Хабр, привет!

На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies регулярно смотрим на поток информации об уязвимостях из самых разных источников: бюллетени безопасности вендоров, соцсети, блоги, телеграм-каналы, репозитории кода, базы уязвимостей и эксплойтов. Из этого многообразия мы стараемся выделять самое важное - трендовые уязвимости, которые уже используются в реальных атаках или с высокой вероятностью будут эксплуатироваться в ближайшее время.

С прошлого дайджеста мы добавили в общий список еще четыре трендовые уязвимости.

Команда Supply Chain Security экспертного центра безопасности (PT ESC) отправила отчет администрации реестра npm о занятной маленькой кампании против Apple, среди них:

• apple-infra-network-v2 (170 скачиваний на момент репорта)
• apple-infra-final-escape (326 скачиваний)
• apple-infra-gcp-leak (165 скачиваний)
• apple-infra-ultimate-bypass (153 скачивания)
• agents-a365-runtime — мимикрия под пакет @microsoft/agents-a365-runtime (447 скачиваний)
• apple-security-internal-scanner-v3 (185 скачиваний)
• apple-coredata-internal-service (367 скачиваний)

Часть проектов первой волны лаконична и состоит из одного файла package.json весом менее 1 килобайта.

Российский промышленный сектор переживает масштабную волну цифровой трансформации и форсированного импортозамещения. Однако оборотной стороной этого процесса стал резкий рост интереса к нему со стороны высокопрофессиональных злоумышленников. 

Мы наблюдаем существенную разницу в подходах к кибератакам на отрасль: если во всем мире промышленность страдает от классических вирусов-вымогателей и шифровальщиков, требующих выкуп, то в России фокус окончательно сместился в сторону сложного кибершпионажа и глубокого скрытого закрепления в ИТ-инфраструктуре.

В этой статье мы разберем ключевые данные по атакам на российский промышленный сектор, проанализируем тактики атакующих групп, специфику применяемого инструментария, уязвимые места технологического сегмента, а также рассмотрим практические шаги для реализации концепции результативной кибербезопасности на производстве.

Привет, Хабр!

Меня зовут Данил Зарипов, я эксперт центра безопасности (PT ESC) Positive Technologies. Эту статью мы подготовили вместе с моим коллегой Кириллом Масловым, продуктовым экспертом по направлению Asset Management. Мы закрываем наш цикл статей про аудит ИТ‑активов, и сегодня поговорим о системах виртуализации.

Виртуальная инфраструктура — это не просто удобный способ экономить железо. Это сложная система, в которой переплетаются гипервизоры, виртуальные машины, сети, системы хранения и управляющее ПО. И если злоумышленник получает к ней доступ, считайте в его руках ключи от любой «двери» в компании. Для защитника же‑ это огромный пласт данных, который помогает увидеть инфраструктуру целиком, найти уязвимости, отловить небезопасные настройки и вовремя заметить избыточные права доступа.

Как устроена виртуальная инфраструктура изнутри? Почему атакующие всё чаще охотятся за ней? И главное — что с этим делать защитникам, чтобы не дать превратить свои сервера в чужой ботнет? Давайте разбираться на примере продуктов VMware!

Привет, Хабр! Меня зовут Алиса Комиссарова, я руководитель отдела автоматизации и поддержки документирования Positive Technologies.

Если вы работаете техническим писателем, скорее всего, ваши задачи ограничиваются разработкой пользовательской документации для одного продукта или направления. Вы привыкли пользоваться популярными инструментами документирования, знаете их основные функции и умеете писать и публиковать руководства. Но что меняется, когда перед вами стоит задача поддерживать документацию для всех продуктов компании, охватывающую множество подсистем, версий, платформ, аудиторий и все этапы жизненного цикла продуктов. Достаточно ли будет знания руководства по стилю и общих принципов написания текстов?

