Кибербезопасность
👉 от %username%
Подборка ресурсов по кибербезопасности
На русском 🇷🇺
Securitylab
последний пост 1 час назад
2 миллиона треков с YouTube Music и сотни тысяч подкастов. Хакер раскрыл исходный код сервиса Suno
2 миллиона треков с YouTube Music и сотни тысяч подкастов. Хакер раскрыл исходный код сервиса Suno 2 миллиона треков с YouTube Music и сотни тысяч подкастов. Хакер раскрыл исходный код сервиса Suno

Оказывается, «добросовестное использование» означало скачать весь YouTube, Deezer и Genius.

1 час назад @ securitylab.ru
Grok Build просто должен был сказать «ОК». ИИ-помощник Илона Маска вместо этого слил в облако весь репозиторий
Grok Build просто должен был сказать «ОК». ИИ-помощник Илона Маска вместо этого слил в облако весь репозиторий

Полгода собирали лишнее, потом объявили это заботой о безопасности – обычный день в xAI.

1 час назад @ securitylab.ru
VK и Макс исчезли из Google Play без единого объяснения — и даже сама VK не знает почему
VK и Макс исчезли из Google Play без единого объяснения — и даже сама VK не знает почему

Действующие аккаунты продолжают работать как обычно. Но в чем же дело?

1 час назад @ securitylab.ru
Один код из СМС — и 80 миллионов рублей исчезли. Что случилось со студентом из Москвы
Один код из СМС — и 80 миллионов рублей исчезли. Что случилось со студентом из Москвы

18-летний москвич передал курьерам мошенников рубли, валюту и часы на сумму свыше 80 миллионов рублей.

2 часа назад @ securitylab.ru
Очки Ray-Ban запомнят ваше лицо — в буквальном смысле. Разбираемся, как устроена спорная функция NameTag
Очки Ray-Ban запомнят ваше лицо — в буквальном смысле. Разбираемся, как устроена спорная функция NameTag

В Meta* подтвердили разработку функции распознавания лиц для умных очков.

2 часа назад @ securitylab.ru
Финансы, энергетика, оборонка — под крышей ИИ. Дональд Трамп запускает новую систему кибербезопасности США
Финансы, энергетика, оборонка — под крышей ИИ. Дональд Трамп запускает новую систему кибербезопасности США Финансы, энергетика, оборонка — под крышей ИИ. Дональд Трамп запускает новую систему кибербезопасности США

Новая система США определит приоритетные угрозы для финансовой и государственной инфраструктуры.

3 часа назад @ securitylab.ru
В России хотят запретить сим-карты со стартовым балансом. Поможет ли это бороться с мошенниками? Хороший вопрос
В России хотят запретить сим-карты со стартовым балансом. Поможет ли это бороться с мошенниками? Хороший вопрос

Формально баланс обнулят. На деле операторы просто начнут зачислять те же деньги чуть позже.

3 часа назад @ securitylab.ru
Расширение Claude научили читать чужую почту. Хватило поддельного нажатия мышью, чтобы обмануть ИИ-агента в браузере.
Расширение Claude научили читать чужую почту. Хватило поддельного нажатия мышью, чтобы обмануть ИИ-агента в браузере.

Любая открытая вкладка может тайно перехватить вашу переписку.

4 часа назад @ securitylab.ru
Первое устройство OpenAI — не колонка и не робот, а клавиатура за 230 долларов. Что умеет Codex Micro
Первое устройство OpenAI — не колонка и не робот, а клавиатура за 230 долларов. Что умеет Codex Micro

Настольный пульт отслеживает задачи по цвету и меняет глубину рассуждений модели.

4 часа назад @ securitylab.ru
Свои деньги теперь надо будет доказывать. Банки готовят «допрос» для тех, кто снимает наличные
Свои деньги теперь надо будет доказывать. Банки готовят «допрос» для тех, кто снимает наличные

Банки предложили разрешить клиентам подтверждать снятие наличных прямо у банкомата.

4 часа назад @ securitylab.ru
Срочные патчи от разработчиков или полный запрет в США. Уязвимости в шлюзах SonicWall переполошили американские власти
Срочные патчи от разработчиков или полный запрет в США. Уязвимости в шлюзах SonicWall переполошили американские власти Срочные патчи от разработчиков или полный запрет в США. Уязвимости в шлюзах SonicWall переполошили американские власти

Заражённое оборудование придётся стирать подчистую, чтобы прогнать чужаков.

5 часов назад @ securitylab.ru
Хакеры опоздали. Сотни компьютеров Пентагона заблокировались сами, без чьей-либо «помощи»
Хакеры опоздали. Сотни компьютеров Пентагона заблокировались сами, без чьей-либо «помощи»

Армия решила обезопасить внутреннюю сеть и случайно «перестаралась».

5 часов назад @ securitylab.ru
Оборудование, на которое нельзя ничего установить. Positive Technologies научилась защищать и его
Оборудование, на которое нельзя ничего установить. Positive Technologies научилась защищать и его

Компания назвала безагентный сбор ключевым изменением шестой версии PT ISIM.

5 часов назад @ securitylab.ru
Роботы поумнеют и наконец подешевеют. Компания NVIDIA выпустила платы специально для гуманоидов
Роботы поумнеют и наконец подешевеют. Компания NVIDIA выпустила платы специально для гуманоидов

Платформа T3000 обеспечит производительность до 865 триллионов операций в секунду при энергопотреблении 70 ватт.

6 часов назад @ securitylab.ru
Стальной робот-кентавр готов к худшим катастрофам планеты: колеса-ноги для штурма завалов, две мощные руки и подъём 200 кг
Стальной робот-кентавр готов к худшим катастрофам планеты: колеса-ноги для штурма завалов, две мощные руки и подъём 200 кг

Таких спасателей мир еще не видел.

6 часов назад @ securitylab.ru
Anti-Malware Anti-Malware
последний пост 5 часов назад
Тестирование Phishman 2.35, системы повышения осведомлённости пользователей в сфере ИБ
Тестирование Phishman 2.35, системы повышения осведомлённости пользователей в сфере ИБ Тестирование Phishman 2.35, системы повышения осведомлённости пользователей в сфере ИБ

На основании созданного правила была сформирована группа для обучения: в неё вошли люди, которые были скомпрометированы в ходе первичного тестирования.

Отчёт по динамике обучения в Phishman 2.35Анализ показал, что часть сотрудников не завершила обучение в установленный срок.

Как и на первом этапе, основной задачей было сделать письмо максимально похожим на стандартную рабочую переписку, соответствующую реальным бизнес-процессам нашей компании.

Информационная панель Phishman 2.35 после завершения экспериментаПосле обучения и повторного тестирования добавились другие показатели:Обученность — 11 / 100.

Поддержка была доступна не только в рабочее время, но и в выходные дни.

5 часов назад @ anti-malware.ru
ИИ-ассистенты как угроза безопасности: как чат-боты сливают данные компаний
ИИ-ассистенты как угроза безопасности: как чат-боты сливают данные компаний ИИ-ассистенты как угроза безопасности: как чат-боты сливают данные компаний

Корректное проектирование архитектуры, контроль источников данных и управление контекстом выполнения ИИ-систем существенно уменьшили бы их влияние.

Промпт-инъекция не проявляется как SQL-инъекция и не использует структурированные запросы — это обычный текст, встроенный в контекст обработки.

Отличие от разовой инъекции в том, что воздействие закрепляется в данных и влияет на дальнейшую работу системы на постоянной основе.

Агент начинает использовать это как норму при анализе событий.

Эксплуатация доверия (Human-Agent Trust Exploitation, ASI09)Злоумышленники используют доверие к агенту как к «компетентному собеседнику».

5 часов назад @ anti-malware.ru
Как вернуть контроль над неструктурированными данными при помощи DCAP
Как вернуть контроль над неструктурированными данными при помощи DCAP Как вернуть контроль над неструктурированными данными при помощи DCAP

Разберём, как выявить эти проблемы и устранить их с помощью решений класса DCAP на примере «Спектр | DCAP».

По опыту экспертов «Кросстеха» и «Сайберпик», описанная проблема есть и в небольших компаниях, и в зрелом бизнесе с выстроенной информационной безопасностью (ИБ).

Фиксация «Спектр | DCAP» аномальной активности пользователяОбласть применения DCAP не ограничивается папками общего доступа в операционных системах Windows и Linux.

Но само по себе, как и любое СЗИ, оно не может существовать изолированно и полностью закрывать задачу защиты от утечек.

Даже при наличии технических средств защиты сотрудники должны понимать, как работать с данными в рамках своих должностных обязанностей.

1 day, 5 hours назад @ anti-malware.ru
Обзор Phishman 2.35, системы повышения осведомлённости пользователей в сфере ИБ
Обзор Phishman 2.35, системы повышения осведомлённости пользователей в сфере ИБ Обзор Phishman 2.35, системы повышения осведомлённости пользователей в сфере ИБ

Phishman 2.35 — система повышения киберосведомлённости пользователей в ИБ, в которой отказались от единой программы обучения в пользу подхода, учитывающего различия в поведении пользователей и уровне цифровых рисков.

Главная или информационная панель системыНа главной странице представлена сводная информация об обученности, иммунности и киберосознанности сотрудников и др.

Раздел «Настройки» в Phishman 2.35Одним из наиболее востребованных инструментов в ходе нашего эксперимента стал журнал событий.

Не диагностирует и не оказывает услуги в отношении телекоммуникационного, инфраструктурного и прочего оборудования, не входящего в Phishman.

Обновления системы доступны как в формате файлового арх…

1 day, 5 hours назад @ anti-malware.ru
Российские решения Security Awareness: сравнение платформ для обучения киберграмотности
Российские решения Security Awareness: сравнение платформ для обучения киберграмотности Российские решения Security Awareness: сравнение платформ для обучения киберграмотности

Сравниваем российские решения класса Security Awareness по 40+ критериям: учебные курсы, имитация фишинга, кастомизация, отчётность, лицензирование и поддержка.

Нет Да (помимо основного учебного курса есть экспресс-курс) Нет Да ДаТаблица 8.

Отчёты, часть IПараметр / Продукт Infosecurity Security Awareness Kaspersky Security Awareness Phishman RED Security Awareness Secure-T Awareness Отчёты по обучению Да Да Да Да Да Отчёты по атакам Да Да Да Да Да Аналитические отчёты Частично (как опция технической поддержки сервиса) Да Да Да Да Пользовательские отчёты Нет Да Да Да ДаТаблица 10.

Отчёты, часть IIПараметр / Продукт Solar Security Awareness Start AWR T2 Security Awareness UBS Cybersecurity A…

2 days, 6 hours назад @ anti-malware.ru
Российские мобильные операционные системы: обзор рынка 2026 года
Российские мобильные операционные системы: обзор рынка 2026 года Российские мобильные операционные системы: обзор рынка 2026 года

ВведениеМобильные устройства, как массовые, так и специализированные, весьма широко используются в бизнес-процессах компаний и в деятельности государственных служащих.

По довольно консервативной оценке, по состоянию на конец 2025 года в России было скомпрометировано около 1,5 млн мобильных устройств на Android.

Российский рынок мобильных устройствПо итогам 2025 года в России было продано около 24 млн смартфонов, что на четверть меньше уровня 2024 года.

И в том, и в другом сегментах рынка доминируют зарубежные вендоры.

Предустанавливается на мобильные устройства целого ряда российских вендоров, включая «Аквариус», F-Plus, Highscreen, Kvadra, Mobile Inform Group как для потребительского рынка…

2 days, 21 hours назад @ anti-malware.ru
ИИ-агенты и Platform Engineering: как внедрять Agentic AI в бизнесе
ИИ-агенты и Platform Engineering: как внедрять Agentic AI в бизнесе ИИ-агенты и Platform Engineering: как внедрять Agentic AI в бизнесе

Подходы к построению инфраструктуры для них развиваются в дисциплине Platform Engineering, которая существенно изменилась с появлением Agentic AI.

Константин объяснил:«Заказчики приходят за инфраструктурой для ИИ и готовой платформой поверх неё, а не за реализацией конкретной функции через ИИ.

Необходимо детально проработать экономическую модель внедрения и эксплуатации — выполнить расчёт совокупной стоимости владения (Total Cost of Ownership, TCO) при построении ИИ-агентских платформ».

Перспективы внедрения в России проприетарных западных решений (в их полноразмерной конфигурации) достаточно неопределённы.

Внедрение изменений с появлением ИИ — это долговременный процесс, общие контуры кото…

5 days, 22 hours назад @ anti-malware.ru
EDR с защитой от шифровальщиков. Бэкап больше не нужен?
EDR с защитой от шифровальщиков. Бэкап больше не нужен? EDR с защитой от шифровальщиков. Бэкап больше не нужен?

Данный инструментарий призван помочь в борьбе с «теневыми ИТ», которые являются источниками целого комплекса проблем в компаниях и с которыми очень сложно бороться.

Методы атак на организацииПоловина успешных атак приходится на программы-шифровальщики и вайперы, направленные на уничтожение данных в инфраструктуре (рис.

Это в «Лаборатории Касперского» связали с тем, что от компании, даже небольшой, за один эпизод можно получить больше, чем от обычного человека.

Но и в том, и в другом случае злоумышленники крадут данные.

Продукты от Qihoo 360 и K7 Computing, так же как и Check Point / ZoneAlarm, предназначены для конечных пользователей и малого бизнеса.

6 days, 21 hours назад @ anti-malware.ru
Биометрия в сделках с недвижимостью: насколько это безопасно
Биометрия в сделках с недвижимостью: насколько это безопасно Биометрия в сделках с недвижимостью: насколько это безопасно

С 1 июля 2026 года биометрия станет дополнительным способом подтверждения личности при подаче документов в Росреестр в электронном виде при сделках с недвижимостью.

Данная процедура применима к основным сделкам с недвижимостью:Покупка и продажа квартир, домов и земельных участков как на первичном, так и на вторичном рынке.

Пока биометрия будет использоваться скорее в исключительных случаях как дополнительное средство идентификации личности при совершении дистанционных сделок с недвижимостью и исключительно добровольно».

Также с 2024 года некоторые банки начали использовать биометрию при заключении ипотечных договоров, и в этом сегменте существенных проблем также не выявлено.

Они связаны как…

6 days, 23 hours назад @ anti-malware.ru
Атаки на цепочки поставок ПО: как они работают и как защититься
Атаки на цепочки поставок ПО: как они работают и как защититься Атаки на цепочки поставок ПО: как они работают и как защититься

В ПО злоумышленники подменяют библиотеки, внедряют вредоносный код в программные зависимости или используют уязвимые компоненты с открытым исходным кодом.

Атаки на цепочки поставок выросли на 110 % за год и уже составляют до трети всех инцидентов.

При следующем запуске агент подключается к серверу злоумышленников и выполняет их код с правами пользователя без песочницы и дополнительных запросов.

«Солар» отмечает, что первом квартале 2026 года на промышленность пришлось 48,8 тысячи кибератак, на 14 % больше, чем годом ранее.

Единственный рабочий подход — относиться к цепочке поставок как к критической инфраструктуре: проверять источники, фиксировать версии, контролировать плагины и образы, из…

1 week назад @ anti-malware.ru
ИИ в кибербезопасности: как меняются угрозы и средства защиты
ИИ в кибербезопасности: как меняются угрозы и средства защиты ИИ в кибербезопасности: как меняются угрозы и средства защиты

И наконец, появляется новый класс задач — защита сотрудников, использующих ИИ в работе, что требует отдельных политик и инструментов.

В первом опросе зрители поделились, где они уже используют или тестируют ИИ в кибербезопасности (мультивыбор):Реагирование на инциденты и подготовка отчётов — 54 %.

Артём Гяммер считает, что ИИ в реагировании может выступать скорее в роли консультанта или ассистента.

Рекомендации по внедрению ИИ в кибербезопасностьАндрей Гунькин предложил три шага:Определить, какие процессы уже есть в компании.

Фишинговые письма пишутся без ошибок и на любом языке, вредоносный код генерируется за секунды, а дипфейки становятся неотличимы от реальности.

1 week, 1 day назад @ anti-malware.ru
Отчёт сканера зелёный, а данные утекли: на чём российские CISO ловят ложное спокойствие
Отчёт сканера зелёный, а данные утекли: на чём российские CISO ловят ложное спокойствие Отчёт сканера зелёный, а данные утекли: на чём российские CISO ловят ложное спокойствие

Покупатель формирует заказ, переходит к оплате, и в этот момент сайт отправляет запрос к API с параметром 'order_id=345'.

Сканер безопасности, который настроен на автоматическое сканирование, в это время проверяет веб-формы на наличие классических уязвимостей: подставляет кавычки, угловые скобки, длинные строки и смотрит на коды ответов.

Он не падает, не выдаёт трассировку стека, не тормозит — он просто отдаёт данные.

Он не может показать, что в одном случае показана личная информация, а в другом — чужая.

А злоумышленник в это время спокойно меняет цифры в адресной строке, потому что разработчики забыли добавить одну проверку, а автоматическая проверка её не требует.

1 week, 1 day назад @ anti-malware.ru
Угрозы социальных сетей: как защитить себя и свои данные
Угрозы социальных сетей: как защитить себя и свои данные Угрозы социальных сетей: как защитить себя и свои данные

Информация, которую пользователь добровольно раскрывает, а также данные о его поведении в сети становятся объектом монетизации со стороны платформы.

Однажды опубликованная информация хранится в интернете годами, а фактически — остаётся в сети навсегда.

Сегодня эта технология применяется для атак как на компании, так и на частных лиц в самых разных формах.

Такая привычка ведёт к поверхностному восприятию новостей, снижению способности осмысленно оценивать контент и в перспективе — к полной потере интереса к изучаемому материалу.

Такая привычка ведёт к поверхностному восприятию новостей, снижению способности осмысленно оценивать контент и в перспективе — к полной потере интереса к изучаемому …

1 week, 2 days назад @ anti-malware.ru
Что мешает готовить системных программистов в достаточном количестве
Что мешает готовить системных программистов в достаточном количестве Что мешает готовить системных программистов в достаточном количестве

Это же относится и к другим программно-аппаратным комплексам — от банкоматов и вендинговых автоматов до промышленных контроллеров.

Это касается, в частности, специалистов по безопасности приложений, которые занимаются поиском ошибок и уязвимостей, в том числе в ядре и драйверах.

Г. В. Плеханова Борис Фёдоров отметил, что системные программисты востребованы и в финансовом секторе и финтехе.

Спрос на системных программистов и в целом на разработчиков высокой квалификации в России остаётся высоким, несмотря на обсуждения сокращений.

Ситуацию усугубляет региональный дисбаланс: например, в Москве закрытие вакансии занимает в среднем 52 дня, тогда как в Новосибирске — 68 дней.

1 week, 2 days назад @ anti-malware.ru
Нелицензионное ПО в России: почему возвращается пиратство и чем оно опасно
Нелицензионное ПО в России: почему возвращается пиратство и чем оно опасно Нелицензионное ПО в России: почему возвращается пиратство и чем оно опасно

По данным объединения Business Software Alliance (BSA), по состоянию на конец 2021 года уровень использования нелицензионного ПО в России составил 62 % (рис.

Основные показатели мирового рынка нелицензионного ПО по итогам 2021 годаРечь идёт о заведомо нелицензионном ПО.

По его словам, в нелицензионных продуктах код модифицируется, тогда как в ПО, приобретённом легально, таких изменений не происходит.

Аналогичная ситуация наблюдается и в других сегментах, в том числе в сфере информационной безопасности.

Чем меньше точек доступа к таким продуктам — как в офлайн-, так и в онлайн-среде, — тем ниже уровень их использования.

1 week, 2 days назад @ anti-malware.ru
Хабр: ИБ Хабр: ИБ
последний пост 2 часа назад
False positive под небом цвета телевизора, настроенного на мертвый канал
False positive под небом цвета телевизора, настроенного на мертвый канал False positive под небом цвета телевизора, настроенного на мертвый канал

Часть ошибок сидит даже не в коде, а в исходной разметке CWE, но вечер пятницы все равно победит любую красивую методологию.

Почему LLM — не Пифия Модель не знает ваш проект целиком.

Строгий вердиктОтвет модели — не эссе, не размышление, не «на мой взгляд».

Очередь human review — спорное уходит человеку, а не в автозакрытиеКак менялись промптыСамым полезным в эксперименте оказалась эволюция промптов.

