Pull to refresh
64K+
333

Пользователь

143,8
Rating
1 178
Subscribers
Send message

LLM против APK: сколько стоит автономно перепаковать Android-приложение

Reading time9 min
Reach and readers4.3K

Большие языковые модели давно вышли за пределы «помоги дописать функцию». Они доступны всем — и злоумышленник тут не исключение. Отсюда практический вопрос, который нас и интересовал: может ли LLM самостоятельно, без человека, атаковать мобильное приложение, и если да — во сколько это обойдётся.

Из всего списка рисков мы взяли один конкретный сценарий: внедрить в приложение вредоносный код так, чтобы после пересборки оно осталось рабочим и его можно было раздавать живым пользователям. Проверяли на Android.

Читать далее

Июльский «В тренде VM»: уязвимость в Microsoft Exchange Server

Reading time3 min
Reach and readers7.1K

Хабр, привет! На связи Александр Леонов, ведущий эксперт центра безопасности Positive Technologies и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков регулярно смотрим на поток информации об уязвимостях из самых разных источников: бюллетени безопасности вендоров, соцсети, блоги, Telegram-каналы, репозитории кода, базы уязвимостей и эксплойтов. Из этого многообразия мы стараемся выделять самое важное – трендовые уязвимости, которые уже используются в реальных атаках или с высокой вероятностью будут эксплуатироваться в ближайшее время.

С прошлого дайджеста мы добавили еще одну трендовую уязвимость.

Читать далее

CloudAtlas. Новая волна кибератак на Россию и Ирак с использованием цепочек легитимных веб-ресурсов

Level of difficultyEasy
Reading time9 min
Reach and readers7.5K

В мае 2026 года департамент Threat Intelligence экспертного центра безопасности Positive Technologies обнаружил очередную кампанию APT-группировки CloudAtlas, в рамках которой использовались характерные документы Microsoft Office с техникой внедрения вредоносных шаблонов и многоступенчатая цепочка доставки вредоносных HTA- и VBS-компонентов.

Однако кампания отличалась использованием цепочек из oEmbed-запросов и скомпрометированных легитимных веб-ресурсов как транспортного слоя для загрузки полезной нагрузки, что усложняло выявление и атрибуцию канала доставки вредоносного ПО.

Дополнительный интерес представляет нетипичный таргетинг: наряду с кибератаками на российские объекты энергетической, оборонно-промышленной и транспортной инфраструктуры с акцентом на предприятия на территории Крымского полуострова ряд обнаруженных вредоносных документов предназначался для пользователей из Ирака.

Читать далее

Ищем RAT'ов по их же сертификатам

Reading time2 min
Reach and readers13K

Недавно коллеги из Censys выкатили разбор семейства AsyncRAT, описав целое генеалогическое древо: AsyncRAT → DCRAT (DarkCrystal RAT) → VenomRAT → еще десятки форков вплоть до LMTeamRAT, Alfa Red Fox, EchoRAT, Gh0stRAT (не путать с оригинальным Gh0st RAT 2008 года) и т. д. Всего насчитали около 40 именованных вариантов, 13 из них — с живой C2-инфраструктурой на момент исследования.

У нас, отдела сетевой экспертизы антивирусной лаборатории, уже был опыт детектирования VenomRAT по его дефолтовому сертификату, и мы даже отдали в сообщество сигнатуру для Suricata в рамках проекта PT Rules.

Именно поэтому нас это исследование, само собой, зацепило — и мы решили прогнать похожую логику не по интернет-скану, а по трафику из собственных песочниц: а вдруг мы что-то упустили?

Читать далее

VMkatz: скрытая угроза для виртуальной инфраструктуры

Level of difficultyEasy
Reading time2 min
Reach and readers12K

В 2026 году был опубликован инструмент VMkatz. По функционалу он напоминает широко известный инструмент Mimikatz, но, в отличие от него, целью VMkatz является извлечение учетных данных напрямую из файлов виртуальных машин (снимков памяти и виртуальных дисков) без необходимости входа внутрь гостевых Windows-систем. VMkatz может работать с файлами виртуальных машин разных платформ, включая VMware ESXi, Microsoft Hyper-V, VirtualBox и QEMU/KVM.

Читать далее

Рынки монетизации уязвимостей

Level of difficultyEasy
Reading time16 min
Reach and readers11K

Данные об уязвимостях в программном обеспечении или инфраструктуре — важнейшая информация. Она может быть использована как для усиления защиты систем, так и для проведения кибератак.

