Кибербезопасность
👉 от %username%
Подборка ресурсов по кибербезопасности
На русском 🇷🇺
Securitylab
последний пост 2 часа назад
Эксперимент, о котором никто не знал. Anthropic тайно следила за пользователями из Китая — и теперь объясняется
Эксперимент, о котором никто не знал. Anthropic тайно следила за пользователями из Китая — и теперь объясняется Эксперимент, о котором никто не знал. Anthropic тайно следила за пользователями из Китая — и теперь объясняется

Claude Code слишком много знал о своих пользователях.

2 часа назад @ securitylab.ru
Думали, VPN обеспечивает полную анонимность? Как Microsoft ловит хакеров через идентификатор, который нельзя отключить
Думали, VPN обеспечивает полную анонимность? Как Microsoft ловит хакеров через идентификатор, который нельзя отключить

Microsoft передала ФБР данные GDID, которые помогли задержать хакера Scattered Spider.

3 часа назад @ securitylab.ru
16 лет в коде. Ошибка в Linux KVM позволяет гостевой системе обрушить физический сервер
16 лет в коде. Ошибка в Linux KVM позволяет гостевой системе обрушить физический сервер

Уязвимость Januscape ставит под удар крупнейшие вычислительные центры мира.

3 часа назад @ securitylab.ru
Без мамы в сеть не пустят. Брюссель придумал, как закрыть социальные сети для миллионов школьников
Без мамы в сеть не пустят. Брюссель придумал, как закрыть социальные сети для миллионов школьников Без мамы в сеть не пустят. Брюссель придумал, как закрыть социальные сети для миллионов школьников

Евросоюз планирует объединить законы стран о доступе подростков в интернет.

4 часа назад @ securitylab.ru
Держали три браузера ради трёх аккаунтов? Теперь хватит одного Brave
Держали три браузера ради трёх аккаунтов? Теперь хватит одного Brave

Разработчики Brave наконец поняли, зачем пользователи держат открытыми сразу три разных браузера.

4 часа назад @ securitylab.ru
Война войной, а обед по расписанию. Китайские авторы прокололись на мелочах
Война войной, а обед по расписанию. Китайские авторы прокололись на мелочах

Сеть из 300 ботов работает по расписанию и явно создана не ради романтики.

5 часов назад @ securitylab.ru
Луна медленно уходит, Солнце умирает, океаны выкипают — вот что ждёт Землю через миллиарды лет
Луна медленно уходит, Солнце умирает, океаны выкипают — вот что ждёт Землю через миллиарды лет

Наш спутник отдаляется на 4 сантиметра в год. Это звучит скучно, пока не узнаёшь, чем заканчивается.

5 часов назад @ securitylab.ru
Быстрее, проще, удобнее. С релизом Parrot 7.3 разработчики серьёзно обновили популярный «хакерский» дистрибутив
Быстрее, проще, удобнее. С релизом Parrot 7.3 разработчики серьёзно обновили популярный «хакерский» дистрибутив

Знакомая система теперь ощущается совсем иначе уже с первых минут работы.

6 часов назад @ securitylab.ru
Заплати и взламывай. Хакеры создали удобный сервис, который берет на себя всю техническую рутину
Заплати и взламывай. Хакеры создали удобный сервис, который берет на себя всю техническую рутину

Система безопасности пропустила чужаков без единого сигнала тревоги.

7 часов назад @ securitylab.ru
Человечество только что напечатало первый в мире полноценный модуль ядерного реактора на 3D-принтере
Человечество только что напечатало первый в мире полноценный модуль ядерного реактора на 3D-принтере Человечество только что напечатало первый в мире полноценный модуль ядерного реактора на 3D-принтере

AMPERA называет это будущим ядерной энергетики.

9 часов назад @ securitylab.ru
ReactOS запустил Half-Life 2: свободная альтернатива Windows делает успехи в играх
ReactOS запустил Half-Life 2: свободная альтернатива Windows делает успехи в играх ReactOS запустил Half-Life 2: свободная альтернатива Windows делает успехи в играх

Открытый проект ReactOS доказал: игры Valve можно запускать без настоящей Windows.

14 часов назад @ securitylab.ru
Когда в человеке впервые зажигается сознание? Нейробиологи подобрались к ответу — и он меняет многое
Когда в человеке впервые зажигается сознание? Нейробиологи подобрались к ответу — и он меняет многое

Раньше, чем считала наука. И совсем не в той части мозга…

15 часов назад @ securitylab.ru
Голливуд судится с Midjourney за нарушение авторских прав. Midjourney в ответ: а вы сами что делали с ИИ?
Голливуд судится с Midjourney за нарушение авторских прав. Midjourney в ответ: а вы сами что делали с ИИ?

Стартап требует раскрыть внутренние промпты, черновики и тестовые изображения — и суд может это разрешить.

15 часов назад @ securitylab.ru
Учёные проверили мРНК-вакцины «от и до» — и развеяли главный миф о них
Учёные проверили мРНК-вакцины «от и до» — и развеяли главный миф о них

От COVID-19 до рака: как мРНК-технология меняет вакцинологию.

16 часов назад @ securitylab.ru
Airbus набрал заказов на 10 лет вперёд, но производство буксует. Спасать ситуацию будут композитом с секретным составом
Airbus набрал заказов на 10 лет вперёд, но производство буксует. Спасать ситуацию будут композитом с секретным составом

Японские химики придумали способ устранить главную задержку на авиазаводах.

16 часов назад @ securitylab.ru
Anti-Malware Anti-Malware
последний пост 19 часов назад
Нелицензионное ПО в России: почему возвращается пиратство и чем оно опасно
Нелицензионное ПО в России: почему возвращается пиратство и чем оно опасно Нелицензионное ПО в России: почему возвращается пиратство и чем оно опасно

По данным объединения Business Software Alliance (BSA), по состоянию на конец 2021 года уровень использования нелицензионного ПО в России составил 62 % (рис.

Основные показатели мирового рынка нелицензионного ПО по итогам 2021 годаРечь идёт о заведомо нелицензионном ПО.

По его словам, в нелицензионных продуктах код модифицируется, тогда как в ПО, приобретённом легально, таких изменений не происходит.

Аналогичная ситуация наблюдается и в других сегментах, в том числе в сфере информационной безопасности.

Чем меньше точек доступа к таким продуктам — как в офлайн-, так и в онлайн-среде, — тем ниже уровень их использования.

19 часов назад @ anti-malware.ru
Популярные мессенджеры в России: обзор функций безопасности и конфиденциальности
Популярные мессенджеры в России: обзор функций безопасности и конфиденциальности Популярные мессенджеры в России: обзор функций безопасности и конфиденциальности

В 2024–2026 годах в России были полностью заблокированы Signal и Viber, а с августа 2025 года в Telegram и WhatsApp* ограничена возможность звонков.

Он использует сквозное шифрование, минимальный сбор метаданных и архитектуру, при которой сервис не владеет ключами и не может расшифровать сообщения.

Поэтому мессенджеры с шифрованием, но с активным сбором метаданных, например WhatsApp*, — безопасны, но не анонимны.

Ключи хранятся локально, сервер передаёт лишь зашифрованный контейнер и не может открыть его даже при физическом доступе к инфраструктуре.

В России Signal заблокирован с августа 2024 года и не включён в реестр ОРИ.

21 час назад @ anti-malware.ru
Значение поддержки PKI в Astra Server Core для импортозамещения
Значение поддержки PKI в Astra Server Core для импортозамещения Значение поддержки PKI в Astra Server Core для импортозамещения

Это создаёт повышенные риски для безопасности, поскольку центры сертификации являются, по сути, «рубильником» для поддержки работоспособности сети.

Новое комплексное решение Astra Server Core призвано решить задачу выбора платформы для миграции с платформы Microsoft.

Например, они допускали ретроспективную выдачу сертификатов для обхода выпущенных позднее требований по безопасности или иногда применяли неадекватные методы проверки сертификатов.

Инициированное недоверие в адрес Symantec привело к крупнейшей миграции сертификатов в истории интернета.

Сервис PKI в Astra Server CoreНо вернёмся к анонсу комплексного решения Astra Server Core.

3 days, 20 hours назад @ anti-malware.ru
GlobalSign отобрала SSL-сертификаты у российских компаний. Что теперь будет?
GlobalSign отобрала SSL-сертификаты у российских компаний. Что теперь будет? GlobalSign отобрала SSL-сертификаты у российских компаний. Что теперь будет?

Принятое решение выглядит сомнительным хотя бы потому, что в сертификатах не указывается разграничение на территорию их применения.

Поэтому в GlobalSign приняли «соломоново решение»: лучше запретить больше требуемого, чем обеспечивать контроль за разрешениями.

Влияние решения GlobalSign на российский рынокНынешнюю ситуацию на рынке центров сертификации нельзя назвать безоблачной.

Решение компании Positive TechnologiesОднако остаётся вопрос, насколько значимым является решение GlobalSign для российских компаний.

Проблемы требуют решенияНа первый взгляд может показаться, что отзыв сертификатов GlobalSign имеет только «косметический» эффект.

4 days, 1 hour назад @ anti-malware.ru
Безопасная разработка ПО в 2026 году: лучшие практики РБПО и DevSecOps
Безопасная разработка ПО в 2026 году: лучшие практики РБПО и DevSecOps Безопасная разработка ПО в 2026 году: лучшие практики РБПО и DevSecOps

В первом опросе зрители поделились, на каком этапе разработки ПО в их компании подключается информационная безопасность:На этапе требований и архитектуры — 36 %.

Проблема безопасности в том, что в команде AppSec есть экспертиза, которой нет в других командах, поэтому их выделяют в отдельные подразделения.

Переключиться с прототипа на качественное решение в этот момент оказывается сложно, и в результате в продукт попадает код, изначально не рассчитанный на промышленную эксплуатацию.

Александр Лысенко , ведущий эксперт по безопасности разработки и ИИ, К2 Кибербезопасность.

Инструмент должен давать реальные результаты, и с этими результатами нужно работать — обрабатывать срабатывания, исправля…

4 days, 18 hours назад @ anti-malware.ru
AI Secure Gateway / AI Firewall: обзор российского рынка защиты LLM и корпоративного ИИ
AI Secure Gateway / AI Firewall: обзор российского рынка защиты LLM и корпоративного ИИ AI Secure Gateway / AI Firewall: обзор российского рынка защиты LLM и корпоративного ИИ

Мировой рынок AI Secure Gateway и AI Firewall уже оценивается в миллионы долларов, а по России цифр пока нет: рынок ещё не сформировался.

ВведениеКак устроен рынок AI Secure Gateway / AI Firewall:Оценки мирового рынка AI Secure Gateway / AI Firewall различаются, но по всем прогнозам он будет только расти.

Что такое AI Secure Gateway / AI FirewallAI Secure Gateway или AI Firewall выступает барьером между внешней сетью и ИИ-приложением.

Мировой рынок AI Secure Gateway / AI FirewallВ 2025 году мировой рынок AI Firewall оценивался в 260,76 млн долларов США.

Мировой рынок AI Secure Gateway / AI Firewall (сгенерировано ИИ)Драйверы роста рынка AI Firewall / AI Secure Gateway во многом носят очевид…

5 days, 1 hour назад @ anti-malware.ru
Дипфейк-атаки на бизнес: как защититься от подделки голоса и видео
Дипфейк-атаки на бизнес: как защититься от подделки голоса и видео Дипфейк-атаки на бизнес: как защититься от подделки голоса и видео

ВведениеГенерация голоса и видео в реальном времени стала рабочим инструментом мошенников.

Участники сосредоточены на содержании разговора, а не на качестве изображения; запись встреч часто отключена, а полноценные проверки «живости» отсутствуют — инъекционная подмена проходит незаметно.

Теперь к тексту добавляются голос и видео, и фильтров почтового шлюза уже недостаточно.

Это снижает точность как на подделках, так и на реальных записях.

Что можно сделать уже сейчас: чек‑лист для компанииНужны простые процессные меры, которые работают независимо от качества видео и голоса.

5 days, 19 hours назад @ anti-malware.ru
ФСТЭК меняет правила игры: почему защита веба и API становится критичной для бизнеса
ФСТЭК меняет правила игры: почему защита веба и API становится критичной для бизнеса ФСТЭК меняет правила игры: почему защита веба и API становится критичной для бизнеса

Почему эти изменения важны для бизнеса и как они меняют требования к защите цифровых сервисов?

Дополнительно требуется регулярный пересмотр API и выявление недокументированных, устаревших и неиспользуемых интерфейсов.

WAF и здесь играет значительную роль: ведёт журналы всех запросов и действий, включая детали заблокированных атак, и может интегрироваться с системами мониторинга событий ИБ.

ВыводыГлавный сдвиг, который сейчас закрепляет ФСТЭК России, заключается не в появлении новых средств защиты, а в изменении самой логики безопасности.

И здесь WAF и API Security становятся не просто элементами ИБ-архитектуры, а инструментами управления бизнес-риском, устойчивостью цифровых сервисов и, в к…

6 days, 1 hour назад @ anti-malware.ru
Разрешите вас взломать: как BAS превращает пентест в управляемый процесс
Разрешите вас взломать: как BAS превращает пентест в управляемый процесс Разрешите вас взломать: как BAS превращает пентест в управляемый процесс

Реализовать такой подход можно как с участием эксперта, так и с применением автоматизированных решений.

Построение сценариев (что атаковать, в каком порядке, как развивать успех) осуществляется на основе жёстких правил (playbook), а не на основе обучения моделей на данных.

Разработчик прямо указывает, что продукт предназначен для тестирования безопасности в лабораторных условиях, а не для развёртывания в production-среде без должной изоляции.

Он не заменяет классический пентест, но делает его логическим продолжением, ведь ручные проверки дополняются постоянным контролем, а не заменяются им.

Машинное обучение и большие языковые модели уже помогают обрабатывать данные и формировать отчёты, но…

6 days, 21 hours назад @ anti-malware.ru
2FA в крупных компаниях: защитить доступы и не усложнить жизнь сотрудникам
2FA в крупных компаниях: защитить доступы и не усложнить жизнь сотрудникам 2FA в крупных компаниях: защитить доступы и не усложнить жизнь сотрудникам

В результате появляются обходные сценарии, и неудобная схема 2FA со временем начинает снижать не только продуктивность, но и реальный уровень безопасности.

Стоимость 2FA — это не только лицензииЗатраты на 2FA не ограничиваются покупкой лицензий.

Если процессы восстановления доступа не централизованы и не автоматизированы, ИТ-команда начинает буквально «тушить пожары» вместо развития инфраструктуры.

Как внедрять 2FA в крупной компании без остановки процессовОдна из ошибок при внедрении 2FA в крупной компании — попытка перевести всех пользователей на новые правила одновременно.

Поэтому при выборе 2FA важно не только закрыть базовые риски, но и выстроить систему, которую будет удобно поддержив…

1 week назад @ anti-malware.ru
Облачная инфраструктура для бизнеса: как выбрать и не промахнуться
Облачная инфраструктура для бизнеса: как выбрать и не промахнуться Облачная инфраструктура для бизнеса: как выбрать и не промахнуться

В этом случае имеет смысл протестировать нескольких провайдеров и сравнить не только стоимость услуг, но и производительность инфраструктуры на реальных задачах.

Инфраструктура должна поддерживать развитие бизнеса, а не становиться ограничением для дальнейшего роста.

Поэтому выбор инфраструктуры должен выполняться не для компании в целом, а для конкретных сервисов и сценариев их использования.

Их смысл в том, чтобы сгладить ошибки в расчётах, проектировании или прогнозировании нагрузки и не доводить их до критических последствий для бизнеса.

Соответствие масштабов бизнеса и провайдераИдея о том, что небольшим компаниям подходит небольшой провайдер, а крупным — крупный, не является универсал…

1 week назад @ anti-malware.ru
Троянский VPN: как 11 рублей превратились в 15 миллионов, анатомия идеального фишинга
Троянский VPN: как 11 рублей превратились в 15 миллионов, анатомия идеального фишинга Троянский VPN: как 11 рублей превратились в 15 миллионов, анатомия идеального фишинга

11 рублей за подписку стали приманкой, которая принесла мошенникам около 15 миллионов рублей.

«Ромашка Сервис» и архитектура обманаВ марте 2026 года в юрисдикции СНГ регистрируется организация с безобидным названием «Ромашка Сервис».

Теперь мы „Ромашка Сервис“.

Бесплатный доступ утрачен, но вы можете поддержать разработку, оформив подписку всего за 11 рублей в месяц».

Информация о том, как остановить списания, на сайте «Ромашка Сервис» отсутствовала.

1 week назад @ anti-malware.ru
Кража данных через ИИ-агента: как атакуют через письма, сайты и календари
Кража данных через ИИ-агента: как атакуют через письма, сайты и календари Кража данных через ИИ-агента: как атакуют через письма, сайты и календари

Системы предотвращения утечек данных (Data Leak Prevention, DLP), системы управления событиями и информацией безопасности (Security Information and Event Management, SIEM), антивирусы — видят обычный легитимный трафик и не поднимают тревогу.

Как защитить данныеПомечайте содержимое писем как недоверенный контент и не смешивайте его с системными инструкциями агента.

Он работает как универсальный переходник: один раз присоединили, и агент может обращаться к CRM, базам данных, файловым хранилищам, облачным сервисам.

Подмена после установки (Rug pull) — сервер сначала работает честно, набирает доверие, а затем подменяется, и агент продолжает отдавать ему данные.

Политики безопасности применяются…

1 week, 3 days назад @ anti-malware.ru
САКУРА 3: путь к автоматизации без границ или «вечер пятницы» для ИБ-отдела
САКУРА 3: путь к автоматизации без границ или «вечер пятницы» для ИБ-отдела САКУРА 3: путь к автоматизации без границ или «вечер пятницы» для ИБ-отдела

Вы создаёте профили — например, «удалённый сотрудник», «бухгалтер», «подрядчик» — и для каждого из них настраиваете свою политику сбора данных, различную логику проверок и сценариев реагирования.

На этих ОС доступны те же механизмы контроля, что и на Windows, macOS.

Сегодня бизнес работает не только на ноутбуках и ПК, но и на телефонах, планшетах на Android и iOS.

Это нужно, чтобы закрыть требования к усиленной аутентификации для всех сотрудников и для доступа к критическим системам.

Мы не стоим на месте и стараемся заглядывать на шаг вперёд, чтобы САКУРА 3 оставалась современным, востребованным инструментом для безопасности.

1 week, 3 days назад @ anti-malware.ru
Управление конфигурациями: как ИТ и ИБ снизить риски ошибок в настройках
Управление конфигурациями: как ИТ и ИБ снизить риски ошибок в настройках Управление конфигурациями: как ИТ и ИБ снизить риски ошибок в настройках

Эксперты рассказали, как выстроить эффективный процесс управления конфигурациями и снизить риски.

По статистике, до 60 % всех программных инцидентов связаны именно с ошибками в конфигурации, а не с багами в коде или стандартными уязвимостями.

Светозар Яхонтов добавил практическую точку зрения, назвав самое короткое и ёмкое определение: конфигурация — это и есть ИТ-инфраструктура.

Во втором опросе зрители поделились мнением, кто получит больше пользы от внедрения процесса управления конфигурациями в их компании:Руководство/бизнес — 43 %.

Павел Попов: «Искусственный интеллект уже пришёл в Offensive Security и начинает не только помогать в поиске уязвимостей, но и участвовать в написании станд…

1 week, 4 days назад @ anti-malware.ru
Хабр: ИБ Хабр: ИБ
последний пост 1 час назад
Списали сервер. Диск не стерли. Данные HR-отдела уехали на свалку
Списали сервер. Диск не стерли. Данные HR-отдела уехали на свалку Списали сервер. Диск не стерли. Данные HR-отдела уехали на свалку

Вторую не закрывает никто, пока кто-то не вынул диск, не стёр его и не оформил бумагу, что стёр.

Позже выяснилось, что на этапе вывода из эксплуатации никто не проверил состав оборудования и наличие носителей: диски не были выделены как отдельный объект контроля, не были извлечены и не прошли санацию.

И сломалось это не на свалке, а гораздо раньше — в тот момент, когда сервер разрешили списать, ни разу не спросив: «а диски-то вынули?».

И спрашивают не «почему сервер уже не на балансе», а «докажите, что диски стёрли, и покажите, как именно».

Как закрыть риск: от списания до подтвержденной утилизацииТакой процесс не сводится к одному акту и не должен зависеть от памяти конкретного сотрудника.