Практические выводыLLM-триаж SAST реалистичен, если относиться к нему как к инженерному процессу, а не как к красивому запросу к модели.

2 часа назад @ habr.com
Странные машины: как хакеры собирают процессор из данных
Странные машины: как хакеры собирают процессор из данных Странные машины: как хакеры собирают процессор из данных

В системах действовало опасное правило: если программа могла прочитать данные из памяти, значит, процессор мог их выполнить.

Принцип исключающего ИЛИ | W⊕XРаз процессор читал любые данные в памяти как команды, главной угрозой эпохи стало внедрение кода (code injection).

*d берёт ширину из аргумента — загружает значение из памяти в счётчик.

Для printf нет никакой разницы между ячейкой данных и счётчиком команд — и то и другое адрес в памяти, и %n пишет в них одинаково.

Таким вот образом, атакующие начали смотреть на атаку уже не как на перезапись адресов возврата, а на поиск вот таких примитивных, но универсальных, вычислителей.

2 часа назад @ habr.com
Даже HTTPS выдает атакующего. Артефакты для поиска хакера на каждом этапе атаки
Даже HTTPS выдает атакующего. Артефакты для поиска хакера на каждом этапе атаки Даже HTTPS выдает атакующего. Артефакты для поиска хакера на каждом этапе атаки

Обнаружили это не с помощью антивируса и не с помощью DPI, а через простой анализ сессий по периодичности, размеру и продолжительности.

Ведь нужно взять корпоративные сертификаты, прогнать весь зашифрованный трафик через отдельный модуль, расшифровать его, отправить на анализ, а затем снова зашифровать.

Чаще всего она указывает не на атаку, а на проблемы с производительностью DNS или других сервисов, которые тоже нужно чинить.

Чтобы повысить вероятность обнаружения атакующего, мы в Гарда NDR используем такую комбинацию: сигнатурный анализ, поведенческий анализ и ML-прогнозирование.

Поведенческий анализ смотрит не на то, что передается, а на то, как ведут себя соединения: периодичность, объе…

2 часа назад @ habr.com
OSINT для ленивых. Часть 12: Отслеживаем крипту за 10 минут
OSINT для ленивых. Часть 12: Отслеживаем крипту за 10 минут OSINT для ленивых. Часть 12: Отслеживаем крипту за 10 минут

Что нам блокчейн расскажет?

Итак, начнем с началаПри анализе криптовалютных транзакций мы имеем дело, как правило, с тремя вводными: вид крипты (BTC, ETH и т.д.

Но и результат он дает чуть попроще.

Аналогичным образом работают и исследователи BTC адресов наподобие walletexplorer.comИ еще куча всего полезногоТоже можно получить хеши, адреса, объем транзакций и т.д.

Кому-то и в блокноте хорошо, а кому-то и мощных статистических аналитических центров мало.Удачной охоты!Используйте блокчейн с умом.

2 часа назад @ habr.com
От фичи к продукту: как мы хотели развязать себе руки, а открыли глаза заказчикам
От фичи к продукту: как мы хотели развязать себе руки, а открыли глаза заказчикам От фичи к продукту: как мы хотели развязать себе руки, а открыли глаза заказчикам

Эта история началась не с продуктовой сессии, не с исследования рынка и даже не с запроса заказчиков.

В результате появился инструмент, который сначала помогал демонстрировать продукт заказчикам, а затем оказался полезен и для задач информационной безопасности.

Но большинство из них требуют технической подготовки или ориентированы на специалистов по информационной безопасности, а не на использование во время встречи с заказчиком.

Если основная команда занята, это не всегда означает, что задачу нужно откладывать.

В качестве локального движка использовали Ollama, а в роли рабочих моделей — qwen3.5:27b и qwen3-coder:30b.

3 часа назад @ habr.com
Shadow IT: инфраструктура, которой нет в реестре
Shadow IT: инфраструктура, которой нет в реестре Shadow IT: инфраструктура, которой нет в реестре

Так формируется Shadow IT — не только софт и облака, но и физические устройства, которые обычный discovery видит лишь фрагментами.

Так формируется Shadow IT — слой приложений, устройств и облачных ресурсов, которые используются в работе, но выпадают из общего контура управления.

Ресурс создают быстро, иногда в личном аккаунте, иногда в корпоративном облаке, но в большинстве случаев вне принятой схемы учёта.

Один и тот же продукт может использоваться в управляемом корпоративном контуре и параллельно существовать в десятках личных рабочих пространств.

В 2025 году генеративные AI-приложения использовались в большинстве наблюдаемых организаций, а значительная доля сотрудников входила в них чере…

4 часа назад @ habr.com
Моделирование угроз безопасности информации объектов КИИ
Моделирование угроз безопасности информации объектов КИИ Моделирование угроз безопасности информации объектов КИИ

Порядок оценки угроз безопасности информацииПо Методике основными задачами, решаемыми в ходе оценки угроз безопасности информации, являются:определение негативных последствий, которые могут наступить от реализации (возникновения) угроз безопасности информации;инвентаризация систем и сетей и определение возможных объектов воздействия угроз безопасности информации;определение источников угроз безопасности информации и оценка возможностей нарушителей по реализации угроз безопасности информации;оценка способов реализации (возникновения) угроз безопасности информации;оценка возможности реализации (возникновения) угроз безопасности информации и определение актуальности угроз безопасности информац…

4 часа назад @ habr.com
Linux Incident Response: системный подход.  Часть 2
Linux Incident Response: системный подход.  Часть 2 Linux Incident Response: системный подход.  Часть 2

Это вторая часть статьи про Linux Incident Response — разбор live response на работающем Linux-хосте с подозрением на компрометацию.

Задача — найти то, что не вписывается в нормальную активность системы.

Но сервис может быть не в статусе running на момент анализа, а запускаться по таймеру.

При проверке cron надо смотреть не только на содержимое записей, но и на временны́е метки и права файлов.

Ну и в целом, требуется проверка конфигурации системы.

4 часа назад @ habr.com
Чемпионат по контрактам: изучаем эволюцию атак киберпреступной группировки xplogs22
Чемпионат по контрактам: изучаем эволюцию атак киберпреступной группировки xplogs22 Чемпионат по контрактам: изучаем эволюцию атак киберпреступной группировки xplogs22

В этом блоге исследуем хронологию активности группировки xplogs22 и акцентируем внимание на свежих атаках с использованием XWorm и их технических деталях.

В данном случае эксфильтрация похищенных данных осуществлялась через SMTP-протокол, и в качестве целевого электронного адреса был указан xplogs22@yandex[.

Пытаясь имитировать действия реальных компаний, группировка xplogs22 в основном использовала в своих рассылках электронные адреса в доменной зоне .ru.

В фишинговых письмах xplogs22 с ВПО XWorm, как и в атаках со SnakeKeylogger, встречался текст на русском, арабском и английском языках.

Анализ одного из июльских вредоносных семплов xplogs22 на Malware Detonation Platform от компании F6 д…

5 часов назад @ habr.com
Как мы делали три консоли для киберигры: опыт разработки новой версии тренажера
Как мы делали три консоли для киберигры: опыт разработки новой версии тренажера Как мы делали три консоли для киберигры: опыт разработки новой версии тренажера

Ранее его проводили в оффлайне, в формате настольной игры, а потом мы перевели его в диджитал-версию.

Сложность состояла в отсутствии гибкости, ограниченном количестве сценариев и необходимости подключать разработчиков для любой новой фичи в игровом сценарии.

Заказчик (а вместе с ним и мы) хотел гибкости и масштабируемости.

Редакторская консоль: конструктор сценариев с ботамиЦентральным инструментом новой версии стал редактор.

Сценарий сохраняется в виде большого JSON-объекта с возможностью версионирования, а также наследования сценариев — возможность создавать форки сценариев на базе существующих.

22 часа назад @ habr.com
‑$200 за 40 минут: как я прошла принудительный экспресс‑курс по security для вайбкодинга
‑$200 за 40 минут: как я прошла принудительный экспресс‑курс по security для вайбкодинга ‑$200 за 40 минут: как я прошла принудительный экспресс‑курс по security для вайбкодинга

Этот текст в первую очередь для тех, кто, как и я, собирает продукты быстро, с ИИ‑ассистентом, и не является security‑инженером.

Он не работает как аварийный рубильник: биллинг считает потраченное по завершенным запросам, а не по тем, что сейчас генерируются.

Не держите боевые секреты в локальном проектеClaude Code не выгружает проект целиком — но все, что он прочитает, уходит в API.

Включите логи, пока ничего не случилосьСамое неприятное в этой истории — не деньги, а то, что я до сих пор не знаю наверняка, как утекли ключи.

Я не разработчик и точно не специалист по информационной безопасности: большую часть этого расследования я проходила вместе с AI, разбираясь во всем с нуля.

23 часа назад @ habr.com
[Перевод] Outlook почти 20 лет мог слать почту открытым текстом — и это выяснилось случайно
[Перевод] Outlook почти 20 лет мог слать почту открытым текстом — и это выяснилось случайно [Перевод] Outlook почти 20 лет мог слать почту открытым текстом — и это выяснилось случайно

Всё описанное ниже — это находка и выводы IT-блогера Marius, изложенные в его посте, а не официально подтверждённая Microsoft уязвимость с присвоенным CVE.

Клиенты перестали получать письма, и все они сталкивались с одной и той же ошибкой сервера: «Cleartext authentication disallowed on non-secure (SSL/TLS) connections».

Человек был уверен, что его почта зашифрована, а на деле она много лет ходила открытым текстом.

Масштаб уязвимости точно не определён: затронуты как минимум версии Outlook с 2007 по 2016, возможно и более поздние, но касается ли это Outlook 2019 и новее — пока не подтверждено.

Хорошая новость — чинится это в пару кликов: достаточно зайти в настройки учётной записи Outlook и…

1 day назад @ habr.com
«Вы сливаете наши номера!» Как мы искали крота внутри компании, а нашли мобильных операторов
«Вы сливаете наши номера!» Как мы искали крота внутри компании, а нашли мобильных операторов «Вы сливаете наши номера!» Как мы искали крота внутри компании, а нашли мобильных операторов

Это не официальная позиция компании, а я не программист и не безопасник.

И вы на это подписались.

А то, что вы не знали, на что подписываетесь — это уже ваши проблемы.

На практике это означает, что если вы решите пожаловаться, оператор должен доказать, что вы давали согласие.

И если бы мы не начали копать, клиенты так бы и думали, что мы торгуем номерами.

1 day назад @ habr.com
Пользователь сменил пароль и потерял доступ. Что проворонил тестировщик?
Пользователь сменил пароль и потерял доступ. Что проворонил тестировщик? Пользователь сменил пароль и потерял доступ. Что проворонил тестировщик?

Попробовал просроченную ссылку, невалидный пароль и повторный переход по уже использованной ссылке.

Пользователь открыл более свежее письмо, задал новый пароль и вошёл в аккаунт.

Пользователь запросил восстановление и получил ссылку A. Затем отправил ещё один запрос и получил ссылку B. По ссылке B установил новый пароль.

Для ссылок восстановления также нужно использовать HTTPS, защищаться от перебора и не допускать утечки токена через заголовок Referer, сторонние скрипты или некорректно сформированный домен.

Поговорим о том, как воспроизводить сложные цепочки действий через API и интерфейс и проверять, что состояние системы меняется именно так, как задумано.

1 day, 2 hours назад @ habr.com
OSINT для ленивых. Часть 10: Когда OSINT не работает
OSINT для ленивых. Часть 10: Когда OSINT не работает OSINT для ленивых. Часть 10: Когда OSINT не работает

Проблема не в том, что OSINT не работает.

Не лезут в анализ сетей, не разбирают нарративы, не делают оценок — даже когда всё это законно и основано на открытых данных.

Это не баг — это фича.

OSINT начинают обвинять в том, что он «не даёт ответов», хотя он и не должен их давать в таком виде.

В чём настоящий провалOSINT-исследование проваливается не потому, что «слишком много шума» или «это не для корпораций».

1 day, 2 hours назад @ habr.com
Хакер Хакер
последний пост 2 часа назад
На GitHub обнаружили фальшивые утилиты для обхода блокировок
На GitHub обнаружили фальшивые утилиты для обхода блокировок На GitHub обнаружили фальшивые утилиты для обхода блокировок

Специалисты Solar 4RAYS ГК «Солар» предупреждают, что злоумышленники используют блокировку Telegram и повышенный спрос на средства обхода ограничений для распространения малвари через GitHub.

Исследователи рассказывают о нескольких схожих инцидентах, когда пользователи запускали вредоносные инструменты, скачанные с GitHub под видом легитимного софта.

Специалисты объясняют, что из-за действующих в РФ ограничений ссылки на оригинальные и валидные репозитории удаляются из поисковой выдачи «Яндекса».

Так как оригинальный репозиторий может отсутствовать в результатах поиска, вредоносные ссылки поднимаются на первые позиции в «Яндексе» по запросам вроде «tg-ws-proxy».

Исследователи заключают, что…

2 часа назад @ xakep.ru
В июле Microsoft исправила рекордные 622 уязвимости в своих продуктах
В июле Microsoft исправила рекордные 622 уязвимости в своих продуктах В июле Microsoft исправила рекордные 622 уязвимости в своих продуктах

В первую очередь разработчики рекомендуют обратить внимание на 0-day-уязвимость CVE-2026-56164, затрагивающую SharePoint Server и уже использующуюся в атаках.

В компании объяснили, что отсутствие аутентификации для критически важных функций в Microsoft Office SharePoint позволяло неавторизованному злоумышленнику повысить свои привилегии.

В Microsoft не раскрывают, как именно баг используют хакеры, но в качестве временной защитной меры рекомендуется включить Antimalware Scan Interface (AMSI), а также перевести параметр Request Body Scan в режим Full.

Что касается рекордных 622 уязвимостей, ранее в этом месяце представители Microsoft предупреждали, что ежемесячных исправлений будет становитьс…

4 часа назад @ xakep.ru
Легальный ужас. Как хакеры превращают в оружие инструменты удаленного управления
Легальный ужас. Как хакеры превращают в оружие инструменты удаленного управления Легальный ужас. Как хакеры превращают в оружие инструменты удаленного управления

Зло­умыш­ленни­ки исполь­зуют это доверие как лазей­ку и прев­раща­ют инс­тру­мент адми­нис­три­рова­ния в средс­тво для про­ник­новения в инфраструк­туру и зак­репле­ния в ней.

Клас­сичес­кий сце­нарий с RMM — связ­ка вре­донос­ного лоаде­ра или даун­лоаде­ра с инс­тру­мен­том уда­лен­ного управле­ния.

По ста­тис­тике лидиру­ет ScreenConnect RMM, но Atera, Tactical RMM и зна­мени­тый AnyDesk тоже очень популяр­ны.

Даль­ше перей­дем к прак­тике: раз­берем кон­крет­ные инс­тру­мен­ты RMM и пос­мотрим, как зло­умыш­ленни­ки исполь­зуют тех­нику T1219 (Remote Access Tools) из MITRE ATT&CK.

В Elsinore Technologies раз­работа­ли это решение в 2008 году для уда­лен­ного дос­тупа к рабоче­му сто­л…

7 часов назад @ xakep.ru
Романы «Хакеры.RU» и «Белый хакер» доступны в бумажном формате
Романы «Хакеры.RU» и «Белый хакер» доступны в бумажном формате Романы «Хакеры.RU» и «Белый хакер» доступны в бумажном формате

В нашем магазине по-прежнему можно заказать печатные версии романов «Белый хакер» и «Хакеры.RU» с черно-белыми иллюстрациями.

Это история о временах компьютерных клубов, ночного dial-up, подпольных форумов и первых хакерских тусовок — эпохе, когда интернет еще не превратился в набор приложений и алгоритмических лент.

Обе книги доступны в печатном виде с черно-белыми иллюстрациями: роман «Хакеры.RU» знакомит тебя с героями этой истории, а «Белый хакер» продолжает рассказ об их приключениях.

Книги можно заказать по отдельности или обе сразу.

Если еще ты не знаком с этой историей, первые главы романов можно прочитать на сайте без платной подписки.

18 часов назад @ xakep.ru
Уязвимости в Roundcube используются для слежки за учеными
Уязвимости в Roundcube используются для слежки за учеными Уязвимости в Roundcube используются для слежки за учеными

Специалисты компании Proofpoint обнаружили шпионскую кампанию, участники которой взламывают почтовые серверы Roundcube в университетах США и Канады.

Атакующие похищают учетные данные исследователей, а затем стремятся закрепиться на серверах с помощью веб-шелла и бэкдора.

С помощью этой уязвимости злоумышленники выполняют JavaScript в браузере жертвы и загружают пейлоад IceCube, который исследователи называют полноценным стилером для Roundcube.

После сбора данных IceCube использует вспомогательные компоненты для эксплуатации критической уязвимости десериализации в Roundcube — CVE-2025-49113.

Предполагается, что перед атаками злоумышленники проводили разведку и искали в сети серверы, уязвимые…

19 часов назад @ xakep.ru
Власти США наложили санкции на First VPN из-за связей с вымогателями
Власти США наложили санкции на First VPN из-за связей с вымогателями Власти США наложили санкции на First VPN из-за связей с вымогателями

Сервис обещал пользователям «анонимность, стабильность и безопасность», а на сайте утверждалось, что связь между IP-адресом и конкретным клиентом установить невозможно.

В Минфине США заявляют, что связанные с First VPN вымогательские атаки нанесли бизнесу и операторам критической инфраструктуры ущерб на миллиарды долларов США.

Следователи считают, что с их помощью он закупал серверы у компаний, которые могли отказать ему самому из-за многочисленных жалоб на вредоносную активность, исходящую с адресов 1VPNS.

Дело в том, что в карточке First VPN сотрудники OFAC указали Telegram-канал сервиса как отдельный веб-сайт.

После этого сотрудники черногорской компании doMEn d.o.o., которая управляет д…

21 час назад @ xakep.ru
Малварь GigaWiper объединяет функции бэкдора, вайпера и шифровальщика
Малварь GigaWiper объединяет функции бэкдора, вайпера и шифровальщика Малварь GigaWiper объединяет функции бэкдора, вайпера и шифровальщика

Они сообщают, что малварь написана на Go, а ее операторы могут по команде запускать отдельные функции, выбирая между шпионажем, эксфильтрацией и уничтожением информации на зараженной машине.

При этом малварь не сохраняет ключ и не оставляет записку с требованием выкупа, то есть расшифровать пострадавшие данные оказывается невозможно.

Кроме того, отдельная команда отключает среду восстановления Windows и провоцирует «синий экран смерти», после чего устройство перестает загружаться.

Также малварь может запускать команды PowerShell, собирать информацию о зараженной системе, управлять процессами и службами, редактировать реестр и очищать журналы событий Windows.

Следует отметить, что ранее иссл…

1 day назад @ xakep.ru
СМИ: третий пакет антифрод-мер предусматривает хранение пользовательских данных три года
СМИ: третий пакет антифрод-мер предусматривает хранение пользовательских данных три года СМИ: третий пакет антифрод-мер предусматривает хранение пользовательских данных три года

Одна из поправок в закон «Об информации» предполагает, что сайты и приложения обяжут хранить сведения о регистрации, авторизациях и удалении аккаунтов пользователей три года.

Кроме того, провайдеры должны будут передавать в специальный реестр сведения обо всех принадлежащих им IP-адресах.

Другая поправка касается операторов связи и расширяет перечень данных, которые они обязаны хранить в течение трех лет и передавать силовым службам по запросу.

Еще одна норма предлагает установить запрет на указание в SMS-рассылках персональных данных получателя и его близких родственников.

В настоящее время обработку таких данных ограничивают законы о персональных данных, банковской тайне и тайне связи.

1 day, 2 hours назад @ xakep.ru
Атака HalluSquatting использует галлюцинации ИИ для создания ботнетов
Атака HalluSquatting использует галлюцинации ИИ для создания ботнетов Атака HalluSquatting использует галлюцинации ИИ для создания ботнетов

Исследователи объясняют, что для эксплуатации большинства промпт-инжектов нужен прямой контакт с жертвой.

HalluSquatting работает иначе, и в этом случае сам ИИ-агент приходит на вредоносный ресурс, поэтому такую атаку можно масштабировать без массовых рассылок и выбора целей.

