В этом выпуске собралось всего понемногу: необычные способы доставки вредоносного кода, старые проблемы, вернувшиеся в чуть более опасной форме, сомнительная инфраструктура, творящая свои привычные дела, и очередное напоминание о том, что если преступникам что-то мешает, они просто придумают обходной путь к концу недели. Такие вот эффективные паразиты. Их упорству остаётся только аплодировать.
Некоторые обновления вызывают чувство досадного узнавания. Ситуации, которые кажутся узкоспециализированными, ровно до того момента, пока не представишь их в реальной среде, где реальные пользователи устали, торопятся и просто пытаются дожить до конца дня, кликая на что попало. И тут абстракция исчезает мгновенно.
Короче говоря, этот выпуск ThreatsDay Bulletin — из тех, что стоит пролистать перед тем, как выключить компьютер. Ничего такого, от чего нужно впадать в панику, но кое-что заставит приподнять бровь и пробормотать: «Ну серьёзно?» Поехали.
Ускоренный переход на постквантовую криптографию
Google объявила об ускорении перехода на постквантовую криптографию (PQC), установив крайний срок — 2029 год, и призвала другие команды разработчиков последовать этому примеру. Компания пояснила, что новые сроки отражают потребности миграции в эпоху PQC с учётом прогресса в разработке квантовых компьютеров, исправлении квантовых ошибок и оценке ресурсов для квантового факторинга. Квантовые компьютеры представляют серьёзную угрозу для существующих криптографических стандартов, особенно для шифрования и цифровых подписей. Угроза шифрованию актуальна уже сегодня из-за атак «собрал сейчас — расшифруешь потом», тогда как переход на PQC для цифровых подписей необходимо завершить до появления криптографически значимого квантового компьютера (CRQC). В рамках этой работы Android 17 получит защиту цифровых подписей на основе PQC с использованием алгоритма ML-DSA. Это включает обновление системы Android Verified Boot (AVB) для устойчивости к несанкционированным изменениям загружаемого программного обеспечения. Второе улучшение касается перевода Remote Attestation на полностью PQC-совместимую архитектуру и обновления Android Keystore для нативной поддержки ML-DSA.
ИИ помогает находить скрытые уязвимости
GitHub внедряет в GitHub Code Security механизмы обнаружения на основе искусственного интеллекта, расширяя покрытие безопасности приложений для большего числа языков и фреймворков. Эти нововведения дополняют CodeQL, выявляя потенциальные уязвимости в областях, где традиционный статический анализ малоэффективен. Гибридная модель обнаружения позволяет разработчикам видеть проблемы и предлагаемые исправления прямо в процессе работы с пул-реквестами. Ожидается, что публичная предварительная версия появится в начале второго квартала 2026 года.
Пиратские приложения распространяют бэкдоры
Группировка Sandworm (также известная как APT-C-13), действующая из России, с умеренной долей уверенности связана с кампанией, использующей пиратские версии легального ПО, например Microsoft Office, под названием «Microsoft.Office.2025x64.v2025.iso», для доставки бэкдоров Tambur, Sumbur, Kalambur и DemiMur на устройства высокоприоритетных целей. Распространение происходит через Telegram с применением социальной инженерии, нацеленной на украинских пользователей, ищущих взломанные версии программ. Tambur создаёт обратные SSH-туннели для выполнения вредоносных команд, Kalambur используется для проникновения в интранет, захвата удалённого рабочего стола (RDP) и поддержания связи. Sumbur — это усовершенствованная версия Kalambur с улучшенными методами обфускации. DemiMur предназначен для манипуляции доверием: модуль внедряет фальшивый корневой сертификат DemiMurCA.crt в хранилище доверенных сертификатов операционной системы, после чего Windows автоматически считает подписанные им скрипты безопасными.
Фальшивое расширение опустошает криптокошельки
Мошеннический проект ShieldGuard позиционировал себя как блокчейн-инструмент для защиты криптокошельков от фишинга и опасных смарт-контрактов через браузерное расширение. Однако анализ показал, что на самом деле расширение предназначено для хищения цифровых активов. Проект продвигался через сайт shieldguards[.]net, аккаунт в X (@ShieldGuardsNet) и Telegram-канал (@ShieldsGuard) с использованием многоуровневой маркетинговой кампании: пользователям обещали вознаграждение за раннее использование расширения (так называемый «airdrop») и привлечение новых участников. Расширение собирало адреса кошельков и другие конфиденциальные данные с крупных криптоплатформ, включая Binance, Coinbase, MetaMask, OpenSea, Phantom и Uniswap, а также пользователей сервисов Google. Кроме того, оно извлекало полный HTML-код страниц после входа пользователя в указанные сервисы. Предполагается, что за атакой стоят русскоязычные злоумышленники.
