Кибербезопасность
👉 от %username%
Подборка ресурсов по кибербезопасности
На русском 🇷🇺
Securitylab
последний пост 1 час назад
Иностранные симки перестали обходить блокировки в России
Иностранные симки перестали обходить блокировки в России Иностранные симки перестали обходить блокировки в России

Netflix ещё работает, а вот запрещённые сайты — нет.

1 час назад @ securitylab.ru
Windows «потеряла» почти половину рынка. Всё из-за одной ошибки в подсчётах StatCounter
Windows «потеряла» почти половину рынка. Всё из-за одной ошибки в подсчётах StatCounter

Загадочные 21% трафика оказались вообще не про компьютеры.

1 час назад @ securitylab.ru
Идёшь одна вечером — полиция может это видеть: в ГД предложили новую функцию безопасности
Идёшь одна вечером — полиция может это видеть: в ГД предложили новую функцию безопасности

Полиции хотят передавать геолокацию граждан в опасных ситуацияхю

1 час назад @ securitylab.ru
Вы еще верите антивирусу? Зря — искусственный интеллект научился создавать вредонос, у которого нет двух одинаковых копий
Вы еще верите антивирусу? Зря — искусственный интеллект научился создавать вредонос, у которого нет двух одинаковых копий

ИИ теперь пишет вредоносный код гораздо быстрее и хитрее живых людей.

2 часа назад @ securitylab.ru
Биологи открыли у бактерий инстинкт самосохранения, о котором не подозревали: умирающая колония катапультирует часть себя
Биологи открыли у бактерий инстинкт самосохранения, о котором не подозревали: умирающая колония катапультирует часть себя

Оказалось, что процесс можно запустить по команде, а это отличная новость для онкологов.

3 часа назад @ securitylab.ru
Шутники научились выключать электрокары через Bluetooth прямо на ходу
Шутники научились выключать электрокары через Bluetooth прямо на ходу Шутники научились выключать электрокары через Bluetooth прямо на ходу

Приложение для диагностики аккумуляторов превратилось в инструмент дорожного хулиганства.

4 часа назад @ securitylab.ru
15 лет в ядре Linux. Всего одно нажатие отдаёт ваш смартфон под полный контроль злоумышленников
15 лет в ядре Linux. Всего одно нажатие отдаёт ваш смартфон под полный контроль злоумышленников

Две 0day-бреши сложились в сценарий, которого мобильная защита никак не ожидала.

4 часа назад @ securitylab.ru
GhostApproval: один клонированный репозиторий — и хакер уже в вашем SSH
GhostApproval: один клонированный репозиторий — и хакер уже в вашем SSH GhostApproval: один клонированный репозиторий — и хакер уже в вашем SSH

Старый трюк с симлинками обманул шесть популярных ИИ-кодеров.

5 часов назад @ securitylab.ru
Промпт-инъекции нового поколения, спящие команды и подделка маркеров. В CrowdStrike нашли новые способы запретить искусственному интеллекту говорить «нет»
Промпт-инъекции нового поколения, спящие команды и подделка маркеров. В CrowdStrike нашли новые способы запретить искусственному интеллекту говорить «нет»

База данных CrowdStrike по методам взлома нейросетей превысила 200 техник.

6 часов назад @ securitylab.ru
Кредитная история под контролем: как проверить и понять, что на вас не оформили микрозайм
Кредитная история под контролем: как проверить и понять, что на вас не оформили микрозайм Кредитная история под контролем: как проверить и понять, что на вас не оформили микрозайм

Полная инструкция по защите от кредитного мошенничества.

11 часов назад @ securitylab.ru
Космический симулятор на обычном ПК. НАСА выложило в открытый доступ цифровой полигон для космических роботов
Космический симулятор на обычном ПК. НАСА выложило в открытый доступ цифровой полигон для космических роботов

Новая открытая платформа воспроизводит внутренности космических модулей и помогает переносить код на реальные машины.

15 часов назад @ securitylab.ru
Вращаясь, Земля тянет пространство-время за собой — словно скручивает саму ткань реальности. Всё как и предсказывал Эйнштейн
Вращаясь, Земля тянет пространство-время за собой — словно скручивает саму ткань реальности. Всё как и предсказывал Эйнштейн

110 лет. Сотни проверок. И снова он оказался прав.

16 часов назад @ securitylab.ru
100 сайтов и 26 000 фильмов. Спецслужбы помогли арестовать владельцев теневой киноимперии
100 сайтов и 26 000 фильмов. Спецслужбы помогли арестовать владельцев теневой киноимперии

Шесть лет организаторы схемы ловко скрывали доходы от чужих премьер.

17 часов назад @ securitylab.ru
Стартап научил ИИ маскироваться под учёных: Academic Humanizer стирает следы нейросетей из статей
Стартап научил ИИ маскироваться под учёных: Academic Humanizer стирает следы нейросетей из статей Стартап научил ИИ маскироваться под учёных: Academic Humanizer стирает следы нейросетей из статей

"Не для обхода рецензирования" — но именно для этого его и будут использовать.

17 часов назад @ securitylab.ru
Учёные переписывают мировое время: никто не знает, что случится с интернетом, если убрать секунду – так почему бы не отменить её навсегда?
Учёные переписывают мировое время: никто не знает, что случится с интернетом, если убрать секунду – так почему бы не отменить её навсегда?

Вместо неё через несколько веков у нас появится… добавочный час?

18 часов назад @ securitylab.ru
Anti-Malware Anti-Malware
последний пост 19 часов назад
EDR с защитой от шифровальщиков. Бэкап больше не нужен?
EDR с защитой от шифровальщиков. Бэкап больше не нужен? EDR с защитой от шифровальщиков. Бэкап больше не нужен?

Данный инструментарий призван помочь в борьбе с «теневыми ИТ», которые являются источниками целого комплекса проблем в компаниях и с которыми очень сложно бороться.

Методы атак на организацииПоловина успешных атак приходится на программы-шифровальщики и вайперы, направленные на уничтожение данных в инфраструктуре (рис.

Это в «Лаборатории Касперского» связали с тем, что от компании, даже небольшой, за один эпизод можно получить больше, чем от обычного человека.

Но и в том, и в другом случае злоумышленники крадут данные.

Продукты от Qihoo 360 и K7 Computing, так же как и Check Point / ZoneAlarm, предназначены для конечных пользователей и малого бизнеса.

19 часов назад @ anti-malware.ru
Биометрия в сделках с недвижимостью: насколько это безопасно
Биометрия в сделках с недвижимостью: насколько это безопасно Биометрия в сделках с недвижимостью: насколько это безопасно

С 1 июля 2026 года биометрия станет дополнительным способом подтверждения личности при подаче документов в Росреестр в электронном виде при сделках с недвижимостью.