1 час назад @ habr.com
Первая полностью автономная атака AI-агента: что произошло и как защититься
Первая полностью автономная атака AI-агента: что произошло и как защититься Первая полностью автономная атака AI-агента: что произошло и как защититься

Информационная безопасность как услуга Предоставляем ИТ-инфраструктуру для проектов с повышенными требованиями безопасности, а также сервисы для защиты сетей, ОС и приложений.

Langflow-серверы представляют собой привлекательную цель, поскольку часто остаются открытыми в интернете и содержат ключи API и учетные данные для подключенных сервисов.

Агент обнаружил и «взломал» сервер MinIO, используя стандартные учетные данные по умолчанию ( minioadmin:minioadmin ), которые так и не были изменены владельцем сервера.

Он также установил механизм постоянного доступа, добавив запланированную задачу, которая отправляла сигнал на сервер атакующего каждые 30 минут.

По этой причине организациям стоит уде…

1 час назад @ habr.com
Управление ИБ: от сложной кастомизации к понятной унификации и централизации
Управление ИБ: от сложной кастомизации к понятной унификации и централизации Управление ИБ: от сложной кастомизации к понятной унификации и централизации

Мы не разрабатываем вторые SOAR, VM, SIEM и другие аббревиатуры, у которых есть свой полноценный функционал и процессинг.

И в результате получается нечто, что должно упростить жизнь и помочь выстроить процессы и контроль.

Регламентный же слой нужен, чтобы выстроить все контроли, сформировать планы, а из них задачи, которые позволят обеспечивать нормативное функционирование и с точки зрения техники, и с точки зрения регулятора и лицензирования.

Общаемся внутри группы разработки и аналитики – а это преимущественно инженеры, которые имеют обширный опыт внедрения систем автоматизации процессов ИБ.

Наша цель – создать MVP, который способен показать визуал и необходимый минимум, позволяющий понят…

1 час назад @ habr.com
Договор поставки ВПО: больше правок не вижу
Договор поставки ВПО: больше правок не вижу Договор поставки ВПО: больше правок не вижу

Пример письмаПисьмо включает зашифрованный архив Актуальная редакция Договора поставки N 8530-69 Исх.

Архив содержит файлы:Калькуляция по Договору поставки N 8530-69.xlsx — файл, заполненный нулевыми байтами; Актуальная редакция Договора поставки N 8530-69 Исх.

Файл Актуальная редакция Договора поставки N 8530-69 Исх.

]digital Удалённый сервер для загрузки следующих этапов e3128f066524b377d6aa23db52a28c8f md5 Актуальная редакция Договора поставки N 8530-69 Исх.

755.com 770b7e91f6daf8b9d069fd3f242edbca md5 Актуальная редакция Договора поставки N 8530-69 Исх.

2 часа назад @ habr.com
Что общего у ИИ-агентов, телефонных мошенников и старины Зигмунда
Что общего у ИИ-агентов, телефонных мошенников и старины Зигмунда Что общего у ИИ-агентов, телефонных мошенников и старины Зигмунда

Скармливаешь модели чистую правду — у яванцев в неделе пять дней, у шумеров восемь — и некоторые после этого уверенно отвечают, что в неделе не семь дней.

Opus, самая устойчивая модель в таблице: ноль на давлении авторитетом, ноль на подделке, ноль на перевороте мнения — и 0.72–0.75 на двух вежливых атаках.

Знание, что делает атакущий и что должен сделать защитник, в защиту секрета не превратилось.

Скажите про бесполезную публичную строку, что это «private credential» — и модель охраняет её в 94% случаев.

Она отлично фильтрует по форме (грубость нажима, страшные слова) и заметно хуже по сути (что именно и кем авторизуется).

2 часа назад @ habr.com
Самый недооцененный механизм безопасности SSH или почему known_hosts — это не кэш
Самый недооцененный механизм безопасности SSH или почему known_hosts — это не кэш Самый недооцененный механизм безопасности SSH или почему known_hosts — это не кэш

От исследования к инструментуКогда я это понял, стало очевидно еще кое-что.

Чтобы проверить host key сервера, как я уже упомянул выше, не нужен полноценный SSH-клиент.

И как только начинаешь воспринимать ее именно так, становится удивительно, насколько мало вокруг нее существует инструментов.

Не как ещё один SSH-клиент.

И не как замена OpenSSH.

2 часа назад @ habr.com
Каскад на AmneziaWG: собираем два сервера, чтобы российские сайты шли напрямую
Каскад на AmneziaWG: собираем два сервера, чтобы российские сайты шли напрямую Каскад на AmneziaWG: собираем два сервера, чтобы российские сайты шли напрямую

Реальный публичный IP на обоих.

На входе доставим два пакета, которых может не быть на минимальном образе:apt update && apt install -y curl ipsetШаг 2.

Если нужно, чтобы Google всегда шёл через выход, его сети гонят на выход мимо RETURN - разбор с командами есть в гайде.

Это штатно и на деление не влияет, просто не пугайтесь при диагностике.

Российские сайты после этого открываются напрямую с российского адреса, всё остальное уходит через зарубежный выход, и вся конструкция переживает перезагрузку сама.

2 часа назад @ habr.com
Как менялись модели кибератак и защитных стратегий в условиях эскалации киберконфликтов (2020–2025 гг.)
Как менялись модели кибератак и защитных стратегий в условиях эскалации киберконфликтов (2020–2025 гг.) Как менялись модели кибератак и защитных стратегий в условиях эскалации киберконфликтов (2020–2025 гг.)

ВведениеЭта статья — формализованный анализ изменения структуры, целей и последствий кибератак, наблюдавшихся на территории Российской Федерации в период с 2020 по 2025 год.

Репутационный ущерб для атакуемой организации был сопоставим с финансовым, а в ряде случаев превышал его.

Ключевое изменение в психологии атакующего: лозунг «А я всё сломал» трансформировался в доктрину «А мы всё знаем, но новый заказчик больше платит».

Многие APT-группировки начали искать покупателей на данные и на скомпрометированную инфраструктуру и теперь скрытность становится ключевым тактическим приоритетом.

Это объективно привело к повышению защищенности и к снижению количества успешных утечек (особенно тех, кото…

3 часа назад @ habr.com
Как я решал задачу сортировки зашифрованных строк
Как я решал задачу сортировки зашифрованных строк Как я решал задачу сортировки зашифрованных строк

И в зависимости от конфигурации базы данных и способа передачи, ключ может попадать в журналы ошибок, журналы запросов или дампы памяти.

Однако такой подход раскрывает значительный объём информации о порядке и распределении данных, что в большинстве случаев делает возможными статистические атаки.

Из-за этого OPE в настоящее время считается устаревшим и в основном используется более безопасный ORE .

ORE (Order-Revealing Encryption) — порядок данных не сохраняется напрямую, однако существует специальная процедура сравнения шифротекстов.

Собираем собственный индексПрежде всего я решил, что для построения индекса вовсе не обязательно учитывать всю строку целиком — достаточно первых N символов.

3 часа назад @ habr.com
Как коммерческие VLESS-подписки могут «сливать» ваш IP
Как коммерческие VLESS-подписки могут «сливать» ваш IP Как коммерческие VLESS-подписки могут «сливать» ваш IP

Ведь в такой схеме гостевая OS физически “слепа”, так как она не знает реального IP хоста и не имеет каналов для прямой утечки пакетов?

При этом классические тесты на утечки через WebRTC или DNS в браузерах показывали идеальную чистоту, а в логах Proxifier не было ни одного прямого (Direct) соединения.

В этой статье я хотел бы рассказать, как именно происходила деанонимизация, и почему корень проблемы лежал за пределами моего “железа” или софта?

И в то же самое время множество других сервисов абсолютно четко продолжали показывать именно IP-адрес сервера из коммерческой подписки!

Но ведь флаги Chromium в Element и расширения в браузерах были настроены на блокировку локальных интерфейсов?

9 часов назад @ habr.com
Роадмап по информационной безопасности
Роадмап по информационной безопасности Роадмап по информационной безопасности

Вот так - Civilization... Ядерный Ганди?

Так вот, я решил заморочиться и собрать свой роадмап.

Но у меня было своё видение)И вот, на днях я закончил основной этап - его отрисовку!

Раскрашивайте роадмап, скачивайте его в pdf - и скидывайте в личку моего канала.

Ну и напоследок пара личных ссылок...База знаний по старту карьеры в Информационной безопасностиМой телеграм-канал

14 часов назад @ habr.com
Как мы строили свою базу данных о киберугрозах для LLM-агентов и SOC
Как мы строили свою базу данных о киберугрозах для LLM-агентов и SOC Как мы строили свою базу данных о киберугрозах для LLM-агентов и SOC

Нужно знать, откуда он взялся, когда был опубликован, насколько надежен источник, какие индикаторы компрометации (IOC) встретились в тексте и не устарели ли они.

Поэтому мы сразу зафиксировали четыре требования:Делить текст по границам разделов, а не механически через каждые N токенов.

Извлекать CVE, IP, домены, URL, хэши, техники MITRE ATT&CK, семейства вредоносного ПО и инструменты.

Первый большой сбор RSS убил API, и это было полезноИзначально API создавал задание и сам продолжал обрабатывать его в фоне.

Мы добавили версионированный /v1 API и выгрузку IOC в JSON, CSV, STIX 2.1 и упрощенный TAXII только для чтения.

16 часов назад @ habr.com
Мы открыли код шифрования своего хранилища API-ключей — и честно написали, чего он не гарантирует
Мы открыли код шифрования своего хранилища API-ключей — и честно написали, чего он не гарантирует Мы открыли код шифрования своего хранилища API-ключей — и честно написали, чего он не гарантирует

Под ней и в личках всплыл один и тот же вопрос — самый правильный вопрос к любому такому сервису:«А вы сами можете прочитать мои ключи?»Короткий честный ответ: технически — да.

И вместо того чтобы прятать это в маркетинговый туман, мы сделали две вещи: опубликовали крипто-модуль целиком и написали страницу с моделью угроз, где этот пункт стоит первым и жирным.

Этот пост — о том, почему так, и что именно мы открыли.

Чего открытый код НЕ гарантируетТоже прямым текстом, потому что это вторая половина честности:Открытый код — не доказательство.

KDF там нет намеренно: мастер-ключ обязан быть случайным ключом ( openssl rand -base64 32 ), а не паролем.

19 часов назад @ habr.com
Как мы на промышленном предприятии из цеха в офис мост данных строили
Как мы на промышленном предприятии из цеха в офис мост данных строили Как мы на промышленном предприятии из цеха в офис мост данных строили

Даже полчаса в день – это уже несколько часов в неделю на каждого сотрудника, которые можно потратить на другие производственные задачи.

Что мы хотели сделать или как мы зашли в тупикСначала мы думали, что обойдемся минимальными архитектурными изменениями.

Но мы не учли особенности платформы Emerson, и по закону Мерфи все, что могло пойти не так, пошло не так.

Внутри DMZ развернули промежуточный сервер сбора данных и с обеих сторон изолировали его межсетевыми экранами.

Об обработке данных в Tibbo AggreGate и интеграции с 1С расскажу в следующей главеКак построили обработку данных в корпоративной сетиСервер сбора данных в демилитаризованной зоне передает технологические теги на сервер прилож…

19 часов назад @ habr.com
Ваш API-ключ утечёт. Как сделать так, чтобы это ничего не стоило
Ваш API-ключ утечёт. Как сделать так, чтобы это ничего не стоило Ваш API-ключ утечёт. Как сделать так, чтобы это ничего не стоило

Вывод, к которому мы пришли после N-го инцидента: бороться за то, чтобы ключ не утёк — проигранная война.

Разрываем связь «приложение — ключ»:приложение ──(vlt_проходка)──▶ прокси ──(настоящий ключ)──▶ провайдер │ статус / IP / лимиты → логСекрет — настоящий ключ.

Расшифровка — в памяти на время одного запроса, плейнтекст нигде не кэшируется и не логируется, DEK зануляется после использования.

Токены не хранятся : в базе только SHA-256-хэши проходок; горячий путь валидирует по Redis-кэшу (TTL 300 с) с фолбэком в Postgres.

Операции «прочитать настоящий ключ» в наборе инструментов просто нет — это свойство протокола доступа, а не обещание.

21 час назад @ habr.com
Хакер Хакер
последний пост 1 час назад
СМИ: подтверждать значимые действия в интернете предлагается через Max или SMS
СМИ: подтверждать значимые действия в интернете предлагается через Max или SMS СМИ: подтверждать значимые действия в интернете предлагается через Max или SMS

Минцифры может предложить обязательное подтверждение «значимых действий» в интернете через SMS или мессенджер Max.

Она предполагала подтверждение юридически значимых действий в сети через Max и SMS, однако тогда формулировка оказалась неоднозначной: было неясно, нужно ли использовать оба способа одновременно или достаточно одного.

В итоге, в начале июня, Госдума приняла второй пакет антифрод-мер без этой нормы, а позже закон подписал президент РФ Владимир Путин.

Кроме того, банкам, маркетплейсам и другим платформам придется платить за рассылку SMS и уведомлений в Max.

В беседе с журналистами президент Ассоциации компаний интернет-торговли (АКИТ) Артем Соколов отметил, что даже выбор между S…

1 час назад @ xakep.ru
В Opera появилась функция для защиты от ClickFix-атак
В Opera появилась функция для защиты от ClickFix-атак В Opera появилась функция для защиты от ClickFix-атак

В браузере Opera появилась функция Paste Protect, которая не позволит скопировать подозрительные команды в буфер обмена.

В классической версии жертв заманивают на вредоносные сайты и там обманом заставляют скопировать в буфер и выполнить некие команды PowerShell.

Хотя чаще всего ClickFix-атаки нацелены на пользователей Windows, ИБ-специалисты уже давно предупреждают и о кампаниях, направленных на пользователей macOS и Linux.

Он проверяет содержимое перед копированием и блокирует потенциально опасные скрипты и команды независимо от того, инициировал это действие открытый сайт или сам пользователь.

В Opera приводят в качестве примера GitHub, откуда специалисты часто копируют скрипты и команды.

16 часов назад @ xakep.ru
Злоумышленники регистрируют домены, «придуманные» ИИ
Злоумышленники регистрируют домены, «придуманные» ИИ Злоумышленники регистрируют домены, «придуманные» ИИ

Злоумышленники регистрируют несуществующие домены, которые «придумывают» LLM, а затем размещают на них фишинговые страницы и малварь.

В результате пользователь попадает на опасный сайт не через фишинговое письмо или вредоносную рекламу, а через ИИ-инструмент, которому доверяет.

Подчеркивается, что модели не могли почерпнуть странные адреса из обучающих данных, и домены возникали из-за языковых паттернов самих LLM.

Прочие вредоносные домены имитировали банки в ОАЭ и странах Европы, а также сайты для спортивных ставок, которые были ориентированы на пользователей из Бангладеш.

Именно эта схема применялась злоумышленниками в кампании PhantomRaven, когда малварь скрыли в 126 пакетах npm, которые…

18 часов назад @ xakep.ru
HTB DevArea. Обходим проверку символических ссылок в Linux
HTB DevArea. Обходим проверку символических ссылок в Linux HTB DevArea. Обходим проверку символических ссылок в Linux

Под­робнее про работу с Nmap читай в статье «Nmap с самого начала.

Справка: поиск готовых эксплоитов При пен­тесте луч­ше все­го искать экс­пло­иты в Google, пос­коль­ку этот поис­ковик заг­лядыва­ет и в лич­ные бло­ги, и в самые раз­ные отче­ты.

Если ты работа­ешь в спе­циали­зиро­ван­ной ОС вро­де Kali Linux, то эта база у тебя уже есть и для поис­ка мож­но исполь­зовать ути­литу searchsploit.

Справка: SSRF SSRF — это ата­ка на сер­вер, в резуль­тате которой зло­умыш­ленник получа­ет воз­можность отправ­лять зап­росы от име­ни ском­про­мети­рован­ного хос­та.

Под­робнее об уяз­вимос­тях типа SSRF читай в статье «SSRF с самого начала.

20 часов назад @ xakep.ru
Малварь в PyPI нацелена на серверы с ботами Telegram
Малварь в PyPI нацелена на серверы с ботами Telegram Малварь в PyPI нацелена на серверы с ботами Telegram

Скрытый в пакетах бэкдор позволял атакующим выполнять произвольный Python-код и шелл-команды на серверах с Telegram-ботами, читать файлы и похищать секреты.

Отмечается, что оригинальный Pyrogram больше не поддерживается: пакет не обновлялся в PyPI с апреля 2023 года, а его репозиторий — с декабря 2024 года.

Тем не менее библиотека остается популярной и набирает почти 350 000 загрузок в месяц, а на GitHub существует более 1400 ее форков.

За это время злоумышленники опубликовали пакеты VLifeGram, VLife-Gram, pyrogram-navy, pyrogram-styled, pyrogram-zeeb, kelragram, sepgram и pyrogram-kelra.

На pyrogram-navy пришлось 2530 загрузок, на VLifeGram — 4150, VLife-Gram — 1030, kelragram — 1041.

21 час назад @ xakep.ru
Троян удаленного доступа атакует пользователей через ScreenConnect
Троян удаленного доступа атакует пользователей через ScreenConnect Троян удаленного доступа атакует пользователей через ScreenConnect

Эксперты «Лаборатории Касперского» обнаружили кампанию, операторы которой распространяют легитимный инструмент удаленного доступа ScreenConnect, маскируя его под популярные программы для Windows.

Атакующие продвигают такие ресурсы с помощью SEO, поэтому подделки оказываются среди первых результатов поиска в Google, Bing и других поисковиках.

Оказалось, что с помощью этой утилиты хакеры развернули на зараженном компьютере опенсорсный троян удаленного доступа AsyncRAT.

Аналогичную схему исследователи обнаружили и на десятках других доменов.

При запуске установщика библиотека загружается с помощью техники DLL sideloading и устанавливает сразу две программы: ту, которую рассчитывала получить же…

23 часа назад @ xakep.ru
Кампанию FortiBleed связали с вымогателями INC и Lynx
Кампанию FortiBleed связали с вымогателями INC и Lynx Кампанию FortiBleed связали с вымогателями INC и Lynx

Исследователи SOCRadar связали масштабную кампанию FortiBleed с вымогательскими группировками INC Ransom и Lynx.

По данным экспертов, учетные данные, похищенные с устройств FortiGate, затем использовались для проникновения в корпоративные сети, и как минимум 12 атак закончились шифрованием сотен систем.

Злоумышленники массово сканировали интернет в поисках устройств Fortinet и использовали для входа дефолтные логины и пароли (также нередко на устройствах использовались учетные данные, ранее скомпрометированные в результате утечек).

Исследователи пишут, что связать кампанию FortiBleed с вымогателями помогла ошибка самих хакеров.

Кроме того, теперь специалисты полагают, что в распоряжении опе…

1 day, 1 hour назад @ xakep.ru
Завершается прием предзаказов на четвертый спецвыпуск «Хакера»
Завершается прием предзаказов на четвертый спецвыпуск «Хакера» Завершается прием предзаказов на четвертый спецвыпуск «Хакера»

Четвертый печатный спецвыпуск «Хакера» совсем скоро будет передан в печать, и прием предварительных заказов завершится.

Также напоминаем, что на нашем складе подходят к концу запасы третьего спецвыпуска и коллекционного сборника с лучшими статьями 2025 года.

Для печатных спецвыпусков «Хакера» мы отбираем материалы, которые сохраняют ценность даже спустя годы и могут стать не просто частью коллекции, а полноценной технической библиотекой.

В новый сборник войдут лучшие материалы «Хакера» за 2021–2022 годы: о китайских смартфонах с заводскими бэкдорами, фаззинге исполняемых файлов в Windows, автоматизации Burp и многом другом.

Спецвыпуск #3 (2019–2021)Третий печатный спецвыпуск почти полностью…

3 days, 15 hours назад @ xakep.ru
Вымогательская группа Gentlemen обновляет свой инструментарий
Вымогательская группа Gentlemen обновляет свой инструментарий Вымогательская группа Gentlemen обновляет свой инструментарий

За первое полугодие группа вошла в десятку крупнейших операторов программ-вымогателей, судя по количеству жертв, перечисленных на сайте для «слива» данных.

Среди жертв группировки — производственные и строительные предприятия, ИТ-компании, финансовые и медицинские организации, а также логистические операторы.

Больше всего атак было зафиксировано в Бразилии, Китае, Индонезии, Таиланде и на Тайване.

Для получения первоначального доступа хакеры атакуют уязвимые интернет-сервисы, VPN-шлюзы и межсетевые экраны, а также используют ворованные, слабые или дефолтные учетные данные.