К примеру, обнаружилось, что LLM склонны генерировать адреса вида repo-name/repo-name, принимая название проекта за имя владельца аккаунта.

Зараженные машины в итоге можно объединить в ботнет для DDoS-атак или майнинга криптовалюты, а также использовать в массовых вымогательских кампаниях.

Причем эта схема уже применялась злоумышленниками на практике в кампании PhantomRaven, когда малварь разместили в 126 пакетах npm, …

1 day, 4 hours назад @ xakep.ru
Переговорщик работал на вымогателей и получил почти 6 лет тюрьмы
Переговорщик работал на вымогателей и получил почти 6 лет тюрьмы Переговорщик работал на вымогателей и получил почти 6 лет тюрьмы

Бывший переговорщик компании DigitalMint Анджело Мартино (Angelo Martino) получил 70 месяцев тюрьмы за сотрудничество с вымогательской группировкой BlackCat.

Переговорщик раскрывал злоумышленникам лимиты страхового покрытия клиентов и их внутренние стратегии, и эта информация позволяла хакерам понять, сколько жертва способна заплатить, и потребовать максимальную сумму.

После этого Мартино, Голдберг и Мартин стали самостоятельно атаковать организации с помощью BlackCat, то есть взламывали корпоративные сети, похищали данные и развертывали шифровальщик.

По данным следствия, Мартино «заработал» на преступной деятельности миллионы долларов США в криптовалюте.

Однако в итоге его приговорили к 70…

1 day, 19 hours назад @ xakep.ru
Уязвимость GhostLock существует с 2011 года и затрагивает основные дистрибутивы Linux
Уязвимость GhostLock существует с 2011 года и затрагивает основные дистрибутивы Linux Уязвимость GhostLock существует с 2011 года и затрагивает основные дистрибутивы Linux

Проблема присутствовала в коде ядра с 2011 года и в результате затронула практически все популярные дистрибутивы.

Исследователи разработали для CVE-2026-43499 эксплоит, который позволяет получить контроль над выполнением кода в ядре и root-права.

Исправление для GhostLock было включено в ядро еще в апреле 2026 года, однако администраторам рекомендуют устанавливать не первый пропатченный билд, а наиболее свежее ядро.

Также следует отметить, что уязвимость GhostLock является частью цепочки атаки IonStack, недавно продемонстрированной специалистами Nebula Security.

На первом этапе эта атака использует уязвимость CVE-2026-10702 в JIT-движке Firefox, а затем эксплуатирует CVE-2026-43499 в ядре L…

1 day, 21 hours назад @ xakep.ru
Агент ноль-ноль-дырка. Разбираем CVE в популярном ИИ-инструменте Langflow
Агент ноль-ноль-дырка. Разбираем CVE в популярном ИИ-инструменте Langflow Агент ноль-ноль-дырка. Разбираем CVE в популярном ИИ-инструменте Langflow

На этот раз уяз­вимость наш­ли в популяр­ном конс­трук­торе Langflow.

В Langflow ты можешь соб­рать бота вооб­ще без кода или с минималь­ным скрип­тингом.

У API Langflow есть метод / api/ v1/ build_public_tmp/{ flow_id}/ flow — он нужен для запус­ка рабочих про­цес­сов в пуб­личном режиме без авто­риза­ции.

Любой жела­ющий может выз­вать этот метод, но в том и смысл пуб­личных эндпо­интов.

Если отпра­вишь в зап­росе свой объ­ект, Langflow исполь­зует имен­но его, а не тот, который лежит в базе дан­ных.

1 day, 23 hours назад @ xakep.ru
Для защиты цепочки поставок в npm по умолчанию отключили установочные скрипты
Для защиты цепочки поставок в npm по умолчанию отключили установочные скрипты Для защиты цепочки поставок в npm по умолчанию отключили установочные скрипты

То же касается --allow-remote: зависимости, загружаемые через удаленные URL, включая tar-архивы, доступные по HTTPS, теперь блокируются по умолчанию.

Для проверки и одобрения доверенных скриптов разработчикам предлагают выполнить команду: npm approve-scripts --allow-scripts-pending, после чего сформированный allowlist необходимо сохранить в package.json и закоммитить в репозиторий.

С начала августа 2026 года такие токены больше нельзя будет использовать для важных операций с аккаунтами, пакетами и организациями.

В частности, с использованием GAT с обходом 2ФА нельзя будет создавать и удалять токены, генерировать коды восстановления, менять пароли, email-адреса, профили и настройки 2ФА.

Токе…

2 days назад @ xakep.ru
Исследователи сбросили пароль кошелька Tangem с помощью лазера
Исследователи сбросили пароль кошелька Tangem с помощью лазера Исследователи сбросили пароль кошелька Tangem с помощью лазера

Точно направленный лазерный импульс вынуждает чип карты перейти в режим восстановления и принять любой новый пароль, выбранный атакующим.

Специалисты объясняют, что внутри карты Tangem установлен защищенный чип Samsung S3D232A с сертификацией EAL6+.

Если владелец забудет пароль, его можно будет сбросить с помощью второй карты из того же комплекта.

Исследователи заявляют, что успешно воспроизвели эту атаку на всех протестированных картах Tangem, и на взлом каждой ушло примерно два часа.

Так как реальных случаев кражи средств с кошельков при помощи лазера пока не зафиксировано, в Tangem считают риск для большинства пользователей практически нулевым.

2 days, 2 hours назад @ xakep.ru
ЕС ввел санкции против VK и разработчика мессенджера Max
ЕС ввел санкции против VK и разработчика мессенджера Max ЕС ввел санкции против VK и разработчика мессенджера Max

Власти Евросоюза внесли в санкционные списки VK и ООО «Коммуникационная платформа», стоящее за разработкой мессенджера Max.

В Совете ЕС пояснили, что VK попала под санкции как материнская компания ООО «Коммуникационная платформа», разработчика и оператора мессенджера Max.

Также отмечается, что Max интегрирован с «Госуслугами» и должен предустанавливаться на все продаваемые в России смартфоны и планшеты.

Представители холдинга VK сообщили СМИ, что ограничения не повлияют на работу приложений:«Санкции ЕС не влияют на работу VK и Max.

Это первые прямые санкции ЕС в отношении VK, хотя с 2022 года персональные ограничения ЕС, США и Великобритании действуют против главы холдинга Владимира Кириенк…

2 days, 4 hours назад @ xakep.ru
In English 🇺🇸
The Hacker News The Hacker News
последний пост 2 часа назад
AI Can Find Bugs, But Human Knowledge Still Proves Them
AI Can Find Bugs, But Human Knowledge Still Proves Them AI Can Find Bugs, But Human Knowledge Still Proves Them

The future of offensive security will not belong to people who merely produce the largest number of findings.

It may see a dangerous API in a code path and describe remote code execution.

Why Knowledge Still MattersThe best offensive security practitioners are valuable because they understand systems, not because they can run tools.

The Human Role Is Still TechnicalOne of the underappreciated realities of AI security platforms is that human validation remains deeply important behind the scenes.

Knowledge still matters because validation still matters, and in offensive security, validation is the difference between noise and truth.

2 часа назад @ thehackernews.com
Unpatched Shark Vacuum Flaw Could Let Attackers Control Other Vacuums Region-Wide
Unpatched Shark Vacuum Flaw Could Let Attackers Control Other Vacuums Region-Wide Unpatched Shark Vacuum Flaw Could Let Attackers Control Other Vacuums Region-Wide

He says SharkNinja, the company behind the Shark and Ninja appliance brands, has had his report since March.

Certificates are pinned to their AWS region, the closest thing here to a limit: a key lifted in one region only reaches that region's devices.

A vacuum whose certificate carries the broken policy is an attacker's key.

That is why the cross-model shell worked, and why his claim that every internet-connected Shark vacuum is vulnerable needs splitting in two.

Those products come from the same company whose policy promises regular updates until a flaw is resolved.

3 часа назад @ thehackernews.com
OpenAI’s GPT-Red Automates Prompt Injection Testing to Harden GPT-5.6 Sol
OpenAI’s GPT-Red Automates Prompt Injection Testing to Harden GPT-5.6 Sol OpenAI’s GPT-Red Automates Prompt Injection Testing to Harden GPT-5.6 Sol

OpenAI has disclosed details of GPT-Red, an internal automated red-teaming model that scales prompt injection vulnerability discovery with an aim to fix issues before the tools are deployed widely.

"GPT‑Red is a strong red-teamer, and our previous models are highly vulnerable to its prompt injection attacks," the artificial intelligence (AI) company said.

"We use GPT‑Red to adversarially train GPT‑5.6, making it much more robust to prompt injections."

"GPT‑Red is rewarded for eliciting a valid failure, such as a successful prompt injection, while the defender models are rewarded for resisting the attack and completing their original tasks."

An early version of the model has also uncovered a…

3 часа назад @ thehackernews.com
Zoom Patches Critical Windows Flaw That Could Enable Account Takeover
Zoom Patches Critical Windows Flaw That Could Enable Account Takeover Zoom Patches Critical Windows Flaw That Could Enable Account Takeover

Zoom has released security updates for a critical security flaw impacting Zoom Workplace for Windows that could facilitate account takeover.

The vulnerability, tracked as CVE-2026-53412 (CVSS score: 9.8), affects Zoom Desktop Client for Windows, Zoom VDI Client for Windows, and Zoom Meeting SDK for Windows.

"Improper Input Validation in Zoom Desktop Client for Windows, Zoom VDI Client for Windows, and Zoom Meeting SDK for Windows may allow an unauthenticated user to conduct an account takeover via network access," Zoom said in an advisory released this week.

(CVSS score: 7.8) - An improper input validation vulnerability in the Zoom Workplace VDI Plugin for Windows before version 6.6.14 that…

5 часов назад @ thehackernews.com
TuxBot v3 Evolution Shows Signs of LLM-Assisted IoT Botnet Development
TuxBot v3 Evolution Shows Signs of LLM-Assisted IoT Botnet Development TuxBot v3 Evolution Shows Signs of LLM-Assisted IoT Botnet Development

Cybersecurity researchers have disclosed details of a previously unreported Internet-of-Things (IoT) botnet framework dubbed TuxBot v3 Evolution that shows signs of being developed with assistance from a large language model (LLM), albeit with not so successful results.

"Although the LLM clearly aided in constructing the botnet, several functions in the analyzed samples failed to work correctly."

Evidence suggests that work on the botnet commenced one year before that, when the author cloned the MHDDoS repository from GitHub.

"Shared infrastructure with Kaitori v3.9 and AISURU tooling places the TuxBot operator within the Keksec ecosystem," Unit 42 concluded.

"This group is known for runnin…

17 часов назад @ thehackernews.com
OkoBot Malware Framework Injects Seed Phrase Phishing Into Ledger and Trezor Apps
OkoBot Malware Framework Injects Seed Phrase Phishing Into Ledger and Trezor Apps OkoBot Malware Framework Injects Seed Phrase Phishing Into Ledger and Trezor Apps

The app around it is the real one you installed, and the phrase is the wallet.

SeedHunter Waits for the DeviceSeedHunter is the OkoBot module that steals the phrase.

Once the framework lands, it watches for Trezor Suite, Ledger Wallet, and Ledger Live, injects into whichever it finds, and hooks the app's Electron internals.

If the server sets a Wait flag, SeedHunter scans USB by vendor and product ID and sits still until a real Ledger or Trezor is plugged in.

Ledger says the phrase never goes anywhere but the Ledger itself.

21 час назад @ thehackernews.com
Firefox, Chrome, Adobe, and VMware Updates Fix Multiple Critical Security Flaws
Firefox, Chrome, Adobe, and VMware Updates Fix Multiple Critical Security Flaws Firefox, Chrome, Adobe, and VMware Updates Fix Multiple Critical Security Flaws

Mozilla has released updates to address two critical flaws in Firefox for which it warned that exploit code has been published.

The shortcomings have been patched in Chrome version 150.0.7871.124/.125 for Windows and Mac and 150.0.7871.124 for Linux.

In a related development, Adobe has published security updates for 88 vulnerabilities, including multiple critical-severity bugs in ColdFusion, Commerce, Experience Manager, and Illustrator.

Filip Waeytens of the NATO Cyber Security Centre (NCSC) has been credited with discovering and reporting the flaw.

Although none of the vulnerabilities have been marked as actively exploited, it's essential that organizations install the latest updates, giv…

23 часа назад @ thehackernews.com
SASE Has An AI Blind Spot. Inspecting Packets Is No Longer Enough.
SASE Has An AI Blind Spot. Inspecting Packets Is No Longer Enough. SASE Has An AI Blind Spot. Inspecting Packets Is No Longer Enough.

Then work moved to the browser, AI entered the workflow, and the inspection model stopped keeping up.

This structural paradigm shift is explored in detail within The Guide to Modern SASE Architecture.

Why Traditional Enforcement StrugglesTraditional SASE relies on backhauling traffic to cloud proxies for decryption, inspection, and policy enforcement.

The Guide to Modern SASE Architecture covers the evaluation frameworks for this in detail.

To see how modern architectures are closing the proxy visibility gap while restoring native application performance, download The Perfect Packet: A Guide to Modern SASE Architecture.

1 day назад @ thehackernews.com
Researcher Drops New Windows Zero-Day PoC Hours After Microsoft Patch Tuesday
Researcher Drops New Windows Zero-Day PoC Hours After Microsoft Patch Tuesday Researcher Drops New Windows Zero-Day PoC Hours After Microsoft Patch Tuesday

It has been described as a Windows User Profile Service arbitrary hive load elevation of privileges vulnerability.

The Windows User Profile Service, also referred to as ProfSvc, is a core system component that manages user accounts and environments.

"The PoC requires another standard user credential and a third username (which can be an administrator account)," Chaotic Eclipse said.

"If the PoC is successful, it will end up mounting the target user hive in the current user classes root."

"Any hive could be loaded using this vulnerability, but you would need some brain cells to make the PoC do it," the researcher noted.

1 day, 1 hour назад @ thehackernews.com
New Webinar: Closing the Approval Gap in AI-Era Ad Tech
New Webinar: Closing the Approval Gap in AI-Era Ad Tech New Webinar: Closing the Approval Gap in AI-Era Ad Tech

But the marketing tag you signed off on rarely stays the same as the tag executing in your users' browsers.

Two Sides of the Same Table: Reflectiz & TaboolaThis isn't just an advertiser problem; it's a challenge that responsible ad tech platforms actively work to solve.

The AI Acceleration: Why AI-driven ad tech is expanding your client-side attack surface faster than point-in-time audits can catch.

Why AI-driven ad tech is expanding your client-side attack surface faster than point-in-time audits can catch.

What transparent, security-forward ad tech looks like in 2026, and how to tell which of your vendors meet the bar.

1 day, 1 hour назад @ thehackernews.com
Cursor Flaw Lets Malicious Cloned Repositories Trigger Windows Code Execution
Cursor Flaw Lets Malicious Cloned Repositories Trigger Windows Code Execution Cursor Flaw Lets Malicious Cloned Repositories Trigger Windows Code Execution

Open a repository in Cursor on Windows and, if a file named git.exe is sitting in the project root, Cursor runs it.

On February 13, 2026, Cursor published GHSA-8pcm-8jpx-hv8r, a Git-hook sandbox escape (CVE-2026-26268) reported by Novee under coordinated disclosure and fixed in Cursor 2.5.

GitHub Copilot CLI ran a workspace git.exe at startup, before the folder-trust prompt was even shown.

Cursor closed Cymulate's Cursor CLI report as Informative eight days in, on the grounds that findings requiring a malicious binary "lack an attack vector."

Four vendors have now been shown a workspace binary running itself on Windows as soon as a developer points the tool at a cloned repo.

1 day, 1 hour назад @ thehackernews.com
Compromised AsyncAPI npm Packages Deliver Multi-Stage Botnet Malware
Compromised AsyncAPI npm Packages Deliver Multi-Stage Botnet Malware Compromised AsyncAPI npm Packages Deliver Multi-Stage Botnet Malware

Four compromised npm packages in the @asyncapi namespace have been observed distributing a multi-stage botnet loader, according to findings from OX Security, SafeDep, Socket, and StepSecurity.

The affected packages are listed below -@asyncapi/[email protected]@asyncapi/[email protected]@asyncapi/[email protected]@asyncapi/specs(v6.11.2, v6.11.2-alpha.1)"The compromised packages deploy an obfuscated first-stage payload that downloads an encrypted second-stage payload, identified as Miasma, from IPFS," Socket said.

The poisoned packages ship a hidden JavaScript implant, with each of them containing an injected source file that decodes to the same second-stage downloader.

The next…

1 day, 3 hours назад @ thehackernews.com
Two SonicWall SMA 1000 Zero-Days Exploited, One Could Enable Admin Commands
Two SonicWall SMA 1000 Zero-Days Exploited, One Could Enable Admin Commands Two SonicWall SMA 1000 Zero-Days Exploited, One Could Enable Admin Commands

SonicWall has warned of active exploitation of two zero-day vulnerabilities impacting Secure Mobile Access (SMA) 1000 series appliances, one of which could be exploited to achieve arbitrary command execution.

(CVSS score: 10.0) - A Server-side request forgery (SSRF) vulnerability that a remote unauthenticated attacker could exploit to potentially cause the appliance to make requests to an unintended location.

SonicWall said it has "investigated multiple cases indicating the active exploitation of the vulnerabilities," urging customers to apply the fixes as soon as possible.

Adam Babis of SonicWall's product security incident response team (PSIRT) has been credited with discovering and repor…

1 day, 7 hours назад @ thehackernews.com
Microsoft Patches Record 622 Flaws, Including Two Zero-Days Under Active Attack
Microsoft Patches Record 622 Flaws, Including Two Zero-Days Under Active Attack Microsoft Patches Record 622 Flaws, Including Two Zero-Days Under Active Attack

Both are elevation-of-privilege flaws in identity and collaboration infrastructure: CVE-2026-56164 in on-premises SharePoint Server and CVE-2026-56155 in Active Directory Federation Services.

The two zero-days to patch firstCVE-2026-56164, a SharePoint Server flaw Microsoft says is being exploited in attacks, lets an unauthenticated attacker escalate privileges over the network.

SharePoint Server 17 The exploited zero-day ( CVE-2026-56164 ) and Rapid7's chain bypass ( CVE-2026-55040 ), plus a Critical RCE pair including CVE-2026-50522 at 9.8.

This month's two exploited bugs make the point: neither is a headline 9.8, both are mid-tier privilege flaws, and both are already in use.

Sort by wha…

1 day, 16 hours назад @ thehackernews.com
SAP Patches CVSS 9.9 NetWeaver ABAP Flaw That Could Expose or Modify Data
SAP Patches CVSS 9.9 NetWeaver ABAP Flaw That Could Expose or Modify Data SAP Patches CVSS 9.9 NetWeaver ABAP Flaw That Could Expose or Modify Data

SAP has rolled out updates to address multiple vulnerabilities as part of its July 2026 security updates, including a critical flaw in SAP NetWeaver Application Server ABAP.

CVE-2026-44761 (CVSS score: 9.1) - A use of default credentials flaw in SAP Commerce Cloud that could retain a sample OAuth 2.0 client with publicly documented sample credentials originating from a sample configuration provided in SAP Help Portal documentation.

"An unauthenticated attacker can leverage these publicly available, default credentials to obtain a valid access token.

It's worth noting that customers who removed the sample client or replaced the secret with a strong, unique value are not impacted by the bug.

1 day, 18 hours назад @ thehackernews.com
threatpost threatpost
последний пост None
DarkReading
последний пост None
WeLiveSecurity
последний пост 2 days, 3 hours назад
Forgotten UEFI shims undermining Secure Boot
Forgotten UEFI shims undermining Secure Boot Forgotten UEFI shims undermining Secure Boot

UEFI shim bootloader and UEFI Secure BootTo understand the impact that such vulnerable shims can have on UEFI Secure Boot-protected systems, we need to understand how UEFI Secure Boot works, and how signed UEFI shim bootloaders extend the Secure Boot trust chain.

In this section we’ll look at UEFI Secure Boot basics, how UEFI shims extend the UEFI Secure Boot trust chain, and two shim-related features: Machine Owner Key (MOK) and Secure Boot Advanced Targeting (SBAT).