Еще десять лет назад команде технических писателей Positive Technologies поставили именно такой вызов — компания активно росла и требовалось построить единую систему документирования. В этой статье я собрала практические рекомендации, которые помогут вам перейти от «локального» к «корпоративному» подходу, а также понять, для чего нужна роль архитектора контента.

В феврале 2026 года Claude Cowork стирает 15 лет семейных фотографий одной командой. За полгода до этого, в августе 2025-го, случился кейс Nx supply chain: малварь впервые в истории использует локальные ИИ‑CLI как инструмент разведки. В марте этого года Google Cloud Threat Horizons H1-2026 подтверждает: часть украденных в Nx токенов используется кампанией UNC6426 для перехода CI/CD → cloud admin через злоупотребление OIDC. 72 часа от первого коммита до админских прав в AWS.

Всё это примеры того, что может происходить, когда у ИИ‑агента есть руки и мы забываем, на чьей машине эти руки действуют.

Данная статья предназначается для неравнодушных инженеров, AppSec, DevSecOps специалистов и всех тех, кто хоть раз запускал агента у себя на машине. Запрещать агентов в контуре бесполезно, отказываться от них самому глупо, но чем они так опасны? Сперва развеем туман неясности, построим модель угроз, собранную на реальных инцидентах и опубликованных CVE, а после будут конкретные рекомендации, как ограничить агента песочницей без ущерба для эффективности разработки. И как запускать --dangerously-skip-permissions без страха.

Кратко о себе: в прошлом разработчик смарт-контрактов (с 2017 года), с 2022 года работаю аудитором смарт-контрактов. Эта статья для тех, кто так или иначе интересуется информационной безопасностью и непосредственно аудитом смарт-контрактов (да и процессом аудита в целом).

По итогам аудита могут возникнуть два серьёзных вопроса: «Почему мы ничего не успели?» и «Почему мы ничего не нашли?». И самая страшная ситуация, когда оба эти вопроса возникают одновременно. Опишем это одним ёмким словом: «Провал».

В данной статье я попробую описать типовой процесс проведения аудита на примере систем смарт-контрактов — от самого начала до итогового отчета.

Всем привет! Это Сергей Зюкин, разработчик экспертизы runtime-radar — опенсорсного продукта, обеспечивающего безопасность контейнерной среды выполнения. Я подготовил для вас статью, в которой расскажу, как можно обнаружить инфостилер, встроенный в библиотеку LiteLLM в результате ее недавней компрометации. Помимо этого, мы, конечно же, рассмотрим и боковое перемещение внутри Kubernetes-инфрастуктуры, которое происходит, если скрипт инфостилера запускается в поде с достаточными привилегиями.

Мы не смогли удержаться и проверили, что Runtime Radar может обнаружить при реализации подобной атаки.

Но обо всем по порядку.

Я работаю в PR с 2001 года. Тогда профессия пиарщика активно развивалась, на рынке было много политтехнологов и консультантов. За 25 лет профессия сильно трансформировалась, в том числе и по части подготовки контента в различных форматах. И если раньше мы по крупицам собирали информацию и превращали ее в разные материалы, то сегодня контент создается намного быстрее.

Каждый раз читаешь новую статью с мыслью: а уникальный ли это контент? Написано самостоятельно, по собственным примерам, тут нет нагенерированных нейронкой кусочков? Со временем стала задумываться – а как проверить? Ведь продвинутые модели генерят текст очень нативным языком, почти не отличить от естественного. Я стала искать материалы по теме – выручили наши техрайтеры, предложив почитать статью в журнале Multilingual, как раз про выявление элементов ИИ в тексте. Это довольно сложный лингвистический материал, но и упрощать тему желания нет. В общем, кто хочет углубиться, как и я — добро пожаловать под кат.

Всем привет, меня зовут Михаил Сухов, я участник команды PT SWARM. Нам в команде все чаще встречается инфраструктура, построенная на базе альтернативных реализаций службы каталога Microsoft Active Directory. Одной из таких реализаций, заслуженно получившей большое распространение является FreeIPA.