Исследователи допускают, что для этого группа сотрудничает с брокерами доступов, так как в некоторых инцидентах компром…

3 days, 16 hours назад @ xakep.ru
Из-за взлома Oracle PeopleSoft у компании Nissan украли данные
Из-за взлома Oracle PeopleSoft у компании Nissan украли данные Из-за взлома Oracle PeopleSoft у компании Nissan украли данные

Сообщается, что атака была осуществлена через уязвимость в Oracle PeopleSoft, и злоумышленники могли похитить банковские реквизиты, налоговые документы и номера социального страхования.

Согласно уведомлению, которое компания направила в генеральную прокуратуру Калифорнии, Nissan Americas использует Oracle PeopleSoft для управления кадровыми данными, расчета зарплат и налогового администрирования.

Представители Oracle предупредили Nissan об атаке, затронувшей кадровые записи «сотен компаний», а позднее выяснилось, что Nissan была одной из целей злоумышленников.

В документах представители Nissan связывают этот инцидент с «неизвестной уязвимостью» в Oracle PeopleSoft.

Однако время атаки совпад…

3 days, 18 hours назад @ xakep.ru
Подглядываем через DWM. Как превью приложений в Windows выдают тайны
Подглядываем через DWM. Как превью приложений в Windows выдают тайны Подглядываем через DWM. Как превью приложений в Windows выдают тайны

Мы обра­тили вни­мание на при­выч­ную всем фун­кцию пред­прос­мотра окон в Windows.

Нас заин­тересо­вало, что превью ста­тич­но: по сути, это скрин­шот при­ложе­ния, который не обновля­ется до тех пор, пока мы не перек­лючим­ся в прог­рамму.

Заод­но прой­дем­ся по дру­гим слу­чаям, в которых получить­ся при­менить воз­можнос­ти «гра­фичес­кого» наб­людения и не толь­ко.

DWM работа­ет с живым пред­став­лени­ем окна, но это пред­став­ление может ока­зать­ся неак­туаль­ным, если при­ложе­ние не перери­сова­ло содер­жимое или ушло в бло­киров­ку осо­бым обра­зом.

На­рису­ем прос­тей­шую фор­му, в которой будет выпада­ющий спи­сок для выбора активных окон, мес­то для превью и пол­зунок для нас­т…

3 days, 20 hours назад @ xakep.ru
19-летнего участника группировки Scattered Spider экстрадировали в США
19-летнего участника группировки Scattered Spider экстрадировали в США 19-летнего участника группировки Scattered Spider экстрадировали в США

19-летнего Питера Стоукса (Peter Stokes), которого американские власти считают участником хак-группы Scattered Spider, экстрадировали из Финляндии в США.

Как сообщает Министерство юстиции США, Стоукс имеет гражданство США и Эстонии, и в сети известен под никами Bouquet, Spencer и Jordan.

Вымогатели потребовали у пострадавшей организации 8 млн долларов США в криптовалюте, а в противном случае угрожали «слить» данные в сеть.

Это не обычная хакерская группировка в привычном понимании этого термина, а англоязычное сообщество, в основном состоящее из подростков и молодых людей из США, Великобритании и других европейских стран.

По данным Министерства юстиции США, в общей сложности группировка при…

3 days, 21 hours назад @ xakep.ru
Специалисты Google нарушили работу сети резидентных прокси NetNut
Специалисты Google нарушили работу сети резидентных прокси NetNut Специалисты Google нарушили работу сети резидентных прокси NetNut

Специалисты Google совместно с ФБР, Lumen и другими партнерами нарушили работу одной из крупнейших сетей резидентных прокси — NetNut.

Кроме того, в прошлом месяце специалисты Synthient направили трафик через коммерческий шлюз NetNut в рамках контролируемого эксперимента.

Но исследователи писали, что этот тест подтверждает маршрут трафика, однако не доказывает, что в NetNut знали о происхождении узлов или умышленно создали ботнет.

В рамках проведенной операции специалисты Google отключили аккаунты и сервисы, которые операторы NetNut использовали для управления малварью.

Напомним, что в январе 2026 года Google и ее партнеры уже нарушили работу китайской сети резидентных прокси IPIDEA, а в 202…

3 days, 23 hours назад @ xakep.ru
Разработчики Flipper Zero пересмотрели подход к развитию прошивки
Разработчики Flipper Zero пересмотрели подход к развитию прошивки Разработчики Flipper Zero пересмотрели подход к развитию прошивки

Команда Flipper Devices отреагировала на критику сообщества и пересмотрела планы по поддержке Flipper Zero.

В блоге компании Павел Жовнер пояснил, что авторы проекта не ожидали настолько бурной реакции на новости о сокращении разработки прошивки.

Многие пользователи решили, что Flipper Devices сворачивает связанную с Flipper Zero разработку ради новых устройств.

Проблему решили с помощью динамической загрузки приложений с карты microSD (часть функций, включая основные, вынесли из прошивки в отдельные приложения).

Общие вопросы, обсуждения и обращения за помощью по-прежнему следует размещать в Discord, на Reddit и в социальных сетях.

4 days, 1 hour назад @ xakep.ru
ИБ-исследователь публикует в Exploitarium эксплоиты для десятков 0-day-уязвимостей
ИБ-исследователь публикует в Exploitarium эксплоиты для десятков 0-day-уязвимостей ИБ-исследователь публикует в Exploitarium эксплоиты для десятков 0-day-уязвимостей

Bikini пишет, что для обнаружения багов он применял фаззинг с помощью GPT-5.3 и использовал строго заданный автоматизированный воркфлоу.

Останавливаться на этом Bikini не планирует: он обещает продолжать публикации и в дальнейшем выкладывать примерно по одному новому PoC в день.

Например, критическую уязвимость CVE-2026-55200 в libssh2 ранее обнаружил ИБ-исследователь Тристан Мадани (Tristan Madani).

Патч для этой проблемы приняли еще 12 июня, данные CVE опубликовали 17 июня, а PoC-эксплоит появился в Exploitarium только 23 июня.

Аналитик компании Federal Signal Итан Эндрюс (Ethan Andrews) утверждает, что злоумышленники уже эксплуатируют уязвимости в libssh2 и Gitea в реальных атаках.

4 days, 16 hours назад @ xakep.ru
In English 🇺🇸
The Hacker News The Hacker News
последний пост 3 часа назад
CERT/CC Warns of Hidden Admin Backdoor in Tenda Router Firmware
CERT/CC Warns of Hidden Admin Backdoor in Tenda Router Firmware CERT/CC Warns of Hidden Admin Backdoor in Tenda Router Firmware

Several versions of firmware released by Chinese network device manufacturer Tenda have been found to embed an undocumented authentication backdoor that enables administrative access to the devices' web management interfaces, the CERT Coordination Center (CERT/CC) warned Monday.

The vulnerability impacts multiple versions of the firmware -US_FH1201V1.0BR_V1.2.0.14(408)_EN_TDUS_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDEUS_AC10V1.0re_V15.03.06.46_multi_TDE01US_AC5V1.0RTL_V15.03.06.48_multi_TDE01US_AC6V2.0RTL_V15.03.06.51_multi_TThe backdoor functionality is present within the "login()" function of the "/bin/httpd" web server binary.

"The associated ["rzadmin"] username is not validated, so a…

3 часа назад @ thehackernews.com
BeyondTrust Patches Critical Auth Bypass Flaws in Remote Support and PRA
BeyondTrust Patches Critical Auth Bypass Flaws in Remote Support and PRA BeyondTrust Patches Critical Auth Bypass Flaws in Remote Support and PRA

BeyondTrust has released updates to address two critical security flaws affecting Remote Support (RS) and Privileged Remote Access (PRA) products that, if successfully exploited, could allow unauthenticated attackers to take control of susceptible devices.

(CVSS score: 9.2) - A pre-authentication vulnerability exists in the authentication subsystem of BeyondTrust Remote Support and Privileged Remote Access stemming from improper validation of authentication data that could allow a network-positioned attacker to bypass access controls and gain unauthorized access to the appliance, including accounts with elevated privileges.

CVE-2026-40139 (CVSS score: 9.2) - A pre-authentication vulnerabili…

4 часа назад @ thehackernews.com
Iran-Linked Hackers Use New Cavern C2 Framework to Target Israeli Organizations
Iran-Linked Hackers Use New Cavern C2 Framework to Target Israeli Organizations Iran-Linked Hackers Use New Cavern C2 Framework to Target Israeli Organizations

An Iranian hacking group affiliated with Iran's Ministry of Intelligence and Security (MOIS) has been wielding a previously undocumented modular command-and-control (C2) framework dubbed Cavern (aka Cav3rn) targeting Israeli organizations.

"The framework reflects a mature and adaptable toolset built around a shared .NET foundation, while using multiple compilation formats across different components, including .NET Framework, .NET Mixed-Mode C++/CLI, and .NET Native AOT," the cybersecurity company said.

The components of the C2 framework are used as Cavern Agent and Cavern modules, demonstrating a clear division of responsibilities between core communication capabilities and mission-specifi…

15 часов назад @ thehackernews.com
16-Year-Old Linux KVM Flaw Lets Guest VMs Escape to Host on Intel and AMD x86 Systems
16-Year-Old Linux KVM Flaw Lets Guest VMs Escape to Host on Intel and AMD x86 Systems 16-Year-Old Linux KVM Flaw Lets Guest VMs Escape to Host on Intel and AMD x86 Systems

A Busy Few Months for One ResearcherJanuscape is Kim's third Linux kernel exploit disclosure in roughly two months.

A separate KVM x86 shadow paging use-after-free (CVE-2026-46113) involving a related but distinct rmap mismatch was fixed in May 2026.

If you operate an x86 KVM host that accepts multi-tenant guests with nested virtualization, confirm that your kernel includes commit 81ccda30b4e8.

If you cannot patch immediately, disabling nested virtualization (kvm_intel.nested=0 or kvm_amd.nested=0) removes the attack path for untrusted guests.

Treat exposed x86 KVM hosts with nested virtualization as high-priority patch targets.

16 часов назад @ thehackernews.com
Threat Actors Probe Gitea Docker Flaw CVE-2026-20896 13 Days After Disclosure
Threat Actors Probe Gitea Docker Flaw CVE-2026-20896 13 Days After Disclosure Threat Actors Probe Gitea Docker Flaw CVE-2026-20896 13 Days After Disclosure

Threat actors have been observed attempting to exploit a recently patched critical security flaw in Gitea Docker images, according to Sysdig.

In a statement shared with The Hacker News via email, security researcher Ali Mustafa (@rz1027), who is credited with discovering and reporting the flaw, said the Gitea Docker images shipped an "app.ini" template that hard-codes "REVERSE_PROXY_TRUSTED_PROXIES = *" by default.

The "app.ini" file is a core configuration file for managing server parameters, database connections, security behavior, and application settings.

The vulnerability affects Gitea Docker images versions before and including 1.26.2.

Cloud security company Sysdig has since revealed …

17 часов назад @ thehackernews.com
⚡ Weekly Recap: Proxy Botnets, Browser Ransomware, AI Agent Tricks, Fake PoC Malware and More
⚡ Weekly Recap: Proxy Botnets, Browser Ransomware, AI Agent Tricks, Fake PoC Malware and More ⚡ Weekly Recap: Proxy Botnets, Browser Ransomware, AI Agent Tricks, Fake PoC Malware and More

The devices are pre-installed with malware before purchase or because users unknowingly download applications containing hidden proxy code.

While the PoC in itself looks clean, the actual malware sits inside a dependency named "skytext" pulled by the PoC.

While the PoC in itself looks clean, the actual malware sits inside a dependency named "skytext" pulled by the PoC.

This triggers the execution of PowerShell that fetches and runs the JavaScript-based TONResolver malware using "node.exe," a core executable file for Node.js.

This triggers the execution of PowerShell that fetches and runs the JavaScript-based TONResolver malware using "node.exe," a core executable file for Node.js.

20 часов назад @ thehackernews.com
How to Evaluate an AI SOC Platform in 2026: 6 Capabilities That Separate Leaders from Bolt-On AI solutions
How to Evaluate an AI SOC Platform in 2026: 6 Capabilities That Separate Leaders from Bolt-On AI solutions How to Evaluate an AI SOC Platform in 2026: 6 Capabilities That Separate Leaders from Bolt-On AI solutions

What Is an AI SOC Platform?

An AI SOC platform is a security operations platform where AI agents carry out the core work of the SOC (detection, triage, investigation, and response) by reasoning over correlated security data, under human oversight.

What Makes an AI SOC Agent Predictable?

Spotlight: Exaforce's Agentic SOC PlatformOne platform designed around these capabilities is Exaforce, an agentic AI SOC platform whose four Exabots cover the full SOC lifecycle.

If you're starting an evaluation, Exaforce's own primer, What is an AI SOC?, is a grounding read.

22 часа назад @ thehackernews.com
Suspected China-Nexus Hackers Use Fake Indian Tax Filing Utility to Deploy DcRAT
Suspected China-Nexus Hackers Use Fake Indian Tax Filing Utility to Deploy DcRAT Suspected China-Nexus Hackers Use Fake Indian Tax Filing Utility to Deploy DcRAT

A suspected China-nexus threat activity cluster has been observed targeting Indian taxpayers, tax professionals, and corporate finance teams to deliver a remote access trojan designed to steal sensitive data from compromised hosts.

The multi-stage campaign, codenamed Operation DragonReturn by Seqrite Labs, involves sending spear-phishing emails impersonating the Income Tax Department of India.

The activity, per the cybersecurity company, coincides with the annual income tax filing season in the country.

The end goal of the campaign is assessed to be the deployment of malware for financial gain or sensitive data theft.

The intrusion set, which targeted Chinese-speaking regions with malicious…

22 часа назад @ thehackernews.com
New TrojPix Attack Leaks Data From Air-Gapped Systems via Video Cable Emissions
New TrojPix Attack Leaks Data From Air-Gapped Systems via Video Cable Emissions New TrojPix Attack Leaks Data From Air-Gapped Systems via Video Cable Emissions

Researchers at Shandong University have shown a fast new way to pull data off computers that are cut off from every network.

But TrojPix works only once malware is already on the target machine, so it is a way for stolen data to get out, not a way in.

In the researchers' tests, TrojPix hit a peak throughput of 8.1 Mbps and reached as far as 208 meters, the two measured separately rather than together.

Others have pulled data off Ethernet with a planted hardware implant, the kind of hardware change TrojPix avoids.

Once an attacker is inside, a channel this fast can move the data out in the time the screen sits dark.

1 day, 1 hour назад @ thehackernews.com
New Java-Based QuimaRAT MaaS Built to Run on Windows, Linux, and macOS
New Java-Based QuimaRAT MaaS Built to Run on Windows, Linux, and macOS New Java-Based QuimaRAT MaaS Built to Run on Windows, Linux, and macOS

Cybersecurity researchers have flagged a novel Java-based remote access trojan (RAT) called QuimaRAT that's capable of targeting Windows, Linux, and macOS environments.

The seller's post guarantees complete stealth on Windows and Linux, noting there are no visible user interface elements or desktop entries.

LevelBlue's analysis suggests that QuimaRAT is organized as a modular Java project built using Apache Maven, while containing embedded Java Native Access (JNA) native libraries for Windows, Linux, and macOS across various architectures.

Besides these conventional features present in most RAT malware, QuimaRAT facilitates fileless shellcode execution on Windows hosts and a resilient commu…

1 day, 1 hour назад @ thehackernews.com
Opera GX Flaw Let Malicious Sites Auto-Install Mods to Steal Data From Visited Pages
Opera GX Flaw Let Malicious Sites Auto-Install Mods to Steal Data From Visited Pages Opera GX Flaw Let Malicious Sites Auto-Install Mods to Steal Data From Visited Pages

Researchers found a flaw in Opera GX, the gaming-focused version of the Opera browser, that let a malicious website silently install a browser add-on and use it to lift specific data from the pages a victim visits.

Opera has patched the flaw and says it found no evidence that it was ever used in the wild.

How the attack worksGX Mods let you reskin Opera GX with custom sounds, themes, wallpapers, and CSS that restyles the sites you visit.

The weakness is in how they install: Opera's mod pipeline downloads and enables a mod automatically, with no approval prompt.

This one hits regular Opera too, not just Opera GX, since any .crx trips the extension-install pipeline, whatever it contains.

1 day, 2 hours назад @ thehackernews.com
SkillCloak Lets Malicious AI Agent Skills Evade Static Scanners with Self-Extracting Packing
SkillCloak Lets Malicious AI Agent Skills Evade Static Scanners with Self-Extracting Packing SkillCloak Lets Malicious AI Agent Skills Evade Static Scanners with Self-Extracting Packing

The main defense so far has been the skill scanner, which reads a skill's files before you install it and blocks anything that looks dangerous.

The Hacker News has covered researchers pushing a fake skill past every scanner it faced, which by the firm's own count reached tens of thousands of agents.

How the disguised skills get throughThe researchers' tool, SKILLCLOAK, rewrites a malicious skill to look clean while behaving exactly the same.

On real-world malicious skills, it caught 87%.

The malicious code was never in the repo; the setup script fetched it at runtime from a DNS record, so a static scan had nothing to catch.

1 day, 3 hours назад @ thehackernews.com
U.S. Government Entity Paid Kairos $1 Million in Data-Theft Extortion Case
U.S. Government Entity Paid Kairos $1 Million in Data-Theft Extortion Case U.S. Government Entity Paid Kairos $1 Million in Data-Theft Extortion Case

Kairos opened at $3 million and claimed it was holding more than 2 terabytes of data, some 1.6 million files.

Kairos dropped to $2 million, then set a hard final number: $1 million, pay by Friday, or the files go public.

Paying to make stolen data disappear is an act of faith, and the receipt is written by the thief.

Union County called what happened to it ransomware, the word everyone reaches for, but in the Kairos case, nothing was locked.

And treat any promise to delete stolen data as worth exactly nothing.

2 days, 21 hours назад @ thehackernews.com
North Korean Hackers Publish 108 Malicious Packages and Extensions in PolinRider Campaign
North Korean Hackers Publish 108 Malicious Packages and Extensions in PolinRider Campaign North Korean Hackers Publish 108 Malicious Packages and Extensions in PolinRider Campaign

Contagious Interview is the moniker assigned to a North Korea-aligned campaign that weaponizes job recruitment to target software developers and individuals working in the cryptocurrency sectors, using persuasive job interviews and assessments to trick them into executing malicious code.

The VS Code tasks include the "runOn: 'folderOpen'" option to trigger the execution of arbitrary code when the folder is opened as a workspace folder in an IDE like VS Code or Cursor.

"Instead, the victims have been compromised via a malicious VS Code extension or npm package."

Once executed, the malware searches the infected computer for certain files like "postcss.config.mjs," "tailwind.config.js," "eslin…

2 days, 22 hours назад @ thehackernews.com
Unpatched Flaws Disclosed in Filesystem Bundled Into Millions of Embedded Devices
Unpatched Flaws Disclosed in Filesystem Bundled Into Millions of Embedded Devices Unpatched Flaws Disclosed in Filesystem Bundled Into Millions of Embedded Devices

Many embedded devices lack the memory protections found on phones and desktops, which is why runZero says "any physical access leads to a jailbreak."

The device tries to read a storage volume or firmware image that has been deliberately malformed, and FatFs mishandles the bad data.

The headline bug is CVE-2026-6682 (CVSS 7.6), an integer overflow in the code that mounts a FAT32 volume.

long filenames overflow the wrapper code many projects put around FatFs, such as a strcpy of fno.fname into a fixed buffer.

Until they do, assume that plenty of shipping devices read untrusted storage with code that has no fix behind it.

3 days, 13 hours назад @ thehackernews.com
threatpost threatpost
последний пост None
DarkReading
последний пост None
WeLiveSecurity
последний пост 3 days, 21 hours назад
Cyber readiness for SMBs: Getting the basics right
Cyber readiness for SMBs: Getting the basics right Cyber readiness for SMBs: Getting the basics right

Organizations are right to pay attention, especially because malicious use of AI makes old gaps a more urgent test of an organization’s cyber readiness.

AI and the basics“AI-powered malware” is cited as the top concern of global SMBs for the year ahead, according to the ESET SMB Cyber Readiness Index 2026.

Lack of security monitoring (22%): You might have plenty of security tools, but do you have a single, centralized place to collect, correlate and flag alerts?

Malicious email detection trend in 2025 (source: ESET Threat Report H2 2025)Tried-and-tested solutions to age-old threatsThis isn’t to say that SMBs should ignore AI-enabled threats.

True cyber readiness means being able to prevent,…

3 days, 21 hours назад @ welivesecurity.com
This month in security with Tony Anscombe – June 2026 edition
This month in security with Tony Anscombe – June 2026 edition This month in security with Tony Anscombe – June 2026 edition

It's that time of month when ESET Chief Security Evangelist Tony Anscombe looks back at some of the top cybersecurity stories that made the news over the past 30 or so days and considers what they may mean for your own cyber-defenses.