Данная процедура применима к основным сделкам с недвижимостью:Покупка и продажа квартир, домов и земельных участков как на первичном, так и на вторичном рынке.

Пока биометрия будет использоваться скорее в исключительных случаях как дополнительное средство идентификации личности при совершении дистанционных сделок с недвижимостью и исключительно добровольно».

Также с 2024 года некоторые банки начали использовать биометрию при заключении ипотечных договоров, и в этом сегменте существенных проблем также не выявлено.

Они связаны как…

20 часов назад @ anti-malware.ru
Атаки на цепочки поставок ПО: как они работают и как защититься
Атаки на цепочки поставок ПО: как они работают и как защититься Атаки на цепочки поставок ПО: как они работают и как защититься

В ПО злоумышленники подменяют библиотеки, внедряют вредоносный код в программные зависимости или используют уязвимые компоненты с открытым исходным кодом.

Атаки на цепочки поставок выросли на 110 % за год и уже составляют до трети всех инцидентов.

При следующем запуске агент подключается к серверу злоумышленников и выполняет их код с правами пользователя без песочницы и дополнительных запросов.

«Солар» отмечает, что первом квартале 2026 года на промышленность пришлось 48,8 тысячи кибератак, на 14 % больше, чем годом ранее.

Единственный рабочий подход — относиться к цепочке поставок как к критической инфраструктуре: проверять источники, фиксировать версии, контролировать плагины и образы, из…

1 day, 18 hours назад @ anti-malware.ru
ИИ в кибербезопасности: как меняются угрозы и средства защиты
ИИ в кибербезопасности: как меняются угрозы и средства защиты ИИ в кибербезопасности: как меняются угрозы и средства защиты

И наконец, появляется новый класс задач — защита сотрудников, использующих ИИ в работе, что требует отдельных политик и инструментов.

В первом опросе зрители поделились, где они уже используют или тестируют ИИ в кибербезопасности (мультивыбор):Реагирование на инциденты и подготовка отчётов — 54 %.

Артём Гяммер считает, что ИИ в реагировании может выступать скорее в роли консультанта или ассистента.

Рекомендации по внедрению ИИ в кибербезопасностьАндрей Гунькин предложил три шага:Определить, какие процессы уже есть в компании.

Фишинговые письма пишутся без ошибок и на любом языке, вредоносный код генерируется за секунды, а дипфейки становятся неотличимы от реальности.

1 day, 23 hours назад @ anti-malware.ru
Отчёт сканера зелёный, а данные утекли: на чём российские CISO ловят ложное спокойствие
Отчёт сканера зелёный, а данные утекли: на чём российские CISO ловят ложное спокойствие Отчёт сканера зелёный, а данные утекли: на чём российские CISO ловят ложное спокойствие

Покупатель формирует заказ, переходит к оплате, и в этот момент сайт отправляет запрос к API с параметром 'order_id=345'.

Сканер безопасности, который настроен на автоматическое сканирование, в это время проверяет веб-формы на наличие классических уязвимостей: подставляет кавычки, угловые скобки, длинные строки и смотрит на коды ответов.

Он не падает, не выдаёт трассировку стека, не тормозит — он просто отдаёт данные.

Он не может показать, что в одном случае показана личная информация, а в другом — чужая.

А злоумышленник в это время спокойно меняет цифры в адресной строке, потому что разработчики забыли добавить одну проверку, а автоматическая проверка её не требует.

2 days, 21 hours назад @ anti-malware.ru
Угрозы социальных сетей: как защитить себя и свои данные
Угрозы социальных сетей: как защитить себя и свои данные Угрозы социальных сетей: как защитить себя и свои данные

Информация, которую пользователь добровольно раскрывает, а также данные о его поведении в сети становятся объектом монетизации со стороны платформы.

Однажды опубликованная информация хранится в интернете годами, а фактически — остаётся в сети навсегда.

Сегодня эта технология применяется для атак как на компании, так и на частных лиц в самых разных формах.

Такая привычка ведёт к поверхностному восприятию новостей, снижению способности осмысленно оценивать контент и в перспективе — к полной потере интереса к изучаемому материалу.

Такая привычка ведёт к поверхностному восприятию новостей, снижению способности осмысленно оценивать контент и в перспективе — к полной потере интереса к изучаемому …

2 days, 23 hours назад @ anti-malware.ru
Что мешает готовить системных программистов в достаточном количестве
Что мешает готовить системных программистов в достаточном количестве Что мешает готовить системных программистов в достаточном количестве

Это же относится и к другим программно-аппаратным комплексам — от банкоматов и вендинговых автоматов до промышленных контроллеров.

Это касается, в частности, специалистов по безопасности приложений, которые занимаются поиском ошибок и уязвимостей, в том числе в ядре и драйверах.

Г. В. Плеханова Борис Фёдоров отметил, что системные программисты востребованы и в финансовом секторе и финтехе.

Спрос на системных программистов и в целом на разработчиков высокой квалификации в России остаётся высоким, несмотря на обсуждения сокращений.

Ситуацию усугубляет региональный дисбаланс: например, в Москве закрытие вакансии занимает в среднем 52 дня, тогда как в Новосибирске — 68 дней.

3 days назад @ anti-malware.ru
Нелицензионное ПО в России: почему возвращается пиратство и чем оно опасно
Нелицензионное ПО в России: почему возвращается пиратство и чем оно опасно Нелицензионное ПО в России: почему возвращается пиратство и чем оно опасно

По данным объединения Business Software Alliance (BSA), по состоянию на конец 2021 года уровень использования нелицензионного ПО в России составил 62 % (рис.

Основные показатели мирового рынка нелицензионного ПО по итогам 2021 годаРечь идёт о заведомо нелицензионном ПО.

По его словам, в нелицензионных продуктах код модифицируется, тогда как в ПО, приобретённом легально, таких изменений не происходит.

Аналогичная ситуация наблюдается и в других сегментах, в том числе в сфере информационной безопасности.

Чем меньше точек доступа к таким продуктам — как в офлайн-, так и в онлайн-среде, — тем ниже уровень их использования.

3 days, 19 hours назад @ anti-malware.ru
Популярные мессенджеры в России: обзор функций безопасности и конфиденциальности
Популярные мессенджеры в России: обзор функций безопасности и конфиденциальности Популярные мессенджеры в России: обзор функций безопасности и конфиденциальности

В 2024–2026 годах в России были полностью заблокированы Signal и Viber, а с августа 2025 года в Telegram и WhatsApp* ограничена возможность звонков.

Он использует сквозное шифрование, минимальный сбор метаданных и архитектуру, при которой сервис не владеет ключами и не может расшифровать сообщения.

Поэтому мессенджеры с шифрованием, но с активным сбором метаданных, например WhatsApp*, — безопасны, но не анонимны.