В ходе работы с FreeIPA стало очевидно, что можно изучать еще и архитектурные особенности, которые сильно отличаются от AD.

Так появился IPAHound — наш аналог BloodHound для FreeIPA. За основу был взят проект BloodHound Legacy с поддержкой PKI.

Мы неоднократно использовали IPAHound в своих проектах по поиску уязвимостей. В этой статье я расскажу о нашем инструменте. Также посмотрим на различные способы анализа связей, облегчающие продвижение в FreeIPA.

Хабр, привет!

На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies регулярно исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.

С прошлого дайджеста мы добавили еще одну трендовую уязвимость. Подробности о ней читайте под катом.

Привет, Хабр! Меня зовут Данил Зарипов, я занимаюсь продуктовой экспертизой в Positive Technologies. Эту статью мне помог подготовить мой коллега Кирилл Маслов — наш эксперт по направлению Asset Management. Мы решили не искать лёгких путей и выбрали тему, которая большинству из вас хорошо знакома. Казалось бы, что нового можно сказать про домены, пусть и с точки зрения безопасности? 

Для атакующего захват домена — это фактически победа. Получив контроль над контроллером домена, злоумышленник получает доступ ко всем учетным записям, компьютерам, групповым политикам и доверительным отношениям, а дальше дело техники: найти учетки бухгалтеров и топ-менеджеров, переключиться на их машины, читать почту, копировать документы. Это самые безобидные последствия.

Как это часто бывает в информационной безопасности, самое знакомое скрывает множество нюансов. Давайте разбираться!

> Названием «глухарь» птица обязана известной особенности токующего в брачный период самца утрачивать чуткость и бдительность, чем часто пользуются охотники

Защита программного кода — извечная битва меча и щита. Одни люди стараются создать устойчивые ко взлому программные и аппаратные продукты, другие пытаются эти решения сломать. Но что происходит, когда команда, специализирующаяся на взломе, выпускает на рынок свой продукт? Можно ли в этих обстоятельствах разработать устройство, защиту которого невозможно обойти?

Сегодня мы посмотрим внутрь флеш-картриджа для Nintendo Switch под названием MIG Switch и раскроем тайну его происхождения! Ну и в качестве побочного квеста победим защиту одного из самых современных микроконтроллеров на рынке.

Нередко в процессе реверс-инжиниринга мы сталкиваемся с STL-кодом, анализ которого на первый взгляд кажется затруднительным. Неопытный глаз может принять этот код за полезный и потратить время на анализ какого-нибудь конструктора.

На самом деле, здесь важно потратить время на то, чтобы распознать STL-контейнер по косвенным признакам, быстро понять, где какие данные лежат, типизировать их и идти дальше. В новой серии публикаций мы расскажем о самых распространенных контейнерах STL и начнем с std::vector.

Привет, Хабр!

Я Ирина Слонкина из отдела безопасности распределенных систем, Positive Technologies. Вместе с коллегами исследую безопасность смарт-контрактов и блокчейн-приложений. Конечно, всегда интересно вникнуть вглубь каждой технологии, вышедшей на рынок. В этой статье я расскажу про криптографический протокол PLONK, один из самых интересных протоколов в блокчейн-индустрии.

С момента появления PLONK ценят за компактные доказательства, быструю верификацию и многоразовую обновляемую доверительную настройку, поэтому в наши дни он широко используется в различных приложениях. Тем важнее исследовать его безопасность.

С осени 2025 года наши специалисты отдела реагирования на киберугрозы отмечают рост числа инцидентов, связанных с деятельностью хакерской группы PhantomCore. Эта группировка специализируется на кибершпионаже и краже конфиденциальных данных у российских организаций. Злоумышленники, в первую очередь нацеленные на внутренние процессы скомпрометированной организации, могут длительное время присутствовать в инфраструктуре жертвы, постепенно расширяя свое присутствие в сети.