What lessons does the new CISA policy hold for organizations outside the agency's direct remit?

What else is there to know about threats facing ATGs or, indeed, many other critical infrastructure systems?

How can you stay safe from imposter fraud, and could the social media bans for children work?

Learn more from Tony's video and be sure to check out the May 2026 edition of Tony's monthly security news roundup for more insights.

6 days, 19 hours назад @ welivesecurity.com
Inside the inbox: Why cybercriminals want to break into your email account
Inside the inbox: Why cybercriminals want to break into your email account Inside the inbox: Why cybercriminals want to break into your email account

With access to your email account, they can reset your passwords across multiple other accounts – perhaps intercepting one-time passcodes sent by your bank, social media, cloud storage or other online provider.

That could lay the groundwork for a convincing phishing email designed to impersonate a trusted organization you interact with.

A phishing attack on your corporate email account is often the first stage in a bigger data breach, extortion/ransomware or espionage attack.

They’re also using more sophisticated tools to improve the success rates of email phishing campaigns.

In this instance the scammers reportedly hijacked the email account of a high-level executive, before impersonating …

1 week, 1 day назад @ welivesecurity.com
SMB cyber readiness: the road to resilience starts here
SMB cyber readiness: the road to resilience starts here SMB cyber readiness: the road to resilience starts here

For these businesses, cyber resilience should be the direction of travel – that is, the ability to continue operating and recover even during a serious incident.

Cyber readiness is about putting in place the processes and controls to prevent, detect and respond to threats.

So, should confidence in cyber resilience posture be so high, especially if organizations are still getting hit multiple times?

The truth is that there’s no end state for cyber readiness or resilience.

If it’s serious about improving the cyber readiness of small businesses, the vendor community should step up.

1 week, 4 days назад @ welivesecurity.com
Gamaredon in 2025: Leveraging tunnels, workers, dead drops, and new alliances
Gamaredon in 2025: Leveraging tunnels, workers, dead drops, and new alliances Gamaredon in 2025: Leveraging tunnels, workers, dead drops, and new alliances

Key points of this blogpost: Throughout 2025, Gamaredon exclusively targeted governmental and military institutions in Ukraine.

Continued data exfiltration and a new allianceThroughout 2025, Gamaredon stayed highly active and remained focused solely on Ukraine.

Notably, we uncovered that in early 2025, Gamaredon collaborated with Turla, another Russia-aligned threat actor also linked to the FSB; we documented our findings in our blogpost Gamaredon X Turla collab.

Figure 1 shows a chart of unique samples of HTA downloaders delivered per month in Gamaredon spearphishing campaigns.

Compared to 2024, we also saw a shift in how Gamaredon used these dead drops.

1 week, 5 days назад @ welivesecurity.com
ESET takes part in Operation Endgame to disrupt Amadey and Stealc
ESET takes part in Operation Endgame to disrupt Amadey and Stealc ESET takes part in Operation Endgame to disrupt Amadey and Stealc

Key points of this blogpost: ESET took part in the coordinated, global Operation Endgame to disrupt Amadey and Stealc.

Our automated systems have been dissecting Amadey and Stealc samples and identifying the fields most relevant for large-scale tracking.

The largest Amadey botnet clusterOne cluster stands out as the largest, and it contributed nearly 34% of all processed Amadey samples.

Stealc affiliate clustering based on ESET telemetryConclusionFor global disruption operations such as Operation Endgame against Amadey and Stealc, long-term automated tracking of malware is necessary.

2026‑04‑09 Stealc C&C server.

1 week, 5 days назад @ welivesecurity.com
Killing me gently: Inside Gentlemen’s EDR killer framework
Killing me gently: Inside Gentlemen’s EDR killer framework Killing me gently: Inside Gentlemen’s EDR killer framework

The group distinguishes itself through a mature, operator-maintained set of endpoint detection and response (EDR) killers, i.e., tools for disrupting security software.

In this blogpost, we share our findings on Gentlemen’s suite of EDR killers gained through extensive research and corroborated by the recent leak.

Third‑party EDR killers (HexKiller, ThrottleBlood, and HavocKiller) are operationally integrated.

Rather than relying on affiliates to source their own EDR killers, Gentlemen operators actively develop and maintain a portfolio of EDR killers for affiliates.

It allows the Gentlemen operators to integrate abused drivers into their toolset very soon after an EDR killer PoC is disclos…

2 weeks, 5 days назад @ welivesecurity.com
Protecting legacy OT systems against modern cyberthreats
Protecting legacy OT systems against modern cyberthreats Protecting legacy OT systems against modern cyberthreats

Of course, connecting production systems to enterprise networks delivers tangible benefits, but the security implications – that systems once safe were suddenly no longer so – arrived more quietly.

Start by mapping which systems in an environment are connected and have no security coverage, where IT and OT networks intersect, which segments are unmonitored, and which production systems have fallen outside any vendor support agreement.

Meanwhile, off-the-peg security tools often don’t efficiently meet the enterprise requirements in legacy OT systems that run on older hardware and outdated operating system versions.

The production systems running that version continue to operate for years, ac…

2 weeks, 6 days назад @ welivesecurity.com
FishMonger’s arsenal upgraded: SprySOCKS for Windows
FishMonger’s arsenal upgraded: SprySOCKS for Windows FishMonger’s arsenal upgraded: SprySOCKS for Windows

Key points of this blogpost: We discovered two previously undocumented Windows variants of FishMonger’s SprySOCKS backdoor.

Technical analysisIn this section, we provide a technical analysis of these new, Windows variants of FishMonger’s SprySOCKS backdoor.

Figure 3. klelam00007.bat setting up persistence for the SprySOCKS backdoor (newlines added for readability)Figure 4 depicts the execution chain of the SprySOCKS WIN_DRV variant.

It contained the SprySOCKS backdoor and the SprySOCKS loader.

6490B8E4AADE25A3EE2D A9A47F312DB2122470BC X1B5206BDC1 743DD.dat Win64/SprySOCKS.A Encrypted container of the encrypted WIN_DRV variant of SprySOCKS backdoor, encrypted SprySOCKS RawWNPF and SprySOCKS …

3 weeks назад @ welivesecurity.com
EvilTokens: A phishing attack that doesn’t steal your password
EvilTokens: A phishing attack that doesn’t steal your password EvilTokens: A phishing attack that doesn’t steal your password

Instead, attackers get the victim to complete a legitimate authentication process – including two-factor authentication (2FA) – on a real Microsoft login page.

What makes EvilTokens dangerousThe OAuth device code flow was designed for devices that may be awkward to sign into directly, such as smart TVs or printers.

No document, invoice, email, or another platform should ask for a device code without a clear reason.

A real Microsoft page doesn’t automatically make a request safe.

Sometimes the attacker could ask them to enter a real code on a real page – but for the wrong device.

3 weeks, 1 day назад @ welivesecurity.com
OceanLotus: From external espionage to domestic targeting
OceanLotus: From external espionage to domestic targeting OceanLotus: From external espionage to domestic targeting

During this period, the Vietnam-aligned OceanLotus adopted a more selective approach to external operations while placing increasing emphasis on domestic espionage.

We identified two distinct campaigns involving the SPECTRALVIPER backdoor: a supply-chain attack targeting stock investors in Vietnam and a prolonged espionage operation against a Vietnamese infrastructure and transport construction company.

The domain resolved to the genuine IP address of the FireAnt update server, suggesting a supply-chain compromise scenario.

LTD 2025‑09‑20 SPECTRALVIPER C&C server.

]com IRT‑CHOOPALLC‑AP 2025‑09‑20 SPECTRALVIPER C&C server.

3 weeks, 5 days назад @ welivesecurity.com
SMB cyber-readiness: What makes or breaks it
SMB cyber-readiness: What makes or breaks it SMB cyber-readiness: What makes or breaks it

But that realization alone clearly doesn’t prepare them to withstand an attack.

Have the repeat victims come to view their brushes with cyber-incidents as proof of “what doesn’t kill me makes me stronger”?

For all the talk around AI, automation and attacker sophistication, many SMB breaches still begin with a familiar opening.

A total of 71% of SMBs globally now carry cyber insurance, rising to 84% in North America, with adoption climbing sharply among repeat victims.

While “when, not if” has never been more true, that alone doesn’t prepare a business for adversity.

3 weeks, 6 days назад @ welivesecurity.com
Cybercriminals: the 'auditors' you never hired
Cybercriminals: the 'auditors' you never hired Cybercriminals: the 'auditors' you never hired

There’s a phrase that is peddled out by governments and companies alike when a catastrophe of any type – including a cybersecurity breach – occurs: “Lessons have been learnt”.

The 130% increase in significant incidents between 2024 and 2025 severely challenges this assertion and points to lessons not being learnt, at a macro level.

In fact, this reluctance to look could also be normalcy bias quietly doing its work.

That is why this metaphor matters – cybercriminals discover the gap between what an organisation believes about its security and what the reality is.

We must accept that normalcy bias exists and act upon it.

4 weeks назад @ welivesecurity.com
Lessons for life: Why children’s data is a long-term identity risk
Lessons for life: Why children’s data is a long-term identity risk Lessons for life: Why children’s data is a long-term identity risk

Our kids are exposed to many of the same identity, privacy, and data security risks as their parents.

Why do people want my kids’ data?

But when they do finally flag fraud, the impact on your child’s credit history can be severe.

Apply for a credit freeze for your child’s identity with all three major credit bureaus.

Keeping your child’s identity safe should not be about restricting their digital world.

1 month назад @ welivesecurity.com
This month in security with Tony Anscombe – May 2026 edition
This month in security with Tony Anscombe – May 2026 edition This month in security with Tony Anscombe – May 2026 edition

Here's some of what caught Tony’s attention in May 2026:Poland’s Internal Security Agency (ABW) has released information about cyber-intrusions into ICS (industrial control systems) at five water treatment facilities in the country in 2024 and 2025.

The two main attack vectors – weak passwords and systems exposed directly to the internet – were the same as those used in attacks against the Polish energy sector that leveraged DynoWiper described by ESET researchers here.

What are some key mitigation steps against attacks targeting OT systems?

How do scams crypto ATMs work and how to stay safe?

Learn this and more in Tony's video and be sure to check out the April 2026 edition of Tony's month…

1 month, 1 week назад @ welivesecurity.com
Naked Security Naked Security
последний пост None
Help Net Security Help Net Security
последний пост 3 часа назад
Researchers make the case for a cybersecurity AI scientist
Researchers make the case for a cybersecurity AI scientist Researchers make the case for a cybersecurity AI scientist

Autonomous AI agents have started doing real security work.

In a recent paper, they define what they term the Cybersecurity AI Scientist.

They describe a research system that moves from a question to experimental design, tool building, controlled execution, evaluation, and a written result on its own.

Picture a large, deliberately redundant crowd of defensive agents scattered across network edges, monitoring layers, coordination channels, and recovery jobs.

“A Cybersecurity AI Scientist should ultimately be judged not only by whether it accelerates research, but by whether it improves strategic composure, sharper prioritization, and more durable defensive design,” he said.

3 часа назад @ helpnetsecurity.com
Review: Building Machine Learning Systems with a Feature Store
Review: Building Machine Learning Systems with a Feature Store Review: Building Machine Learning Systems with a Feature Store

Many people come to machine learning by training a model on a tidy dataset, and then meet a harder problem: making that model work for real users, on fresh data, every day.

Jim Dowling’s O’Reilly book, Building Machine Learning Systems with a Feature Store, is written for that moment.

Dowling, CEO of Hopsworks, based the book on a course he taught at KTH in Stockholm, so it reads like a guided walk through building real systems.

The feature store of the title is the shared storage in the middle that lets the three parts connect.

Seeing the same building blocks reused across systems is where the method sinks in.

3 часа назад @ helpnetsecurity.com
Your company already adopted AI and nobody is governing access
Your company already adopted AI and nobody is governing access Your company already adopted AI and nobody is governing access

In this Help Net Security video, Antoine Berton, CTO at Elba Security, breaks down the AI attack surface.

Your company already adopted AI, and every adoption creates access that nobody governs.

A quick click on a Friday afternoon connects a free AI tool to your Google Workspace, with no ticket and no security review.

He compares this to the shadow SaaS decade, but warns that agents move faster.

Download: Secure Foundations for AI Workloads on AWS

4 часа назад @ helpnetsecurity.com
Apple Container: Open-source tool for Linux containers on the Mac
Apple Container: Open-source tool for Linux containers on the Mac Apple Container: Open-source tool for Linux containers on the Mac

Developers on Apple silicon Macs have run Linux containers through software built around a single shared virtual machine for years.

Apple’s open-source Container project gives each Linux workload its own lightweight virtual machine.

It creates and runs Linux containers as lightweight virtual machines, and it works with OCI-compatible images, so a developer can pull from and push to any standard registry.

The headline addition in 1.0.0 is container machine , a feature for long-lived Linux environments with tight integration into the host Mac.

Installation uses a signed package from the GitHub releases page, after which a developer starts the background service with container system start .

4 часа назад @ helpnetsecurity.com
Microsoft wants to keep your AI agents from going rogue
Microsoft wants to keep your AI agents from going rogue Microsoft wants to keep your AI agents from going rogue

Microsoft has introduced Microsoft Execution Containers (MXC), a cross-platform, policy-driven execution layer for AI agents on Windows and Windows Subsystem for Linux (WSL), now available in early preview.

Agent 365 natively integrates with the SDK, using Microsoft Entra and Intune to enforce constraints on specific AI agents.

The company also plans to add more containment options for AI agents.

Partner supportMicrosoft is partnering with Hermes, Manus, NVIDIA, OpenAI, and OpenClaw to help developers build and deploy AI agents with MXC.

“Working with Microsoft on Microsoft Execution Containers (MXC) allows us to explore new patterns for AI agents to safely and efficiently generate and exec…

5 часов назад @ helpnetsecurity.com
Power shortages could slow AI data center expansion
Power shortages could slow AI data center expansion Power shortages could slow AI data center expansion

AI adoption is increasing demand for data center capacity at the same time operators are running into limits around power, equipment, land, and permitting, according to NTT Data.

Distribution of new data center capacity by region (Source: NTT Data)AI changes infrastructure planningEnterprise workloads spread computing demand across large numbers of servers with relatively predictable power requirements.

AI infrastructure concentrates processing into dense clusters of GPU-based systems that consume significantly more electricity and generate more heat.

Data center operators are designing larger campuses with greater electrical capacity, while enterprises evaluating AI deployments are paying …

5 часов назад @ helpnetsecurity.com
Cybersecurity jobs available right now: July 7, 2026
Cybersecurity jobs available right now: July 7, 2026 Cybersecurity jobs available right now: July 7, 2026

Cybersecurity AnalystCynet Security | USA | On-site – View job detailsAs a Cybersecurity Analyst, you will investigate security alerts, detect threats, and respond to security incidents using the Cynet platform.

The role also involves working with the research team to identify new attack techniques and improve threat detection capabilities.

Cybersecurity Engineer 2Arctic Wolf | Ireland | On-site – View job detailsAs a Cybersecurity Engineer 2, you will support customer security operations by investigating security incidents, analyzing logs to identify threats, and helping resolve security issues.

Cybersecurity Engineer – NetworkRockwell Automation | India | Hybrid – View job detailsAs a Cyb…

5 часов назад @ helpnetsecurity.com
Criminal IP integrates threat intelligence with OpenCTI for automated indicator enrichment
Criminal IP integrates threat intelligence with OpenCTI for automated indicator enrichment Criminal IP integrates threat intelligence with OpenCTI for automated indicator enrichment

Criminal IP has integrated its threat intelligence with OpenCTI, enabling security teams to automatically convert IP addresses, domains, and URLs into structured intelligence within the platform’s knowledge graph.

The integration automatically enriches ingested indicators with Criminal IP’s infrastructure intelligence, dual-perspective reputation scoring, vulnerability data, behavioral signals, and phishing analysis.

Integration highlightsContextual risk scoring: Criminal IP delivers dual-perspective risk scoring reflecting both inbound targeting and outbound behavior.

Domain & phishing intelligence: Criminal IP performs URL analysis for domains to detect phishing activity, credential harve…

20 часов назад @ helpnetsecurity.com
LTM’s BlueVerse RightLogic combines AI risk assessment with cyber remediation planning
LTM’s BlueVerse RightLogic combines AI risk assessment with cyber remediation planning LTM’s BlueVerse RightLogic combines AI risk assessment with cyber remediation planning

LTM has launched BlueVerse RightLogic, a cybersecurity assessment and risk assurance framework designed to help enterprises identify, assess and remediate cyber exposure as they accelerate AI adoption.

This has elevated cyber risk from a technology concern to a board-level priority, with enterprises struggling to maintain visibility and respond at the speed of emerging threats.

BlueVerse RightLogic addresses this gap by providing a unified, business-aligned view of enterprise exposure and enabling a shift from fragmented, point-in-time assessments to continuous, evidence-led risk management.

The framework combines an end-to-end AI and cyber exposure assessment engine with a structured execu…

20 часов назад @ helpnetsecurity.com
OpenSSH 10.4 arrives with security fixes and a post-quantum signature option
OpenSSH 10.4 arrives with security fixes and a post-quantum signature option OpenSSH 10.4 arrives with security fixes and a post-quantum signature option

The project released version 10.4 with eight security fixes, a set of bug corrections, and a couple of new features.

What the security fixes coverTwo of the security fixes came from the Swival Security Scanner.

One covers sftp , where a malicious server could steer a command-line download such as “ sftp host:/path .

A post-quantum signature to testThe release adds experimental support for a signature scheme that pairs ML-DSA 44 with Ed25519 , following the draft-miller-sshm-mldsa44-ed25519-composite-sigs specification.

sftp gained fixes for small out-of-bounds reads, and its ls -ln listing again shows numeric user and group IDs.

20 часов назад @ helpnetsecurity.com
How to prioritize AI agent security by business impact
How to prioritize AI agent security by business impact How to prioritize AI agent security by business impact

Your CEO calls about an AI agent security incident in finance.

Know the blast radiusPrioritizing agent risk starts with understanding how each agent operates, what it can reach and which business process it can affect.

Exposure: is the agent internal only, or can external users, partners or public links interact with it?

In many organizations, AI agents are moving from experimentation to production faster than governance can keep up.

Blast-radius analysis provides a practical way to separate low-risk automation from agents that pose material exposure, enabling organizations to prioritize AI security where it matters most.

1 day, 3 hours назад @ helpnetsecurity.com
Securing the inbox: Where identity, brand and security meet
Securing the inbox: Where identity, brand and security meet Securing the inbox: Where identity, brand and security meet

Email, in his account, “needs identity, because it’s one of the factors that offsets the attacks that are coming in.

If you’re not doing DMARC and you’re on the internet with any scale today, you’re probably doing it wrong.

BIMI, Brand Indicators for Message Identification, sits on top of DMARC and adds a verified logo in the inbox.

“DMARC needs to be continuously monitored,” he said, with brand and identity assurance attached to it.

He closed with a line credited to Powar: attackers “need to get lucky one time, whereas a business needs to continuously be lucky or be prepared all of the time.”

1 day, 3 hours назад @ helpnetsecurity.com
Omnigent: Open-source AI agent framework and meta-harness
Omnigent: Open-source AI agent framework and meta-harness Omnigent: Open-source AI agent framework and meta-harness

That spread leaves teams with a governance gap around where agent actions land and how much they cost.

Omnigent, an open-source project, sits one level above those tools as a meta-harness.

These checks run at the meta-harness layer as stateful, data-centric rules that track agent actions, which keeps enforcement out of the prompt where an agent might drift past it.

An administrator sets server-wide rules, a developer sets per-agent rules, and the person in a session sets per-session rules, with the stricter session rules checked first.

The sandbox can hide credentials from the agent and broker access to them, which lets a user grant an agent wide latitude with the secrets held back.

1 day, 4 hours назад @ helpnetsecurity.com
Product showcase: Is that text a scam? Malwarebytes Mobile Security can help you find out
Product showcase: Is that text a scam? Malwarebytes Mobile Security can help you find out Product showcase: Is that text a scam? Malwarebytes Mobile Security can help you find out

Malwarebytes Mobile Security for iPhone combines scam prevention, privacy protection, and identity monitoring in a single app.

Installation and security dashboardInstalling Malwarebytes Mobile Security from the App Store takes only a few moments.

After creating an account, the app guides users through enabling Web Protection, Call Protection, Scam Guard, and the VPN.

The app can recommend enabling Web Protection, running a Digital Footprint scan, updating iOS, or enabling additional protections.