Ключи хранятся локально, сервер передаёт лишь зашифрованный контейнер и не может открыть его даже при физическом доступе к инфраструктуре.

В России Signal заблокирован с августа 2024 года и не включён в реестр ОРИ.

3 days, 22 hours назад @ anti-malware.ru
Значение поддержки PKI в Astra Server Core для импортозамещения
Значение поддержки PKI в Astra Server Core для импортозамещения Значение поддержки PKI в Astra Server Core для импортозамещения

Это создаёт повышенные риски для безопасности, поскольку центры сертификации являются, по сути, «рубильником» для поддержки работоспособности сети.

Новое комплексное решение Astra Server Core призвано решить задачу выбора платформы для миграции с платформы Microsoft.

Например, они допускали ретроспективную выдачу сертификатов для обхода выпущенных позднее требований по безопасности или иногда применяли неадекватные методы проверки сертификатов.

Инициированное недоверие в адрес Symantec привело к крупнейшей миграции сертификатов в истории интернета.

Сервис PKI в Astra Server CoreНо вернёмся к анонсу комплексного решения Astra Server Core.

6 days, 20 hours назад @ anti-malware.ru
GlobalSign отобрала SSL-сертификаты у российских компаний. Что теперь будет?
GlobalSign отобрала SSL-сертификаты у российских компаний. Что теперь будет? GlobalSign отобрала SSL-сертификаты у российских компаний. Что теперь будет?

Принятое решение выглядит сомнительным хотя бы потому, что в сертификатах не указывается разграничение на территорию их применения.

Поэтому в GlobalSign приняли «соломоново решение»: лучше запретить больше требуемого, чем обеспечивать контроль за разрешениями.

Влияние решения GlobalSign на российский рынокНынешнюю ситуацию на рынке центров сертификации нельзя назвать безоблачной.

Решение компании Positive TechnologiesОднако остаётся вопрос, насколько значимым является решение GlobalSign для российских компаний.

Проблемы требуют решенияНа первый взгляд может показаться, что отзыв сертификатов GlobalSign имеет только «косметический» эффект.

1 week назад @ anti-malware.ru
Безопасная разработка ПО в 2026 году: лучшие практики РБПО и DevSecOps
Безопасная разработка ПО в 2026 году: лучшие практики РБПО и DevSecOps Безопасная разработка ПО в 2026 году: лучшие практики РБПО и DevSecOps

В первом опросе зрители поделились, на каком этапе разработки ПО в их компании подключается информационная безопасность:На этапе требований и архитектуры — 36 %.

Проблема безопасности в том, что в команде AppSec есть экспертиза, которой нет в других командах, поэтому их выделяют в отдельные подразделения.

Переключиться с прототипа на качественное решение в этот момент оказывается сложно, и в результате в продукт попадает код, изначально не рассчитанный на промышленную эксплуатацию.

Александр Лысенко , ведущий эксперт по безопасности разработки и ИИ, К2 Кибербезопасность.

Инструмент должен давать реальные результаты, и с этими результатами нужно работать — обрабатывать срабатывания, исправля…

1 week назад @ anti-malware.ru
AI Secure Gateway / AI Firewall: обзор российского рынка защиты LLM и корпоративного ИИ
AI Secure Gateway / AI Firewall: обзор российского рынка защиты LLM и корпоративного ИИ AI Secure Gateway / AI Firewall: обзор российского рынка защиты LLM и корпоративного ИИ

Мировой рынок AI Secure Gateway и AI Firewall уже оценивается в миллионы долларов, а по России цифр пока нет: рынок ещё не сформировался.

ВведениеКак устроен рынок AI Secure Gateway / AI Firewall:Оценки мирового рынка AI Secure Gateway / AI Firewall различаются, но по всем прогнозам он будет только расти.

Что такое AI Secure Gateway / AI FirewallAI Secure Gateway или AI Firewall выступает барьером между внешней сетью и ИИ-приложением.

Мировой рынок AI Secure Gateway / AI FirewallВ 2025 году мировой рынок AI Firewall оценивался в 260,76 млн долларов США.

Мировой рынок AI Secure Gateway / AI Firewall (сгенерировано ИИ)Драйверы роста рынка AI Firewall / AI Secure Gateway во многом носят очевид…

1 week, 1 day назад @ anti-malware.ru
Дипфейк-атаки на бизнес: как защититься от подделки голоса и видео
Дипфейк-атаки на бизнес: как защититься от подделки голоса и видео Дипфейк-атаки на бизнес: как защититься от подделки голоса и видео

ВведениеГенерация голоса и видео в реальном времени стала рабочим инструментом мошенников.

Участники сосредоточены на содержании разговора, а не на качестве изображения; запись встреч часто отключена, а полноценные проверки «живости» отсутствуют — инъекционная подмена проходит незаметно.

Теперь к тексту добавляются голос и видео, и фильтров почтового шлюза уже недостаточно.

Это снижает точность как на подделках, так и на реальных записях.

Что можно сделать уже сейчас: чек‑лист для компанииНужны простые процессные меры, которые работают независимо от качества видео и голоса.

1 week, 1 day назад @ anti-malware.ru
ФСТЭК меняет правила игры: почему защита веба и API становится критичной для бизнеса
ФСТЭК меняет правила игры: почему защита веба и API становится критичной для бизнеса ФСТЭК меняет правила игры: почему защита веба и API становится критичной для бизнеса

Почему эти изменения важны для бизнеса и как они меняют требования к защите цифровых сервисов?

Дополнительно требуется регулярный пересмотр API и выявление недокументированных, устаревших и неиспользуемых интерфейсов.

WAF и здесь играет значительную роль: ведёт журналы всех запросов и действий, включая детали заблокированных атак, и может интегрироваться с системами мониторинга событий ИБ.

ВыводыГлавный сдвиг, который сейчас закрепляет ФСТЭК России, заключается не в появлении новых средств защиты, а в изменении самой логики безопасности.

И здесь WAF и API Security становятся не просто элементами ИБ-архитектуры, а инструментами управления бизнес-риском, устойчивостью цифровых сервисов и, в к…

1 week, 2 days назад @ anti-malware.ru
Хабр: ИБ Хабр: ИБ
последний пост 1 час назад
[Перевод] Про киберугрозы со стороны генеративного ИИ
[Перевод] Про киберугрозы со стороны генеративного ИИ [Перевод] Про киберугрозы со стороны генеративного ИИ

Превращение генеративных моделей в самостоятельные сущности в информационных сетях ознаменовало начало совершенно новой эпохи внутри сферы информационной безопасности.

Нажатие кнопки подтверждения превращается в обыкновенное юридическое алиби для алгоритма, поскольку времени на осмысленную оценку предлагаемых действий попросту не остается.