Ключевые моменты

- C сентября 2025 года PhantomCore активно атакуют серверы видеоконференцсвязи TrueConf.

- Используют вредоносный клиент TrueConf.

- Используют инструменты цифровой криминалистики для закрепления и получения учетных данных на скомпрометированном хосте.

- В ходе атак были задействованы собственные инструменты для создания обратного SSH-туннеля: MacTunnelRat (PhantomHeart), PhantomProxyLite, PhantomSscp.

Одной из самых актуальных уязвимостей в Windows Server Update Services (WSUS) стала критическая ошибка с идентификатором CVE-2025-59287 и оценкой CVSS 9.8. Она связана с десериализацией недоверенных данных в службе обновления Windows Server и позволяет неавторизованному удаленному злоумышленнику выполнить код на сервере, отправив специально сформированное событие.

В разборах эксплуатации шаги были указаны некорректно, так как их взяли из статьи. Однако позже авторы сами ее исправили и указали, что разбор относится к CVE-2023-35317, тогда как анализ CVE-2025-59287 перенесли в отдельную статью.

Это вызвало путаницу в многочисленных репостах, поэтому мы решили расставить все точки над i и заодно показать, как атакующий может восстановить оснастку после эксплуатации уязвимости.

Привет, Хабр! 

Меня зовут Андрей Кузнецов, я ML-директор в Positive Technologies. Недавно я решил разобраться, какие бенчмарки измеряют способности языковых моделей в контексте задач кибербезопасности. Думал, что это займет вечер, — увы! Все оказалось куда хаотичнее, чем предполагалось. Поэтому делюсь тем, что собрал сам.

Первое, что бросилось в глаза, — полный бардак и отсутствие системы. Бенчи, про которые все пишут в 2024-м, могут вообще не упоминаться в свежих статьях 2025-го. А некоторые широко цитируемые датасеты при ближайшем рассмотрении оказываются сделанными очень небрежно, из-за чего непонятно, что они вообще измеряют. Поэтому, прежде чем лезть в конкретные примеры, давайте определимся, какими они бывают.

Всем привет! На связи Дмитрий Федосов, руководитель отдела наступательной безопасности экспертного центра безопасности (PT ESC) Positive Technologies, и Владислав Дриев, ведущий специалист нашего подразделения. Мы развиваем технологии автопентеста в рамках продукта PT Dephaze. Сегодня хотим наглядно показать, как автоматизированный взлом собственной инфраструктуры помогает выявлять реальные векторы атак, которыми злоумышленники могут воспользоваться в любую минуту.

С момента запуска PT Dephaze наша команда провела более 60 «пилотов» в организациях России и не только. Мы проанализировали этот опыт, собрали обратную связь от клиентов и улучшили технологии. В этой статье предлагаем вместе погрузиться в процесс использования нашей системы автопентеста на основании опыта наших пользователей. Разберем результаты и варианты их использования в защите.

Привет, Хабр!

На связи Олег Уланов (aka brain), багхантер и ведущий подкаста «Начинаем в багбаунти». Кстати, по итогам 2025 года стал топ-1 площадки Standoff Bug Bounty.

Этот материал мы подготовили вместе с Дмитрием Прохоровым, пентестером из PT SWARM (в мире багхантинга Дима известен как ratel_xx).

В статье речь пойдёт о поиске уязвимостей через загрузку файлов. Вы узнаете, как устроен механизм multipart/form-data, какие защитные механизмы ставят разработчики и как их обходить. Я покажу на практике, что можно сделать с расширениями файлов, Content-Type, magic bytes, а заодно затрону эксплойты типа race condition, zip-слайп и нестандартные векторы вроде загрузки .htaccess. Статья подойдёт для начинающих багхантеров, поэтому даже если у вас мало опыта смело заглядывайте под кат!