ConclusionMalwarebytes Mobile Security for iOS combines several security and privacy features in a single app, including web protection, call protection, VPN, Scam Guard, and identity monitoring.

1 day, 4 hours назад @ helpnetsecurity.com
Flipper Zero firmware development gets a fresh set of community rules
Flipper Zero firmware development gets a fresh set of community rules Flipper Zero firmware development gets a fresh set of community rules

Owners of the Flipper Zero, the pocket-sized wireless testing tool, spent recent weeks worried that its official firmware had gone quiet.

Pavel Zhovner, CEO of Flipper Devices, moved to settle that concern with word that the company has set aside staff to keep the firmware maintained and to support outside contributions.

The work will run under a fresh set of rules covering feature requests, code submissions, and testing.

Once the core was steady, Flipper Devices narrowed its firmware work to infrastructure upkeep and critical bug fixes, and turned its attention to new hardware.

Flipper Devices plans to bring community members into part of the regression testing.

1 day, 4 hours назад @ helpnetsecurity.com
IT Security Guru IT Security Guru
последний пост None
SecurityTrails
последний пост None
Блоги 👨‍💻
Бизнес без опасности Бизнес без опасности
последний пост None
Жизнь 80 на 20 Жизнь 80 на 20
последний пост None
ZLONOV ZLONOV
последний пост None
Блог Артема Агеева Блог Артема Агеева
последний пост None
Киберпиздец Киберпиздец
последний пост None
Schneier on Security Schneier on Security
последний пост 23 часа назад
France to Stop Certifying Non-Quantum-Safe Encryption
France to Stop Certifying Non-Quantum-Safe Encryption France to Stop Certifying Non-Quantum-Safe Encryption

France is accelerating its transition to post-quantum encryption:France’s cybersecurity agency ANSSI said on Tuesday it would stop certifying security products that lack quantum-resistant encryption, a move that will force government bodies and critical operators to shift away from older systems.

Samih Souissi, ANSSI’s chief of staff, said at the France Quantum conference that the agency would halt such certifications from 2027, and that businesses should be buying only quantum-safe products by 2030.

ANSSI approval is required for use in French government agencies and critical infrastructure, making the policy a de facto phase-out of older encryption.

23 часа назад @ schneier.com
Flock Cameras Can Surveil Cars Without License Plates
Flock Cameras Can Surveil Cars Without License Plates Flock Cameras Can Surveil Cars Without License Plates

This is from a 2024 company presentation:Officers can also tap into data showing a car’s decals, bumper stickers, back and top racks—along with temporary and unique state tags.

Flock calls it a “Vehicle Fingerprint” and it’s touted as a way for law enforcement officials to get more information “even when you don’t have full plate information,” the company’s presentation shows.

The company gives police officers the ability to search that data as well, to “build stronger cases with less information upfront.” That includes being able to locate multiple vehicles law enforcement officials believe are moving together and what Flock calls a “multi geo search.”

3 days, 22 hours назад @ schneier.com
Cybersecurity Mission Creep in the US
Cybersecurity Mission Creep in the US Cybersecurity Mission Creep in the US

Interesting paper: “Cybersecurity Mission Creep.”Abstract: Cybersecurity is experiencing mission creep.

Positioned as security threats, cybersecuritized issues become endowed with the apparent normative power to override countervailing considerations, oversimplifying the problem.

Cybersecuritization’s oversimplification similarly risks unidimensional solutions and invites use of argumentative trump cards, like First Amendment challenges.

Together, the reductive tendencies of cybersecuritization and the deference it prompts to specialists renders ultimate governance choices more opaque.

If we continue to ignore it, we risk abdicating further responsibility for difficult choices to the trump …

4 days, 22 hours назад @ schneier.com
Papa Johns Surveillance-Based Advertising
Papa Johns Surveillance-Based Advertising Papa Johns Surveillance-Based Advertising

The idea is to reach hungry consumers by “knowing what is in their fridge without being too creepy,” said Carrie Drinkwater, chief investment officer at Carat.

To achieve that goal, NBCU and Instacart created a custom audience of shoppers who regularly purchase grocery staples on Instacart, such as eggs, milk, meat and produce.

Based on that data, Papa Johns can determine which days of the week certain consumers are likely to run out of groceries and serve them an ad on NBCU streaming content accordingly.

So the way for Papa John’s to not be “too creepy” is to deliberately get it wrong sometimes.

Posted on July 1, 2026 at 6:53 AM • 0 Comments

5 days, 23 hours назад @ schneier.com
The Realities of AI Video Surveillance
The Realities of AI Video Surveillance The Realities of AI Video Surveillance

The Realities of AI Video SurveillanceThe Financial Times has a good article on how AI is changing the capabilities of video surveillance, with information from both Israel/Iran and Russia.

I wrote about this sort of thing a few years ago, how AI enables mass spying in the way that computers and networks enabled mass surveillance.

The interesting development in the article is that AI allows people to ask natural language questions about video footage to AIs—and AIs can answer them.

In contrast with older tools restricted to a few dozen preset searches, these new tools allow an almost unlimited range of enquiries by enabling language-based searches on video.

“This is the holy grail of survei…

6 days, 21 hours назад @ schneier.com
Factoring RSA Keys with Many Zeros
Factoring RSA Keys with Many Zeros Factoring RSA Keys with Many Zeros

Interesting research on a new class of weak RSA keys: keys with lots of zeros.

The badkeys project is an open-source service that checks public keys for known vulnerabilities.

Pattern 2 appears on SSH hosts running the CompleteFTP software from EnterpriseDT.

The underlying vulnerability affects RSA keys generated using versions 10.0.0­12.0.0 (Dec 2016­Mar 2019) and DSA keys generated with v10.0.0­23.0.4 (Dec 2016­Dec 2023).

More implementations may include the same bugs, and so it’s worth tailoring cryptanalytic algorithms for this particular type of failure.

1 week назад @ schneier.com
Robot Police Officers
Robot Police Officers Robot Police Officers

We’ve taken one small step towards robot police officers: a drone capable of disarming a suspect:In a June 22 video posted on the Sacramento County Sheriff’s Office’s Instagram page, an officer wearing goggles can be seen operating a drone to retrieve a knife from an armed suspect hiding inside a cluttered house.

“After not responding to negotiators, a drone was deployed inside the residence,” the post says.

“Drone pilots located the suspect hiding in a corner of a garage” and then used a high-powered magnet attached to the drone to grab the knife out of the suspect’s hand.

In the video ­ which is soundtracked by the “Mission: Impossible” theme song—the intercepted knife can be seen spinnin…

1 week назад @ schneier.com
The Chinese Control the Majority of Argentina’s Squid Fleet
The Chinese Control the Majority of Argentina’s Squid Fleet The Chinese Control the Majority of Argentina’s Squid Fleet

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

Contact Info

1 week, 3 days назад @ schneier.com
Meta Is Testing Facial Recognition for Police and Military
Meta Is Testing Facial Recognition for Police and Military Meta Is Testing Facial Recognition for Police and Military

Meta Is Testing Facial Recognition for Police and MilitaryWe know that ICE wants to deploy eyeglasses with facial recognition that can identify people in real time.

Turns out Meta is prototyping the feature with a Pentagon supplier.

(Alternate news story.)

Posted on June 26, 2026 at 12:40 PM • 0 Comments

1 week, 3 days назад @ schneier.com
One Million Passports Leaked Online
One Million Passports Leaked Online One Million Passports Leaked Online

One Million Passports Leaked OnlineA database of almost a million passports from around the world was leaked online.

Note what happened.

A high-value credential—a passport—was used in an ancillary low-value authentication system: ID verification for cannabis dispensaries.

And it’s the low-value system that got hacked, putting the high-value credential at risk.

Posted on June 26, 2026 at 7:03 AM • 2 Comments

1 week, 3 days назад @ schneier.com
AI and Liability
AI and Liability AI and Liability

Words are words, and the phone company does not know—nor is it liable for—the words you choose to speak.

Imagine a restaurant review site that provides AI summaries, or a site summarizing laws and government procedures.

AI agents are agents of the person or organization that deploys them—and should be treated by the law as such.

If a company hired human writers to write its summaries, that company would be liable for inaccuracies in those summaries.

Visa and OpenAI recently announced a partnership to build personal AI agents to, among other things, make purchases on our behalf.

1 week, 4 days назад @ schneier.com
Interesting Paper Exploring Prompt Injection
Interesting Paper Exploring Prompt Injection Interesting Paper Exploring Prompt Injection

This is a fascinating explotation of how LLMs fall for prompt injection attacks.

Their conclusion:Role tags were a formatting trick that became the security architecture and the cognitive scaffolding of modern LLMs.

We’ve shown that this architecture doesn’t survive into the model’s actual representations, and that such role confusion is linked to prompt injection.

Unless LLMs achieve genuine role perception, we think injection defense will remain a perpetual whack-a-mole game.

And the continuous nature of role boundaries opens the threat of injections designed to subtly shift LLM states through seemingly innocuous text, legally and at scale.

1 week, 4 days назад @ schneier.com
Embedding Forbidden Text in Spyware to Discourage AI Analysis
Embedding Forbidden Text in Spyware to Discourage AI Analysis Embedding Forbidden Text in Spyware to Discourage AI Analysis

At least one malware developer is adding text about nuclear and biological weapons to their spyware, in an effort to stop automatic AI analysis.

Details:The _index.js payload begins with a large JavaScript block comment containing fake system instructions and policy-triggering content.

The real malware begins after the comment with a try{eval(…)} wrapper around a large character-code array and a ROT-style substitution function.

In weak pipelines, this can cause refusal behavior, prompt confusion, context pollution, or premature classification before the scanner reaches the actual malware.

YARA rules, entropy checks, AST parsing, string extraction, deobfuscation, and behavioral rules still w…

1 week, 5 days назад @ schneier.com
Anthropic’s Fable 5 Model Jailbroken Within Days
Anthropic’s Fable 5 Model Jailbroken Within Days Anthropic’s Fable 5 Model Jailbroken Within Days

Anthropic’s Fable 5 Model Jailbroken Within DaysFable 5 is the supposed safe version of Anthropic’s Mythos Preview, with guardrails to ensure that it can’t be used to create cyberattacks.

Well, that restriction was bypassed within days.

Posted on June 23, 2026 at 7:03 AM • 4 Comments

1 week, 6 days назад @ schneier.com
Professional Athletes and Wearables
Professional Athletes and Wearables Professional Athletes and Wearables

Wearables present serious privacy issues for “Average Joe” consumers, who are entrusting tech companies to safely store and protect their biometric data.

Imagine the stakes for a professional athlete, whose entire livelihood could be affected by a single biometric data point.

The coach has access to the player’s wearable data, and checks to see when they went to sleep, as well as what their heart rate looked like during the night.

What if wearable data reveals that a player isn’t as speedy as they were before, and a team uses that data against the player during contract negotiations?

What if a wearable reveals a player is favoring their leg, or is at greater risk of injury?

2 weeks назад @ schneier.com
Krebs On Security
последний пост 4 days, 14 hours назад
FBI Seizes NetNut Proxy Platform, Popa Botnet
FBI Seizes NetNut Proxy Platform, Popa Botnet FBI Seizes NetNut Proxy Platform, Popa Botnet

Benjamin Brundage is founder of the proxy tracking service Synthient, one of the companies that published evidence last month linking the Popa botnet to NetNut and Alarum Technologies.

Brundage said the domain seizures appear to have disrupted both the Popa botnet and the NetNut proxy network that rides on top of it.

“Google has high confidence that many popular residential proxy brands are in fact whitelabeling the NetNut botnet,” the GTIG report concludes.

What we have observed is that when faced with the degradation of their own botnet, proxy operators begin buying capacity from their competitors, effectively becoming a reseller.

More than a quarter of the apps made for Samsung’s Tizen o…

4 days, 14 hours назад @ krebsonsecurity.com
Scattered Spider Hackers Plead Guilty on Day 1 of Trial
Scattered Spider Hackers Plead Guilty on Day 1 of Trial Scattered Spider Hackers Plead Guilty on Day 1 of Trial

The duo were key members of a prolific cybercrime group known as Scattered Spider, and their guilty pleas came on the first day of what was expected to be a six-week trial.

In April 2026, 24-year-old British national and Scattered Spider member Tyler “Tylerb” Buchanan pleaded guilty to wire fraud conspiracy and aggravated identity theft for participating in the group’s SMS phishing spree in the summer of 2022.

The government said Buchanan, Jubair and others used the credentials harvested in that phishing campaign to steal at least $8 million in cryptocurrency from victims throughout the United States.

The U.S. Department of Justice says three alleged Scattered Spider defendants indicted alo…

1 week, 6 days назад @ krebsonsecurity.com
‘Popa’ Botnet Linked to Publicly-Traded Israeli Firm
‘Popa’ Botnet Linked to Publicly-Traded Israeli Firm ‘Popa’ Botnet Linked to Publicly-Traded Israeli Firm

This week, researchers from multiple security firms concluded that the Popa botnet is linked to NetNut, a “residential proxy” provider operated by the publicly-traded Israeli firm Alarum Technologies Ltd [NASDAQ: ALAR].

Qurium said that immediately after that disruption, several dozen new domains were registered to serve as controllers for the Popa botnet, but that one of those control domains was not new: ninjatech[.]io.

Jérôme Meyer, a security researcher at Nokia Deepfield, said the total population of devices participating in the Popa botnet may be far higher than Lumen’s estimates.

“Over 90% of our pharmaceutical and food & beverage customers have queried residential proxy indicators.

2 weeks, 4 days назад @ krebsonsecurity.com
Who Runs the Ransomware Group ‘The Gentlemen?’
Who Runs the Ransomware Group ‘The Gentlemen?’ Who Runs the Ransomware Group ‘The Gentlemen?’

This post examines clues pointing to a real life identity for the administrator of The Gentlemen ransomware group.

Experts at the security firm Check Point Software have been closely covering exploits of The Gentlemen, a so-called “ransomware-as-a-service” (RaaS) offering that pays affiliates handsomely to help spread the group’s malware.

According to Check Point, the group targets Internet-facing devices (VPNs, firewalls) as their entry point, and once inside moves quickly to encrypt entire networks within hours.

Check Point says the administrator and primary operator of the ransomware group uses the nickname Zeta88 on the Russian-language cybercrime forums, and that this individual was pr…

3 weeks, 5 days назад @ krebsonsecurity.com
A Record-Breaking Patch Tuesday for June 2026
A Record-Breaking Patch Tuesday for June 2026 A Record-Breaking Patch Tuesday for June 2026

Microsoft today released software updates to plug nearly 200 security holes across its Windows operating systems and supported software, a record number of fixes for the company’s monthly Patch Tuesday cycle.

“Some surveys put AI usage among security professionals generally at 90%, so it’s unsurprising that this volume of patches may be the norm,” Narang said.

Microsoft received heavily blowback on social media last month after it said in a blog post that it was considering taking legal action against the security researcher.

While 200 vulnerabilities may be a record for Patch Tuesday, the actual number of security flaws Microsoft addressed this month is far higher, said Rapid7’s Adam Barne…

3 weeks, 6 days назад @ krebsonsecurity.com
Hackers Used Meta’s AI Support Bot to Seize Instagram Accounts
Hackers Used Meta’s AI Support Bot to Seize Instagram Accounts Hackers Used Meta’s AI Support Bot to Seize Instagram Accounts

On May 31, word began to spread on several Telegram instant message channels that Meta’s AI bot would happily add an email address to an existing account as part of the bot’s standard password reset flow.

Meta has not responded to requests for comment on the video’s claims, but the company reportedly did acknowledge the dormant Instagram account for the Obama White House was briefly compromised.

Meta’s solution was to deploy a conversational AI layer to handle common recovery workflows: relinking a lost email address, triggering a password reset, verifying account ownership.

Just like human customer support employees can be social engineered into providing unauthorized access to someone’s a…

1 month назад @ krebsonsecurity.com
Netherlands Seizes 800 Servers, Arrests 2 for Aiding Cyberattacks
Netherlands Seizes 800 Servers, Arrests 2 for Aiding Cyberattacks Netherlands Seizes 800 Servers, Arrests 2 for Aiding Cyberattacks

But as KrebsOnSecurity observed in September 2025, those sanctions failed to target Stark’s remaining connection to the Internet — an Internet service provider based in the Netherlands called MIRhosting.

MIRhosting is operated by Andrey Nesterenko, a 39-year-old Russian native who runs the business out of the Netherlands.

And as our September 2025 report showed, WorkTitans was controlled by Nesterenko and a 57-year-old from Amsterdam named Youssef Zinad.

On top of that, WorkTitans was getting connectivity to the larger Internet solely through MIRhosting, where Zinad had worked previously.

“The transition to the.hosting was not intended to evade sanctions,” Nesterenko wrote.

1 month, 1 week назад @ krebsonsecurity.com
Lawmakers Demand Answers as CISA Tries to Contain Data Leak
Lawmakers Demand Answers as CISA Tries to Contain Data Leak Lawmakers Demand Answers as CISA Tries to Contain Data Leak

The inquiry comes as CISA is still struggling to contain the breach and invalidate the leaked credentials.

Experts who reviewed the exposed secrets said the commit logs for the code repository showed the CISA contractor disabled GitHub’s built-in protection against publishing sensitive credentials in public repos.

CISA acknowledged the leak but has not responded to questions about the duration of the data exposure.

TruffleHog does this by monitoring a live feed that GitHub publishes which includes a record of all commits and changes to public code repositories.

In practical terms, it is likely that cybercrime groups or foreign adversaries also noticed the publication of these CISA secrets, …

1 month, 2 weeks назад @ krebsonsecurity.com
Alleged Kimwolf Botmaster ‘Dort’ Arrested, Charged in U.S. and Canada
Alleged Kimwolf Botmaster ‘Dort’ Arrested, Charged in U.S. and Canada Alleged Kimwolf Botmaster ‘Dort’ Arrested, Charged in U.S. and Canada

A criminal complaint unsealed today in an Alaska district court charges Jacob Butler, a.k.a.

“Dort,” of Ottawa, Canada with operating the Kimwolf DDoS botnet.

“KimWolf was tied to DDoS attacks which were measured at nearly 30 Terabits per second, a record in recorded DDoS attack volume,” the Justice Department statement reads.

Synthient was among many technology companies thanked by the Justice Department today, and Synthient’s founder Ben Brundage told KrebsOnSecurity he’s relieved Butler is in custody.

The DOJ said at least one of those services collaborated with Butler’s Kimwolf botnet.

1 month, 2 weeks назад @ krebsonsecurity.com
CISA Admin Leaked AWS GovCloud Keys on Github
CISA Admin Leaked AWS GovCloud Keys on Github CISA Admin Leaked AWS GovCloud Keys on Github

Until this past weekend, a contractor for the Cybersecurity & Infrastructure Security Agency (CISA) maintained a public GitHub repository that exposed credentials to several highly privileged AWS GovCloud accounts and a large number of internal CISA systems.

Another file exposed in their public GitHub repository — “AWS-Workspace-Firefox-Passwords.csv” — listed plaintext usernames and passwords for dozens of internal CISA systems.

“The available Git metadata alone does not prove which endpoint or device was used.”Caturegli said he validated that the exposed credentials could authenticate to three AWS GovCloud accounts at a high privilege level.

CISA has not responded to questions about the p…

1 month, 2 weeks назад @ krebsonsecurity.com
Patch Tuesday, May 2026 Edition
Patch Tuesday, May 2026 Edition Patch Tuesday, May 2026 Edition

Artificial intelligence platforms may be just as susceptible to social engineering as human beings, but they are proving remarkably good at finding security vulnerabilities in human-made computer code.

May’s Patch Tuesday is a welcome respite from April, which saw Microsoft fix a near-record 167 security flaws.

But at the end of April, Oracle announced it was switching to a monthly update cycle for critical security issues.

Chrome automagically downloads available security updates, but installing them requires fully restarting the browser.

For a more granular look at the Microsoft updates released today, checkout this inventory by the SANS Internet Storm Center.

1 month, 3 weeks назад @ krebsonsecurity.com
Canvas Breach Disrupts Schools & Colleges Nationwide
Canvas Breach Disrupts Schools & Colleges Nationwide Canvas Breach Disrupts Schools & Colleges Nationwide

The stated deadline for payment was initially set at May 6, but it was later pushed back to May 12.

The May 6 update stated that Canvas was fully operational, and that Instructure was not seeing any ongoing unauthorized activity on their platform.

Instructure responded by pulling Canvas offline and replacing the portal with the message, “Canvas is currently undergoing scheduled maintenance.

Data extortion groups like ShinyHunters will typically only remove victims from their leak sites after receiving an extortion payment or after a victim agrees to negotiate.

Last month, ShinyHunters relieved the home security giant ADT of personal information on 5.5 million customers.