Искусственная «совещательная пауза» обязана восприниматься специалистами отрасли не как операционная слабость архитектуры, а как ценнейший стратегический актив, страхующий глобальную инфраструктуру от катастрофических сбоев.

Строгое соблюдение баланса между автоматизацией реакции механизмов и обязательным надзором со стороны человека станет важнейшим крит…

1 час назад @ habr.com
Сколько Shadow API спрятано в ваших продуктах и как вывести их из тени
Сколько Shadow API спрятано в ваших продуктах и как вывести их из тени Сколько Shadow API спрятано в ваших продуктах и как вывести их из тени

В статье разберём, почему официальные реестры API расходятся с реальностью, откуда берутся Shadow API и как начать их искать без многомесячного проекта.

Проблема в том, что API в современной компании появляются быстрее, чем их успевают заносить в реестр и постепенно образуют отдельный слой API, который живет вне нормального процесса управления.

Shadow parameters — это ситуация, когда сама точка доступа описана, но в реальности принимает параметры, которых нет в спецификации.

Атака шла через прикладной слой и доверенную интеграцию: запросы выглядели как обращения к API, а не как классическое проникновение в инфраструктуру.

Если точка доступа не попала в реестр, она не попала и в задание на т…

1 час назад @ habr.com
Установка и настройка matrix (Synapse), MAS, LiveKit, lk‑jwt‑service, Element‑web, Ketesa совместно с панелью 3x‑ui
Установка и настройка matrix (Synapse), MAS, LiveKit, lk‑jwt‑service, Element‑web, Ketesa совместно с панелью 3x‑ui Установка и настройка matrix (Synapse), MAS, LiveKit, lk‑jwt‑service, Element‑web, Ketesa совместно с панелью 3x‑ui

location /element-web/index.html { add_header Cache-Control "no-cache, no-store, must-revalidate"; } # Запрет кэширования конфигурационного файла # Файл config.json содержит настройки подключения к вашему Homeserver и MAS.

файл MAS генерируется через команду:/opt/mas/mas-cli config generate > /etc/mas/config.yamlВыдаем права конфиг файлу:chown -R root:mas /etc/mas/config.yamlchmod 640 /etc/mas/config.yamlПроверяем права:ls -l /etc/mas/config.yamlДолжно быть:‑rw‑r-‑-- 1 mas mas … /etc/mas/config.yamlКонфиг.

MAS хранит в PostgreSQL:OAuth2 / OIDC данные: access tokens, refresh tokens, device codes, session state, consent recordsПользовательские данные MAS : учётные записи MAS (если MAS управля…

1 час назад @ habr.com
[Перевод] Защита CI/CD для open source-проекта: запираем зависимости
[Перевод] Защита CI/CD для open source-проекта: запираем зависимости [Перевод] Защита CI/CD для open source-проекта: запираем зависимости

Этот пост про уровень зависимостей: какой код эти сборки подтягивают и как мы убеждаемся, что его не подделали.

Когда выходит новая версия action'а, Renovate открывает PR с поднятым SHA — это позволяет проекту оставаться актуальным и не возвращаться к изменяемым ссылкам.

Сборки воспроизводимы и не обращаются к внешним module-прокси, поэтому подделанный модуль на прокси до системы не доходит.

Если форкать каждый сторонний action в организацию cilium/ и пиннить к SHA форка, компрометация upstream не попадёт в workflow.

Если бы крупного провайдера action'ов компрометировали раз за разом, форкнуть самые рискованные было бы разумной эскалацией, но до этого порога мы не дошли.

2 часа назад @ habr.com
«Как у себя дома». Почему ваш сканер уязвимостей и SIEM не мешают злоумышленнику
«Как у себя дома». Почему ваш сканер уязвимостей и SIEM не мешают злоумышленнику «Как у себя дома». Почему ваш сканер уязвимостей и SIEM не мешают злоумышленнику

Если у вас всё выверено, процессы отлажены, а системы управления уязвимостями (VM) и SIEM слаженно работают в паре — это уже сильный результат.

Куда двигаться?»; есть и системы классов VM, и SIEM, но они существуют параллельно: данные не пересекаются, корреляции нет, эффект от систем оставляет желать лучшего.

Если в общем смысле настройка процессов управления активами нужна для сохранения денег и порядка в компании, то для SIEM и VM она решает конкретные задачи безопасности.

В итоге SIEM не может сопоставить подозрительное поведение с конкретной уязвимостью и не повышает уровень тревоги.

Интеграция VM и SIEM с передачей контекстных данныхНачните с минимального набора полей, перечисленных вы…

3 часа назад @ habr.com
Разбор цепочки заражения через документ Excel: от OLE-объекта до LuaJIT-инфостилера
Разбор цепочки заражения через документ Excel: от OLE-объекта до LuaJIT-инфостилера Разбор цепочки заражения через документ Excel: от OLE-объекта до LuaJIT-инфостилера

В ходе анализа одного из подобных образцов была исследована полная цепочка заражения — от письма с вложением Excel до запуска LuaJIT-загрузчика и последующего инфостилера.

Интересной особенностью кампании является использование файлов с нестандартными расширениями (.PIF и .TTF), которые на самом деле не являются ни ярлыком, ни шрифтом.

Документ практически пустой и не содержит заметного содержимого.

Поэтому будьте внимательны при работе с письмами и вложениями, особенно с документами .xls от неизвестных отправителей.

На первый взгляд такой файл может выглядеть как обычный документ, но внутри может скрываться целая цепочка загрузки вредоносного ПО.

5 часов назад @ habr.com
ИИ против вредоноса. Песочница и беглый теханализ
ИИ против вредоноса. Песочница и беглый теханализ ИИ против вредоноса. Песочница и беглый теханализ

Решения, которые остались за мной, а не за бездушным вычислителем:как изолировать виртуальную машину;какой снэпшот считать эталонным;когда разрешать проводить запуск динамического исследования (да, я не шучу).

Linux host | | libvirt / QEMU | pcap capture | memory dump | overlay/result disks | Volatility 3 | Ghidra + Ghidra MCP | Codex v Windows 11 VM | | guest runner | Sysmon / logs | sample execution v malware processГлавное правило: снимать максимальное количество данных со стороны хоста.

Первый важный инженерный урок: права доступаОдна из самых неприятных проблем оказалась не в реверсе и не в ИИ, а в правах доступа.

TLDR или мои выводыРучной анализ ВПО обычно упирается не в отсутствие зн…

5 часов назад @ habr.com
Почему «просто VPN» сдох, как лечить Telegram, Reels и Google AI Studio и что там с белыми списками?
Почему «просто VPN» сдох, как лечить Telegram, Reels и Google AI Studio и что там с белыми списками? Почему «просто VPN» сдох, как лечить Telegram, Reels и Google AI Studio и что там с белыми списками?