Фирменный бэкдор распространяется по всему миру
Компания Sophos зафиксировала множество случаев обнаружения на Android-устройствах вредоносной активности, связанной с бэкдором Keenadu. Это заражение прошивки, внедрённое в библиотеку libandroid_runtime.so, которое инжектирует себя в процесс Zygote. Поскольку Zygote является родительским процессом для всех Android-приложений, злоумышленник получает полный контроль над заражённым устройством. Keenadu выступает загрузчиком для вредоносного кода второго уровня. По состоянию на 4 марта 2026 года обнаружено более 500 уникальных скомпрометированных устройств почти 50 моделей, преимущественно бюджетных, от производителей Allview, BLU, Dcode, DOOGEE, Gigaset, Gionee, Lava и Ulefone. Заражённые устройства находятся в 40 странах мира.
Фишинг-сервис быстро восстанавливается после удара
В начале марта Europol и Microsoft объявили о захвате 330 активных доменов сервиса Tycoon2FA и о юридических действиях против нескольких связанных с ним лиц. Однако, по данным CrowdStrike, эта операция лишь незначительно затронула деятельность Tycoon2FA, которая быстро вернулась к прежним объёмам. После правоохранительной операции активность сервиса упала до 25%, но вскоре восстановилась до уровня начала 2026 года. Тактики, методы и процедуры (TTP) Tycoon2FA не изменились, что говорит о высокой устойчивости сервиса. Среди них: фишинговые письма, ведущие на поддельные CAPTCHA-страницы, кража сессионных cookie-файлов, использование JavaScript для извлечения адресов электронной почты, проксирование учётных данных через вредоносные JS-файлы и использование украденных учётных данных для доступа к облачным средам жертв. Кратковременный сбой доказал, что без арестов и физических изъятий киберпреступники легко восстанавливают инфраструктуру.
Фальшивые приглашения на встречи распространяют удалённый доступ
Фишинговые кампании используют поддельные приглашения на видеоконференции в Zoom, Microsoft Teams и Google Meet для распространения инструментов удалённого администрирования (RMM). Злоумышленники убеждают корпоративных пользователей установить «обязательное обновление» для участия во встрече, перенаправляя их на домены с опечатками, например zoom-meet.us. Под видом обновления распространяются легитимные RMM-инструменты с цифровой подписью, такие как Datto RMM, LogMeIn или ScreenConnect, которые позволяют злоумышленникам удалённо получать полный административный доступ к устройству жертвы.
Безфайловый стилер распространяется через фишинг
Кампания, нацеленная на организации здравоохранения и государственные структуры в Германии и Канаде, использует уведомления о нарушении авторских прав для доставки стилера PureLogs. Злоумышленники отправляют фишинговые письма с вредоносным исполняемым файлом, адаптированным под язык жертвы. После запуска разворачивается многоступенчатая цепочка заражения: загружается зашифрованный полезный файл, замаскированный под PDF, а ключ расшифровки удалённо получается с контролируемой злоумышленниками инфраструктуры. Извлечённый payload запускает загрузчик на Python, который дешифрует и выполняет в памяти финальный стилер PureLogs на .NET. Для обхода защиты используются анти-VM-техники, два .NET-загрузчика (один как резервный) и выполнение исключительно в памяти.
Атаки на MS-SQL развёртывают сканер
Угроза Larva-26002 продолжает атаковать некорректно настроенные MS-SQL-серверы. В январе 2024 года группировка использовала их для установки вымогателей Trigona и Mimic. В новых атаках злоумышленники применяют утилиту Bulk Copy Program (BCP) для локального размещения вредоносного кода и развёртывания сканера ICE Cloud Client, написанного на Go. Этот инструмент выполняет функции сканера и брутфорса для взлома уязвимых MS-SQL-серверов. Строки в бинарном файле написаны по-турецки, а использованные эмодзи указывают на применение генеративного ИИ при создании вредоносного кода.