2 months назад @ krebsonsecurity.com
Anti-DDoS Firm Heaped Attacks on Brazilian ISPs
Anti-DDoS Firm Heaped Attacks on Brazilian ISPs Anti-DDoS Firm Heaped Attacks on Brazilian ISPs

For the past several years, security experts have tracked a series of massive DDoS attacks originating from Brazil and solely targeting Brazilian ISPs.

The company originated from protecting game servers against DDoS attacks and evolved into an ISP-focused DDoS mitigation provider.

But so-called “DNS reflection” attacks rely on DNS servers that are (mis)configured to accept queries from anywhere on the Web.

“We received and notified many Tier 1 upstreams regarding very very large DDoS attacks against small ISPs,” Nascimento said.

Nascimento flatly denied being involved in DDoS attacks against Brazilian operators to generate business for his company’s services.

2 months, 1 week назад @ krebsonsecurity.com
‘Scattered Spider’ Member ‘Tylerb’ Pleads Guilty
‘Scattered Spider’ Member ‘Tylerb’ Pleads Guilty ‘Scattered Spider’ Member ‘Tylerb’ Pleads Guilty

A 24-year-old British national and senior member of the cybercrime group “Scattered Spider” has pleaded guilty to wire fraud conspiracy and aggravated identity theft.

FBI investigators tied Buchanan to the 2022 SMS phishing attacks after discovering the same username and email address was used to register numerous phishing domains seen in the campaign.

That same year, U.K. investigators found a device at Buchanan’s Scotland residence that included data stolen from SMS phishing victims and seed phrases from cryptocurrency theft victims.

Buchanan is the second known Scattered Spider member to plead guilty.

Two other alleged Scattered Spider members will soon be tried in the United Kingdom.

2 months, 2 weeks назад @ krebsonsecurity.com
Patch Tuesday, April 2026 Edition
Patch Tuesday, April 2026 Edition Patch Tuesday, April 2026 Edition

“This CVE can enable phishing attacks, unauthorized data manipulation, or social engineering campaigns that lead to further compromise,” Walters said.

Satnam Narang, senior staff research engineer at Tenable, said April marks the second-biggest Patch Tuesday ever for Microsoft.

Narang also said there are indications that a zero-day flaw Adobe patched in an emergency update on April 11 — CVE-2026-34621 — has seen active exploitation since at least November 2025.

Adam Barnett, lead software engineer at Rapid7, called the patch total from Microsoft today “a new record in that category” because it includes nearly 60 browser vulnerabilities.

For example, a Google Chrome update released earlier t…

2 months, 3 weeks назад @ krebsonsecurity.com
Graham Cluley Graham Cluley
последний пост 4 days, 17 hours назад
The Gentlemen ransomware: what you need to know
The Gentlemen ransomware: what you need to know

Who Are The Gentlemen?

Despite the impeccably polite name, there is nothing polite or refined about this particular gang of cybercriminals. Read more in my article on the Fortra blog.

4 days, 17 hours назад @ fortra.com
Smashing Security podcast #474: Polymarket can predict the future. So how did it miss this hack?
Smashing Security podcast #474: Polymarket can predict the future. So how did it miss this hack? Smashing Security podcast #474: Polymarket can predict the future. So how did it miss this hack?

And I'm going to be looking at whether you're wise to take a gamble with your security on Polymarket.

Right, well, I want to tell you about a company that's built its entire brand on being really, really good at predicting the future.

They've actually done it really, really well.

So it's The Summer Portraits by— remind me who it's by again, 'cause I'm going to butcher his name.

It's really, really good.

5 days, 10 hours назад @ grahamcluley.com
Scammers race to cash in on Venezuelan earthquake disaster
Scammers race to cash in on Venezuelan earthquake disaster Scammers race to cash in on Venezuelan earthquake disaster

When a devastating earthquake struck north central Venezuela last week, rescue teams were not the only ones who mobilised fast.

Researchers at threat intelligence firm WhoisXML API say that they uncovered 212 newly-registered domains referencing the earthquake, all of which had been filed within five days of the disaster.

Even years after a natural disaster scammers can still exploit human misery.

And that's because exploitation of a major news event - whether it be a natural disaster of otherwise - can be a successful lure for criminals to deploy when defrauding the unwary out of their savings.

And when a natural disaster creates an urgent need for response, it is all the easier for cyberc…

6 days, 12 hours назад @ bitdefender.com
USB drives carrying China-linked malware infected Japanese military networks for nearly a year
USB drives carrying China-linked malware infected Japanese military networks for nearly a year USB drives carrying China-linked malware infected Japanese military networks for nearly a year

Leaked internal documents have revealed that for nearly a year Japan's Ground Self-Defense Force (JGSDF) used counterfeit USB flash drives infected with malware on computers connected to sensitive military networks.

The USB drives have been linked to Chinese hacking operations, according to an investigation by Nikkei Asia.

Subsequent investigations found that six out of eight USB drives tested contained the same malicious code.

The infected USB drives had been attached to over 50 computers, with nearly half of those systems used to handle classified data, including information about the movement of troops.

The counterfeit drives, priced 30 to 50 percent below authentic brands, were traced t…

6 days, 23 hours назад @ bitdefender.com
Smashing Security podcast #473: How a hacker could have Rickrolled the entire World Cup
Smashing Security podcast #473: How a hacker could have Rickrolled the entire World Cup Smashing Security podcast #473: How a hacker could have Rickrolled the entire World Cup

Smashing Security, Episode 473: How a Hacker Could Have Rickrolled the Entire World.

You think, oh, hang on, they're going to ask me for a password or they're going to ask me for something like that.

Yeah, we'll take that money from under your bed and store it in a safety deposit box that you don't know where it is.

We saw a huge number of CVEs last year and with Mythos and the Frontier models, we think that's going to continue to spike.

So the blast radius of these IT service providers is really, really big.

1 week, 5 days назад @ grahamcluley.com
Hacker hijacks Brazil’s national alert system, sending “misanthropy” to millions of phones
Hacker hijacks Brazil’s national alert system, sending “misanthropy” to millions of phones Hacker hijacks Brazil’s national alert system, sending “misanthropy” to millions of phones

Somebody had broken into Brazil's national Civil Defence alert system and used it to send fake "Extreme Alert" notifications - the most severe category, normally reserved for warnings of imminent natural disasters - to mobile phones across at least five states, including São Paulo, Rio de Janeiro, and the Federal District.

In a statement posted on social media, Brazil's National Civil Defence confirmed that it had pulled the alert platform offline at 1:30am following the compromise.

National Secretary of Protection and Civil Defence Wolnei Wolff confirmed that the attackers managed to regain access after an initial attempt to block them from accessing the system.

Emergency alert systems wor…

1 week, 6 days назад @ bitdefender.com
Apple’s Hide My Email tweak leaves privacy fans fuming
Apple’s Hide My Email tweak leaves privacy fans fuming Apple’s Hide My Email tweak leaves privacy fans fuming

Hide My Email is a privacy feature that lets users create unique, random email addresses that forward messages to your real inbox.

That means you can sign-up for websites, newsletters, and apps without exposing your personal email address.

The problem is, however, that one of the reasons that Hide My Email worked so well was because its aliases were indistinguishable from regular iCloud email addresses.

All any website or app that wants to block anonymous sign-ups now has to do is to reject any email address ending in "@private.icloud.com".

For now, if you already have existing Hide My Email addresses in use, they should continue to work without any changes on your part.

2 weeks, 3 days назад @ bitdefender.com
Imposter scams cost Americans $3.5 billion in 2025 – and it’s getting worse
Imposter scams cost Americans $3.5 billion in 2025 – and it’s getting worse

Someone is pretending to be your bank, your government, or your local planning office. And according to the FTC, they're making billions doing it. Read more in my article on the Fortra blog.

2 weeks, 3 days назад @ fortra.com
Smashing Security podcast #472: AI gets hacked, and BitLocker gets bypassed
Smashing Security podcast #472: AI gets hacked, and BitLocker gets bypassed Smashing Security podcast #472: AI gets hacked, and BitLocker gets bypassed

Which is the connection between your AI agent and Sentry.

And when your AI agent reads data back from one of those services, it treats it as trusted and authoritative.

And so the AI agent does what agents are supposed to do.

But if an attacker can plant text somewhere that your AI agent will read, it's possible that your AI agent will act upon it, and that may not be good.

And then whenever AI wants to access something, AI has to give a reason — why do I want that?

2 weeks, 5 days назад @ grahamcluley.com
Maine forced to take down data breach portal after fake notices filed with authorities
Maine forced to take down data breach portal after fake notices filed with authorities Maine forced to take down data breach portal after fake notices filed with authorities

The US state of Maine has taken its public data breach notification portal offline after someone submitted fraudulent breach disclosures impersonating two well-known technology companies.

As Bleeping Computer reported last week, fraudulent data breach disclosures were submitted to Maine's official breach portal and publicly posted before their legitimacy could be verified, prompting the named companies to deny the claims.

However, somewhat more convincing was a fake breach notice that targeted the multiplayer social virtual reality platform VRChat.

It appears that the abuse of the system was possible because the Maine data breach reporting system lacked a proper verification mechanism.

Anyo…

3 weeks назад @ bitdefender.com
Privacy own-goal: World Cup blunder leaks Lionel Messi’s passport details
Privacy own-goal: World Cup blunder leaks Lionel Messi’s passport details Privacy own-goal: World Cup blunder leaks Lionel Messi’s passport details

According to media reports, a security blunder carelessly leaked the passport details of every player in Argentina's World Cup squad ahead of Tuesday's warm-up friendly against Iceland.

But why are passport numbers on a World Cup team sheet at all?

Under FIFA regulations, teams must provide passport numbers around an hour before a match kicks off.

So the passport numbers belong in the information handed to the referee.

Before releasing any document containing sensitive data, verify that the data has actually gone - not just covered up.

3 weeks, 3 days назад @ bitdefender.com
Silent Ransom Group: what you need to know
Silent Ransom Group: what you need to know

Most extortion gangs hide behind a keyboard. Silent Ransom Group will phone your staff pretending to be IT support - and if that fails, send someone to your office in person to plug in a USB stick. Read more in my article on the Fortra blog.

3 weeks, 4 days назад @ fortra.com
Smashing Security podcast #471: This AI worm just rewrote its own rules
Smashing Security podcast #471: This AI worm just rewrote its own rules Smashing Security podcast #471: This AI worm just rewrote its own rules

Yeah, I've decided I should actually know something about technology after about 15 years of covering it.

This week I'm talking about helpful AI, maybe too helpful AI, which is the Meta AI, which seems to have been giving anyone who asked nicely anyone else's password.

And continuing the AI theme, I'm going to be talking about an AI worm that appears to think for itself.

I think I'm not going to cry with offense if you say that.

You're going to spend the money and you've got the money to spend.

3 weeks, 5 days назад @ grahamcluley.com
Why schools remain one of cybercriminals’ favourite targets
Why schools remain one of cybercriminals’ favourite targets Why schools remain one of cybercriminals’ favourite targets

Evanston Township High School (ETHS), located approximately 14 miles north of Chicago, says it was hit by a ransomware attack on Sunday, June 7 2026.

No ransomware group has claimed responsibility for the attack against ETHS, and it is not known if any personal data has been exfiltrated by cybercriminals.

The sad truth is that schools are attractive targets to cybercriminals.

And, as is demonstrated by the closure of ETHS, schools often rely upon networked systems for everything from the platforms used to teach pupils to providing physical access controls.

Meanwhile, schools don't just face serious threats from organised criminal gangs but also from within their own walls.

3 weeks, 5 days назад @ bitdefender.com
Got a LinkedIn message from a recruiter? It might be Chinese intelligence, warn FBI and MI5
Got a LinkedIn message from a recruiter? It might be Chinese intelligence, warn FBI and MI5 Got a LinkedIn message from a recruiter? It might be Chinese intelligence, warn FBI and MI5

If you've ever received an out-of-the-blue message via LinkedIn from a recruiter offering some well-paid consultancy work, intelligence agencies have a message for you: be very careful.

According to the bulletin, entitled "Safeguarding Our Secrets", Chinese intelligence officers - or third parties acting on their behalf - are posing as employees of private consultancies, think tanks, and HR firms.

According to the intelligence agencies, targets do not need security clearances to be of use to Chinese spies.

Western agencies warn that just submitting a CV containing your employer history, specialist knowledge, and details of professional contacts has am intelligence value.

The Five Eyes intel…

1 month назад @ bitdefender.com
Компании 🏢
Блог Касперского Блог Касперского
последний пост 22 часа назад
Почему капча скоро исчезнет: как ИИ изменил проверку на человечность | Блог Касперского
Почему капча скоро исчезнет: как ИИ изменил проверку на человечность | Блог Касперского

An error occurred.

Sorry, the page you are looking for is currently unavailable.

Please try again later.

If you are the system administrator of this resource then you should check the error log for details.

Request id: 26a02984b49c814d5538d529e6b61e94Server IP: 185.54.220.248Client IP: 23.88.109.5Time: 2026-07-06T15:00:25+03:00Config id: 280Faithfully yours, nginx.

22 часа назад @ kaspersky.ru
Неотключаемый бэкдор в роботах-газонокосилках Yarbo | Блог Касперского
Неотключаемый бэкдор в роботах-газонокосилках Yarbo | Блог Касперского Неотключаемый бэкдор в роботах-газонокосилках Yarbo | Блог Касперского

Но в совершенно ином масштабе: в режиме газонокосилки данный робот может обслуживать территории до 2,5 гектар (это 250 соток, то есть небольшой садовый кооператив), а в режиме транспортировщика поддерживает угодья площадью до 12,5 гектар.

Вместе с исследователем Андреасом Макрисом они провели эксперимент, в рамках которого исследователь, будучи в Германии, удаленно захватил контроль над газонокосилкой Yarbo и переехал журналиста, лежащего на газоне у себя в США.

Чаще всего в качестве операционной системы в них используется Linux — и роботы Yarbo тут не исключение.

При этом серийные номера устройств имеют предсказуемый формат и используются в инфраструктуре Yarbo в качестве идентификаторов р…

4 days, 21 hours назад @ kaspersky.ru
Управление рисками агрегаторов LLM и API-прокси для нейросетей
Управление рисками агрегаторов LLM и API-прокси для нейросетей Управление рисками агрегаторов LLM и API-прокси для нейросетей

По мере того как организации начинают использовать нейросети для все более широкого круга задач, они неизбежно сталкиваются с вопросами надежности и стоимости ИИ-инструментов.

Чтобы не отказываться от нужных нейросетей, бизнес часто рассматривает переход на сторонние сервисы, обеспечивающие единое «окно доступа» к различным нейросетям.

Они предлагают услуги на десятки процентов, а иногда и в разы дешевле, чем у официальных поставщиков, обещая заодно обход любых лимитов.

Утечка данных и кража интеллектуальной собственностиИсследование показало, что цель многих таких сервисов — сбор качественных диалогов топовых моделей для обучения нейросетей третьих фирм.

Пять правил безопасной работы с ИИ-…

5 days, 17 hours назад @ kaspersky.ru
Социальная инженерия: как злоумышленники манипулируют людьми | Блог Касперского
Социальная инженерия: как злоумышленники манипулируют людьми | Блог Касперского Социальная инженерия: как злоумышленники манипулируют людьми | Блог Касперского

Следующий абзац снова вгоняет вас в панику: «К сожалению, при проверке мы обнаружили, что ваши платежные данные могли быть скомпрометированы».

Для разбирательства напишите нам, иначе мы возбудим уголовное дело и разошлем информацию о вас в СМИ» — и далее по списку.

Но если с вами общаются чересчур эмоционально и вы чувствуете, что на вас давят, то вероятность, что вы общаетесь с мошенником, близится к 99,9%.

→ немедленно смените пароль на этом сервисе и на всех других, где использовали такой же.

Если с вашей карты успели снять или перевести деньги, узнайте, как оспорить транзакцию.

1 week назад @ kaspersky.ru
Как сегодня злоумышленники атакуют компании | Блог Касперского
Как сегодня злоумышленники атакуют компании | Блог Касперского Как сегодня злоумышленники атакуют компании | Блог Касперского

Мы выбрали три кейса, три реальные истории о том, как злоумышленники атакуют сегодня, а главное, почему им удается проворачивать такие атаки.

Если вы не видите этот трафик или не считаете это инцидентом — вы проигрываете еще до начала активной фазы атаки.

Как и в предыдущем кейсе, злоумышленники вошли в корпоративную сеть через скомпрометированную учетную запись.

Почему это произошлоБыли допущены две классические ошибки:Сервер мониторинга был настроен с избыточными привилегиями, с доступом ко всем активам компании: и физическим, и виртуальным.

Попав в инфраструктуру, через Active Directory и групповые политики злоумышленники распространили в корпоративной сети вредоносное ПО с функционально…

1 week, 1 day назад @ kaspersky.ru
250 000 мисконфигураций в GitHub Actions | Блог Касперского
250 000 мисконфигураций в GitHub Actions | Блог Касперского 250 000 мисконфигураций в GitHub Actions | Блог Касперского

В частности, опасность может скрываться в GitHub Actions, сценариях автоматизации, позволяющих создавать пайплайны непрерывной интеграции и доставки (CI/CD).

Ошибки и мисконфигурации в них периодически используются злоумышленниками в реальных атаках.

Да, она тоже началась с компрометации мейнтейнера популярного проекта, но распространяемый в ходе этой кампании зловред похищал секреты, именно используя недочет в GitHub Actions.

Как оставаться в безопасностиМисконфигурации в GitHub Actions потенциально могут превратить пайплайны разработки в инструменты злоумышленников, позволяющие скомпрометировать среду разработки или атаковать инфраструктуру компании.

С его помощью наше решение может выявл…

1 week, 3 days назад @ kaspersky.ru
Чек-лист для выбора EPP-решения | Блог Касперского
Чек-лист для выбора EPP-решения | Блог Касперского Чек-лист для выбора EPP-решения | Блог Касперского

Однако очевидно, что краеугольным камнем стратегии информационной безопасности остаются решения для защиты конечных точек.

Мы предлагаем при выборе EPP-решения отталкиваться не от возможностей продуктов, а от конкретных нужд вашей компании.

Отметьте пункты, которым должно соответствовать решение для защиты конкретно вашей инфраструктуры, и вам будет гораздо проще определиться с выбором.

Для перехода от EPP к EDR или MDR ключевым условием является единое решение, умеющее одновременно выполнять функции и EPP-, и EDR/MDR-агента, а также единая консоль управления.

В Kaspersky Security для бизнеса реализованы передовые защитные технологии, включая машинное обучение, поведенческий анализ, защиту …

1 week, 4 days назад @ kaspersky.ru
Как злоумышленники крадут аккаунты Telegram через PowerShell-скрипты | Блог Касперского
Как злоумышленники крадут аккаунты Telegram через PowerShell-скрипты | Блог Касперского Как злоумышленники крадут аккаунты Telegram через PowerShell-скрипты | Блог Касперского

Как защитить свой аккаунт в TelegramЧто делать, чтобы защитить свой аккаунт в Telegram от подобных схем угона?

Если вы подозреваете, что стали жертвой подобного стилера или других махинаций злоумышленников, как можно скорее завершите все сессии в Telegram: Настройки → Устройства → Активные сессии → Завершить другие сеансы.

Почему так — мы подробно рассказывали в материале Что делать, если взломали аккаунт в Telegram, перечислив в нем все способы восстановления доступа к своей учетной записи.

Во-первых, необходимо установить облачный пароль для Telegram в разделе Настройки → Конфиденциальность → Облачный пароль.

Наш менеджер паролей кроссплатформенный, поэтому войти в Telegram с использовани…

1 week, 6 days назад @ kaspersky.ru
Как Hola Browser распространял криптомайнер Monero | Блог Касперского
Как Hola Browser распространял криптомайнер Monero | Блог Касперского Как Hola Browser распространял криптомайнер Monero | Блог Касперского

Скомпрометированная версия израильского браузера Hola для Windows (1.251.91.0) загружала на устройства пользователей криптомайнер для добычи криптовалюты Monero.

Исследователи обнаружили признаки компрометации браузера Hola в рамках процесса сертификации AppEsteem Windows Certified Application.

}exe показало, что в нем скрывался криптомайнер для добычи криптовалюты Monero.

Как злоумышленники использовали Hola Browser для майнинга MoneroКриптомайнеры — это программы, которые используют вычислительные возможности компьютера для добычи криптовалюты.

Как мы уже сказали выше, в случае заражения Hola Browser на устройства жертв загружался криптомайнер для добычи криптовалюты Monero.