Как это обманывает DPI: Анализатор ожидает увидеть цельный «заголовок» запроса, чтобы понять, куда вы идете.

Когда он получает «огрызок» в 2 байта, его алгоритм не может собрать пазл и «пропускает» соединение, считая его мусорным или бфитым.

Часто он просто сдается и пропускает поток, так как не успевает анализироват миллионы мелких сегментов в реальном времени.

Google AI Studio / Gemini: Бан по JA4+ и ASNGoogle видит, что вы используете VPN, даже если у вас чистый IP.

Для ТСПУ это выглядит как абсолютно легитимный трафик из белого списка.

9 часов назад @ habr.com
VMkatz: скрытая угроза для виртуальной инфраструктуры
VMkatz: скрытая угроза для виртуальной инфраструктуры VMkatz: скрытая угроза для виртуальной инфраструктуры

VMkatz может работать с файлами виртуальных машин разных платформ, включая VMware ESXi, Microsoft Hyper-V, VirtualBox и QEMU/KVM.

Для ESXi-систем разработчиком был подготовлен отдельный Python-загрузчик, предназначенный для размещения VMkatz в памяти без запуска бинарного файла через execve() .

На скриншоте 1 представлен пример работы VMkatz на ESXi, запущенного с помощью Python-загрузчика.

В таком случае компрометация гипервизора может привести не только к компрометации отдельных виртуальных машин, но и к компрометации всего домена.

Включать шифрование всех файлов виртуальных машин.

17 часов назад @ habr.com
DevSecOps на практике: райтапы заданий с митапа CyberCamp глазами тех, кто их придумал
DevSecOps на практике: райтапы заданий с митапа CyberCamp глазами тех, кто их придумал DevSecOps на практике: райтапы заданий с митапа CyberCamp глазами тех, кто их придумал

Проваливаемся в контекст, открываем кластер, обнаруживаем себя всё такими же зажатыми, как и в ОС.

#Примечание #Ввиду особенностей работы AppArmor засчитывался только флаг с параметром ix, т.к.

Веб-серверу выданы права и на TCP (inet stream), и на UDP-сокеты (inet dgram).

), что не попали в анализ>-<номера CWE дефектов, что не попали в анализ (по возрастанию)>Ответ: 7-89-259-605Седьмой флаг: Какая уязвимость была найдена тремя SAST?

Например, сканер может показывать критические CVE там, где разработчики уже признали проблему неопасной, и в новом обновлении БД-сканера этой уязвимости может быть назначен низкий уровень критичности.

21 час назад @ habr.com
Хакер в магазине: изучаем поверхность атаки типичного супермаркета
Хакер в магазине: изучаем поверхность атаки типичного супермаркета Хакер в магазине: изучаем поверхность атаки типичного супермаркета

Хакер приходит в общественную столовую и с возмущением обнаруживает, что солонку на столе может открутить кто попало.

Итак, приходит Хакер в магазин и обнаруживает:Кассы-трансформеры и терминалы самообслуживания — лицо современного ритейла и его ахиллесова пята.

День второй: Хакер играет в «испорченный телефон»Хакер заметил, что в уголке за стеллажами с чипсами есть кнопка вызова сотрудника.

День пятый: Хакер хитрит с картами и возвратом денегСначала Хакер как обычный покупатель приобрел товар в магазине, оплатил его картой и получил чек.

Если статья наберет 1000 лайков — Хакер зайдет и в ваш магазин ☺ А пока приглашаю в свой Telegram-канал, где рассказываю про реверс-инжиниринг и соседние …

22 часа назад @ habr.com
Чем реверсить вредонос: reverse engineering kit для аналитиков угроз
Чем реверсить вредонос: reverse engineering kit для аналитиков угроз Чем реверсить вредонос: reverse engineering kit для аналитиков угроз

У каждой задачи свой набор инструментов, своя логика настройки сети, и я постараюсь объяснить, почему именно так.

Минус один — вся база хранится в интернете, и это единственная причина, по которой статическую виртуалку я не могу полностью изолировать от сети.

Вирусы и так распространяются открыто, прятать там особо нечего, и в подавляющем большинстве случаев семплы на анализ берутся из открытых источников.

К слову, и в WinHex, и в HxD для таких задач есть специальные расширения.

На выходе показывает, какие ключи добавились, а какие удалились, что в целом изменилось в системе за время работы вредоноса.

23 часа назад @ habr.com
Веб против мобильных устройств: что в опасности? Сравнение безопасности в двух разных мирах
Веб против мобильных устройств: что в опасности? Сравнение безопасности в двух разных мирах Веб против мобильных устройств: что в опасности? Сравнение безопасности в двух разных мирах

В мобильных приложениях это часто означает незашифрованное локальное хранилище, токены, размещенные не в том месте, или секреты, передаваемые внутри исполняемого файла.

В мобильных приложениях риски смещаются в сторону самого устройства и экосистемы приложения.

Та же проблема наблюдается и в мобильных API.

Небезопасные зависимости и цепочка поставокАтаки на цепочки поставок неслучайно получили отдельную категорию в списках для веб- и мобильных приложений.

Итоговый выводДля меня главный вывод таков: безопасность веб-сайтов и мобильных устройств не следует сравнивать как две изолированные сферы.

1 day, 1 hour назад @ habr.com
Управление ключами SSH — вызовы и эволюция подходов
Управление ключами SSH — вызовы и эволюция подходов Управление ключами SSH — вызовы и эволюция подходов

При попытке соединения SSH-демон sshd сверяет предъявленные клиентом данные с сохраненными записями и в случае совпадения разрешает вход.

Бастионные хостыВ LDAP ключи хранятся статически, и при их большом количестве регулярные опросы каталога создают повышенную нагрузку на инфраструктуру.

Такая архитектура повышает контроль и безопасность, но лишь смещает фокус управления: теперь ключи нужно хранить и администрировать на бастионе.

Основная идея в обоих случаях — сервер и клиент доверяют не списку конкретных ключей, а ключу CA и подписи сертификата.

После настройки доверия к CA администрирование сводится исключительно к выпуску и отзыву сертификатов, избавляя от необходимости вручную распрос…

1 day, 2 hours назад @ habr.com
ИБ как запретительный орган: традиция или необходимость?
ИБ как запретительный орган: традиция или необходимость? ИБ как запретительный орган: традиция или необходимость?

ИБ это не моя специализация, и я не претендую на экспертную оценку конкретных практик.

И вот тут у меня как у стороннего наблюдателя возникает вопрос, а разве задача ИБ это запретить инициативу?

И управлять этим КАК это и есть, как мне кажется, содержание работы ИБ, а не сам факт запрета любых инициатив.