For anyone already familiar with the theory, we recommend jumping directly to the section Bypassing UEFI Secure Boot using old shims.

UEFI shim bootloader and Secure BootWith Linux distributions supporting UEFI Secure Boot, th…

2 days, 3 hours назад @ welivesecurity.com
ESET Threat Report H1 2026
ESET Threat Report H1 2026 ESET Threat Report H1 2026

A view of the H1 2026 threat landscape as seen by ESET telemetry and from the perspective of ESET threat detection and research experts.

The first half of 2026 shows how attackers continue to improve the efficiency and scalability of their operations.

In H1 2026, ESET analyzed nearly 900,000 AI skills – small functional components used by AI agents – and identified tens of thousands of suspicious and thousands of outright malicious instances.

ESET detections of this vector more than doubled between H2 2025 and H1 2026, indicating sustained activity and adaptation.

ESET Research has documented over 100 EDR killers used in the wild, with new variants appearing regularly.

1 week, 1 day назад @ welivesecurity.com
Cyber readiness for SMBs: Getting the basics right
Cyber readiness for SMBs: Getting the basics right Cyber readiness for SMBs: Getting the basics right

Organizations are right to pay attention, especially because malicious use of AI makes old gaps a more urgent test of an organization’s cyber readiness.

AI and the basics“AI-powered malware” is cited as the top concern of global SMBs for the year ahead, according to the ESET SMB Cyber Readiness Index 2026.

Lack of security monitoring (22%): You might have plenty of security tools, but do you have a single, centralized place to collect, correlate and flag alerts?

Malicious email detection trend in 2025 (source: ESET Threat Report H2 2025)Tried-and-tested solutions to age-old threatsThis isn’t to say that SMBs should ignore AI-enabled threats.

True cyber readiness means being able to prevent,…

1 week, 6 days назад @ welivesecurity.com
This month in security with Tony Anscombe – June 2026 edition
This month in security with Tony Anscombe – June 2026 edition This month in security with Tony Anscombe – June 2026 edition

It's that time of month when ESET Chief Security Evangelist Tony Anscombe looks back at some of the top cybersecurity stories that made the news over the past 30 or so days and considers what they may mean for your own cyber-defenses.

What lessons does the new CISA policy hold for organizations outside the agency's direct remit?

What else is there to know about threats facing ATGs or, indeed, many other critical infrastructure systems?

How can you stay safe from imposter fraud, and could the social media bans for children work?

Learn more from Tony's video and be sure to check out the May 2026 edition of Tony's monthly security news roundup for more insights.

2 weeks, 1 day назад @ welivesecurity.com
Inside the inbox: Why cybercriminals want to break into your email account
Inside the inbox: Why cybercriminals want to break into your email account Inside the inbox: Why cybercriminals want to break into your email account

With access to your email account, they can reset your passwords across multiple other accounts – perhaps intercepting one-time passcodes sent by your bank, social media, cloud storage or other online provider.

That could lay the groundwork for a convincing phishing email designed to impersonate a trusted organization you interact with.

A phishing attack on your corporate email account is often the first stage in a bigger data breach, extortion/ransomware or espionage attack.

They’re also using more sophisticated tools to improve the success rates of email phishing campaigns.

In this instance the scammers reportedly hijacked the email account of a high-level executive, before impersonating …

2 weeks, 3 days назад @ welivesecurity.com
SMB cyber readiness: the road to resilience starts here
SMB cyber readiness: the road to resilience starts here SMB cyber readiness: the road to resilience starts here

For these businesses, cyber resilience should be the direction of travel – that is, the ability to continue operating and recover even during a serious incident.

Cyber readiness is about putting in place the processes and controls to prevent, detect and respond to threats.

So, should confidence in cyber resilience posture be so high, especially if organizations are still getting hit multiple times?

The truth is that there’s no end state for cyber readiness or resilience.

If it’s serious about improving the cyber readiness of small businesses, the vendor community should step up.

2 weeks, 6 days назад @ welivesecurity.com
Gamaredon in 2025: Leveraging tunnels, workers, dead drops, and new alliances
Gamaredon in 2025: Leveraging tunnels, workers, dead drops, and new alliances Gamaredon in 2025: Leveraging tunnels, workers, dead drops, and new alliances

Key points of this blogpost: Throughout 2025, Gamaredon exclusively targeted governmental and military institutions in Ukraine.

Continued data exfiltration and a new allianceThroughout 2025, Gamaredon stayed highly active and remained focused solely on Ukraine.

Notably, we uncovered that in early 2025, Gamaredon collaborated with Turla, another Russia-aligned threat actor also linked to the FSB; we documented our findings in our blogpost Gamaredon X Turla collab.

Figure 1 shows a chart of unique samples of HTA downloaders delivered per month in Gamaredon spearphishing campaigns.

Compared to 2024, we also saw a shift in how Gamaredon used these dead drops.

3 weeks назад @ welivesecurity.com
ESET takes part in Operation Endgame to disrupt Amadey and Stealc
ESET takes part in Operation Endgame to disrupt Amadey and Stealc ESET takes part in Operation Endgame to disrupt Amadey and Stealc

Key points of this blogpost: ESET took part in the coordinated, global Operation Endgame to disrupt Amadey and Stealc.

Our automated systems have been dissecting Amadey and Stealc samples and identifying the fields most relevant for large-scale tracking.

The largest Amadey botnet clusterOne cluster stands out as the largest, and it contributed nearly 34% of all processed Amadey samples.

Stealc affiliate clustering based on ESET telemetryConclusionFor global disruption operations such as Operation Endgame against Amadey and Stealc, long-term automated tracking of malware is necessary.

2026‑04‑09 Stealc C&C server.

3 weeks, 1 day назад @ welivesecurity.com
Killing me gently: Inside Gentlemen’s EDR killer framework
Killing me gently: Inside Gentlemen’s EDR killer framework Killing me gently: Inside Gentlemen’s EDR killer framework

The group distinguishes itself through a mature, operator-maintained set of endpoint detection and response (EDR) killers, i.e., tools for disrupting security software.

In this blogpost, we share our findings on Gentlemen’s suite of EDR killers gained through extensive research and corroborated by the recent leak.

Third‑party EDR killers (HexKiller, ThrottleBlood, and HavocKiller) are operationally integrated.

Rather than relying on affiliates to source their own EDR killers, Gentlemen operators actively develop and maintain a portfolio of EDR killers for affiliates.

It allows the Gentlemen operators to integrate abused drivers into their toolset very soon after an EDR killer PoC is disclos…

4 weeks назад @ welivesecurity.com
Protecting legacy OT systems against modern cyberthreats
Protecting legacy OT systems against modern cyberthreats Protecting legacy OT systems against modern cyberthreats

Of course, connecting production systems to enterprise networks delivers tangible benefits, but the security implications – that systems once safe were suddenly no longer so – arrived more quietly.

Start by mapping which systems in an environment are connected and have no security coverage, where IT and OT networks intersect, which segments are unmonitored, and which production systems have fallen outside any vendor support agreement.

Meanwhile, off-the-peg security tools often don’t efficiently meet the enterprise requirements in legacy OT systems that run on older hardware and outdated operating system versions.

The production systems running that version continue to operate for years, ac…

4 weeks, 1 day назад @ welivesecurity.com
FishMonger’s arsenal upgraded: SprySOCKS for Windows
FishMonger’s arsenal upgraded: SprySOCKS for Windows FishMonger’s arsenal upgraded: SprySOCKS for Windows

Key points of this blogpost: We discovered two previously undocumented Windows variants of FishMonger’s SprySOCKS backdoor.

Technical analysisIn this section, we provide a technical analysis of these new, Windows variants of FishMonger’s SprySOCKS backdoor.

Figure 3. klelam00007.bat setting up persistence for the SprySOCKS backdoor (newlines added for readability)Figure 4 depicts the execution chain of the SprySOCKS WIN_DRV variant.

It contained the SprySOCKS backdoor and the SprySOCKS loader.

6490B8E4AADE25A3EE2D A9A47F312DB2122470BC X1B5206BDC1 743DD.dat Win64/SprySOCKS.A Encrypted container of the encrypted WIN_DRV variant of SprySOCKS backdoor, encrypted SprySOCKS RawWNPF and SprySOCKS …

1 month назад @ welivesecurity.com
EvilTokens: A phishing attack that doesn’t steal your password
EvilTokens: A phishing attack that doesn’t steal your password EvilTokens: A phishing attack that doesn’t steal your password

Instead, attackers get the victim to complete a legitimate authentication process – including two-factor authentication (2FA) – on a real Microsoft login page.

What makes EvilTokens dangerousThe OAuth device code flow was designed for devices that may be awkward to sign into directly, such as smart TVs or printers.

No document, invoice, email, or another platform should ask for a device code without a clear reason.

A real Microsoft page doesn’t automatically make a request safe.

Sometimes the attacker could ask them to enter a real code on a real page – but for the wrong device.

1 month назад @ welivesecurity.com
OceanLotus: From external espionage to domestic targeting
OceanLotus: From external espionage to domestic targeting OceanLotus: From external espionage to domestic targeting

During this period, the Vietnam-aligned OceanLotus adopted a more selective approach to external operations while placing increasing emphasis on domestic espionage.

We identified two distinct campaigns involving the SPECTRALVIPER backdoor: a supply-chain attack targeting stock investors in Vietnam and a prolonged espionage operation against a Vietnamese infrastructure and transport construction company.

The domain resolved to the genuine IP address of the FireAnt update server, suggesting a supply-chain compromise scenario.

LTD 2025‑09‑20 SPECTRALVIPER C&C server.

]com IRT‑CHOOPALLC‑AP 2025‑09‑20 SPECTRALVIPER C&C server.

1 month назад @ welivesecurity.com
SMB cyber-readiness: What makes or breaks it
SMB cyber-readiness: What makes or breaks it SMB cyber-readiness: What makes or breaks it

But that realization alone clearly doesn’t prepare them to withstand an attack.

Have the repeat victims come to view their brushes with cyber-incidents as proof of “what doesn’t kill me makes me stronger”?

For all the talk around AI, automation and attacker sophistication, many SMB breaches still begin with a familiar opening.

A total of 71% of SMBs globally now carry cyber insurance, rising to 84% in North America, with adoption climbing sharply among repeat victims.

While “when, not if” has never been more true, that alone doesn’t prepare a business for adversity.

1 month назад @ welivesecurity.com
Cybercriminals: the 'auditors' you never hired
Cybercriminals: the 'auditors' you never hired Cybercriminals: the 'auditors' you never hired

There’s a phrase that is peddled out by governments and companies alike when a catastrophe of any type – including a cybersecurity breach – occurs: “Lessons have been learnt”.

The 130% increase in significant incidents between 2024 and 2025 severely challenges this assertion and points to lessons not being learnt, at a macro level.

In fact, this reluctance to look could also be normalcy bias quietly doing its work.

That is why this metaphor matters – cybercriminals discover the gap between what an organisation believes about its security and what the reality is.

We must accept that normalcy bias exists and act upon it.

1 month, 1 week назад @ welivesecurity.com
Naked Security Naked Security
последний пост None
Help Net Security Help Net Security
последний пост 48 минут назад
ValorC3 extends SaaS protection with immutable cloud backups
ValorC3 extends SaaS protection with immutable cloud backups ValorC3 extends SaaS protection with immutable cloud backups

ValorC3 Data Centers today announced the general availability of Backup as a Service, a fully managed offering that protects the SaaS data businesses rely on most, including Microsoft 365, Entra ID and Salesforce.

Most companies falsely assume SaaS vendors provide backup service.

ValorC3 leverages its status as a Veeam Gold Service Provider, running the service on Veeam Data Cloud.

A deleted mailbox or a ransomware hit can wipe out data that no SaaS vendor will restore.

ValorC3 customers revert to a clean copy and keep working, turning an outage into a non-event and saving them millions of dollars and from irreparable brand damage.

48 минут назад @ helpnetsecurity.com
Intruder brings AI-powered, on-demand penetration testing to web applications
Intruder brings AI-powered, on-demand penetration testing to web applications Intruder brings AI-powered, on-demand penetration testing to web applications

Intruder has announced the launch of AI Pentesting for web applications, providing on-demand penetration testing.

Major deployments are happening weekly, and without more frequent pentesting, security and engineering risk falling dangerously out of step.

“Providing web application testing marks an exciting step on that journey.

Tests in minutes: Pentests run in minutes to hours, depending on the complexity of the web application being tested.

Affordable accessibility: Automated web application pentest costs 25% or less than a traditional manual engagement with results available in hours instead of weeks to months.

1 час назад @ helpnetsecurity.com
Romania’s land registry hit by cyber attack, data allegedly for sale
Romania’s land registry hit by cyber attack, data allegedly for sale Romania’s land registry hit by cyber attack, data allegedly for sale

Romania’s National Agency for Cadastre and Land Registration (ANCPI) suffered a major disruption on Tuesday, July 14, when its e-Terra cadastre and land registry app became unavailable to users.

What was first declared to be a “major technical incident” has now been confirmed as a cyber attack.

“Digitalization quickly creates dependency, but it must also ensure trust.”Threat actor claims data theft and ransomware deploymentDark Web Informer flagged that a threat actor who goes by “ByteToBreach” is trying to sell on a dark web forum data allegedly stolen from ANCPI.

The threat actor provided as proof screenshots made during the intrusion.

ByteToBreach is known for selling on DarkForums data …

2 часа назад @ helpnetsecurity.com
Tenable One unifies code risks with enterprise exposure data
Tenable One unifies code risks with enterprise exposure data Tenable One unifies code risks with enterprise exposure data

Tenable has announced the expansion of the Tenable One Exposure Management Platform, unifying application security risks with all other exposure data.

By integrating static code vulnerability data, Tenable One delivers complete, code-to-runtime visibility across the entire attack surface.

Security teams have long struggled with a code security problem where vulnerable code reaches production faster than it can be reviewed.

Tenable One ingests, analyzes and normalizes data from relevant application development and security sources, including AI application security tools, such as Claude Security.

“Bringing application security data into Tenable One, we’re giving our customers the context the…

3 часа назад @ helpnetsecurity.com
Lineation.ai focuses on runtime security for autonomous AI agents
Lineation.ai focuses on runtime security for autonomous AI agents Lineation.ai focuses on runtime security for autonomous AI agents

Lineation.ai has announced the public launch of its comprehensive agentic security platform.

Delivering a solution at the intersection of genAI application security and runtime defense, lineation introduces a zero trust unified control plane and a lightweight endpoint daemon that secures autonomous AI agents directly at execution.

As enterprises adopt autonomous AI agents that read sensitive data, call APIs, and execute workflows, traditional static perimeters and standard LLM gateways fall blind.

“Legacy networks and traditional LLM gateways were not built for software that reasons, accesses databases via MCP, and executes operations autonomously,” said Cameron Manavian, CEO of Lineation.a…

3 часа назад @ helpnetsecurity.com
Microsoft makes Windows SSO prompts easier to manage
Microsoft makes Windows SSO prompts easier to manage Microsoft makes Windows SSO prompts easier to manage

Microsoft is introducing a new registry-based policy that lets IT administrators automatically accept Windows SSO permissions on Windows 11 versions 24H2 and 25H2 devices managed with Microsoft Entra ID.

Users with personal Microsoft accounts and devices outside policy-managed environments will continue to receive SSO permission prompts.

Admin control for SSO prompts in Windows (Source: Microsoft)Why Microsoft introduced itIn the European Economic Area (EEA), Microsoft changed the Windows sign-in experience so users can choose whether to use the same account across Microsoft apps and services, giving them greater control over where their account is used.

“For managed enterprise environments…

3 часа назад @ helpnetsecurity.com
Police take down investment fraud network that stole €100 million a month
Police take down investment fraud network that stole €100 million a month Police take down investment fraud network that stole €100 million a month

Dutch police, working alongside Belgian authorities and Europol, have dismantled a major criminal network accused of operating a global investment fraud scheme through dozens of fraudulent call centers.

Investigators estimate the organization generated more than €100 million a month by targeting victims in multiple countries.

The operation behind the scamAccording to police, the network operated under the cover of a legitimate business.

Authorities believe the main suspect’s background in cybercrime helped the network avoid detection for an extended period.

Financial records and IP address data helped investigators identify equipment, office locations, and suspects, while Europol facilitate…

4 часа назад @ helpnetsecurity.com
VS Code agent host runs Copilot, Claude, and Codex in a dedicated process
VS Code agent host runs Copilot, Claude, and Codex in a dedicated process VS Code agent host runs Copilot, Claude, and Codex in a dedicated process

The 1.129 release of Visual Studio Code reworks that setup with a dedicated agent host.

A dedicated process for agent sessionsThe agent host is a separate process that runs agent harnesses such as Copilot, Claude, and Codex, built on the Agent Host Protocol.

The Copilot agent inside the host draws on the Copilot SDK, so its behavior lines up with the Copilot CLI, the standalone GitHub Copilot app, and other Copilot products.

VS Code shows an Open Session pill whenever a tool creates or targets a session.

prefix that runs their contents as terminal commands inside agent host sessions.

4 часа назад @ helpnetsecurity.com
Reading between the lines of a cyber insurance policy
Reading between the lines of a cyber insurance policy Reading between the lines of a cyber insurance policy

Enterprises in regulated industries often carry cyber insurance policies because contracts require it or boards ask for documented risk transfer.

The US cyber market contracted in premium volume for the first time on record, driven by eleven consecutive quarters of rate decreases.

“Cyber insurance has a legitimate role, but it is not a control plane, a trust model, or a resilience strategy.

That figure sits far above the total premiums the entire cyber insurance market collects each year.

Cunningham sees room for a federal cyber backstop along the lines of the Terrorism Risk Insurance Act, with conditions attached.

6 часов назад @ helpnetsecurity.com
What public money does to open-source projects
What public money does to open-source projects What public money does to open-source projects

Open-source code sits under web apps, build pipelines, and the machine learning stacks getting so much attention right now.

It signs maintenance contracts with open-source projects, starting at 50,000 euros and running anywhere from several months to a couple of years.

Her approach was to build a stand-in for each funded project out of similar projects that got nothing, then check whether the funded ones pulled ahead.

She started with a long list of open source projects that plenty of other software leans on, picked the ones that resembled the funded projects on things like dependent repositories, stars, and forks, and landed on 62 unfunded projects to measure twelve funded ones against.

Fo…

7 часов назад @ helpnetsecurity.com
Ransom demands are down, email is the top way attackers get in
Ransom demands are down, email is the top way attackers get in Ransom demands are down, email is the top way attackers get in

An employee opens an email that looks like any other, clicks a link, and gives up a password without noticing.

Stolen credentials sit close behind email as a way in.

Close to eight in ten attacks opened with an identity-based move, taking a credential or using one already taken.

Attackers leaned on logins and email lures, a cheaper way into the network.

Victims talked more of these down, and just over half paid less than the number the attacker first named.

7 часов назад @ helpnetsecurity.com
Companies keep getting breached by vulnerabilities they already knew about
Companies keep getting breached by vulnerabilities they already knew about Companies keep getting breached by vulnerabilities they already knew about

Organizations now find more weaknesses across more of their systems than at any earlier point in the industry’s history.

The team that finds a vulnerability usually cannot fix itDiscovery and repair often sit with different groups.

More than a third of respondents say remediation ownership depends on the situation or remains ambiguous.

When responsibility for a fix has no home, the work stalls as teams sort out who acts.

“The difference between the organizations getting breached by vulnerabilities they already knew about and the ones that never are isn’t better detection.

8 часов назад @ helpnetsecurity.com
GPT-Red beat human red teamers on a prompt injection test
GPT-Red beat human red teamers on a prompt injection test GPT-Red beat human red teamers on a prompt injection test

GPT-Red is an automated red-teaming model that OpenAI trains to find prompt injection weaknesses.

Each side pushes the other, so GPT-Red keeps discovering stronger and more varied attacks as the defenders harden.

The company keeps GPT-Red internal and apart from anything it ships, which keeps the attack skills it builds away from real adversaries.

On a replicated version of the indirect prompt injection arena from Dziemian et al.

Several indirect prompt injection benchmarks covering developer tools and browsing have topped 97% accuracy on the newest model.

8 часов назад @ helpnetsecurity.com
Finance phishing works because it sounds boringly normal
Finance phishing works because it sounds boringly normal Finance phishing works because it sounds boringly normal

Such phishing emails are also likely to bypass AI-based secure email gateways (SEGs) and other email security technologies.

