в распределении нагрузки на процессор, которые, по мнению экспертов, указывают на использование вайб-кодинга (vibe coding). Подобные ошибки в ПО уже встречались в практике крупных хакерских групп в текущем году. Ранее вирус Nitrogen лишился возможности дешифровки данных из-за случайной замены части публичных ключей нулями. В обоих случаях невнимательность разработчиков привела к ситуации, когда даже при наличии приватного ключа вернуть доступ к информации невозможно. Несмотря на внутренние баги, создатели Vect позиционируют свой продукт как высокотехнологичный инструмент для использования в качестве бизнес-модели «вымогательство как услуга» (Ransomware-as-a-Service, RaaS). Программа обладает кроссплатформенностью и способна атаковать системы на базе Windows, Linux и виртуальные машины ESXi. Группировка уже наладила партнёрские отношения с другими киберпреступниками, включая TeamPCP, и активно расширяет свою сеть аффилиатов через теневые форумы. Специалисты из Check Point Research предупреждают, что текущие ошибки в коде не повод игнорировать угрозу в долгосрочной перспективе хотя бы из-за того, что создатели Vect демонстрируют понимание структуры эффективного вымогателя и обладают готовой системой распространения вируса. В будущем они могут выпустить обновлённую версию ПО, где все выявленные баги будут исправлены, что сделает их атаки значительно более результативными. |
© 1997—2026 Электронное периодическое издание "3ДНьюс" | Свидетельство о регистрации СМИ Эл ФС 77-22224
выдано Федеральной Службой по надзору за соблюдением законодательства в сфере массовых коммуникаций и охране культурного наследия
При цитировании документа ссылка на сайт с указанием автора обязательна. Полное заимствование документа является
нарушением
российского и международного законодательства и возможно только с согласия редакции 3DNews.
MWC 2018
2018
Computex
IFA 2018