Если вы работаете в ИБ или тесно с взаимодействуете с ними правда ли, что зрелая практика по умолчанию ищет способ разрешить с компенсирующими мерами, а не запретить?

Или запрет по умолчанию это и есть правильный подход при текущем уровне угроз, а мое "а давайте разрешим, но защитим" звучит инфантильно?

1 day, 4 hours назад @ habr.com
Хакер Хакер
последний пост 1 час назад
Linux-уязвимость Januscape позволяет атаковать хост из гостевой VM
Linux-уязвимость Januscape позволяет атаковать хост из гостевой VM Linux-уязвимость Januscape позволяет атаковать хост из гостевой VM

Баг позволяет атакующему осуществить побег из гостевой виртуальной машины и выполнить код с правами root на хосте.

Проблема присутствовала в ядре Linux около 16 лет и затрагивает KVM-хосты на архитектуре x86 с процессорами Intel и AMD (ARM64 уязвимость не затрагивает).

Она представляет собой use-after-free, затрагивая код KVM/x86 и механизм, который отвечает за трансляцию адресов памяти между гостевой системой и хостом.

Проблема Januscape считается первым известным guest-to-host эксплоитом для KVM, который работает на машинах на базе процессоров Intel и AMD.

А если root-доступа внутри гостевой машины нет, Januscape можно объединить с другим багом, например, с цепочкой Dirty Frag.

1 час назад @ xakep.ru
CyberCamp выходит в офлайн: в Москве состоится летний опен-эйр для кибербезопасников
CyberCamp выходит в офлайн: в Москве состоится летний опен-эйр для кибербезопасников CyberCamp выходит в офлайн: в Москве состоится летний опен-эйр для кибербезопасников

Летний CyberCamp объединит деловую программу с отдыхом на природе.

Генеральным партнером фестиваля выступает компания «Инфосистемы Джет».

После серии онлайн-мероприятий проект CyberCamp, созданный для обмена практическим опытом в сфере ИБ, соберет профессиональное сообщество офлайн.

Подробности про летний CyberCamp можно найти на сайте мероприятия.

АО «Инфосистемы Джет».

2 часа назад @ xakep.ru
Депутат Европарламента расследовал использование спайвари Pegasus, и его устройство заразили Pegasus
Депутат Европарламента расследовал использование спайвари Pegasus, и его устройство заразили Pegasus Депутат Европарламента расследовал использование спайвари Pegasus, и его устройство заразили Pegasus

Эксперты Citizen Lab подтвердили, что iPhone бывшего депутата Европарламента Стелиоса Кулоглу (Stelios Kouloglou) скомпрометировали с помощью шпионского ПО Pegasus.

Также он членом-заместителем комитета PEGA, созданного специально для расследования применения спайвари Pegasus и других шпионских инструментов в странах ЕС.

В это время комитет PEGA обсуждал злоупотребления шпионским ПО в Греции, на Кипре, в Венгрии, Польше и Испании, а также готовил черновик доклада и проводил слушания перед публикацией итоговых рекомендаций.

Несколько лет назад мы посвятили Pegasus и NSO Group отдельную статью, после того как внимание общественности оказалось привлечено к работе этой коммерческой спайвари и с…

16 часов назад @ xakep.ru
Сайты могли незаметно установить аддон через уязвимость в браузере Opera GX
Сайты могли незаметно установить аддон через уязвимость в браузере Opera GX Сайты могли незаметно установить аддон через уязвимость в браузере Opera GX

В браузере Opera GX обнаружена уязвимость, из-за которой вредоносный сайт мог без разрешения установить аддон GX Mods, а затем использовать его для кражи данных с других страниц.

Напомним, что браузер Opera GX построен на базе Chromium и ориентирован на геймеров, стримеров и создателей контента.

Аддоны GX Mods позволяют менять оформление Opera GX, включая темы, обои, звуки и CSS-стили сайтов.

Они распространяются в виде файлов crx, как обычные браузерные расширения, но не могут выполнять JavaScript и не запрашивают каких-либо разрешений.

В итоге атака занимала всего несколько секунд: пользователь открывал вредоносный сайт, мод незаметно устанавливался в Opera GX, после чего JavaScript перен…

18 часов назад @ xakep.ru
Обфускация LDAP. Как скрыть разведку Active Directory от простых детектов
Обфускация LDAP. Как скрыть разведку Active Directory от простых детектов Обфускация LDAP. Как скрыть разведку Active Directory от простых детектов

LDAP-зап­росы лежат в осно­ве раз­ведки Active Directory: от Kerberoasting в Impacket до сбо­ра гра­фа в BloodHound.

Краткая теория LDAP и служб каталоговПе­ред тем как перей­ти к обна­руже­нию атак и спо­собам защиты, давай сна­чала раз­берем­ся, что такое LDAP и как он работа­ет.

Зна­чение subtree подой­дет, если нужен поиск во вло­жен­ных вет­ках, onelevel — если нужен поиск на одном уров­не, без углубле­ния в вет­ки.

Еще есть base — поиск толь­ко по одно­му объ­екту, базе;подой­дет, если нужен поиск во вло­жен­ных вет­ках, — если нужен поиск на одном уров­не, без углубле­ния в вет­ки.

Еще есть — поиск толь­ко по одно­му объ­екту, базе; филь­тр зап­роса — усло­вие, которо­му дол­жны соот…

20 часов назад @ xakep.ru
В прошивках роутеров Tenda нашли бэкдор
В прошивках роутеров Tenda нашли бэкдор В прошивках роутеров Tenda нашли бэкдор

Специалисты CERT/CC предупредили о недокументированном механизме аутентификации в прошивках роутеров Tenda.

Бэкдор позволяет обойти обычную проверку пароля и получить полный административный доступ к панели управления устройством.

Проблема получила идентификатор CVE-2026-11405, и сообщается, что ее нашел анонимный исследователь, изучавший бинарник веб-сервера /bin/httpd, встроенного в прошивки Tenda.

Эксперты подчеркивают, что этот механизм не описан в документации и его следы отсутствуют в интерфейсе администратора.

Бэкдор присутствует в прошивках следующих моделей:Tenda FH1201 — US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD;Tenda W15E — US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE;Tenda AC10 — U…

21 час назад @ xakep.ru
Вымогательскую малварь для браузера создали с помощью DeepSeek
Вымогательскую малварь для браузера создали с помощью DeepSeek Вымогательскую малварь для браузера создали с помощью DeepSeek

Для заражения не требуется устанавливать приложение, эксплуатировать какие-либо уязвимости или получать root-доступ, достаточно просто убедить жертву предоставить сайту доступ к папке с файлами.

Эксперты обнаружили малварь во время анализа почти 3000 файлов, создание которых связывают с DeepSeek.

Затем малварь могла изучить содержимое папки, отправить данные на сервер, зашифровать оригинальные файлы и показать пользователю записку с требованием выкупа.