2 weeks назад @ kaspersky.ru
Мошеннические схемы на чемпионате мира по футболу 2026 года | Блог Касперского
Мошеннические схемы на чемпионате мира по футболу 2026 года | Блог Касперского Мошеннические схемы на чемпионате мира по футболу 2026 года | Блог Касперского

Ставка на проигрышВо время чемпионата мира предсказания результатов матчей и «ставки на спорт» становятся особенно популярны — чем активно пользуются злоумышленники.

Это еще и рекордные продажи коллекционной атрибутики — наклеек, шарфиков, формы сборных, официальных мячей турнира и так далее.

На скриншоте выше злоумышленники предлагают заплатить 67 евро за коллекцию наклеек, но на маркетплейсах такой же набор обойдется как минимум вдвое дороже, а на официальном сайте Panini — втрое.

Конечно, товар вы не получите и потеряете не только деньги, но и реквизиты банковской карты.

Установите Kaspersky Premium — приложение убережет вас от зловредов, фишинга, спама, переходов на вредоносные и поддел…

2 weeks, 4 days назад @ kaspersky.ru
Ключевые проблемы создания автономного SOC и их решения
Ключевые проблемы создания автономного SOC и их решения Ключевые проблемы создания автономного SOC и их решения

Фундаментальные проблемы автономного SOC: за пределами ИИХотя использование ИИ для анализа данных и принятия решений в SOC звучит как логичная и относительно несложная в реализации идея, попытка ее внедрить ставит и обостряет проблемы, с которыми организации столкнулись при внедрении SIEM, XDR и SOAR:Качество исходных данных.

Даже когда роль ИИ сводится к предварительному сбору данных и рекомендациям, аналитики зачастую не доверяют данным и тратят время на их повторный сбор и анализ.

В SOC и ИБ в целом всегда есть плохо документированная информация: бизнес-контекст, коллективные знания и другие данные, которые помогают верно оценивать оповещения и инциденты.

Проблемы ИИ, критичные для SOCКр…

3 weeks назад @ kaspersky.ru
Атака FROST: слежка за пользователем при помощи SSD
Атака FROST: слежка за пользователем при помощи SSD Атака FROST: слежка за пользователем при помощи SSD

Хотя она и изолирована, но записываются эти данные в итоге на тот же SSD, с которым также работают прочие программы и веб-сайты.

Оказалось, что если вредоносная страница постоянно обращается к SSD, по задержкам при доступе к данным можно определить, что еще происходит на ПК.

Допустим, на SSD имеется достаточно большой файл, наполненный случайными данными.

Комбинация всех особенностей атаки объясняет ее название: FROST расшифровывается как Fingerprinting Remotely using OPFS-based SSD Timing, то есть удаленное наблюдение над SSD с использованием технологии OPFS.

Впрочем, суть атаки FROST не в передаче данных, а в слежке за активностью пользователя.

3 weeks, 5 days назад @ kaspersky.ru
Argamal RAT: злоумышленники распространяют троян удаленного доступа через хентай-игры | Блог Касперского
Argamal RAT: злоумышленники распространяют троян удаленного доступа через хентай-игры | Блог Касперского Argamal RAT: злоумышленники распространяют троян удаленного доступа через хентай-игры | Блог Касперского

Злоумышленники внедряют в установочные файлы игр троян удаленного доступа под названием Argamal.

Рассказываем, как не стать жертвой нового трояна — и как безопасно и максимально анонимно смотреть пикантный контент с аниме-девочками (или без).

В другой ситуации это, наверное, сложно было бы назвать неприятной характеристикой, но Argamal, к сожалению, троян не из «скорострелов».

Через три дня компьютер подключается к GitHub, скачивает зашифрованный файл, расшифровывает его и превращает в рабочий модуль трояна.

Именно поэтому мы рекомендуем хранить пароли не в текстовых файлах, а в зашифрованном контейнере менеджера паролей.

3 weeks, 6 days назад @ kaspersky.ru
Как отключить ИИ-системы в компании и заблокировать доступ к ним
Как отключить ИИ-системы в компании и заблокировать доступ к ним Как отключить ИИ-системы в компании и заблокировать доступ к ним

Как выявить и ограничить использование Claude и Claude CodeДетектирование: анализ на NGFW или веб-фильтре трафика к claude.ai, anthropic.com, *.anthropic.com, api.anthropic.com.

Защита: на уровне NGFW/веб-фильтра заблокировать доступ к категории «ИИ-сервисы», на уровне DNS перенаправить трафик вышеуказанных доменов Anthropic, с помощью политик браузера заблокировать различные расширения, дающие доступ к Claude.

Защита: на уровне NGFW/веб-фильтра заблокировать доступ к категории «ИИ-сервисы», на уровне DNS перенаправить трафик вышеуказанных доменов.

Защита: на уровне NGFW/веб-фильтра заблокировать доступ к категории «ИИ-сервисы», на уровне DNS перенаправить трафик вышеуказанных доменов DeepS…

4 weeks назад @ kaspersky.ru
XChat от Илона Маска: насколько безопасен новый мессенджер? | Блог Касперского
XChat от Илона Маска: насколько безопасен новый мессенджер? | Блог Касперского XChat от Илона Маска: насколько безопасен новый мессенджер? | Блог Касперского

У Павла Дурова и его «приватного» мессенджера появился новый конкурент, и это — барабанная дробь — Илон Маск и его сервис XChat.

Все описанные выше сложности с PIN-кодом в XChat, на самом деле, имеют под собой своеобразное основание.

Напомним, что, в отличие от WhatsApp и Signal, разработчики XChat решили хранить приватные ключи пользователей на своих серверах.

Так что в итоге с XChat?

И, конечно, хранить его, как и любые другие пароли, следует не в заметках, а в надежном менеджере паролей.

1 month назад @ kaspersky.ru
Блог Group-IB
последний пост None
Cisco Security Blog Cisco Security Blog
последний пост 5 days, 18 hours назад
Ten Years in the SOC at RSAC: What We Learned in 2026
Ten Years in the SOC at RSAC: What We Learned in 2026 Ten Years in the SOC at RSAC: What We Learned in 2026

Cisco Security and Splunk Security released the Findings Report from the Security Operations Center at RSAC 2026 Conference.

This year marked the 10th year of the SOC at RSAC.

Those lessons helped inform the Agentic SOC work that followed at Cisco Live Americas 2026.

The SOC used Cisco AI Defense to gain visibility into generative AI application usage and to help protect on-premises AI models running in the SOC in a Box.

Download the full RSAC 2026 SOC Findings Report to see the architecture, metrics, investigations, lessons learned, and recommendations from the 10th year of the SOC.

5 days, 18 hours назад @ blogs.cisco.com
Uplevelling Black Hat Threat Hunters
Uplevelling Black Hat Threat Hunters Uplevelling Black Hat Threat Hunters

More telemetry means better visibility – but also more data for threat hunters to sift through.

Then came an important decision: Focus on what matters for detection of threats at Black Hat.

Enriching with Network Context and reducing noiseA file submitted via HTTP doesn’t exist in isolation – it has network context.

It was about:Surfacing high-risk submissions automaticallyProviding network context for faster triageHelping threat hunters dismiss noise fasterThis workflow is far from perfect.

Driven by the needs of the community, Black Hat events showcase content directly from the community through Briefings presentations, Trainings courses, Summits, and more.

1 week, 6 days назад @ blogs.cisco.com
Making Workflow Runs Explain Themselves: AI-Powered Run Summaries in Cisco XDR Automate
Making Workflow Runs Explain Themselves: AI-Powered Run Summaries in Cisco XDR Automate Making Workflow Runs Explain Themselves: AI-Powered Run Summaries in Cisco XDR Automate

If you’ve ever troubleshot a complex workflow run, you know the drill: click into actions, expand inputs and outputs, scan logs, backtrack, repeat.

We’ve just released Workflow Run Summaries in Cisco XDR Automate: an on-demand, AI-generated summary that explains what happened during a workflow execution, where things went wrong, and why that matters, without forcing you to manually inspect every step.

What the feature doesWith a single click on “Generate Run Summary”, Cisco XDR Automate analyzes a completed workflow run and produces a concise, human-readable explanation of its execution.

Why this matters, especially for Agentic AIAs XDR Automate Workflows are increasingly triggered by Agent…

2 weeks, 5 days назад @ blogs.cisco.com
Independent Testing Confirms Secure Email Threat Defense’s Email Security Strength
Independent Testing Confirms Secure Email Threat Defense’s Email Security Strength Independent Testing Confirms Secure Email Threat Defense’s Email Security Strength

It is the hardest attack category in email security — for any vendor, any product, any architecture.

This balance — 98% threat detection alongside zero hard false positives — is what the 94% Total Accuracy Rating reflects.

What Independent Validation Means for Your Security StrategyEvery email security vendor publishes detection rates.

Read the full report for more insight into ETD’s comprehensive email security capabilities.

All performance data sourced from the SE Labs Advanced Security Test Report — Email (Protection), Cisco Secure Email Threat Defense, May 2026 (v1.0).

2 weeks, 6 days назад @ blogs.cisco.com
Defenseclaw for On-Prem AI SOC Workflow at Black Hat Asia
Defenseclaw for On-Prem AI SOC Workflow at Black Hat Asia Defenseclaw for On-Prem AI SOC Workflow at Black Hat Asia

Caption: MCP integrations exposed to the local AI workflow for SOC investigation contextAt this stage, the system was already useful.

Caption: OpenClaw using the local Ollama model backend instead of an external model providerThe distinction is important.

I installed DefenseClaw alongside the OpenClaw environment, to add inspection and audit visibility around the agentic AI workflow.

Sending DefenseClaw events into Splunk made the AI workflow feel more operational and less experimental.

At Black Hat Asia, this became a practical way to explore what private AI for SOC workflows could look like.

3 weeks назад @ blogs.cisco.com
Cisco Secure Access with MCP Infrastructure at Black Hat Asia 2026
Cisco Secure Access with MCP Infrastructure at Black Hat Asia 2026 Cisco Secure Access with MCP Infrastructure at Black Hat Asia 2026

Cisco has been a long-standing partner in securing Black Hat conferences worldwide, providing the critical network infrastructure that ensures safe connectivity for all attendees.

At Black Hat Asia 2026, we continued this tradition while introducing significant enhancements to our security capabilities through innovative integrations.

Resource ConnectorCisco Secure Access Resource Connector was deployed to provide secure remote access to critical systems.

Resource Connector solves this problem by creating secure path to the target, which is accessible from public URL generated by Secure Access platform.

Check out the other blogs from our team at Black Hat Asia 2026.

3 weeks назад @ blogs.cisco.com
The Essence of Black Hat – Collaboration with Partners
The Essence of Black Hat – Collaboration with Partners The Essence of Black Hat – Collaboration with Partners

As is tradition at every Black Hat conference, Day 1 winds down with a quick reality check – what’s done, what’s broken, and what absolutely needs to go live by tomorrow.

Corelight traffic and detections were already flowing into Cisco XDR using OCSF-based ingestion built at Black Hat Europe 2025.

That’s the lesson Black Hat reinforces every time:Progress accelerates when you ask the right person the right question.

Check out the other blogs from our team at Black Hat Asia 2026.

Driven by the needs of the community, Black Hat events showcase content directly from the community through Briefings presentations, Trainings courses, Summits, and more.

3 weeks назад @ blogs.cisco.com
Black Hat Asia 2026: Threat Hunters’ Corner
Black Hat Asia 2026: Threat Hunters’ Corner Black Hat Asia 2026: Threat Hunters’ Corner

One of the first things we notice walking into the Black Hat NOC/SOC to help setup was that no one cared about who you worked for.

That goal being to discover and protect Black Hat from attacks both internally and externally.

High Score, Low Threat: A 60-Second Triage StoryThe new agentic capabilities in Cisco XDR were enabled in our Black Hat tenant – and they didn’t disappoint.

Check out the other blogs from our team at Black Hat Asia 2026.

Driven by the needs of the community, Black Hat events showcase content directly from the community through Briefings presentations, Trainings courses, Summits, and more.

3 weeks назад @ blogs.cisco.com
Unveiling the Power of Integration: XDR, Splunk, Corelight, Arista and Palo Alto Networks in Action at Black Hat Asia
Unveiling the Power of Integration: XDR, Splunk, Corelight, Arista and Palo Alto Networks in Action at Black Hat Asia Unveiling the Power of Integration: XDR, Splunk, Corelight, Arista and Palo Alto Networks in Action at Black Hat Asia

The Black Hat server owners confirmed the Apache version was fully patched, ensuring no impact to Black Hat assets.

Cisco XDR correlated events and enriched them with Talos and other third-party threat intelligence feeds, confirming the issue and assigning priority.

An attendee was seen accessing a custom application hosted in their home country from the Black Hat network.

AI Reasoning AnalysisDrilled deeper into the AI reasoning behind the Cisco XDR storyboard findings.

Driven by the needs of the community, Black Hat events showcase content directly from the community through Briefings presentations, Trainings courses, Summits, and more.

3 weeks назад @ blogs.cisco.com
Black Hat Asia 2026: A Decade in Singapore
Black Hat Asia 2026: A Decade in Singapore Black Hat Asia 2026: A Decade in Singapore

Cisco celebrates our 10th year building and safeguarding the network for Black Hat Asia in Singapore.

We work with other official providers to bring the hardware, software and engineers to build and secure the Black Hat Asia network: Arista, Corelight, Jamf, MyRepublic and Palo Alto Networks.

Since 2017, Cisco has protected the Black Hat Asia network, beginning with automated malware analysis using Threat Grid.

Unveiling the Power of Integration: XDR, Splunk, Corelight, Arista and Palo Alto Networks in Action at Black Hat AsiaUplevelling Black Hat Threat HuntersCisco Secure Access with MCP Infrastructure at Black Hat Asia 2026The Essence of Black Hat – Collaboration with PartnersBlack Hat A…

3 weeks назад @ blogs.cisco.com
Security in the Post-Mythos Era
Security in the Post-Mythos Era Security in the Post-Mythos Era

It was designed to be useful whether you had a team of 500 security analysts or a single IT person wearing multiple hats.

The new mathBefore Mythos and other frontier large language models (LLMs), the vulnerability lifecycle had a rhythm that most security teams had internalized.

It also means you need incident response capability for when prevention fails.

When everything has been tested and still was not enough, emergency incident response is the capability that gets you from compromised to recovered.

Because they operate at a layer of the security stack that is independent of how fast vulnerabilities are discovered.

3 weeks, 6 days назад @ blogs.cisco.com
Cisco SASE with Meraki: Get in the Fast Lane to SASE
Cisco SASE with Meraki: Get in the Fast Lane to SASE Cisco SASE with Meraki: Get in the Fast Lane to SASE

That is why I am excited to share that Cisco SASE with Meraki is now generally available.

You keep the Meraki experience you know, then connect it to Cisco Secure Access for cloud-delivered Security Service Edge (SSE) protection.

What We BuiltCisco SASE with Meraki connects Meraki SD-WAN sites to Cisco Secure Access, Cisco’s cloud-delivered SSE solution.

With Cisco SASE with Meraki, Meraki AutoVPN can automatically establish secure primary and backup tunnels between enrolled MX sites and Cisco Secure Access.

Cisco SASE with Meraki gives Meraki customers a fast, secure, and resilient approach to bring SD-WAN traffic into Cisco Secure Access.

3 weeks, 6 days назад @ blogs.cisco.com
Extending Zero Trust Across the Agentic AI Workflow
Extending Zero Trust Across the Agentic AI Workflow Extending Zero Trust Across the Agentic AI Workflow

This is the shift from access control to action control.

To move from access control to action control, Agent Gateway will help answer five questions before a request is allowed to proceed:Who is the agent?

With Agent Gateway, Cisco extends these capabilities into the agentic workflow.

Duo will identify the agent process itself using Duo identity, extending naturally from user MFA to agent and non-human identities.

Duo will identify the agent process itself using Duo identity, extending naturally from user MFA to agent and non-human identities.

1 month назад @ blogs.cisco.com
Strengthening the Foundation: A Predictable, Customer focused Response to AI-Accelerated Vulnerability Discovery
Strengthening the Foundation: A Predictable, Customer focused Response to AI-Accelerated Vulnerability Discovery Strengthening the Foundation: A Predictable, Customer focused Response to AI-Accelerated Vulnerability Discovery

Why we are changing our cadenceThe fundamental scale of vulnerability discovery has shifted.

Seven days before each release, PSIRT will publish the list of technologies and platforms included in that drop.

Cisco PSIRT will provide ‘bundled’ CVEs (Common Vulnerability Exposures) tied to CWE categories (Common Weakness Enumerations).

If a finding is being addressed in a scheduled release, upgrading should negate the need to implement corner-case mitigations that do not scale.

The Cisco PSIRT is the gold standard for vulnerability disclosure and will drive this revolution – with significantly expanded tooling and cadence built for the new rate of discovery.

1 month назад @ blogs.cisco.com
Quantum Resilience Needs a Common Language. Here’s Where to Start.
Quantum Resilience Needs a Common Language. Here’s Where to Start. Quantum Resilience Needs a Common Language. Here’s Where to Start.

The National Institute of Standards and Technology (NIST) finalized its first PQC standards in 2024.

Cisco’s Quantum Resilience FrameworkCisco has developed a framework to articulate multiple levels of quantum resilience – each representing distinct capabilities designed to respond to new and emerging threats to confidential communication and product integrity.

It gives organizations a foundation as they progress toward more complete levels of quantum resilience.

Level 3 extends quantum resilience into identity and attestation.

Together, these levels give customers a practical way to evaluate quantum resilience.

1 month назад @ blogs.cisco.com
Microsoft Security Microsoft Security
последний пост 17 часов назад
5 insights from Frost & Sullivan’s 2025 Frost Radar™ for Cloud Security Posture Management
5 insights from Frost & Sullivan’s 2025 Frost Radar™ for Cloud Security Posture Management 5 insights from Frost & Sullivan’s 2025 Frost Radar™ for Cloud Security Posture Management

Frost & Sullivan’s 2025 Frost Radar™ for Cloud Security Posture Management points to a structural shift: CSPM is no longer a periodic compliance exercise.

Frost & Sullivan’s evaluation framework reflects this transition—placing greater emphasis on integrated, code to cloud risk management capabilities inside broader CNAPP platforms.

The Frost Radar™ for Cloud Security Posture Management visualizes how leading vendors compare across innovation and growth—two key measures of market leadership and future potential.

Learn moreRead the Frost & Sullivan Frost Radar™ for Cloud Security Posture Management (2025) to see how CSPM leaders are evaluated—and what capabilities matter most as vendor selec…

17 часов назад @ microsoft.com
Improving security posture across the Microsoft partner ecosystem
Improving security posture across the Microsoft partner ecosystem Improving security posture across the Microsoft partner ecosystem

For Microsoft, these partners are Microsoft Cloud Solution Providers (CSPs), and they help customers buy, manage, and optimize cloud services like Microsoft 365 and Microsoft Azure.

This helps us ensure that the Microsoft partner ecosystem remains healthy, compliant, and effective, and ultimately helps drive the best outcomes for our customers.

Partner vetting helps ensure that only legitimate organizations can enter the ecosystem, while CSP security posture improvements help enhance the operating standards of organizations already in the ecosystem.

In short, we have made a set of improvements to the security posture across the CSP ecosystem, both at the Microsoft platform layer and at the …

4 days, 17 hours назад @ microsoft.com
Microsoft named a leader in the Frost Radar for cloud and application runtime security
Microsoft named a leader in the Frost Radar for cloud and application runtime security Microsoft named a leader in the Frost Radar for cloud and application runtime security

Frost & Sullivan’s 2026 Frost Radar™ for Cloud/Application Runtime Security (CARS) reflects this shift.

Why cloud security is being redefinedThe Frost Radar makes a clear point: cloud security is no longer about visibility or compliance alone.

These are the capabilities that define the next generation of cloud and application runtime security.

Learn moreRead Frost & Sullivan’s 2026 Frost Radar™ for Cloud/Application Runtime Security to see how leading vendors are evaluated—and how the category is shifting toward unified cloud and application runtime risk operations.

Explore Microsoft cloud security solutions to see how unified posture management, risk prioritization, and protection across t…

5 days, 17 hours назад @ microsoft.com
Accelerating the quantum-safe timeline
Accelerating the quantum-safe timeline Accelerating the quantum-safe timeline

The quantum-safe timeline has changedFor years, planning for post-quantum cryptography (PQC) was framed as a future problem: important, inevitable, but distant.

At Microsoft, we are acting on this shift by bringing our quantum-safe timeline forward so organizations can begin the transition earlier and with greater confidence.

Accelerating our timelineIn response to these shifts, we are accelerating the Microsoft Quantum Safe Program (QSP) timeline with the goal of transitioning critical products and services to PQC by 2029.