Finance phishing mimics business workflowsFinance-themed campaigns account for the highest volume of phishing emails across all campaign categories.

Business opportunities, contracts and paymentsAttackers use fake business opportunities because unsolicited commercial messages are common in finance and procurement.

Why contract and payment phishing worksContract-related lures that appear to involve ongoing negotiations are successful because they create a sense of continuity.

Example of a finance-themed credential phishing email leveraging an embedded malicious URL to f…

9 часов назад @ helpnetsecurity.com
LabubaRAT malware infiltrates Windows systems while posing as NVIDIA software
LabubaRAT malware infiltrates Windows systems while posing as NVIDIA software LabubaRAT malware infiltrates Windows systems while posing as NVIDIA software

LabubaRAT, a previously undocumented Rust-based remote access tool (RAT) masquerading as NVIDIA software that enables post-compromise operations on Windows systems, has been uncovered by Blackpoint Cyber.

Blackpoint Cyber named the malware LabubaRAT after discovering a “LabubaPanel” title and a Labubu-themed favicon on its associated command-and-control (C2) infrastructure.

Those values determine how the malware connects to its infrastructure and how frequently it checks in for new commands.

The malware can also establish persistence by creating a Windows Run registry key, allowing it to launch automatically after a reboot.

The sample combined runtime configuration, local state, host profil…

21 час назад @ helpnetsecurity.com
IT Security Guru IT Security Guru
последний пост None
SecurityTrails
последний пост None
Блоги 👨‍💻
Бизнес без опасности Бизнес без опасности
последний пост None
Жизнь 80 на 20 Жизнь 80 на 20
последний пост None
ZLONOV ZLONOV
последний пост None
Блог Артема Агеева Блог Артема Агеева
последний пост None
Киберпиздец Киберпиздец
последний пост None
Schneier on Security Schneier on Security
последний пост 1 day, 1 hour назад
A Video Screen That Is Also a Camera
A Video Screen That Is Also a Camera A Video Screen That Is Also a Camera

Amazing:Researchers from ETH Zurich in Switzerland, however, managed to create a new type of pixel that can simultaneously do both.

This hypercharged pixel, called a Fourier pixel, can generate and sense arbitrary light fields and tap into a pixel’s full potential for carrying information by manipulating light’s intensity, oscillation phases, and polarization.

The team reported its findings in a paper published yesterday in Nature.

We are one step closer to 1984 technology:The telescreen received and transmitted simultaneously.

There was of course no way of knowing whether you were being watched at any given moment.

1 day, 1 hour назад @ schneier.com
Upcoming Speaking Engagements
Upcoming Speaking Engagements Upcoming Speaking Engagements

I’m speaking at Boston Leadership Exchange in Boston, Massachusetts, USA, on Wednesday, July 22, 2026.

I’m speaking at Cognitive Security Conference in Las Vegas, Nevada, USA.

The conference runs August 6-7, 2026; my speaking time is TBD.

I’m speaking at DEF CON 34 in Las Vegas, Nevada, USA.

The conference runs September 30–October 1, 2026; the time of my talk is TBD.

1 day, 20 hours назад @ schneier.com
Vulnerability in FIFA’s Network
Vulnerability in FIFA’s Network Vulnerability in FIFA’s Network

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

Contact Info

2 days, 1 hour назад @ schneier.com
AI Data Centers and the Concentration of Wealth
AI Data Centers and the Concentration of Wealth AI Data Centers and the Concentration of Wealth

AI Data Centers and the Concentration of WealthThis essay was written with Nathan E. Sanders, and originally appeared in The Guardian.

Opposition to AI data centers has emerged as a primary theme in US politics, one that—surprisingly—doesn’t fall along party lines.

For some, data center opposition may feel like the only tangible mechanism for registering their concern, disapproval, or even anger about AI.

The problem is that this may be exactly what the AI companies are banking on.

And while data center opposition campaigns have been successful in building widespread appeal, their effectiveness in the US is mixed.

3 days, 1 hour назад @ schneier.com
Friday Squid Blogging: “Squidbleed” Vulnerability
Friday Squid Blogging: “Squidbleed” Vulnerability Friday Squid Blogging: “Squidbleed” Vulnerability

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

Contact Info

5 days, 15 hours назад @ schneier.com
AI Surveillance and Social Progress
AI Surveillance and Social Progress AI Surveillance and Social Progress

These systems will combine powerful AI, public and private surveillance via real-time facial recognition technology and digital tracking, mass databases and highly personalized enforcement.

If deployed at scale, they will have profound chilling effects not just on personal freedoms, but democracy and social progress itself.

AI surveillance is now being experimented with in North America, South America, Europe, Asia and Africa.

While the systems are ostensibly used to maintain security and public safety, the real aim is often social control.

But we believe the most urgent and long-term impact will be its broader chilling effects.

6 days, 1 hour назад @ schneier.com
The Language of AI Could Change How Humans Speak
The Language of AI Could Change How Humans Speak The Language of AI Could Change How Humans Speak

Internet risks are nothing new, and cyberattacks—both large and small—have been a significant issue since long before the current crop of generative AI models.

Contrast the L0pht hackers with hackers derided as “script kiddies.” They didn’t understand computers, or security.

Instructing AI models to spy on people and report any malicious prompts to the authorities fails for similar reasons.

We want these AI models to be able to review computer code, find vulnerabilities and automatically fix them.

They are things talked about at that congressional hearing back in 1998, titled “Weak computer security in government: Is the public at risk?” Even the Five Eyes admitted that their security advic…

1 week назад @ schneier.com
Cybersecurity and the Gap Between Skill and Ability
Cybersecurity and the Gap Between Skill and Ability Cybersecurity and the Gap Between Skill and Ability

Internet risks are nothing new, and cyberattacks—both large and small—have been a significant issue since long before the current crop of generative AI models.

Contrast the L0pht hackers with hackers derided as “script kiddies.” They didn’t understand computers, or security.

Instructing AI models to spy on people and report any malicious prompts to the authorities fails for similar reasons.

We want these AI models to be able to review computer code, find vulnerabilities and automatically fix them.

They are things talked about at that congressional hearing back in 1998, titled “Weak computer security in government: Is the public at risk?” Even the Five Eyes admitted that their security advic…

1 week, 1 day назад @ schneier.com
Google Is Suing Chinese Scammers Who Are Using Gemini
Google Is Suing Chinese Scammers Who Are Using Gemini Google Is Suing Chinese Scammers Who Are Using Gemini

Not sure this will have any effect, but I support the effort:According to Google’s legal filing, Outsider Enterprise operates through Telegram.

The group offers phishing-as-a-service to individuals who may not be technically savvy enough to set up fraudulent websites and text campaigns on their own.

In its Telegram channels, Outsider Enterprise reportedly provided instructions on how to use Google’s Gemini AI to create websites that imitate those of Google, YouTube, and government agencies such as New York’s E-ZPass.

[…]Google worked with AT&T, Verizon, and T-Mobile to block many of these malicious text messages, and Google notes that its on-device scam detection in Google Messages probably…

1 week, 2 days назад @ schneier.com
France to Stop Certifying Non-Quantum-Safe Encryption
France to Stop Certifying Non-Quantum-Safe Encryption France to Stop Certifying Non-Quantum-Safe Encryption

France is accelerating its transition to post-quantum encryption:France’s cybersecurity agency ANSSI said on Tuesday it would stop certifying security products that lack quantum-resistant encryption, a move that will force government bodies and critical operators to shift away from older systems.

Samih Souissi, ANSSI’s chief of staff, said at the France Quantum conference that the agency would halt such certifications from 2027, and that businesses should be buying only quantum-safe products by 2030.

ANSSI approval is required for use in French government agencies and critical infrastructure, making the policy a de facto phase-out of older encryption.

1 week, 3 days назад @ schneier.com
Flock Cameras Can Surveil Cars Without License Plates
Flock Cameras Can Surveil Cars Without License Plates Flock Cameras Can Surveil Cars Without License Plates

This is from a 2024 company presentation:Officers can also tap into data showing a car’s decals, bumper stickers, back and top racks—along with temporary and unique state tags.

Flock calls it a “Vehicle Fingerprint” and it’s touted as a way for law enforcement officials to get more information “even when you don’t have full plate information,” the company’s presentation shows.

The company gives police officers the ability to search that data as well, to “build stronger cases with less information upfront.” That includes being able to locate multiple vehicles law enforcement officials believe are moving together and what Flock calls a “multi geo search.”

1 week, 6 days назад @ schneier.com
Cybersecurity Mission Creep in the US
Cybersecurity Mission Creep in the US Cybersecurity Mission Creep in the US

Interesting paper: “Cybersecurity Mission Creep.”Abstract: Cybersecurity is experiencing mission creep.

Positioned as security threats, cybersecuritized issues become endowed with the apparent normative power to override countervailing considerations, oversimplifying the problem.

Cybersecuritization’s oversimplification similarly risks unidimensional solutions and invites use of argumentative trump cards, like First Amendment challenges.

Together, the reductive tendencies of cybersecuritization and the deference it prompts to specialists renders ultimate governance choices more opaque.

If we continue to ignore it, we risk abdicating further responsibility for difficult choices to the trump …

2 weeks назад @ schneier.com
Papa Johns Surveillance-Based Advertising
Papa Johns Surveillance-Based Advertising Papa Johns Surveillance-Based Advertising

The idea is to reach hungry consumers by “knowing what is in their fridge without being too creepy,” said Carrie Drinkwater, chief investment officer at Carat.

To achieve that goal, NBCU and Instacart created a custom audience of shoppers who regularly purchase grocery staples on Instacart, such as eggs, milk, meat and produce.

Based on that data, Papa Johns can determine which days of the week certain consumers are likely to run out of groceries and serve them an ad on NBCU streaming content accordingly.

So the way for Papa John’s to not be “too creepy” is to deliberately get it wrong sometimes.

Posted on July 1, 2026 at 6:53 AM • 0 Comments

2 weeks, 1 day назад @ schneier.com
The Realities of AI Video Surveillance
The Realities of AI Video Surveillance The Realities of AI Video Surveillance

The Realities of AI Video SurveillanceThe Financial Times has a good article on how AI is changing the capabilities of video surveillance, with information from both Israel/Iran and Russia.

I wrote about this sort of thing a few years ago, how AI enables mass spying in the way that computers and networks enabled mass surveillance.

The interesting development in the article is that AI allows people to ask natural language questions about video footage to AIs—and AIs can answer them.

In contrast with older tools restricted to a few dozen preset searches, these new tools allow an almost unlimited range of enquiries by enabling language-based searches on video.

“This is the holy grail of survei…

2 weeks, 2 days назад @ schneier.com
Factoring RSA Keys with Many Zeros
Factoring RSA Keys with Many Zeros Factoring RSA Keys with Many Zeros

Interesting research on a new class of weak RSA keys: keys with lots of zeros.

The badkeys project is an open-source service that checks public keys for known vulnerabilities.

Pattern 2 appears on SSH hosts running the CompleteFTP software from EnterpriseDT.

The underlying vulnerability affects RSA keys generated using versions 10.0.0­12.0.0 (Dec 2016­Mar 2019) and DSA keys generated with v10.0.0­23.0.4 (Dec 2016­Dec 2023).

More implementations may include the same bugs, and so it’s worth tailoring cryptanalytic algorithms for this particular type of failure.

2 weeks, 2 days назад @ schneier.com
Krebs On Security
последний пост 1 day, 17 hours назад
Microsoft Patches a Record 570 Security Flaws
Microsoft Patches a Record 570 Security Flaws Microsoft Patches a Record 570 Security Flaws

Microsoft attributed the burgeoning patch counts to vulnerability discoveries aided by artificial intelligence.

Microsoft also addressed three zero-day flaws that are already being exploited in the wild.

As AI advances the state of vulnerability discovery and remediation, it is also making it easier for attackers to quickly devise working exploits for known software flaws.

Backing up your Windows system and/or data is always a good idea before applying operating system updates.

It’s not uncommon for security patches to introduce system stability issues, and those chances probably increase quite a bit with the gigantic patch count released today.

1 day, 17 hours назад @ krebsonsecurity.com
Lessons Learned from CISA’s Recent GitHub Leak
Lessons Learned from CISA’s Recent GitHub Leak Lessons Learned from CISA’s Recent GitHub Leak

Experts say the gaps identified in the agency’s initial response provide important lessons that all security teams should absorb.

CISA also admitted it can do better when it comes to responding to security incident notifications from external parties.

Valadon’s company constantly scans public code repositories at GitHub and elsewhere for exposed secrets, automatically alerting the offending accounts of any apparent sensitive data exposures.

Valadon said the report validates the need to scan continuously — not just quarterly — for exposed secrets.

“Continuous monitoring of public GitHub surfaced it.

2 days, 21 hours назад @ krebsonsecurity.com
Felons, Fraudsters Flog Offensive Cybersecurity Startup
Felons, Fraudsters Flog Offensive Cybersecurity Startup Felons, Fraudsters Flog Offensive Cybersecurity Startup

IRIS C2 says it is a company in McLean, Va. that sells offensive cybersecurity capabilities.

“Our business model is this,” reads a pinned post on top of the IRIS C2 account on X.

The website claims IRIS C2 is in the business of acquiring “zero-day exploits, individual primitives, partial chains, and full capabilities across all major platforms.

When approached with questions about IRIS C2, Burkman referred further inquiries to his longtime associate, 28-year-old Jacob Wohl.

In May, the author of the IRIS C2 account on X said that his girlfriend had no idea what he did for a living.

1 week, 1 day назад @ krebsonsecurity.com
FBI Seizes NetNut Proxy Platform, Popa Botnet
FBI Seizes NetNut Proxy Platform, Popa Botnet FBI Seizes NetNut Proxy Platform, Popa Botnet

Benjamin Brundage is founder of the proxy tracking service Synthient, one of the companies that published evidence last month linking the Popa botnet to NetNut and Alarum Technologies.

Brundage said the domain seizures appear to have disrupted both the Popa botnet and the NetNut proxy network that rides on top of it.

“Google has high confidence that many popular residential proxy brands are in fact whitelabeling the NetNut botnet,” the GTIG report concludes.

What we have observed is that when faced with the degradation of their own botnet, proxy operators begin buying capacity from their competitors, effectively becoming a reseller.

More than a quarter of the apps made for Samsung’s Tizen o…

1 week, 6 days назад @ krebsonsecurity.com
Scattered Spider Hackers Plead Guilty on Day 1 of Trial
Scattered Spider Hackers Plead Guilty on Day 1 of Trial Scattered Spider Hackers Plead Guilty on Day 1 of Trial

The duo were key members of a prolific cybercrime group known as Scattered Spider, and their guilty pleas came on the first day of what was expected to be a six-week trial.

In April 2026, 24-year-old British national and Scattered Spider member Tyler “Tylerb” Buchanan pleaded guilty to wire fraud conspiracy and aggravated identity theft for participating in the group’s SMS phishing spree in the summer of 2022.

The government said Buchanan, Jubair and others used the credentials harvested in that phishing campaign to steal at least $8 million in cryptocurrency from victims throughout the United States.

The U.S. Department of Justice says three alleged Scattered Spider defendants indicted alo…

3 weeks, 1 day назад @ krebsonsecurity.com
‘Popa’ Botnet Linked to Publicly-Traded Israeli Firm
‘Popa’ Botnet Linked to Publicly-Traded Israeli Firm ‘Popa’ Botnet Linked to Publicly-Traded Israeli Firm

This week, researchers from multiple security firms concluded that the Popa botnet is linked to NetNut, a “residential proxy” provider operated by the publicly-traded Israeli firm Alarum Technologies Ltd [NASDAQ: ALAR].

Qurium said that immediately after that disruption, several dozen new domains were registered to serve as controllers for the Popa botnet, but that one of those control domains was not new: ninjatech[.]io.

Jérôme Meyer, a security researcher at Nokia Deepfield, said the total population of devices participating in the Popa botnet may be far higher than Lumen’s estimates.

“Over 90% of our pharmaceutical and food & beverage customers have queried residential proxy indicators.

3 weeks, 6 days назад @ krebsonsecurity.com
Who Runs the Ransomware Group ‘The Gentlemen?’
Who Runs the Ransomware Group ‘The Gentlemen?’ Who Runs the Ransomware Group ‘The Gentlemen?’

This post examines clues pointing to a real life identity for the administrator of The Gentlemen ransomware group.

Experts at the security firm Check Point Software have been closely covering exploits of The Gentlemen, a so-called “ransomware-as-a-service” (RaaS) offering that pays affiliates handsomely to help spread the group’s malware.

According to Check Point, the group targets Internet-facing devices (VPNs, firewalls) as their entry point, and once inside moves quickly to encrypt entire networks within hours.

Check Point says the administrator and primary operator of the ransomware group uses the nickname Zeta88 on the Russian-language cybercrime forums, and that this individual was pr…

1 month назад @ krebsonsecurity.com
A Record-Breaking Patch Tuesday for June 2026
A Record-Breaking Patch Tuesday for June 2026 A Record-Breaking Patch Tuesday for June 2026

Microsoft today released software updates to plug nearly 200 security holes across its Windows operating systems and supported software, a record number of fixes for the company’s monthly Patch Tuesday cycle.

“Some surveys put AI usage among security professionals generally at 90%, so it’s unsurprising that this volume of patches may be the norm,” Narang said.

Microsoft received heavily blowback on social media last month after it said in a blog post that it was considering taking legal action against the security researcher.

While 200 vulnerabilities may be a record for Patch Tuesday, the actual number of security flaws Microsoft addressed this month is far higher, said Rapid7’s Adam Barne…

1 month назад @ krebsonsecurity.com
Hackers Used Meta’s AI Support Bot to Seize Instagram Accounts
Hackers Used Meta’s AI Support Bot to Seize Instagram Accounts Hackers Used Meta’s AI Support Bot to Seize Instagram Accounts

On May 31, word began to spread on several Telegram instant message channels that Meta’s AI bot would happily add an email address to an existing account as part of the bot’s standard password reset flow.

Meta has not responded to requests for comment on the video’s claims, but the company reportedly did acknowledge the dormant Instagram account for the Obama White House was briefly compromised.

Meta’s solution was to deploy a conversational AI layer to handle common recovery workflows: relinking a lost email address, triggering a password reset, verifying account ownership.

Just like human customer support employees can be social engineered into providing unauthorized access to someone’s a…

1 month, 2 weeks назад @ krebsonsecurity.com
Netherlands Seizes 800 Servers, Arrests 2 for Aiding Cyberattacks
Netherlands Seizes 800 Servers, Arrests 2 for Aiding Cyberattacks Netherlands Seizes 800 Servers, Arrests 2 for Aiding Cyberattacks

But as KrebsOnSecurity observed in September 2025, those sanctions failed to target Stark’s remaining connection to the Internet — an Internet service provider based in the Netherlands called MIRhosting.

MIRhosting is operated by Andrey Nesterenko, a 39-year-old Russian native who runs the business out of the Netherlands.

And as our September 2025 report showed, WorkTitans was controlled by Nesterenko and a 57-year-old from Amsterdam named Youssef Zinad.

On top of that, WorkTitans was getting connectivity to the larger Internet solely through MIRhosting, where Zinad had worked previously.

“The transition to the.hosting was not intended to evade sanctions,” Nesterenko wrote.

1 month, 3 weeks назад @ krebsonsecurity.com
Lawmakers Demand Answers as CISA Tries to Contain Data Leak
Lawmakers Demand Answers as CISA Tries to Contain Data Leak Lawmakers Demand Answers as CISA Tries to Contain Data Leak

The inquiry comes as CISA is still struggling to contain the breach and invalidate the leaked credentials.

Experts who reviewed the exposed secrets said the commit logs for the code repository showed the CISA contractor disabled GitHub’s built-in protection against publishing sensitive credentials in public repos.

CISA acknowledged the leak but has not responded to questions about the duration of the data exposure.

TruffleHog does this by monitoring a live feed that GitHub publishes which includes a record of all commits and changes to public code repositories.