В iOS воспроизвести атаку не удалось, поскольку браузеры на этой платформе используют WebKit и не поддерживают аналогичный доступ к файловой системе.

Пользователям рекомендуют внимательно относиться к запросам браузера на доступ к файлам и не…

23 часа назад @ xakep.ru
Фишеры злоупотребляют механизмом Device Code Flow для захвата аккаунтов Microsoft
Фишеры злоупотребляют механизмом Device Code Flow для захвата аккаунтов Microsoft Фишеры злоупотребляют механизмом Device Code Flow для захвата аккаунтов Microsoft

Эксперты «Лаборатории Касперского» обнаружили фишинговую кампанию, участники которой злоупотребляют механизмом Microsoft Device Authorization Grant, также известным как Device Code Flow.

Полученные злоумышленниками токены позволяют читать почту жертвы и отправлять письма от ее имени, просматривать файлы в OneDrive и сообщения в Microsoft Teams.

Эксперты рекомендуют пользователям не подтверждать запросы Device Code Flow, если они сами не инициировали вход на другом девайсе, и не вводить коды из подозрительных писем и сообщений.

Также стоит проверять не только основной домен, но и параметры редиректа в URL, а после перехода — конечный адрес страницы.

Сделать это можно через политики Condition…

1 day, 1 hour назад @ xakep.ru
Критический баг в Adobe ColdFusion уже используется в атаках
Критический баг в Adobe ColdFusion уже используется в атаках Критический баг в Adobe ColdFusion уже используется в атаках

Злоумышленники начали эксплуатировать свежую уязвимость в Adobe ColdFusion (CVE-2026-48282) спустя около двух часов после публикации информации о ней.

Уязвимость CVE-2026-48282 получила максимальные 10 баллов из 10 возможных по шкале CVSS и затрагивает ColdFusion 2025.9, 2023.20 и более ранние версии.

Еще две проблемы, CVE-2026-48313 и CVE-2026-48315, набрали по 9,3 балла по шкале CVSS и приводят к чтению произвольных файлов и повышению привилегий.

Все уязвимости были исправлены в ColdFusion 2023 Update 21 и ColdFusion 2025 Update 10.

Кроме того, одновременно с выпуском патчей для ColdFusion, разработчики устранили проблему CVE-2026-48286 в Adobe Campaign Classic, которая тоже получила оцен…

1 day, 16 hours назад @ xakep.ru
Вымогатель JadePuffer использовал ИИ-агента для автоматизации атаки
Вымогатель JadePuffer использовал ИИ-агента для автоматизации атаки Вымогатель JadePuffer использовал ИИ-агента для автоматизации атаки

В записке утверждалось, что данные зашифрованы алгоритмом AES-256, однако специалисты считают, что на самом деле в атаке использовался более слабый AES-128-ECB.

При этом ключ генерировался случайным образом, нигде не сохранялся и не отправлялся операторам малвари.

Указанный биткоин-адрес тоже оказался широко известным примером из публичной документации, и эксперты полагают, что LLM почерпнула его из обучающих данных.

Исследователи отмечают, что JadePuffer не применял каких-либо сложных или новых техник.

По оценке специалистов, теперь порог входа для таких атак снизился до цены запуска ИИ-агента, а в случае использования похищенного доступа к LLM расходы злоумышленников могут быть практическ…

1 day, 18 hours назад @ xakep.ru
Релокации. Разбираемся, как Linux-программа находит функцию во время выполнения
Релокации. Разбираемся, как Linux-программа находит функцию во время выполнения Релокации. Разбираемся, как Linux-программа находит функцию во время выполнения

oВот пер­вый при­мер:0000000000000000 < main>: 0: f3 0f 1e fa endbr64 4: 55 push rbp 5: 48 89 e5 mov rbp, rsp 8: bf 1e 00 00 00 mov edi, 0x1e d: e8 00 00 00 00 call 12 < main+0x12> 12: b8 00 00 00 00 mov eax, 0x0 17: 5d pop rbp 18: c3 retА вот вто­рой при­мер:0000000000000000 < main>: 0: 55 push rbp 1: 48 89 e5 mov rbp, rsp 4: bf 1e 00 00 00 mov edi, 0x1e 9: e8 00 00 00 00 call e < main+0xe> e: b8 00 00 00 00 mov eax, 0x0 13: 5d pop rbp 14: c3 retПер­вый при­мер — с инс­трук­цией endbr64 , вто­рой — без нее.

Инс­трук­ция call име­ет опе­ранд 0x00 00 00 00 — заг­лушку.

Итак, в объ­ектном фай­ле у нас есть:заг­лушка 00 00 00 00 в коде;в коде; за­пись в таб­лице релока­ций: «по это­му сме­щени…

1 day, 20 hours назад @ xakep.ru
Стоимость доступа к инфраструктуре компаний начинается от 100 долларов США
Стоимость доступа к инфраструктуре компаний начинается от 100 долларов США Стоимость доступа к инфраструктуре компаний начинается от 100 долларов США

Эксперты Positive Technologies изучили черный рынок и выяснили, что готовый доступ к корпоративной инфраструктуре обычно стоит от 100 до 10 000 долларов США.

Исследователи пишут, что стоимость доступа прежде всего зависит от размера компании и ее выручки.

Значительная часть подобных объявлений касается организаций с годовым доходом от 1 млн долларов США, а доступы к сетям небольших компаний обычно продают оптом, поэтому в статистику такие предложения попадают редко.

Так, доступ к инфраструктуре госучреждения может стоить до 1,5 млн долларов США, а финансовой компании — до 1 млн долларов США (сообразно потенциальной прибыли атакующих).

Также в отчете отмечается, что помимо готовых доступов н…

1 day, 21 hours назад @ xakep.ru
Claude Code скрыто отслеживал пользователей из Китая
Claude Code скрыто отслеживал пользователей из Китая Claude Code скрыто отслеживал пользователей из Китая

На прошлой неделе исследователь обнаружил в Claude Code скрытый механизм, который отслеживал пользователей из Китая и передавал в Anthropic сведения об их часовом поясе, домене альтернативного шлюза и возможной связи с местными ИИ-лабораториями.

Скрытый в коде трекер нашел веб-разработчик под ником Thereallo, который изучал приватность Claude Code и исследовал бинарник версии 2.1.196.

То есть злоумышленник мог без труда обойти следящий механизм, например, сменив домен или часовой пояс, пропатчив бинарник или запустив Claude Code через врапер.

Также в Anthropic утверждают, что в июне 2026 года Alibaba провела крупнейшую из известных дистилляционных атак на ее модели.