We will continue to share technical guidance and operational best practices to help organizations adopt quantum-safe cryptography with confidence as they move from plann…

6 days, 14 hours назад @ microsoft.com
​​What’s new in Microsoft Security: June 2026
​​What’s new in Microsoft Security: June 2026 ​​What’s new in Microsoft Security: June 2026

Prioritize risk with unified identity risk scoreA new unified identity risk score combines signals from across Microsoft Security into a single, explainable measure of an identity’s risk.

Prioritize identity risk and enforce protection in real time with the new unified identity risk score.

Organizations can use the new security tools and capabilities announced at Microsoft Build 2026 to innovate faster and scale AI adoption without sacrificing security.

In the Loop posts are your reliable source of what’s new across Microsoft Security and what it means for your security strategy.

Also, follow us on LinkedIn (Microsoft Security) and X (@MSFTSecurity) for the latest news and updates on cybers…

6 days, 17 hours назад @ microsoft.com
Securing AI agents: When AI tools move from reading to acting
Securing AI agents: When AI tools move from reading to acting Securing AI agents: When AI tools move from reading to acting

AI Application Series 1: Security considerations when adopting AI tools examined how AI adoption expands the enterprise attack surface.

AI Application Series 2: Detecting and analyzing prompt abuse in AI tools showed how indirect prompt injection can bias the output of a passive AI summarizer.

AI agents can plan multi-step tasks, decide which tools to invoke, and execute actions on behalf of the user.

This post focuses on one of its fastest-moving categories: tool misuse and agentic supply chain risk exploited through poisoned MCP tool metadata.

The tool name and user-facing summary remain unchanged, but the MCP tool description is silently modified.

6 days, 17 hours назад @ microsoft.com
Chromium extension uses AI‑related branding to redirect browser search
Chromium extension uses AI‑related branding to redirect browser search Chromium extension uses AI‑related branding to redirect browser search

Extension overviewThe extension we analyzed has the following attributes:Attribute Value Extension name Search for perplexity ai Extension ID flkebkiofojicogddingbdmcmkpbplcd Manifest version MV3 Version 2.2 Observed purpose Browser search override and redirect logic Referenced brand Perplexity AI Suspicious domain perplexity-ai[.

The runtime workflow we’ve observed demonstrates browser search redirection behavior:User enters search query into the Omnibox.

Monitor unauthorized changes to browser search settings, unusual extension permissions, and outbound traffic to intermediary or non-standard domains associated with search activity.

Learn moreFor the latest security research from the Micr…

1 week назад @ microsoft.com
Photo ZIP campaign targeting hospitality industry delivers Node.js implant for persistent access
Photo ZIP campaign targeting hospitality industry delivers Node.js implant for persistent access Photo ZIP campaign targeting hospitality industry delivers Node.js implant for persistent access

]info Domain C2 domain recstrace[.

]info Domain C2 domain heliosup[.

]info Domain C2 domain fairyspells[.

Learn moreFor the latest security research from the Microsoft Threat Intelligence community, check out the Microsoft Threat Intelligence Blog.

To hear stories and insights from the Microsoft Threat Intelligence community about the ever-evolving threat landscape, listen to the Microsoft Threat Intelligence podcast.

1 week, 4 days назад @ microsoft.com
Microsoft a Leader in The Forrester Wave™ for Endpoint Management Platforms
Microsoft a Leader in The Forrester Wave™ for Endpoint Management Platforms Microsoft a Leader in The Forrester Wave™ for Endpoint Management Platforms

Microsoft’s recognition as a Leader in The Forrester Wave™: Endpoint Management Platforms, Q2 2026 report reflects that shift—and the role Microsoft Intune plays in helping organizations manage what’s next.

Figure 1: Forrester Wave showing Microsoft in a Leader position for both strength of offering and strategyWhy Microsoft Intune is a leader in endpoint managementThe Forrester Wave™ Endpoint Management Platforms, Q2 2026 report includes eight endpoint management platform providers, assessed across current offering, strategy, and customer feedback.

Full details are in our announcement blog: Microsoft 365 adds advanced Microsoft Intune solutions at scale.

Bookmark the Microsoft Intune blog …

1 week, 4 days назад @ microsoft.com
CNAPP evolution: How Microsoft aligns with leading cloud risk management platforms
CNAPP evolution: How Microsoft aligns with leading cloud risk management platforms CNAPP evolution: How Microsoft aligns with leading cloud risk management platforms

Organizations now require platforms that can:Correlate posture, runtime, identity, and data signals.

Learn moreRead Frost & Sullivan’s 2026 Frost Radar™ for Cloud-Native Application Protection Platforms (CNAPP) to see how leading vendors are evaluated—and how the category is shifting toward unified cloud risk operations platforms.

Explore Microsoft cloud security solutions to see how unified posture management, risk prioritization, and protection across the application lifecycle can help reduce cloud risk.

Bookmark the Microsoft Security blog to keep up with our expert coverage on security matters.

Also, follow us on LinkedIn (Microsoft Security) and X (@MSFTSecurity) for the latest news an…

1 week, 5 days назад @ microsoft.com
StealC and Amadey: Breaking down infostealers and the cybercrime services that deliver them
StealC and Amadey: Breaking down infostealers and the cybercrime services that deliver them StealC and Amadey: Breaking down infostealers and the cybercrime services that deliver them

Indicators of compromiseIndicator Type Description 8f32456359f209a63adfd24b94235e1727382ac7f7bb7f2bcaf754e721925b64 SHA-256 StealC 0215f734867bd71c57ff5c524d8cc670be5b4f1861b2c390cf46d18784a53624 SHA-256 StealC 2a0f053855da59b3b56812e580d7baeba59fc9493694722aa9e3f121ee3363f1 SHA-256 StealC 977b33a9b481cf714946b7d386865cd5d284312aa5ecfa0546c197b1003e1bde SHA-256 StealC b7d1f172ff3feafe65d47fd1cbe0cc249316371ae0e1cbe3a7c741c738b3353d SHA-256 Amadey 5.87 9383572a30ae5b76fadd0700fbd7a1aa7b05d0b6c8f9cdaef9b30a3e1f65d57d SHA-256 Amadey 5.86 5f5b25b2e35d404034d0d60975cf1ffbc6f141761ec3f4f15d6f7c6213a056f6 SHA-256 Amadey 5.80 98e504cc7125b79eda5491f40b998605a05f4cd968b961aab4cce7beb074fefe SHA-256 …

1 week, 5 days назад @ microsoft.com
Guarding AI memory
Guarding AI memory Guarding AI memory

AI memory transforms an AI system from a stateless tool into a learning collaborator.

What AI memory is (and why it matters)AI systems use memory to retain and recall information across interactions.

Since AI memory attacks happen outside of their original context, defenses are often lower and forensics are harder.

Building safe AI memory is one of the most consequential challenges in AI.

Our AI memory strategy is guided by design principles for building safe memory systems.

2 weeks назад @ microsoft.com
One intrusion, two cyberattackers: Uncovering parallel threat activity
One intrusion, two cyberattackers: Uncovering parallel threat activity One intrusion, two cyberattackers: Uncovering parallel threat activity

Once inside, the threat actor shifted focus to persistence and control.

As DART correlated activity across the environment, investigators uncovered signs of a second, unrelated threat actor operating in parallel.

DART moved quickly to contain the active intrusion involving multiple threat actors and stabilize the environment, activating a structured response playbook focused on limiting threat actor impact and restoring control.

Continuous coordination with the customer, including daily briefings, ensured that containment actions were timely, aligned, and effective in reducing further threat actor movement.

Today’s modern cyberattacks can quickly evolve beyond a single incident-blending tac…

2 weeks назад @ microsoft.com
AutoJack: How a single page can RCE the host running your AI agent
AutoJack: How a single page can RCE the host running your AI agent AutoJack: How a single page can RCE the host running your AI agent

It does not block JavaScript that is rendered by a headless browser owned by an AutoGen agent on the same machine.

This work informs guidance for developers and detections for defenders across Microsoft Defender, Microsoft Defender for Cloud, Microsoft Entra and Microsoft 365.

Customers using Microsoft Defender, Microsoft Defender for Cloud, and Microsoft Entra can use these controls to detect, contain, and investigate related activity.

This work informs guidance for developers and detections for defenders across Microsoft Defender, Microsoft Defender for Cloud, Microsoft Entra and Microsoft 365.

Customers using Microsoft Defender, Microsoft Defender for Cloud, and Microsoft Entra can use t…

2 weeks, 4 days назад @ microsoft.com
New Forrester study shows customers who unified with Microsoft Security benefited from 124% ROI
New Forrester study shows customers who unified with Microsoft Security benefited from 124% ROI New Forrester study shows customers who unified with Microsoft Security benefited from 124% ROI

This year, Microsoft commissioned Forrester Consulting to conduct a Total Economic Impact™ (TEI) study for our AI-first, end-to-end security platform.

What end-to-end security deliversBased on in-depth interviews with a survey of 362 customers and 11 security decision-makers using Microsoft Security solutions, the Forrester study revealed the impact of consolidating with Microsoft Security.

Security for AI – New solutions like Microsoft Agent 365 with foundations of Microsoft Security, extend identity, governance, and control to AI agents, so customers can adopt them with confidence.

AI for Security – Microsoft Security Copilot, together with Microsoft Defender, Entra and Purview provides A…

2 weeks, 4 days назад @ microsoft.com
Google Online Security Blog Google Online Security Blog
последний пост 2 months, 2 weeks назад
AI threats in the wild: The current state of prompt injections on the web
AI threats in the wild: The current state of prompt injections on the web AI threats in the wild: The current state of prompt injections on the web

Here, threat actors may simply seed prompt injections on websites in hope of corrupting AI systems that browse them.

Early experiments revealed a significant volume of "benign" prompt injection text, which illustrates the complexity of distinguishing between functional threats and harmless content.

Many prompt injections were found in research papers, educational blog posts, or security articles discussing this very topic.

(Source: GitHub/swisskyrepo)When searching for prompt injections naively, the majority of detections are benign content – false positives in our case.

Malicious: ExfiltrationWe were able to observe a small number of prompt injections that aim at theft of data.

2 months, 2 weeks назад @ security.googleblog.com
Bringing Rust to the Pixel Baseband
Bringing Rust to the Pixel Baseband Bringing Rust to the Pixel Baseband

Recognizing the risks associated within the complex modem firmware, Pixel 9 shipped with mitigations against a range of memory-safety vulnerabilities.

Following our previous discussion on "Deploying Rust in Existing Firmware Codebases", this post shares a concrete application: integrating a memory-safe Rust DNS(Domain Name System) parser into the modem firmware.

Hook-up Rust to modem firmwareBefore building the Rust DNS library, we defined several Rust unit tests to cover basic arithmetic, dynamic allocations, and FFI to verify the integration of Rust with the existing modem firmware code base.

Pixel modem firmware already has a well-tested and specialized global memory allocation system to…

2 months, 3 weeks назад @ security.googleblog.com
Protecting Cookies with Device Bound Session Credentials
Protecting Cookies with Device Bound Session Credentials Protecting Cookies with Device Bound Session Credentials

This project represents a significant step forward in our ongoing efforts to combat session theft, which remains a prevalent threat in the modern security landscape.

Session theft typically occurs when a user inadvertently downloads malware onto their device.

Once active, the malware can silently extract existing session cookies from the browser or wait for the user to log in to new accounts, before exfiltrating these tokens to an attacker-controlled server.

How DBSC WorksDBSC protects against session theft by cryptographically binding authentication sessions to a specific device.

The issuance of new short-lived session cookies is contingent upon Chrome proving possession of the correspondi…

2 months, 4 weeks назад @ security.googleblog.com
Google Workspace’s continuous approach to mitigating indirect prompt injections
Google Workspace’s continuous approach to mitigating indirect prompt injections Google Workspace’s continuous approach to mitigating indirect prompt injections

Staying ahead of the latest indirect prompt injection attacks is critical to our mission of securing Workspace with Gemini.

In our previous blog “Mitigating prompt injection attacks with a layered defense strategy”, we reviewed the layered architecture of our IPI defenses.

Synthetic data generationAfter we discover, curate, and catalog new attacks, we use Simula to generate synthetic data expanding these new attacks.

We partition the synthetic data described above into separate training and validation sets to ensure performance is evaluated against held-out examples.

This process leverages the newly generated synthetic attack data described on this blog, to create a robust, end-to-end evalu…

3 months назад @ security.googleblog.com
VRP 2025 Year in Review
VRP 2025 Year in Review VRP 2025 Year in Review

2025 marked a special year in the history of vulnerability rewards and bug bounty programs at Google: our 15th anniversary 🎉🎉🎉!

Coming back to 2025 specifically, our VRP once again confirmed the ongoing value of engaging with the external security research community to make Google and its products safer.

Vulnerability Reward Program 2025 in NumbersWant to learn more about who’s reporting to the VRP?

Tip: Want to be informed of new developments and events around our Vulnerability Reward Program?

Follow the Google VRP channel on X to stay in the loop and be sure to check out the Security Engineering blog, which covers topics ranging from VRP updates to security practices and vulnerability des…

3 months, 1 week назад @ security.googleblog.com
Security for the Quantum Era: Implementing Post-Quantum Cryptography in Android
Security for the Quantum Era: Implementing Post-Quantum Cryptography in Android Security for the Quantum Era: Implementing Post-Quantum Cryptography in Android

To stay ahead of the curve, the technology industry must undertake a proactive, multi-year migration to Post-Quantum Cryptography (PQC).

To bring these critical protections to the wider developer community with minimal friction, the transition will be supported through Play App Signing.

Play App Signing leverages Google Cloud KMS, which helps ensure industry-leading compliance standards, to secure signing keys.

Empower Developers : The inclusion of ML-DSA support within Android Keystore and Play App Signing allows developers to safeguard their users and application.

: The inclusion of ML-DSA support within Android Keystore and Play App Signing allows developers to safeguard their users and …

3 months, 1 week назад @ security.googleblog.com
Cultivating a robust and efficient quantum-safe HTTPS
Cultivating a robust and efficient quantum-safe HTTPS Cultivating a robust and efficient quantum-safe HTTPS

Today we're announcing a new program in Chrome to make HTTPS certificates secure against quantum computers.

Instead, Chrome, in collaboration with other partners, is developing an evolution of HTTPS certificates based on Merkle Tree Certificates (MTCs), currently in development in the PLANTS working group.

Since MTC technology shares significant architectural similarities with CT, these operators are uniquely qualified to ensure MTCs are able to get off the ground quickly and successfully.

The Chrome Quantum-resistant Root Program will operate alongside our existing Chrome Root Program to ensure a risk-managed transition that maintains the highest levels of security for all users.

First, we…

4 months, 1 week назад @ security.googleblog.com
Staying One Step Ahead: Strengthening Android’s Lead in Scam Protection
Staying One Step Ahead: Strengthening Android’s Lead in Scam Protection Staying One Step Ahead: Strengthening Android’s Lead in Scam Protection

For Majik, Scam Detection was the intervention he needed: “The warning is what made me pause and avoid a bad situation”.

As scammers evolve their tactics and create more convincing and personalized threats, we’re using the best of Google AI to stay one step ahead.

Expanding Scam Detection for Calls to Samsung DevicesTo help protect you during phone calls, Scam Detection alerts you if a caller uses speech patterns commonly associated with fraud.

Scam Detection for phone calls on Google Pixel devices is available in the U.S., Australia, Canada, India, Ireland, and the UK.

Powered by Gemini’s on-device model, Scam Detection provides intelligent protection against scam calls while ensuring that…

4 months, 1 week назад @ security.googleblog.com
Keeping Google Play & Android app ecosystems safe in 2025
Keeping Google Play & Android app ecosystems safe in 2025 Keeping Google Play & Android app ecosystems safe in 2025

Upgrading Google Play’s AI-powered, multi-layered user protectionsWe’ve seen a clear impact from these safety efforts on Google Play.

As Android’s built-in defense against malware and unwanted software, Google Play Protect now scans over 350 billion Android apps daily.

This proactive protection constantly checks both Play apps and those from other sources to ensure they are not potentially harmful.

Looking aheadOur top priority remains making Google Play and Android the most trusted app ecosystems for everyone.

Thank you for being part of the Google Play and Android community as we work together to build a safer app ecosystem.

4 months, 2 weeks назад @ security.googleblog.com
New Android Theft Protection Feature Updates: Smarter, Stronger
New Android Theft Protection Feature Updates: Smarter, Stronger New Android Theft Protection Feature Updates: Smarter, Stronger

That’s why we're committed to providing multi-layered defenses that help protect you before, during, and after a theft attempt.

Today, we're announcing a powerful set of theft protection feature updates that build on our existing protections, designed to give you greater peace of mind by making your device a much harder target for criminals.

These updates are now available for Android devices running Android 16+.

More User Control for Failed Authentications: In Android 15, we launched Failed Authentication Lock, a feature that automatically locks the device's screen after excessive failed authentication attempts.

This feature is now getting a new dedicated enable/disable toggle in settings,…

5 months, 1 week назад @ security.googleblog.com
HTTPS certificate industry phasing out less secure domain validation methods
HTTPS certificate industry phasing out less secure domain validation methods HTTPS certificate industry phasing out less secure domain validation methods

These initiatives, driven by Ballots SC-080, SC-090, and SC-091, will sunset 11 legacy methods for Domain Control Validation.

What’s Domain Control Validation?

Domain Control Validation is a security-critical process designed to ensure certificates are only issued to the legitimate domain operator.

Sunsetted methods relying on email:Sunsetted methods relying on phone:Sunsetted method relying on a reverse lookup:For everyday users, these changes are invisible - and that’s the point.

These changes push the ecosystem toward standardized (e.g., ACME), modern, and auditable Domain Control Validation methods.

6 months, 4 weeks назад @ security.googleblog.com
Further Hardening Android GPUs
Further Hardening Android GPUs Further Hardening Android GPUs

Partnership with ArmOur goal is to raise the bar on GPU security, ensuring the Mali GPU driver and firmware remain highly resilient against potential threats.

We partnered with Arm to conduct an analysis of the Mali driver, used on approximately 45% of Android devices.

This approach allowed us to roll out the new security policy broadly while minimizing the impact on developers.

This effort spans across Android and Android OEMs, and required close collaboration with Arm.

The Android security team is committed to collaborating with ecosystem partners to drive broader adoption of this approach to help harden the GPU.

6 months, 4 weeks назад @ security.googleblog.com
Architecting Security for Agentic Capabilities in Chrome
Architecting Security for Agentic Capabilities in Chrome Architecting Security for Agentic Capabilities in Chrome

We built on Gemini's existing protections and agent security principles and have implemented several new layers for Chrome.

To further bolster model alignment beyond spotlighting, we’re introducing the User Alignment Critic — a separate model built with Gemini that acts as a high-trust system component.

A flow chart that depicts the User Alignment Critic: a trusted component that vets each action before it reaches the browser.

The User Alignment Critic runs after the planning is complete to double-check each proposed action.

Looking forwardThe upcoming introduction of agentic capabilities in Chrome brings new demands for browser security, and we've approached this challenge with the same ri…

7 months назад @ security.googleblog.com
Android expands pilot for in-call scam protection for financial apps
Android expands pilot for in-call scam protection for financial apps Android expands pilot for in-call scam protection for financial apps

Android uses the best of Google AI and our advanced security expertise to tackle mobile scams from every angle.

Over the last few years, we’ve launched industry-leading features to detect scams and protect users across phone calls, text messages and messaging app chat notifications.

To help combat these types of financial scams, we launched a pilot earlier this year in the UK focused on in-call protections for financial apps.

The UK pilot of Android’s in-call scam protections has already helped thousands of users end calls that could have cost them a significant amount of money.

We’ve also started to pilot this protection with more app types, including peer-to-peer (P2P) payment apps.

7 months назад @ security.googleblog.com
Android Quick Share Support for AirDrop: A Secure Approach to Cross-Platform File Sharing
Android Quick Share Support for AirDrop: A Secure Approach to Cross-Platform File Sharing Android Quick Share Support for AirDrop: A Secure Approach to Cross-Platform File Sharing

Secure by DesignWe built Quick Share’s interoperability support for AirDrop with the same rigorous security standards that we apply to all Google products.

Secure Sharing Channel: The communication channel itself is hardened by our use of Rust to develop this feature.

On Android, security is built in at every layer.

On Android, security is built in at every layer.

Secure Sharing Using AirDrop's "Everyone" ModeTo ensure a seamless experience for both Android and iOS users, Quick Share currently works with AirDrop's "Everyone for 10 minutes" mode.

7 months, 2 weeks назад @ security.googleblog.com