In practical terms, it is likely that cybercrime groups or foreign adversaries also noticed the publication of these CISA secrets, …

1 month, 3 weeks назад @ krebsonsecurity.com
Alleged Kimwolf Botmaster ‘Dort’ Arrested, Charged in U.S. and Canada
Alleged Kimwolf Botmaster ‘Dort’ Arrested, Charged in U.S. and Canada Alleged Kimwolf Botmaster ‘Dort’ Arrested, Charged in U.S. and Canada

A criminal complaint unsealed today in an Alaska district court charges Jacob Butler, a.k.a.

“Dort,” of Ottawa, Canada with operating the Kimwolf DDoS botnet.

“KimWolf was tied to DDoS attacks which were measured at nearly 30 Terabits per second, a record in recorded DDoS attack volume,” the Justice Department statement reads.

Synthient was among many technology companies thanked by the Justice Department today, and Synthient’s founder Ben Brundage told KrebsOnSecurity he’s relieved Butler is in custody.

The DOJ said at least one of those services collaborated with Butler’s Kimwolf botnet.

1 month, 3 weeks назад @ krebsonsecurity.com
CISA Admin Leaked AWS GovCloud Keys on Github
CISA Admin Leaked AWS GovCloud Keys on Github CISA Admin Leaked AWS GovCloud Keys on Github

Until this past weekend, a contractor for the Cybersecurity & Infrastructure Security Agency (CISA) maintained a public GitHub repository that exposed credentials to several highly privileged AWS GovCloud accounts and a large number of internal CISA systems.

Another file exposed in their public GitHub repository — “AWS-Workspace-Firefox-Passwords.csv” — listed plaintext usernames and passwords for dozens of internal CISA systems.

“The available Git metadata alone does not prove which endpoint or device was used.”Caturegli said he validated that the exposed credentials could authenticate to three AWS GovCloud accounts at a high privilege level.

CISA has not responded to questions about the p…

1 month, 4 weeks назад @ krebsonsecurity.com
Patch Tuesday, May 2026 Edition
Patch Tuesday, May 2026 Edition Patch Tuesday, May 2026 Edition

Artificial intelligence platforms may be just as susceptible to social engineering as human beings, but they are proving remarkably good at finding security vulnerabilities in human-made computer code.

May’s Patch Tuesday is a welcome respite from April, which saw Microsoft fix a near-record 167 security flaws.

But at the end of April, Oracle announced it was switching to a monthly update cycle for critical security issues.

Chrome automagically downloads available security updates, but installing them requires fully restarting the browser.

For a more granular look at the Microsoft updates released today, checkout this inventory by the SANS Internet Storm Center.

2 months назад @ krebsonsecurity.com
Canvas Breach Disrupts Schools & Colleges Nationwide
Canvas Breach Disrupts Schools & Colleges Nationwide Canvas Breach Disrupts Schools & Colleges Nationwide

The stated deadline for payment was initially set at May 6, but it was later pushed back to May 12.

The May 6 update stated that Canvas was fully operational, and that Instructure was not seeing any ongoing unauthorized activity on their platform.

Instructure responded by pulling Canvas offline and replacing the portal with the message, “Canvas is currently undergoing scheduled maintenance.

Data extortion groups like ShinyHunters will typically only remove victims from their leak sites after receiving an extortion payment or after a victim agrees to negotiate.

Last month, ShinyHunters relieved the home security giant ADT of personal information on 5.5 million customers.

2 months, 1 week назад @ krebsonsecurity.com
Graham Cluley Graham Cluley
последний пост 3 часа назад
Smashing Security podcast #476: Remote-control rickshaws and rogue book marketers
Smashing Security podcast #476: Remote-control rickshaws and rogue book marketers Smashing Security podcast #476: Remote-control rickshaws and rogue book marketers

That is a really, really busy street potentially.

I don't know what the difference is between a tuk-tuk and a rickshaw.

I don't know.

Yeah, it's got to be a Bluetooth transmitter from the battery, and within the battery there's an operating system or something that'll need updating.

It's really, really great.

3 часа назад @ grahamcluley.com
The ransomware negotiator who was working for the other side
The ransomware negotiator who was working for the other side The ransomware negotiator who was working for the other side

When a company falls victim to a ransomware attack, it is not uncommon for it to turn to experts for help.

Specialist ransomware negotiation firms handle communications with criminal gangs on a victim's behalf.

41-year-old Martino worked as a ransomware negotiator for DigitalMint, an incident response company based in Chicago.

The ransomware victim, a hospitality company, ultimately paid out nearly US $16.5 million.

The company has since changed the way its negotiators communicate with ransomware gangs, and is working with the Department of Homeland Security to establish a registry for the currently highly-unregulated world of ransomware negotiation.

2 days, 4 hours назад @ bitdefender.com
Invited to a “job interview” with Netflix or OpenAI? Beware! Your Google password could be at risk
Invited to a “job interview” with Netflix or OpenAI? Beware! Your Google password could be at risk Invited to a “job interview” with Netflix or OpenAI? Beware! Your Google password could be at risk

Have you received an email from a recruiter at Adobe, Netflix, or OpenAI offering you an exciting new marketing role?

Security experts have uncovered a phishing campaign which impersonates over 30 well-known brands in fake job interviews designed to steal Google account passwords.

When victims click on "Continue with Google," a pop-up appears that looks like a legitimate Google authentication dialog.

In the past the FBI has warned the public about scammers using fake job ads to steal money and personal information from applicants.

Earlier this year, Hot for Security published a guide explaining how many fake recruiter scams work, and how to avoid them.

6 days, 23 hours назад @ bitdefender.com
Smashing Security podcast #475: JadePuffer – the AI that ran a ransomware attack all by itself
Smashing Security podcast #475: JadePuffer – the AI that ran a ransomware attack all by itself Smashing Security podcast #475: JadePuffer – the AI that ran a ransomware attack all by itself

These stories appear different, but they're actually telling the same story.

I'm going to flag, I'm going to flag the point that I made earlier is that operational security isn't always there.

I know how to do this because it's done it for me, but I don't actually know how to apply it logically.

And when the technology you're relying on to protect you, and in some people's case it is protecting their life, and you're not doing it to the best of your ability, that's, that's really, really disappointing.

But I guess for now, all eyes are on Apple and how they're going to respond to this, albeit 13 months later.

1 week назад @ grahamcluley.com
Two arrested over credit card phishing – as the Netherlands is named Europe’s worst for payment fraud
Two arrested over credit card phishing – as the Netherlands is named Europe’s worst for payment fraud Two arrested over credit card phishing – as the Netherlands is named Europe’s worst for payment fraud

Two young men have been arrested in the Netherlands on suspicion of running a phishing operation that harvested the credit card details of unsuspecting victims.

According to a police press release, victims were duped into entering their payment card details on bogus phishing websites.

Investigators believe the arrested men, who have not been named, did not just misuse the stolen payment card details themselves, but also passed them on to other fraudsters.

Card payment fraud was found to be the single most common category, with over half a million fraudulent transactions (up more than a quarter on the year before).

In 2024, just 1% of Dutch fraud victims recovered their money, and while arou…

1 week, 1 day назад @ bitdefender.com
The Gentlemen ransomware: what you need to know
The Gentlemen ransomware: what you need to know

Who Are The Gentlemen?

Despite the impeccably polite name, there is nothing polite or refined about this particular gang of cybercriminals. Read more in my article on the Fortra blog.

1 week, 6 days назад @ fortra.com
Smashing Security podcast #474: Polymarket can predict the future. So how did it miss this hack?
Smashing Security podcast #474: Polymarket can predict the future. So how did it miss this hack? Smashing Security podcast #474: Polymarket can predict the future. So how did it miss this hack?

And I'm going to be looking at whether you're wise to take a gamble with your security on Polymarket.

Right, well, I want to tell you about a company that's built its entire brand on being really, really good at predicting the future.

They've actually done it really, really well.

So it's The Summer Portraits by— remind me who it's by again, 'cause I'm going to butcher his name.

It's really, really good.

2 weeks назад @ grahamcluley.com
Scammers race to cash in on Venezuelan earthquake disaster
Scammers race to cash in on Venezuelan earthquake disaster Scammers race to cash in on Venezuelan earthquake disaster

When a devastating earthquake struck north central Venezuela last week, rescue teams were not the only ones who mobilised fast.

Researchers at threat intelligence firm WhoisXML API say that they uncovered 212 newly-registered domains referencing the earthquake, all of which had been filed within five days of the disaster.

Even years after a natural disaster scammers can still exploit human misery.

And that's because exploitation of a major news event - whether it be a natural disaster of otherwise - can be a successful lure for criminals to deploy when defrauding the unwary out of their savings.

And when a natural disaster creates an urgent need for response, it is all the easier for cyberc…

2 weeks, 1 day назад @ bitdefender.com
USB drives carrying China-linked malware infected Japanese military networks for nearly a year
USB drives carrying China-linked malware infected Japanese military networks for nearly a year USB drives carrying China-linked malware infected Japanese military networks for nearly a year

Leaked internal documents have revealed that for nearly a year Japan's Ground Self-Defense Force (JGSDF) used counterfeit USB flash drives infected with malware on computers connected to sensitive military networks.

The USB drives have been linked to Chinese hacking operations, according to an investigation by Nikkei Asia.

Subsequent investigations found that six out of eight USB drives tested contained the same malicious code.

The infected USB drives had been attached to over 50 computers, with nearly half of those systems used to handle classified data, including information about the movement of troops.

The counterfeit drives, priced 30 to 50 percent below authentic brands, were traced t…

2 weeks, 2 days назад @ bitdefender.com
Smashing Security podcast #473: How a hacker could have Rickrolled the entire World Cup
Smashing Security podcast #473: How a hacker could have Rickrolled the entire World Cup Smashing Security podcast #473: How a hacker could have Rickrolled the entire World Cup

Smashing Security, Episode 473: How a Hacker Could Have Rickrolled the Entire World.

You think, oh, hang on, they're going to ask me for a password or they're going to ask me for something like that.

Yeah, we'll take that money from under your bed and store it in a safety deposit box that you don't know where it is.

We saw a huge number of CVEs last year and with Mythos and the Frontier models, we think that's going to continue to spike.

So the blast radius of these IT service providers is really, really big.

3 weeks назад @ grahamcluley.com
Hacker hijacks Brazil’s national alert system, sending “misanthropy” to millions of phones
Hacker hijacks Brazil’s national alert system, sending “misanthropy” to millions of phones Hacker hijacks Brazil’s national alert system, sending “misanthropy” to millions of phones

Somebody had broken into Brazil's national Civil Defence alert system and used it to send fake "Extreme Alert" notifications - the most severe category, normally reserved for warnings of imminent natural disasters - to mobile phones across at least five states, including São Paulo, Rio de Janeiro, and the Federal District.

In a statement posted on social media, Brazil's National Civil Defence confirmed that it had pulled the alert platform offline at 1:30am following the compromise.

National Secretary of Protection and Civil Defence Wolnei Wolff confirmed that the attackers managed to regain access after an initial attempt to block them from accessing the system.

Emergency alert systems wor…

3 weeks, 2 days назад @ bitdefender.com
Apple’s Hide My Email tweak leaves privacy fans fuming
Apple’s Hide My Email tweak leaves privacy fans fuming Apple’s Hide My Email tweak leaves privacy fans fuming

Hide My Email is a privacy feature that lets users create unique, random email addresses that forward messages to your real inbox.

That means you can sign-up for websites, newsletters, and apps without exposing your personal email address.

The problem is, however, that one of the reasons that Hide My Email worked so well was because its aliases were indistinguishable from regular iCloud email addresses.

All any website or app that wants to block anonymous sign-ups now has to do is to reject any email address ending in "@private.icloud.com".

For now, if you already have existing Hide My Email addresses in use, they should continue to work without any changes on your part.

3 weeks, 5 days назад @ bitdefender.com
Imposter scams cost Americans $3.5 billion in 2025 – and it’s getting worse
Imposter scams cost Americans $3.5 billion in 2025 – and it’s getting worse

Someone is pretending to be your bank, your government, or your local planning office. And according to the FTC, they're making billions doing it. Read more in my article on the Fortra blog.

3 weeks, 5 days назад @ fortra.com
Smashing Security podcast #472: AI gets hacked, and BitLocker gets bypassed
Smashing Security podcast #472: AI gets hacked, and BitLocker gets bypassed Smashing Security podcast #472: AI gets hacked, and BitLocker gets bypassed

Which is the connection between your AI agent and Sentry.

And when your AI agent reads data back from one of those services, it treats it as trusted and authoritative.

And so the AI agent does what agents are supposed to do.

But if an attacker can plant text somewhere that your AI agent will read, it's possible that your AI agent will act upon it, and that may not be good.

And then whenever AI wants to access something, AI has to give a reason — why do I want that?

4 weeks назад @ grahamcluley.com
Maine forced to take down data breach portal after fake notices filed with authorities
Maine forced to take down data breach portal after fake notices filed with authorities Maine forced to take down data breach portal after fake notices filed with authorities

The US state of Maine has taken its public data breach notification portal offline after someone submitted fraudulent breach disclosures impersonating two well-known technology companies.

As Bleeping Computer reported last week, fraudulent data breach disclosures were submitted to Maine's official breach portal and publicly posted before their legitimacy could be verified, prompting the named companies to deny the claims.

However, somewhat more convincing was a fake breach notice that targeted the multiplayer social virtual reality platform VRChat.

It appears that the abuse of the system was possible because the Maine data breach reporting system lacked a proper verification mechanism.

Anyo…

1 month назад @ bitdefender.com
Компании 🏢
Блог Касперского Блог Касперского
последний пост 1 час назад
Промпт-атаки на умного помощника Gemini и ИИ-ассистента Gemini Workspace | Блог Касперского
Промпт-атаки на умного помощника Gemini и ИИ-ассистента Gemini Workspace | Блог Касперского

An error occurred.

Sorry, the page you are looking for is currently unavailable.

Please try again later.

If you are the system administrator of this resource then you should check the error log for details.

Request id: 9e57da73febcf1364991851b3ffd4607Server IP: 185.54.220.248Client IP: 23.88.109.5Time: 2026-07-16T15:00:15+03:00Config id: 290Faithfully yours, nginx.

1 час назад @ kaspersky.ru
Ключевые уязвимости Microsoft Patch Tuesday за июль 2026 | Блог Касперского
Ключевые уязвимости Microsoft Patch Tuesday за июль 2026 | Блог Касперского

An error occurred.

Sorry, the page you are looking for is currently unavailable.

Please try again later.

If you are the system administrator of this resource then you should check the error log for details.

Request id: ad5fb1fb73f446dedef7d1ec45313d70Server IP: 185.54.220.248Client IP: 23.88.109.5Time: 2026-07-15T17:00:41+03:00Config id: 289Faithfully yours, nginx.

23 часа назад @ kaspersky.ru
Meta* включила и тут же отключила функцию генерации ИИ-изображений на основе пользовательского контента в Instagram** | Блог Касперского
Meta* включила и тут же отключила функцию генерации ИИ-изображений на основе пользовательского контента в Instagram** | Блог Касперского

An error occurred.

Sorry, the page you are looking for is currently unavailable.

Please try again later.

If you are the system administrator of this resource then you should check the error log for details.

Request id: d28ecbce6fae6b24393f114511aa53c1Server IP: 185.54.220.248Client IP: 23.88.109.5Time: 2026-07-14T15:00:39+03:00Config id: 282Faithfully yours, nginx.

2 days, 1 hour назад @ kaspersky.ru
Борьба с BEC-атаками на базе ИИ | Блог Касперского
Борьба с BEC-атаками на базе ИИ | Блог Касперского

An error occurred.

Sorry, the page you are looking for is currently unavailable.

Please try again later.

If you are the system administrator of this resource then you should check the error log for details.

Request id: 0f43fc04a64ef8b4198bfe5f08f75233Server IP: 185.54.220.248Client IP: 23.88.109.5Time: 2026-07-13T17:00:32+03:00Config id: 281Faithfully yours, nginx.

2 days, 23 hours назад @ kaspersky.ru
Что не так с функцией NameTag в умных очках Meta* и почему ее стоит опасаться | Блог Касперского
Что не так с функцией NameTag в умных очках Meta* и почему ее стоит опасаться | Блог Касперского

An error occurred.

Sorry, the page you are looking for is currently unavailable.

Please try again later.

If you are the system administrator of this resource then you should check the error log for details.

Request id: 36cc4a8142dd177820e529f1c74777d2Server IP: 185.54.220.248Client IP: 23.88.109.5Time: 2026-07-09T14:00:09+03:00Config id: 281Faithfully yours, nginx.

1 week назад @ kaspersky.ru
Целевой фишинг на производственные компании | Блог Касперского
Целевой фишинг на производственные компании | Блог Касперского

An error occurred.

Sorry, the page you are looking for is currently unavailable.

Please try again later.

If you are the system administrator of this resource then you should check the error log for details.

Request id: 1ce0e45ab895fdb2ea63e5f66838efb9Server IP: 185.54.220.248Client IP: 23.88.109.5Time: 2026-07-08T18:00:10+03:00Config id: 281Faithfully yours, nginx.

1 week назад @ kaspersky.ru
Почему капча скоро исчезнет: как ИИ изменил проверку на человечность | Блог Касперского
Почему капча скоро исчезнет: как ИИ изменил проверку на человечность | Блог Касперского

An error occurred.

Sorry, the page you are looking for is currently unavailable.

Please try again later.

If you are the system administrator of this resource then you should check the error log for details.

Request id: 26a02984b49c814d5538d529e6b61e94Server IP: 185.54.220.248Client IP: 23.88.109.5Time: 2026-07-06T15:00:25+03:00Config id: 280Faithfully yours, nginx.

1 week, 3 days назад @ kaspersky.ru
Неотключаемый бэкдор в роботах-газонокосилках Yarbo | Блог Касперского
Неотключаемый бэкдор в роботах-газонокосилках Yarbo | Блог Касперского Неотключаемый бэкдор в роботах-газонокосилках Yarbo | Блог Касперского

Но в совершенно ином масштабе: в режиме газонокосилки данный робот может обслуживать территории до 2,5 гектар (это 250 соток, то есть небольшой садовый кооператив), а в режиме транспортировщика поддерживает угодья площадью до 12,5 гектар.

Вместе с исследователем Андреасом Макрисом они провели эксперимент, в рамках которого исследователь, будучи в Германии, удаленно захватил контроль над газонокосилкой Yarbo и переехал журналиста, лежащего на газоне у себя в США.

Чаще всего в качестве операционной системы в них используется Linux — и роботы Yarbo тут не исключение.

При этом серийные номера устройств имеют предсказуемый формат и используются в инфраструктуре Yarbo в качестве идентификаторов р…

2 weeks назад @ kaspersky.ru
Управление рисками агрегаторов LLM и API-прокси для нейросетей
Управление рисками агрегаторов LLM и API-прокси для нейросетей Управление рисками агрегаторов LLM и API-прокси для нейросетей

По мере того как организации начинают использовать нейросети для все более широкого круга задач, они неизбежно сталкиваются с вопросами надежности и стоимости ИИ-инструментов.

Чтобы не отказываться от нужных нейросетей, бизнес часто рассматривает переход на сторонние сервисы, обеспечивающие единое «окно доступа» к различным нейросетям.

Они предлагают услуги на десятки процентов, а иногда и в разы дешевле, чем у официальных поставщиков, обещая заодно обход любых лимитов.

Утечка данных и кража интеллектуальной собственностиИсследование показало, что цель многих таких сервисов — сбор качественных диалогов топовых моделей для обучения нейросетей третьих фирм.

Пять правил безопасной работы с ИИ-…

2 weeks назад @ kaspersky.ru
Социальная инженерия: как злоумышленники манипулируют людьми | Блог Касперского
Социальная инженерия: как злоумышленники манипулируют людьми | Блог Касперского Социальная инженерия: как злоумышленники манипулируют людьми | Блог Касперского

Следующий абзац снова вгоняет вас в панику: «К сожалению, при проверке мы обнаружили, что ваши платежные данные могли быть скомпрометированы».

Для разбирательства напишите нам, иначе мы возбудим уголовное дело и разошлем информацию о вас в СМИ» — и далее по списку.

Но если с вами общаются чересчур эмоционально и вы чувствуете, что на вас давят, то вероятность, что вы общаетесь с мошенником, близится к 99,9%.

→ немедленно смените пароль на этом сервисе и на всех других, где использовали такой же.

Если с вашей карты успели снять или перевести деньги, узнайте, как оспорить транзакцию.