Существует несколько рынков продажи сведений об уязвимостях. Легальный основан на поиске недостатков безопасности с их последующей передачей на багбаунти-площадки либо с ответственным раскрытием информации о них. Нелегальный связан с продажей данных об уязвимостях на теневых площадках. Оба рынка строятся вокруг спроса на эксклюзивную техническую информацию, но различаются правилами, мотивацией участников и последствиями использования найденных слабостей систем.

В этой статье мы расскажем про устройство этих рынков: их общие черты, ключевые различия и влияние на сферу кибербезопасности.

Читать далее

Актуальные киберугрозы веб-приложений и инфраструктуры разработки

Level of difficultyEasy
Reading time7 min
Reach and readers7.7K

Современный ландшафт цифровых угроз демонстрирует очевидный тренд: веб-приложения и инфраструктура разработки давно превратились из второстепенной цели в ключевую мишень для атакующих. По нашим данным (за период с начала 2025 года по первый квартал 2026 года), на веб-ресурсы приходится каждая пятая успешная атака на организации в мире.

Цена компрометации веб-ресурсов выросла. Если раньше взлом сайта часто ограничивался банальным дефейсом или кражей маркетинговой базы данных, то сегодня веб-приложение — это полноценные ворота вглубь корпоративного периметра, способные остановить ключевые бизнес-процессы, парализовать цепочки поставок или полностью скомпрометировать процесс создания программного обеспечения.

В этой статье рассказываем про ключевые тренды и прогнозы, связанные с киберугрозами веб-приложений.

Читать далее

NetMedved и летняя кампания против российских организаций

Reading time10 min
Reach and readers12K

Группа киберразведки Positive Technologies зафиксировала новую фишинговую кампанию хакерской группировки NetMedved, нацеленную на российские организации. Как и в описанных нами ранее атаках, операторы используют деловую тематику, документы-приманки и легитимный инструмент удаленного администрирования NetSupport Manager, развернутый в системе жертвы.

В предыдущих кампаниях NetMedved уже применялись архивы с документами-приманками, вредоносные LNK-файлы, PowerShell-загрузчики, сценарии с использованием finger, а также HTA-варианты с декодированием приманки и NetSupportRAT из тела файла. В новой кампании операторы сохранили основную модель атаки, но расширили набор начальных стадий и инфраструктурных приемов.

Читать далее

Пять редких техник закрепления хакеров в сети

Reading time7 min
Reach and readers9.2K

За первые шесть месяцев 2026 года специалисты департамента комплексного реагирования на киберугрозы экспертного центра безопасности Positive Technologies (PT ESC IR) зафиксировали ряд редких техник закрепления на скомпрометированных хостах. Что за техники — рассказываем в этой статье.

Читать далее

Июньский «В тренде VM»: уязвимости ядра Linux, Microsoft Defender и устройств Palo Alto Networks

Reading time10 min
Reach and readers9.6K

Хабр, привет!

На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies регулярно смотрим на поток информации об уязвимостях из самых разных источников: бюллетени безопасности вендоров, соцсети, блоги, телеграм-каналы, репозитории кода, базы уязвимостей и эксплойтов. Из этого многообразия мы стараемся выделять самое важное - трендовые уязвимости, которые уже используются в реальных атаках или с высокой вероятностью будут эксплуатироваться в ближайшее время.

С прошлого дайджеста мы добавили в общий список еще четыре трендовые уязвимости.

Читать далее

Включил отладку по Wi-Fi — получил Mamont

Reading time3 min
Reach and readers10K

В начале мая на устройствах Android была обнаружена уязвимость CVE-2026-0073, которая позволяет удаленно выполнять команды на мобильном устройстве без подтверждения со стороны пользователя.

Уязвимы устройства с Android 11 и выше, на которых включена функция отладки по Wi-Fi.

Функция отладки по Wi-Fi является легитимной — она позволяет подключаться к мобильному устройству для установки, тестирования приложений и создания резервных копий. Для использования этой функции необходимо осуществить сопряжение с ПК и подтвердить доверенные связи. CVE-2026-0073 дает возможность пропустить этап подтверждения связей и сразу взаимодействовать с устройством.

Читать далее

Цепочка атаки на ИТ-инфраструктуру компании через AD CS: от CVE-2024-4577 до компрометации домена

Level of difficultyMedium
Reading time14 min
Reach and readers8.9K

Привет, Хабр!