Уязвимость позволяет манипулировать рейтингами
Исследователи обнаружили критическую уязвимость в ClawHub — маркетплейсе навыков для OpenClaw, которая позволяла злоумышленнику выводить свой навык на первое место. Проблема заключалась в том, что функция increment(), отслеживающая загрузки, была открыта как публичная мутация, а не приватная функция. Отсутствие аутентификации, ограничения частоты запросов и механизмов дедупликации позволяло атакующему бесконечно увеличивать счётчик загрузок любого навыка с помощью одного curl-запроса. Манипуляция рейтингами могла привести к тому, что ничего не подозревающие разработчики устанавливали вредоносные навыки. Проблема была устранена после ответственного раскрытия информации.
Вредоносные npm-пакеты похищают криптоключи
Пять новых вредоносных npm-пакетов — ethersproject-wallet, base-x-64, bs58-basic, raydium-bs58 и base_xd — опубликованы под аккаунтом galedonovan и используют тайпсквоттинг для имитации легитимной криптографической библиотеки. Каждый пакет перехватывает функцию, через которую разработчики обычно передают приватные ключи. Во время выполнения пакет незаметно отправляет ключ в Telegram-бот, а затем возвращает ожидаемый результат, не вызывая никаких ошибок или побочных эффектов.
Google Forms используются для доставки вредоносного ПО
Кампания, использующая Google Forms, привлекает жертв деловыми предлогами: приглашениями на собеседования, краткими описаниями проектов и финансовыми документами. Вместо фишингового письма или поддельной страницы загрузки злоумышленники используют Google Forms для запуска цепочки заражения. Жертва загружает ZIP-архив на деловую тематику, ссылка на который находится в Google Form. Внутри архива — вредоносный файл, запускающий многоступенчатую установку вредоносного ПО, включая PureHVNC RAT. Другая кампания использует обфусцированные VBScript-файлы для доставки загрузчика PhantomVAI через PNG-изображения, размещённые на Internet Archive, с конечной целью установки Remcos RAT и XWorm.
APT-группировка нацелена на службы поддержки Web3
Сложная многоступенчатая кампания, направленная на сотрудников служб поддержки Web3-компаний, использует подозрительные ссылки, отправленные через чаты поддержки. Цепочка атаки доставляет исполняемый файл, замаскированный под фотографию, который затем загружает второй загрузчик из AWS S3. Этот загрузчик развёртывает имплант Farfli (также известный как Gh0st RAT) через DLL side-loading для установки устойчивой связи с инфраструктурой злоумышленников. Кампания приписана группировке APT-Q-27 (GoldenEyeDog), финансово мотивированной группе, предположительно действующей из Китая с 2022 года.
Облачные телефоны подпитывают экономику мошенничества
Облачные телефоны — это виртуальные Android-системы, работающие через интернет, которые позволяют пользователям звонить, отправлять сообщения и использовать функции как на физическом устройстве. Эволюция мошенничества привела от «виртуальных» Android-устройств на физических телефонных фермах к облачным виртуальным мобильным инфраструктурам на эмуляторах. Злоумышленники покупают, продают и перемещают облачные телефоны с предварительно загруженными электронными кошельками и предварительно верифицированными банковскими картами для использования в атаках на учётные записи (ATO) и мошенничестве с авторизованными платежами (APP). Ничего не подозревающих пользователей обманом заставляют предоставить учётные данные, которые затем используются для верификации на облачных телефонах мошенников. Крупные платформы вроде LDCloud, Redfinger и GeeLark предлагают аренду устройств от $0,10 до $0,50 в час, а на даркнет-маркетах активно торгуют предварительно верифицированными аккаунтами-дропперами.
Более 500 тысяч IIS-серверов устарели
Shadowserver Foundation сообщает о более чем 511 тысячах экземпляров Microsoft IIS, достигших конца жизненного цикла, из которых более 227 тысяч находятся за пределами официального периода расширенной поддержки безопасности (ESU). Большинство из них расположены в Китае, США, Франции, Великобритании, Италии, Бразилии, Индии, Японии, Австралии и России.