2 weeks, 2 days назад @ kaspersky.ru
Как сегодня злоумышленники атакуют компании | Блог Касперского
Как сегодня злоумышленники атакуют компании | Блог Касперского Как сегодня злоумышленники атакуют компании | Блог Касперского

Мы выбрали три кейса, три реальные истории о том, как злоумышленники атакуют сегодня, а главное, почему им удается проворачивать такие атаки.

Если вы не видите этот трафик или не считаете это инцидентом — вы проигрываете еще до начала активной фазы атаки.

Как и в предыдущем кейсе, злоумышленники вошли в корпоративную сеть через скомпрометированную учетную запись.

Почему это произошлоБыли допущены две классические ошибки:Сервер мониторинга был настроен с избыточными привилегиями, с доступом ко всем активам компании: и физическим, и виртуальным.

Попав в инфраструктуру, через Active Directory и групповые политики злоумышленники распространили в корпоративной сети вредоносное ПО с функционально…

2 weeks, 3 days назад @ kaspersky.ru
250 000 мисконфигураций в GitHub Actions | Блог Касперского
250 000 мисконфигураций в GitHub Actions | Блог Касперского 250 000 мисконфигураций в GitHub Actions | Блог Касперского

В частности, опасность может скрываться в GitHub Actions, сценариях автоматизации, позволяющих создавать пайплайны непрерывной интеграции и доставки (CI/CD).

Ошибки и мисконфигурации в них периодически используются злоумышленниками в реальных атаках.

Да, она тоже началась с компрометации мейнтейнера популярного проекта, но распространяемый в ходе этой кампании зловред похищал секреты, именно используя недочет в GitHub Actions.

Как оставаться в безопасностиМисконфигурации в GitHub Actions потенциально могут превратить пайплайны разработки в инструменты злоумышленников, позволяющие скомпрометировать среду разработки или атаковать инфраструктуру компании.

С его помощью наше решение может выявл…

2 weeks, 6 days назад @ kaspersky.ru
Чек-лист для выбора EPP-решения | Блог Касперского
Чек-лист для выбора EPP-решения | Блог Касперского Чек-лист для выбора EPP-решения | Блог Касперского

Однако очевидно, что краеугольным камнем стратегии информационной безопасности остаются решения для защиты конечных точек.

Мы предлагаем при выборе EPP-решения отталкиваться не от возможностей продуктов, а от конкретных нужд вашей компании.

Отметьте пункты, которым должно соответствовать решение для защиты конкретно вашей инфраструктуры, и вам будет гораздо проще определиться с выбором.

Для перехода от EPP к EDR или MDR ключевым условием является единое решение, умеющее одновременно выполнять функции и EPP-, и EDR/MDR-агента, а также единая консоль управления.

В Kaspersky Security для бизнеса реализованы передовые защитные технологии, включая машинное обучение, поведенческий анализ, защиту …

2 weeks, 6 days назад @ kaspersky.ru
Как злоумышленники крадут аккаунты Telegram через PowerShell-скрипты | Блог Касперского
Как злоумышленники крадут аккаунты Telegram через PowerShell-скрипты | Блог Касперского Как злоумышленники крадут аккаунты Telegram через PowerShell-скрипты | Блог Касперского

Как защитить свой аккаунт в TelegramЧто делать, чтобы защитить свой аккаунт в Telegram от подобных схем угона?

Если вы подозреваете, что стали жертвой подобного стилера или других махинаций злоумышленников, как можно скорее завершите все сессии в Telegram: Настройки → Устройства → Активные сессии → Завершить другие сеансы.

Почему так — мы подробно рассказывали в материале Что делать, если взломали аккаунт в Telegram, перечислив в нем все способы восстановления доступа к своей учетной записи.

Во-первых, необходимо установить облачный пароль для Telegram в разделе Настройки → Конфиденциальность → Облачный пароль.

Наш менеджер паролей кроссплатформенный, поэтому войти в Telegram с использовани…

3 weeks, 1 day назад @ kaspersky.ru
Как Hola Browser распространял криптомайнер Monero | Блог Касперского
Как Hola Browser распространял криптомайнер Monero | Блог Касперского Как Hola Browser распространял криптомайнер Monero | Блог Касперского

Скомпрометированная версия израильского браузера Hola для Windows (1.251.91.0) загружала на устройства пользователей криптомайнер для добычи криптовалюты Monero.

Исследователи обнаружили признаки компрометации браузера Hola в рамках процесса сертификации AppEsteem Windows Certified Application.

}exe показало, что в нем скрывался криптомайнер для добычи криптовалюты Monero.

Как злоумышленники использовали Hola Browser для майнинга MoneroКриптомайнеры — это программы, которые используют вычислительные возможности компьютера для добычи криптовалюты.

Как мы уже сказали выше, в случае заражения Hola Browser на устройства жертв загружался криптомайнер для добычи криптовалюты Monero.

3 weeks, 2 days назад @ kaspersky.ru
Блог Group-IB
последний пост None
Cisco Security Blog Cisco Security Blog
последний пост 21 час назад
We third-party tested our firewall built for AI-scale. The test tools hit their limit first.
We third-party tested our firewall built for AI-scale. The test tools hit their limit first. We third-party tested our firewall built for AI-scale. The test tools hit their limit first.

In independent testing with NetSecOPEN, the Cisco Secure Firewall 6160 delivered AI-scale inspected throughput beyond what the tools built to measure it could register, all while blocking 100% of tested threats.

These results are specific to Cisco Secure Firewall 6160, but the software capabilities behind Cisco Firewall, including advanced threat protection and high-performance inspection, extend across Cisco Firewall form factors in the cloud, virtually, and on-premises, from campus to data center.

Performance passed the previous benchmark by 5XInspection was turned on, and the test tools built to measure throughput hit their limit before the 6160 firewall did.

In previous NetSecOPEN testi…

21 час назад @ blogs.cisco.com
SharpHound Recon Attack – How AI enhanced the threat hunt
SharpHound Recon Attack – How AI enhanced the threat hunt SharpHound Recon Attack – How AI enhanced the threat hunt

We innovated by giving the Agentic SOC access to Endace’s always-on, full packet capture, and asked the agent to assess a potential SharpHound Recon attack that we had seen while threat hunting.

This blog explores how we built the integrations and how AI helped us with our threat hunt and threat assessment.

Agentic AI Massively Speeds our AnalysisAt this point, we decided to use Agentic AI capabilities to investigate and assess this potential threat.

ConclusionThe Agentic SOC, blending Agentic AI built into Endace’s products with custom agentic tools, is a massive boost to productivity and security.

AcknowledgementsOur thanks go to the Cisco SOC team led by @Jessica Oppenheimer and @Ivan Be…

1 week, 1 day назад @ blogs.cisco.com
Machine Speed, Human Judgement: How AI Changed the SOC in 2026
Machine Speed, Human Judgement: How AI Changed the SOC in 2026 Machine Speed, Human Judgement: How AI Changed the SOC in 2026

Having spent time in the Cisco Live Americas 2026 SOC, one thing became abundantly clear:The way SOCs operate today is fundamentally different from even a few years ago.

Instead of spending time gathering information, analysts could spend more time understanding what the information actually meant.

Just as spreadsheets empowered business users decades ago, AI-assisted coding is beginning to empower security analysts today.

At Cisco Live, AI was already present throughout the workflow:Incident summaries generated automatically within XDR.

And based on what I saw at Cisco Live 2026, that future has already arrived.

1 week, 1 day назад @ blogs.cisco.com
Elevating Expertise in the SOC
Elevating Expertise in the SOC Elevating Expertise in the SOC

The new SOC analysts were great at finding evidence, helped with triage and correlation by the AI agents in the SOC architecture.

With the advancements in Cloud Control, our new SOC Analysts can validate their hypothesis.

They had the ability to investigate the incident and find the root cause found in Splunk Security and Endace.

Instant Attack VerificationIn each Incident, the SOC Analysts is given an AI generated Summary stitching all the relevant logs from all the sources that are related to the objects in question.

Check out the blogs by the engineers who worked inside the SOC at Las Vegas:

1 week, 1 day назад @ blogs.cisco.com
Educate at Event Speed: Cisco Live Security Operations Center
Educate at Event Speed: Cisco Live Security Operations Center Educate at Event Speed: Cisco Live Security Operations Center

At Cisco Live AMER 2026 in Las Vegas, my work with the Cisco Event SOC centered on one outcome that makes these deployments valuable beyond the event itself: Education.

The SOC protects the conference, but it also turns live operations into a learning environment through SOC tours, Cisco Live sessions, training inside the SOC, and conversations in the World of Solutions.

Bringing live SOC lessons into the classroomEducation also happened in the sessions I delivered at Cisco Live.

Cisco Live AMER 2026 reinforced that the SOC is one of the best classrooms we have because it teaches through real operations.

For a deeper look at the model behind these deployments, read the Cisco Event SOCs: A R…

1 week, 1 day назад @ blogs.cisco.com
What Working the Cisco Live SOC Taught Me About AI, Detection, and Response
What Working the Cisco Live SOC Taught Me About AI, Detection, and Response What Working the Cisco Live SOC Taught Me About AI, Detection, and Response

Inside the Cisco Live SOCAt Cisco Live AMER, the Security Operations Center (SOC) is more than a demo environment.

For a broader look at how the Cisco Live SOC operates, read this overview.

Another part was spent in the SOC, working real investigations with XDR, Splunk Enterprise Security, firewall events, DNS telemetry, packet data, and AI assistance.

AI can help a product manager become useful faster in a live SOC.

That is the bar I want us to continue building toward as we build Cisco XDR and Splunk Security.

1 week, 1 day назад @ blogs.cisco.com
Cable to Cloud – A Product Engineer’s Journey Through the Cisco Live AMER 2026 SOC
Cable to Cloud – A Product Engineer’s Journey Through the Cisco Live AMER 2026 SOC Cable to Cloud – A Product Engineer’s Journey Through the Cisco Live AMER 2026 SOC

As part of the Cisco XDR (Extended Detection and Response) product engineering group, a few of us got exactly that chance.

Every product had a part to play for a network as traffic-heavy as Cisco Live.

(PS : Flaunting the SOC T-shirts was fun)AcknowledgementsA heartfelt thank you to Cisco and the entire SOC team — you are all amazing.

To the Cisco XDR , Splunk , Secure Access , and Secure Firewall engineering teams.

Check out the other blogs from our team at the Cisco Live Americas 2026 SOC at Las Vegas:

1 week, 1 day назад @ blogs.cisco.com
The Experience Dividend: How Better Digital Experience Protects Revenue, Trust, and Growth
The Experience Dividend: How Better Digital Experience Protects Revenue, Trust, and Growth The Experience Dividend: How Better Digital Experience Protects Revenue, Trust, and Growth

We built an Experience Score model on Cisco and Splunk infrastructure and watched it run against real traffic, at real scale, in real time.

The result was a working model for how leaders measure what customers feel, act before friction surfaces, and tie operational decisions to revenue and trust.

At Cisco Live, the Experience Score model organized that architecture around four questions business and technology leaders can answer together.

The composite Experience Score tells a leader whether the experience is healthy enough to protect the moments the business depends on.

From Cisco Live to LA28Cisco Live was a rehearsal for larger exposure surfaces, where digital experience, revenue, brand …

1 week, 1 day назад @ blogs.cisco.com
AIM: Building an Agentic Tier-2 SOC Analyst at Cisco Live AMER 2026
AIM: Building an Agentic Tier-2 SOC Analyst at Cisco Live AMER 2026 AIM: Building an Agentic Tier-2 SOC Analyst at Cisco Live AMER 2026

And we kept thinking the same engineer thought: this flow is so consistent… could an agentic agent do the first 90%?

It was a great experiment — and a glimpse of a fully self-hosted agentic SOC — but for the event we pivoted to Claude Opus 4.8 running through Claude Code.

The division of labor we landed on: Tier-1 agentic SOC was already handled beautifully by the AI features in our own products — XDR’s Agentic Attack Storyboard and Splunk’s Triage Agent.

What does an agentic SOC actually need?

The MCP servers — an Endace MCP for packet capture/decode and a Splunk MCP for running queries.

1 week, 1 day назад @ blogs.cisco.com
Building the Agentic SOC at Cisco Live Americas 2026
Building the Agentic SOC at Cisco Live Americas 2026 Building the Agentic SOC at Cisco Live Americas 2026

Building on the Cisco Live EMEA SOC, Cisco Live Americas placed the Security Operations Center (SOC) and Network Operations Center (NOC) at the center of the World of Solutions, demonstrating the power of Cisco in bringing Networking, Security and Observability together.

The Cisco Live Americas Agentic SOC architecture shows how a “One Cisco” approach brings different security tools together to eliminate data silos, in close partnership with the NOC.

The SOC at Cisco Live was set up in just two days, thanks to lessons learned and continuous evolution.

For Cisco Live AMER, we treated agentic AI as an auditable review layer across the SOC, not as a replacement for analysts.

Agentic SOC: Incid…

1 week, 1 day назад @ blogs.cisco.com
Ten Years in the SOC at RSAC: What We Learned in 2026
Ten Years in the SOC at RSAC: What We Learned in 2026 Ten Years in the SOC at RSAC: What We Learned in 2026

Cisco Security and Splunk Security released the Findings Report from the Security Operations Center at RSAC 2026 Conference.

This year marked the 10th year of the SOC at RSAC.

Those lessons helped inform the Agentic SOC work that followed at Cisco Live Americas 2026.

The SOC used Cisco AI Defense to gain visibility into generative AI application usage and to help protect on-premises AI models running in the SOC in a Box.

Download the full RSAC 2026 SOC Findings Report to see the architecture, metrics, investigations, lessons learned, and recommendations from the 10th year of the SOC.

2 weeks назад @ blogs.cisco.com
Uplevelling Black Hat Threat Hunters
Uplevelling Black Hat Threat Hunters Uplevelling Black Hat Threat Hunters

More telemetry means better visibility – but also more data for threat hunters to sift through.

Then came an important decision: Focus on what matters for detection of threats at Black Hat.

Enriching with Network Context and reducing noiseA file submitted via HTTP doesn’t exist in isolation – it has network context.

It was about:Surfacing high-risk submissions automaticallyProviding network context for faster triageHelping threat hunters dismiss noise fasterThis workflow is far from perfect.

Driven by the needs of the community, Black Hat events showcase content directly from the community through Briefings presentations, Trainings courses, Summits, and more.

3 weeks, 2 days назад @ blogs.cisco.com
Making Workflow Runs Explain Themselves: AI-Powered Run Summaries in Cisco XDR Automate
Making Workflow Runs Explain Themselves: AI-Powered Run Summaries in Cisco XDR Automate Making Workflow Runs Explain Themselves: AI-Powered Run Summaries in Cisco XDR Automate

If you’ve ever troubleshot a complex workflow run, you know the drill: click into actions, expand inputs and outputs, scan logs, backtrack, repeat.

We’ve just released Workflow Run Summaries in Cisco XDR Automate: an on-demand, AI-generated summary that explains what happened during a workflow execution, where things went wrong, and why that matters, without forcing you to manually inspect every step.

What the feature doesWith a single click on “Generate Run Summary”, Cisco XDR Automate analyzes a completed workflow run and produces a concise, human-readable explanation of its execution.

Why this matters, especially for Agentic AIAs XDR Automate Workflows are increasingly triggered by Agent…

4 weeks, 1 day назад @ blogs.cisco.com
Independent Testing Confirms Secure Email Threat Defense’s Email Security Strength
Independent Testing Confirms Secure Email Threat Defense’s Email Security Strength Independent Testing Confirms Secure Email Threat Defense’s Email Security Strength

It is the hardest attack category in email security — for any vendor, any product, any architecture.

This balance — 98% threat detection alongside zero hard false positives — is what the 94% Total Accuracy Rating reflects.

What Independent Validation Means for Your Security StrategyEvery email security vendor publishes detection rates.

Read the full report for more insight into ETD’s comprehensive email security capabilities.

All performance data sourced from the SE Labs Advanced Security Test Report — Email (Protection), Cisco Secure Email Threat Defense, May 2026 (v1.0).

4 weeks, 1 day назад @ blogs.cisco.com
Defenseclaw for On-Prem AI SOC Workflow at Black Hat Asia
Defenseclaw for On-Prem AI SOC Workflow at Black Hat Asia Defenseclaw for On-Prem AI SOC Workflow at Black Hat Asia

Caption: MCP integrations exposed to the local AI workflow for SOC investigation contextAt this stage, the system was already useful.

Caption: OpenClaw using the local Ollama model backend instead of an external model providerThe distinction is important.

I installed DefenseClaw alongside the OpenClaw environment, to add inspection and audit visibility around the agentic AI workflow.

Sending DefenseClaw events into Splunk made the AI workflow feel more operational and less experimental.

At Black Hat Asia, this became a practical way to explore what private AI for SOC workflows could look like.

1 month назад @ blogs.cisco.com
Microsoft Security Microsoft Security
последний пост 11 часов назад
Unpacking the AsyncAPI npm supply chain compromise and import-time payload delivery
Unpacking the AsyncAPI npm supply chain compromise and import-time payload delivery Unpacking the AsyncAPI npm supply chain compromise and import-time payload delivery

On July 14, 2026, Microsoft Threat Intelligence identified a coordinated supply chain compromise of the @asyncapi npm organization, a widely used set of packages for the AsyncAPI specification and code generation.

Ensure that Microsoft Defender Antivirus cloud-delivered protection, Microsoft Defender for Endpoint telemetry, and Microsoft Defender XDR investigation workflows are enabled across developer and CI assets.

Some promptbooks require access to Microsoft Defender XDR, Microsoft Sentinel, or related Microsoft security plugins.

Learn moreFor the latest security research from the Microsoft Threat Intelligence community, check out the Microsoft Threat Intelligence Blog.

To hear stories a…

11 часов назад @ microsoft.com
Turning threat intelligence into decisive action with Defender Experts
Turning threat intelligence into decisive action with Defender Experts Turning threat intelligence into decisive action with Defender Experts

Today we’re announcing a new service, Microsoft Defender Experts Threat Intelligence, and we are expanding Microsoft Defender Experts MDR to include new third-party and multi-cloud coverage.

Microsoft Defender Experts Threat Intelligence is a new, expert-delivered service that closes that distance.

Today we’re announcing that Microsoft Defender Threat Intelligence (MDTI) capabilities are now fully converged into the Defender portal.

Defender Experts MDR provides a fully managed detection and response service that reduces noise, adds expert context, and drives action.

Everything available today as Defender Experts for XDR carries forward unchanged as Microsoft Defender Experts MDR Plan 1, wh…

20 часов назад @ microsoft.com
Defending SaaS-based applications against ShinyHunters OAuth abuse
Defending SaaS-based applications against ShinyHunters OAuth abuse Defending SaaS-based applications against ShinyHunters OAuth abuse

The resulting quiet persistence and large-scale data access highlight the need for stronger detection, visibility, and governance of OAuth-connected applications and guest user accounts.

New posture and governance capabilities for connected OAuth appsWhile improved detection is critical, recent incidents have also highlighted the need for stronger preventive controls and ongoing governance of OAuth-connected applications.

Complete permission visibility for Salesforce connected apps and external client apps.

Learn moreFor the latest security research from the Microsoft Threat Intelligence community, check out the Microsoft Threat Intelligence Blog.

To hear stories and insights from the Micro…

2 days, 14 hours назад @ microsoft.com
Microsoft Entra ID security updates: Passkeys are the default authentication method in Entra ID
Microsoft Entra ID security updates: Passkeys are the default authentication method in Entra ID Microsoft Entra ID security updates: Passkeys are the default authentication method in Entra ID

Beginning September 1, 2026, Microsoft will begin rolling out passkeys as the default authentication experience in Microsoft Entra ID.

Select a telecom provider in Microsoft Security StoreToday, Microsoft provides the telecom delivery behind SMS and voice authentication natively within Entra ID.

Microsoft Entra ID supports: Synced passkeys, such as passkeys stored in platform credential managers like iCloud Keychain and Google Password Manager.

Device-bound passkeys, such as Microsoft Authenticator passkeys, Entra passkey on Windows, and FIDO2 security keys.

Also, follow us on LinkedIn (Microsoft Security) and X (@MSFTSecurity) for the latest news and updates on cybersecurity.