Меня зовут Евгений Кабаргин (aka kiberjen). Я капитан KiberS, команды энтузиастов и профессионалов в области кибербезопасности. Любим наступательные техники и постоянно развиваемся в этом направлении, специализируемся на веб-пентесте, тестировании инфраструктуры и Red Team. 

В этой статье я разберу, как в рамках задания на платформе Standoff 365 был скомпрометирован контроллер домена компании Carbon.

По легенде, инцидент обнаружила служба информационной безопасности во время планового аудита: специалисты выявили подозрительную активность в сети. Выяснилось, что нарушители получили доступ к контроллеру домена Carbon. Компания вернула контроль над инфраструктурой и сосредоточилась на устранении последствий, но информация об атаке уже просочилась в сеть. Клиенты Carbon в шоке...

Этот кейс представляет учебный интерес с точки зрения того, что была проведена многоуровневая атака: точка входа через уязвимость CVE-2024-4577 в PHP CGI, последовательная эскалация привилегий и финальная компрометация домена через некорректно настроенную инфраструктуру сертификатов (AD CS, ESC7).

Читать далее

ИИ в 2026: крах мифа об автономных хакерах и скрытые уязвимости корпораций

Level of difficultyEasy
Reading time13 min
Reach and readers7.9K

Эйфория вокруг генеративного искусственного интеллекта и больших языковых моделей, начавшаяся несколько лет назад, сменилась прагматичным и жестким осознанием реальности. В индустрии информационной безопасности долгое время циркулируют апокалиптические прогнозы: эксперты предрекали появление полностью автономных цифровых хакеров, способных самостоятельно взламывать банковские системы, и появление миллионов низкоквалифицированных хакеров, которые одной кнопкой смогут ставить на колени транснациональные корпорации.

На днях мы выпустили аналитическое исследование, которое подводит черту под эпохой домыслов. Реальность, как это часто бывает, оказалась куда тоньше и интереснее медийных страшилок. Никакого «терминатора», способного в одиночку взломать защищенный контур, не появилось. Однако киберландшафт изменился безвозвратно. Произошла глубокая эволюция наступательного инструментария, а главное — сам бизнес, стремясь угнаться за трендом на «интеллектуализацию», создал гигантскую, уязвимую и практически неконтролируемую поверхность атаки внутри собственных ИТ-контуров.

В этой статье мы попробуем развенчать укоренившиеся мифы, разберем анатомию современных ИИ-атак и детально опишем новые векторы угроз, которые компании создают своими руками через теневой ИИ (Shadow AI), агентские системы и бесконтрольную генерацию кода.

Читать далее

Спросите эксперта: всё о безопасности контейнеров и DevSecOps

Reading time2 min
Reach and readers7.6K

Привет, Хабр!

Контейнеризация уже давно стала стандартом де-факто для современной разработки. Но вместе со скоростью и гибкостью Kubernetes и Docker принесли и новые головные боли для команд безопасности. Как защитить то, что живет всего несколько часов? Как внедрить DevSecOps и не свести с ума разработчиков? И как вовремя поймать уязвимость еще на этапе сборки образа?

Мы в Positive Technologies ежедневно решаем эти задачи. И сегодня мы запускаем новую рубрику «Спросите эксперта».

Если вам интересно, как устроена безопасность контейнеров «под капотом», столкнулись со сложным кейсом в Kubernetes или хотите покритиковать/похвалить наш продукт для комплексной защиты контейнерной инфраструктуры в гибридных облаках — добро пожаловать в комментарии!

Читать далее и спросить

Майский «В тренде VM»: громкие уязвимости в Linux, ActiveMQ, SharePoint и Acrobat Reader

Level of difficultyEasy
Reading time10 min
Reach and readers8.4K

Хабр, привет!

На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies регулярно смотрим на поток информации об уязвимостях из самых разных источников: бюллетени безопасности вендоров, соцсети, блоги, телеграм-каналы, репозитории кода, базы уязвимостей и эксплойтов. Из этого многообразия мы стараемся выделять самое важное - трендовые уязвимости, которые уже используются в реальных атаках или с высокой вероятностью будут эксплуатироваться в ближайшее время.

С прошлого дайджеста мы добавили в общий список еще четыре трендовые уязвимости.