Уязвимости камер видеонаблюдения привели к жёстким мерам
Власти Индии распорядились провести всеобъемлющий аудит систем видеонаблюдения после разоблачения шпионской сети, связанной с Пакистаном, которая использовала камеры наблюдения в шпионских целях. Солнечные камеры, установленные на железнодорожных станциях и других важных объектах, предположительно передавали видеопоток кураторам из пакистанской Межведомственной разведки (ISI). В рамках мер по усилению безопасности камер введены требования по документированию происхождения критических компонентов, тестированию на уязвимости, позволяющие несанкционированный удалённый доступ, и проверке на соответствие стандартам.
TDS перенаправляет жертв на мошеннические сайты
Новый система распределения трафика (TDS) под кодовым названием TOXICSNAKE используется для перенаправления жертв на фишинговые сайты, мошеннические воронки или вредоносные нагрузки. Атака начинается с загрузчика на JavaScript первого уровня, который собирает данные о посетителе и возвращает либо URL для перенаправления, либо ссылку на вредоносный payload.
PowerShell-вымогатель обходит EDR
Исследователи Halcyon сообщают, что самодельный шифратор Crytox PowerShell способен обходить решения класса endpoint detection and response (EDR) без использования дополнительных инструментов. Атаки Crytox по-прежнему сосредоточены на виртуальной инфраструктуре, проникновении через VPN и ручном выполнении команд, что указывает на целенаправленные операции, а не на массовые автоматические кампании.
Стилер раскрывает северокорейского оператора
Компьютер, принадлежащий участнику северокорейской схемы с IT-работниками, случайно заразился стилером Lumma Stealer после того, как пользователь загрузил вредоносные файлы в поиске читов для GTA V. Извлечённые логи стилера содержали корпоративные учётные данные для CDN Funnull, которая использовалась государственными хакерами. Оператор использовал «массивную матрицу синтетических личностей» на западных фриланс-платформах и пяти различных профилях Chrome для разделения операций.
Polyfill-атака связана с Северной Кореей
Атака на цепочку поставок Polyfill[.]io в 2024 году связана с северокорейскими злоумышленниками после того, как оператор допустил фатальную ошибку операционной безопасности, загрузив поддельный файл установки и заразив свой компьютер стилером Lumma Stealer. Собранные данные включали учётные данные для портала управления DNS Funnull, учётные данные для Cloudflare-арендатора Polyfill (доказывая, что скомпрометированный домен находился под контролем злоумышленника) и переписку об изменении конфигурации вредоносного домена.
Суд отклонил иск против Meta
Американский судья удовлетворил ходатайство об отклонении иска против Meta, поданного бывшим сотрудником WhatsApp Аттуллой Байгом, который обвинял компанию в игнорировании проблем конфиденциальности и безопасности. Судья постановил, что в жалобе не содержится достаточных фактов, подтверждающих нарушение правил SEC, и что заявления истца не относятся к регулированию внутреннего контроля.
Гонконг расширил полномочия полиции
Полиция Гонконга получила право требовать пароли от телефонов и компьютеров у подозреваемых в нарушении Закона о национальной безопасности. Отказ предоставить пароли может грозить тюремным заключением до года и штрафом до 12 700 долларов. Предоставление ложной или вводящей в заблуждение информации — до трёх лет тюрьмы.
Android RAT продаётся как услуга
Новый Android-троян Oblivion RAT предлагается на киберпреступных форумах как услуга (MaaS) по цене $300 в месяц. Платформа включает веб-конструктор APK для импланта, отдельный конструктор дропперов, генерирующих убедительные поддельные страницы обновлений Google Play, и панель управления для контроля устройств в реальном времени. Распространение происходит через дропперы APK, отправляемые жертвам в рамках атак социальной инженерии. Oblivion злоупотребляет API специальных возможностей Android для получения дополнительных разрешений и кражи конфиденциальных данных.
Перерывы в работе злоумышленников больше не оставляют долгосрочного эффекта. Инфраструктуру временно выводят из строя, но она быстро восстанавливается, как будто ничего не случилось. Те же тактики, чуть более чистая реализация.
Многое из описанного строится на доверии к встроенным механизмам. Знакомые инструменты, привычные процессы, то, что люди перестают подвергать сомнению. Разрыв между «выглядит нормально» и «совсем не нормально» по-прежнему остаётся главным вектором атак.
По отдельности ни один из этих кейсов не выглядит сенсацией. Но собранные вместе, они заставляют задуматься.