2 days, 19 hours назад @ microsoft.com
Securing our future: July 2026 progress report on Microsoft’s Secure Future Initiative
Securing our future: July 2026 progress report on Microsoft’s Secure Future Initiative Securing our future: July 2026 progress report on Microsoft’s Secure Future Initiative

That conviction is where the Secure Future Initiative (SFI) started two years ago and continues to guide us today.

And our principles—secure by design, secure by default, secure in operations—are what turn intent into product, like Microsoft 365 Baseline Security Mode.

Evaluate how identity, code, configuration, and network relationships interact in production.

Learn moreTo learn more about Microsoft Security solutions, visit our website.

Also, follow us on LinkedIn (Microsoft Security) and X (@MSFTSecurity) for the latest news and updates on cybersecurity.

5 days, 20 hours назад @ microsoft.com
GigaWiper: Anatomy of a destructive backdoor assembled from multiple malware
GigaWiper: Anatomy of a destructive backdoor assembled from multiple malware GigaWiper: Anatomy of a destructive backdoor assembled from multiple malware

In analyzing these backdoor capabilities, we discovered that some backdoor commands contain code from additional malware families.

GigaWiper backdoor command 3 is heavily based on Crucio’s code, leading to the assessment that the same threat actor developed both malware families.

Crucio’s code was the base for GigaWiper command 3, and FlockWiper was recoded in Golang and updated for GigaWiper command 12.

Indicators of compromiseIndicator Type Description 633d4cbd496b1094495da89a64f5e6c31a0f6d4d1488411db5b0cba1cfe42001 SHA-256 GigaWiper backdoor ce9ad5f6c12019f4aae5b189bd8ddf5bb09e75b06a0a587b25a855c65948c913 SHA-256 GigaWiper backdoor f622ed85ef31ad4ab973f4e74524866fe1bb44f0965ad2b2ad796cd6…

6 days, 21 hours назад @ microsoft.com
Protecting Microsoft at AI speed: How SFI proactively hardens our cloud
Protecting Microsoft at AI speed: How SFI proactively hardens our cloud Protecting Microsoft at AI speed: How SFI proactively hardens our cloud

At Microsoft we encompass these security requirements, along with threat knowledge and operational frameworks in our Secure Future Initiative (SFI), to guide what a well-defended cloud service looks like.

This system is purpose-built to evaluate Microsoft’s own cloud services against our stringent security requirements and make our infrastructure harder to compromise.

Enumerates applicable security controls based on SFI requirements across identity, network, tenant isolation, engineering systems, and detection domains.

Proven results: From theory to practiceWithin a few months, the system has enabled Microsoft security engineering teams to proactively harden our cloud services.

The same AI …

1 week назад @ microsoft.com
5 insights from Frost & Sullivan’s 2025 Frost Radar™ for Cloud Security Posture Management
5 insights from Frost & Sullivan’s 2025 Frost Radar™ for Cloud Security Posture Management 5 insights from Frost & Sullivan’s 2025 Frost Radar™ for Cloud Security Posture Management

Frost & Sullivan’s 2025 Frost Radar™ for Cloud Security Posture Management points to a structural shift: CSPM is no longer a periodic compliance exercise.

Frost & Sullivan’s evaluation framework reflects this transition—placing greater emphasis on integrated, code to cloud risk management capabilities inside broader CNAPP platforms.

The Frost Radar™ for Cloud Security Posture Management visualizes how leading vendors compare across innovation and growth—two key measures of market leadership and future potential.

Learn moreRead the Frost & Sullivan Frost Radar™ for Cloud Security Posture Management (2025) to see how CSPM leaders are evaluated—and what capabilities matter most as vendor selec…

1 week, 2 days назад @ microsoft.com
Improving security posture across the Microsoft partner ecosystem
Improving security posture across the Microsoft partner ecosystem Improving security posture across the Microsoft partner ecosystem

For Microsoft, these partners are Microsoft Cloud Solution Providers (CSPs), and they help customers buy, manage, and optimize cloud services like Microsoft 365 and Microsoft Azure.

This helps us ensure that the Microsoft partner ecosystem remains healthy, compliant, and effective, and ultimately helps drive the best outcomes for our customers.

Partner vetting helps ensure that only legitimate organizations can enter the ecosystem, while CSP security posture improvements help enhance the operating standards of organizations already in the ecosystem.

In short, we have made a set of improvements to the security posture across the CSP ecosystem, both at the Microsoft platform layer and at the …

1 week, 6 days назад @ microsoft.com
Improving security posture across the Microsoft partner ecosystem
Improving security posture across the Microsoft partner ecosystem Improving security posture across the Microsoft partner ecosystem

For Microsoft, these partners are Microsoft Cloud Solution Providers (CSPs), and they help customers buy, manage, and optimize cloud services like Microsoft 365 and Microsoft Azure.

This helps us ensure that the Microsoft partner ecosystem remains healthy, compliant, and effective, and ultimately helps drive the best outcomes for our customers.

Partner vetting helps ensure that only legitimate organizations can enter the ecosystem, while CSP security posture improvements help enhance the operating standards of organizations already in the ecosystem.

In short, we have made a set of improvements to the security posture across the CSP ecosystem, both at the Microsoft platform layer and at the …

1 week, 6 days назад @ microsoft.com
Microsoft named a leader in the Frost Radar for cloud and application runtime security
Microsoft named a leader in the Frost Radar for cloud and application runtime security Microsoft named a leader in the Frost Radar for cloud and application runtime security

Frost & Sullivan’s 2026 Frost Radar™ for Cloud/Application Runtime Security (CARS) reflects this shift.

Why cloud security is being redefinedThe Frost Radar makes a clear point: cloud security is no longer about visibility or compliance alone.

These are the capabilities that define the next generation of cloud and application runtime security.

Learn moreRead Frost & Sullivan’s 2026 Frost Radar™ for Cloud/Application Runtime Security to see how leading vendors are evaluated—and how the category is shifting toward unified cloud and application runtime risk operations.

Explore Microsoft cloud security solutions to see how unified posture management, risk prioritization, and protection across t…

2 weeks назад @ microsoft.com
Accelerating the quantum-safe timeline
Accelerating the quantum-safe timeline Accelerating the quantum-safe timeline

The quantum-safe timeline has changedFor years, planning for post-quantum cryptography (PQC) was framed as a future problem: important, inevitable, but distant.

At Microsoft, we are acting on this shift by bringing our quantum-safe timeline forward so organizations can begin the transition earlier and with greater confidence.

Accelerating our timelineIn response to these shifts, we are accelerating the Microsoft Quantum Safe Program (QSP) timeline with the goal of transitioning critical products and services to PQC by 2029.

We will continue to share technical guidance and operational best practices to help organizations adopt quantum-safe cryptography with confidence as they move from plann…

2 weeks, 1 day назад @ microsoft.com
​​What’s new in Microsoft Security: June 2026
​​What’s new in Microsoft Security: June 2026 ​​What’s new in Microsoft Security: June 2026

Prioritize risk with unified identity risk scoreA new unified identity risk score combines signals from across Microsoft Security into a single, explainable measure of an identity’s risk.

Prioritize identity risk and enforce protection in real time with the new unified identity risk score.

Organizations can use the new security tools and capabilities announced at Microsoft Build 2026 to innovate faster and scale AI adoption without sacrificing security.

In the Loop posts are your reliable source of what’s new across Microsoft Security and what it means for your security strategy.

Also, follow us on LinkedIn (Microsoft Security) and X (@MSFTSecurity) for the latest news and updates on cybers…

2 weeks, 1 day назад @ microsoft.com
Securing AI agents: When AI tools move from reading to acting
Securing AI agents: When AI tools move from reading to acting Securing AI agents: When AI tools move from reading to acting

AI Application Series 1: Security considerations when adopting AI tools examined how AI adoption expands the enterprise attack surface.

AI Application Series 2: Detecting and analyzing prompt abuse in AI tools showed how indirect prompt injection can bias the output of a passive AI summarizer.

AI agents can plan multi-step tasks, decide which tools to invoke, and execute actions on behalf of the user.

This post focuses on one of its fastest-moving categories: tool misuse and agentic supply chain risk exploited through poisoned MCP tool metadata.

The tool name and user-facing summary remain unchanged, but the MCP tool description is silently modified.

2 weeks, 1 day назад @ microsoft.com
Chromium extension uses AI‑related branding to redirect browser search
Chromium extension uses AI‑related branding to redirect browser search Chromium extension uses AI‑related branding to redirect browser search

Extension overviewThe extension we analyzed has the following attributes:Attribute Value Extension name Search for perplexity ai Extension ID flkebkiofojicogddingbdmcmkpbplcd Manifest version MV3 Version 2.2 Observed purpose Browser search override and redirect logic Referenced brand Perplexity AI Suspicious domain perplexity-ai[.

The runtime workflow we’ve observed demonstrates browser search redirection behavior:User enters search query into the Omnibox.

Monitor unauthorized changes to browser search settings, unusual extension permissions, and outbound traffic to intermediary or non-standard domains associated with search activity.

Learn moreFor the latest security research from the Micr…

2 weeks, 2 days назад @ microsoft.com
Google Online Security Blog Google Online Security Blog
последний пост 2 months, 3 weeks назад
AI threats in the wild: The current state of prompt injections on the web
AI threats in the wild: The current state of prompt injections on the web AI threats in the wild: The current state of prompt injections on the web

Here, threat actors may simply seed prompt injections on websites in hope of corrupting AI systems that browse them.

Early experiments revealed a significant volume of "benign" prompt injection text, which illustrates the complexity of distinguishing between functional threats and harmless content.

Many prompt injections were found in research papers, educational blog posts, or security articles discussing this very topic.

(Source: GitHub/swisskyrepo)When searching for prompt injections naively, the majority of detections are benign content – false positives in our case.

Malicious: ExfiltrationWe were able to observe a small number of prompt injections that aim at theft of data.

2 months, 3 weeks назад @ security.googleblog.com
Bringing Rust to the Pixel Baseband
Bringing Rust to the Pixel Baseband Bringing Rust to the Pixel Baseband

Recognizing the risks associated within the complex modem firmware, Pixel 9 shipped with mitigations against a range of memory-safety vulnerabilities.

Following our previous discussion on "Deploying Rust in Existing Firmware Codebases", this post shares a concrete application: integrating a memory-safe Rust DNS(Domain Name System) parser into the modem firmware.

Hook-up Rust to modem firmwareBefore building the Rust DNS library, we defined several Rust unit tests to cover basic arithmetic, dynamic allocations, and FFI to verify the integration of Rust with the existing modem firmware code base.

Pixel modem firmware already has a well-tested and specialized global memory allocation system to…

3 months назад @ security.googleblog.com
Protecting Cookies with Device Bound Session Credentials
Protecting Cookies with Device Bound Session Credentials Protecting Cookies with Device Bound Session Credentials

This project represents a significant step forward in our ongoing efforts to combat session theft, which remains a prevalent threat in the modern security landscape.

Session theft typically occurs when a user inadvertently downloads malware onto their device.

Once active, the malware can silently extract existing session cookies from the browser or wait for the user to log in to new accounts, before exfiltrating these tokens to an attacker-controlled server.

How DBSC WorksDBSC protects against session theft by cryptographically binding authentication sessions to a specific device.

The issuance of new short-lived session cookies is contingent upon Chrome proving possession of the correspondi…

3 months, 1 week назад @ security.googleblog.com
Google Workspace’s continuous approach to mitigating indirect prompt injections
Google Workspace’s continuous approach to mitigating indirect prompt injections Google Workspace’s continuous approach to mitigating indirect prompt injections

Staying ahead of the latest indirect prompt injection attacks is critical to our mission of securing Workspace with Gemini.

In our previous blog “Mitigating prompt injection attacks with a layered defense strategy”, we reviewed the layered architecture of our IPI defenses.

Synthetic data generationAfter we discover, curate, and catalog new attacks, we use Simula to generate synthetic data expanding these new attacks.

We partition the synthetic data described above into separate training and validation sets to ensure performance is evaluated against held-out examples.

This process leverages the newly generated synthetic attack data described on this blog, to create a robust, end-to-end evalu…

3 months, 2 weeks назад @ security.googleblog.com
VRP 2025 Year in Review
VRP 2025 Year in Review VRP 2025 Year in Review

2025 marked a special year in the history of vulnerability rewards and bug bounty programs at Google: our 15th anniversary 🎉🎉🎉!

Coming back to 2025 specifically, our VRP once again confirmed the ongoing value of engaging with the external security research community to make Google and its products safer.

Vulnerability Reward Program 2025 in NumbersWant to learn more about who’s reporting to the VRP?

Tip: Want to be informed of new developments and events around our Vulnerability Reward Program?

Follow the Google VRP channel on X to stay in the loop and be sure to check out the Security Engineering blog, which covers topics ranging from VRP updates to security practices and vulnerability des…

3 months, 2 weeks назад @ security.googleblog.com
Security for the Quantum Era: Implementing Post-Quantum Cryptography in Android
Security for the Quantum Era: Implementing Post-Quantum Cryptography in Android Security for the Quantum Era: Implementing Post-Quantum Cryptography in Android

To stay ahead of the curve, the technology industry must undertake a proactive, multi-year migration to Post-Quantum Cryptography (PQC).

To bring these critical protections to the wider developer community with minimal friction, the transition will be supported through Play App Signing.

Play App Signing leverages Google Cloud KMS, which helps ensure industry-leading compliance standards, to secure signing keys.

Empower Developers : The inclusion of ML-DSA support within Android Keystore and Play App Signing allows developers to safeguard their users and application.

: The inclusion of ML-DSA support within Android Keystore and Play App Signing allows developers to safeguard their users and …

3 months, 3 weeks назад @ security.googleblog.com
Cultivating a robust and efficient quantum-safe HTTPS
Cultivating a robust and efficient quantum-safe HTTPS Cultivating a robust and efficient quantum-safe HTTPS

Today we're announcing a new program in Chrome to make HTTPS certificates secure against quantum computers.

Instead, Chrome, in collaboration with other partners, is developing an evolution of HTTPS certificates based on Merkle Tree Certificates (MTCs), currently in development in the PLANTS working group.

Since MTC technology shares significant architectural similarities with CT, these operators are uniquely qualified to ensure MTCs are able to get off the ground quickly and successfully.

The Chrome Quantum-resistant Root Program will operate alongside our existing Chrome Root Program to ensure a risk-managed transition that maintains the highest levels of security for all users.

First, we…

4 months, 2 weeks назад @ security.googleblog.com
Staying One Step Ahead: Strengthening Android’s Lead in Scam Protection
Staying One Step Ahead: Strengthening Android’s Lead in Scam Protection Staying One Step Ahead: Strengthening Android’s Lead in Scam Protection

For Majik, Scam Detection was the intervention he needed: “The warning is what made me pause and avoid a bad situation”.

As scammers evolve their tactics and create more convincing and personalized threats, we’re using the best of Google AI to stay one step ahead.

Expanding Scam Detection for Calls to Samsung DevicesTo help protect you during phone calls, Scam Detection alerts you if a caller uses speech patterns commonly associated with fraud.

Scam Detection for phone calls on Google Pixel devices is available in the U.S., Australia, Canada, India, Ireland, and the UK.

Powered by Gemini’s on-device model, Scam Detection provides intelligent protection against scam calls while ensuring that…

4 months, 2 weeks назад @ security.googleblog.com
Keeping Google Play & Android app ecosystems safe in 2025
Keeping Google Play & Android app ecosystems safe in 2025 Keeping Google Play & Android app ecosystems safe in 2025

Upgrading Google Play’s AI-powered, multi-layered user protectionsWe’ve seen a clear impact from these safety efforts on Google Play.

As Android’s built-in defense against malware and unwanted software, Google Play Protect now scans over 350 billion Android apps daily.

This proactive protection constantly checks both Play apps and those from other sources to ensure they are not potentially harmful.

Looking aheadOur top priority remains making Google Play and Android the most trusted app ecosystems for everyone.

Thank you for being part of the Google Play and Android community as we work together to build a safer app ecosystem.

4 months, 3 weeks назад @ security.googleblog.com
New Android Theft Protection Feature Updates: Smarter, Stronger
New Android Theft Protection Feature Updates: Smarter, Stronger New Android Theft Protection Feature Updates: Smarter, Stronger

That’s why we're committed to providing multi-layered defenses that help protect you before, during, and after a theft attempt.

Today, we're announcing a powerful set of theft protection feature updates that build on our existing protections, designed to give you greater peace of mind by making your device a much harder target for criminals.

These updates are now available for Android devices running Android 16+.

More User Control for Failed Authentications: In Android 15, we launched Failed Authentication Lock, a feature that automatically locks the device's screen after excessive failed authentication attempts.

This feature is now getting a new dedicated enable/disable toggle in settings,…

5 months, 2 weeks назад @ security.googleblog.com
HTTPS certificate industry phasing out less secure domain validation methods
HTTPS certificate industry phasing out less secure domain validation methods HTTPS certificate industry phasing out less secure domain validation methods

These initiatives, driven by Ballots SC-080, SC-090, and SC-091, will sunset 11 legacy methods for Domain Control Validation.

What’s Domain Control Validation?

Domain Control Validation is a security-critical process designed to ensure certificates are only issued to the legitimate domain operator.

Sunsetted methods relying on email:Sunsetted methods relying on phone:Sunsetted method relying on a reverse lookup:For everyday users, these changes are invisible - and that’s the point.

These changes push the ecosystem toward standardized (e.g., ACME), modern, and auditable Domain Control Validation methods.

7 months, 1 week назад @ security.googleblog.com
Further Hardening Android GPUs
Further Hardening Android GPUs Further Hardening Android GPUs

Partnership with ArmOur goal is to raise the bar on GPU security, ensuring the Mali GPU driver and firmware remain highly resilient against potential threats.

We partnered with Arm to conduct an analysis of the Mali driver, used on approximately 45% of Android devices.

This approach allowed us to roll out the new security policy broadly while minimizing the impact on developers.

This effort spans across Android and Android OEMs, and required close collaboration with Arm.

The Android security team is committed to collaborating with ecosystem partners to drive broader adoption of this approach to help harden the GPU.

7 months, 1 week назад @ security.googleblog.com
Architecting Security for Agentic Capabilities in Chrome
Architecting Security for Agentic Capabilities in Chrome Architecting Security for Agentic Capabilities in Chrome

We built on Gemini's existing protections and agent security principles and have implemented several new layers for Chrome.

To further bolster model alignment beyond spotlighting, we’re introducing the User Alignment Critic — a separate model built with Gemini that acts as a high-trust system component.

A flow chart that depicts the User Alignment Critic: a trusted component that vets each action before it reaches the browser.

The User Alignment Critic runs after the planning is complete to double-check each proposed action.

Looking forwardThe upcoming introduction of agentic capabilities in Chrome brings new demands for browser security, and we've approached this challenge with the same ri…

7 months, 1 week назад @ security.googleblog.com
Android expands pilot for in-call scam protection for financial apps
Android expands pilot for in-call scam protection for financial apps Android expands pilot for in-call scam protection for financial apps

Android uses the best of Google AI and our advanced security expertise to tackle mobile scams from every angle.

Over the last few years, we’ve launched industry-leading features to detect scams and protect users across phone calls, text messages and messaging app chat notifications.

To help combat these types of financial scams, we launched a pilot earlier this year in the UK focused on in-call protections for financial apps.

The UK pilot of Android’s in-call scam protections has already helped thousands of users end calls that could have cost them a significant amount of money.

We’ve also started to pilot this protection with more app types, including peer-to-peer (P2P) payment apps.

7 months, 2 weeks назад @ security.googleblog.com
Android Quick Share Support for AirDrop: A Secure Approach to Cross-Platform File Sharing
Android Quick Share Support for AirDrop: A Secure Approach to Cross-Platform File Sharing Android Quick Share Support for AirDrop: A Secure Approach to Cross-Platform File Sharing

Secure by DesignWe built Quick Share’s interoperability support for AirDrop with the same rigorous security standards that we apply to all Google products.

Secure Sharing Channel: The communication channel itself is hardened by our use of Rust to develop this feature.

On Android, security is built in at every layer.

On Android, security is built in at every layer.

Secure Sharing Using AirDrop's "Everyone" ModeTo ensure a seamless experience for both Android and iOS users, Quick Share currently works with AirDrop's "Everyone for 10 minutes" mode.

7 months, 3 weeks назад @ security.googleblog.com