Читать далее

Злоумышленник публикует .bash_history: смотреть без регистрации и СМС

Reading time3 min
Reach and readers15K

Команда Supply Chain Security экспертного центра безопасности (PT ESC) отправила отчет администрации реестра npm о занятной маленькой кампании против Apple, среди них:

apple-infra-network-v2 (170 скачиваний на момент репорта)
apple-infra-final-escape (326 скачиваний)
apple-infra-gcp-leak (165 скачиваний)
apple-infra-ultimate-bypass (153 скачивания)
agents-a365-runtime — мимикрия под пакет @microsoft/agents-a365-runtime (447 скачиваний)
apple-security-internal-scanner-v3 (185 скачиваний)
apple-coredata-internal-service (367 скачиваний)

Часть проектов первой волны лаконична и состоит из одного файла package.json весом менее 1 килобайта.

Читать далее

Тихое присутствие вместо вымогательства: особенности национальных киберугроз в промышленности

Level of difficultyEasy
Reading time9 min
Reach and readers8.9K

Российский промышленный сектор переживает масштабную волну цифровой трансформации и форсированного импортозамещения. Однако оборотной стороной этого процесса стал резкий рост интереса к нему со стороны высокопрофессиональных злоумышленников. 

Мы наблюдаем существенную разницу в подходах к кибератакам на отрасль: если во всем мире промышленность страдает от классических вирусов-вымогателей и шифровальщиков, требующих выкуп, то в России фокус окончательно сместился в сторону сложного кибершпионажа и глубокого скрытого закрепления в ИТ-инфраструктуре.

В этой статье мы разберем ключевые данные по атакам на российский промышленный сектор, проанализируем тактики атакующих групп, специфику применяемого инструментария, уязвимые места технологического сегмента, а также рассмотрим практические шаги для реализации концепции результативной кибербезопасности на производстве.

Читать далее

Страшно, когда не видно: темные тайны систем виртуализации

Reading time15 min
Reach and readers11K

Привет, Хабр!

Меня зовут Данил Зарипов, я эксперт центра безопасности (PT ESC) Positive Technologies. Эту статью мы подготовили вместе с моим коллегой Кириллом Масловым, продуктовым экспертом по направлению Asset Management. Мы закрываем наш цикл статей про аудит ИТ‑активов, и сегодня поговорим о системах виртуализации.

Виртуальная инфраструктура — это не просто удобный способ экономить железо. Это сложная система, в которой переплетаются гипервизоры, виртуальные машины, сети, системы хранения и управляющее ПО. И если злоумышленник получает к ней доступ, считайте в его руках ключи от любой «двери» в компании. Для защитника же‑ это огромный пласт данных, который помогает увидеть инфраструктуру целиком, найти уязвимости, отловить небезопасные настройки и вовремя заметить избыточные права доступа.

Как устроена виртуальная инфраструктура изнутри? Почему атакующие всё чаще охотятся за ней? И главное — что с этим делать защитникам, чтобы не дать превратить свои сервера в чужой ботнет? Давайте разбираться на примере продуктов VMware!

Читать далее

Апрельский «В тренде VM»: уязвимость в Microsoft SharePoint

Level of difficultyEasy
Reading time4 min
Reach and readers8.7K

Хабр, привет!

На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies регулярно исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.

С прошлого дайджеста мы добавили еще одну трендовую уязвимость. Подробности о ней читайте под катом.

Читать

Страшно, когда не видно: взгляд внутрь домена

Reading time12 min
Reach and readers8.4K

Привет, Хабр! Меня зовут Данил Зарипов, я занимаюсь продуктовой экспертизой в Positive Technologies. Эту статью мне помог подготовить мой коллега Кирилл Маслов — наш эксперт по направлению Asset Management. Мы решили не искать лёгких путей и выбрали тему, которая большинству из вас хорошо знакома. Казалось бы, что нового можно сказать про домены, пусть и с точки зрения безопасности? 

Для атакующего захват домена — это фактически победа. Получив контроль над контроллером домена, злоумышленник получает доступ ко всем учетным записям, компьютерам, групповым политикам и доверительным отношениям, а дальше дело техники: найти учетки бухгалтеров и топ-менеджеров, переключиться на их машины, читать почту, копировать документы. Это самые безобидные последствия.

Как это часто бывает в информационной безопасности, самое знакомое скрывает множество нюансов. Давайте разбираться!

Читать далее
1
23 ...

Information

Rating
Does not participate
Works in
Registered
Activity