По информации СМИ, после…

1 day, 23 hours назад @ xakep.ru
Минцифры: введение платы за иностранный интернет-трафик не рассматривается
Минцифры: введение платы за иностранный интернет-трафик не рассматривается Минцифры: введение платы за иностранный интернет-трафик не рассматривается

Представители Минцифры утверждают, что отдельную плату за иностранный интернет-трафик в России вводить не планируется.

При этом еще весной 2026 года СМИ писали, что власти обсуждают введение оплаты за использование более 15 Гбайт международного трафика в месяц в мобильных сетях.

Официальную позицию ведомства озвучил статс-секретарь — замглавы Минцифры Иван Лебедев во время пленарного заседания Госдумы 7 июля 2026 года.

«Не рассматривается плата за иностранный трафик», — заявил Лебедев, отвечая на вопрос депутата от КПРФ Олега Смолина о возможном введении дополнительной платы.

В конце марта издание Forbes сообщало, что власти планируют брать дополнительную плату с пользователей, которые расх…

2 days, 1 hour назад @ xakep.ru
Новая Linux-уязвимость Bad Epoll позволяет получить root-права и затрагивает Android
Новая Linux-уязвимость Bad Epoll позволяет получить root-права и затрагивает Android Новая Linux-уязвимость Bad Epoll позволяет получить root-права и затрагивает Android

Опубликованы технические детали и PoC-эксплоит для уязвимости Bad Epoll, обнаруженной в ядре Linux.

Epoll — штатный механизм Linux, который позволяет приложениям отслеживать готовность множества файловых дескрипторов к операциям ввода-вывода.

По словам исследователя, эксплуатировать Bad Epoll можно даже из песочницы рендерера Chrome, которая блокирует эксплуатацию большинства других проблем ядра.

Исходно баг Bad Epoll появился в ядре в 2023 году и был добавлен с тем же коммитом, который породил другую уязвимость, связанную с состоянием гонки, — CVE-2026-43074.

Однако, в отличие от детерминированных атак на страничный кеш, Bad Epoll требует выиграть в сложном состоянии гонки, и подобный клас…

2 days, 16 hours назад @ xakep.ru
In English 🇺🇸
The Hacker News The Hacker News
последний пост 1 час назад
Attackers Exploit 'Ill Bloom' Vulnerability to Drain $3.1 Million From Cryptocurrency Wallets
Attackers Exploit 'Ill Bloom' Vulnerability to Drain $3.1 Million From Cryptocurrency Wallets Attackers Exploit 'Ill Bloom' Vulnerability to Drain $3.1 Million From Cryptocurrency Wallets

The flaw is in how some wallet software generated its recovery phrase, the words that control the money.

Coinspect says wallets created on hardware devices are not affected, and most mainstream software wallets are not either.

Paste your public wallet address into the free checker at illbloom.org.

What actually brokeEvery self-custody wallet starts with a recovery phrase, usually 12 or 24 words, also called a seed phrase.

Do not type your recovery phrase, private key, password, or backup file into any site or message, ever.

1 час назад @ thehackernews.com
Ransomware Negotiator Gets 70 Months in Prison for Aiding BlackCat Attacks
Ransomware Negotiator Gets 70 Months in Prison for Aiding BlackCat Attacks Ransomware Negotiator Gets 70 Months in Prison for Aiding BlackCat Attacks

A 41-year-old former ransomware negotiator has been sentenced to nearly six years (i.e., 70 months) in prison in the U.S. for their role in conspiring with the now-defunct BlackCat ransomware operators to extort multiple victims and working with two other cybersecurity professionals to target additional victims in 2023.

The defendant worked as a negotiator on behalf of five different ransomware victims, while providing BlackCat attackers with confidential information regarding their negotiating position and strategy without their knowledge or permission.

"He was hired to help victims in a moment of crisis," said U.S. Attorney Jason A. Reding Quiñones for the Southern District of Florida.

"I…

2 часа назад @ thehackernews.com
Dormant GitHub Accounts Help Attackers Blend In While Mapping Corporate Orgs
Dormant GitHub Accounts Help Attackers Blend In While Mapping Corporate Orgs Dormant GitHub Accounts Help Attackers Blend In While Mapping Corporate Orgs

Datadog Security Labs is warning of "several overlapping campaigns" that are systematically enumerating corporate GitHub organizations, repositories, and user accounts through the GitHub API.

While the activity in most cases involves targeting public data, select instances have gone beyond public information enumeration to successfully clone private repositories.

The campaign employs a mix of automated scanner tools, over 50 dormant accounts, and dozens of legitimate accounts that have had their personal access tokens (PATs) exposed unintentionally or compromised through some other method to facilitate the enumeration.

They hit public endpoints, authenticate cleanly or not at all, and retur…

15 часов назад @ thehackernews.com
New GigaWiper Windows Backdoor Bundles Disk Wiping, Fake Ransomware, and Spyware
New GigaWiper Windows Backdoor Bundles Disk Wiping, Fake Ransomware, and Spyware New GigaWiper Windows Backdoor Bundles Disk Wiping, Fake Ransomware, and Spyware

Microsoft has taken apart a destructive Windows backdoor it calls GigaWiper.

Each is a different way to break a machine: wipe the whole disk, overwrite the Windows drive, or run fake "ransomware" that scrambles files with a key it never saves.

Microsoft lists four hashes for the GigaWiper backdoor; Binary Defense lists the same four for BLUERABBIT, and both command servers match.

Microsoft names no country.

Processes using takeown and icacls to take ownership of Windows boot files like bootmgr and ntoskrnl.exe outside maintenance windows.

16 часов назад @ thehackernews.com
npm 12 Disables Install Scripts by Default to Reduce Supply Chain Risk
npm 12 Disables Install Scripts by Default to Reduce Supply Chain Risk npm 12 Disables Install Scripts by Default to Reduce Supply Chain Risk

GitHub has officially announced the release of npm version 12 with install scripts disabled by default, along with deprecating granular access tokens (GATs) designed to bypass two-factor authentication (2FA).

The Microsoft-owned subsidiary noted that the following npm install behaviors that used to run automatically before have been made opt-in -allowScripts defaults to off, meaning dependency lifecycle scripts (i.e., preinstall, install, postinstall) and implicit node-gyp builds no longer run unless explicitly allowed.

--allow-git defaults to none, meaning --allow-git defaults to none: Git dependencies (direct or transitive) are no longer resolved unless explicitly allowed.

To review and a…

17 часов назад @ thehackernews.com
ThreatsDay: Cloud Bucket Hijacking, Windows LPE Chain, Global Fraud Bust + 17 More Stories
ThreatsDay: Cloud Bucket Hijacking, Windows LPE Chain, Global Fraud Bust + 17 More Stories ThreatsDay: Cloud Bucket Hijacking, Windows LPE Chain, Global Fraud Bust + 17 More Stories

A bucket name gets reused.

The worst part is how normal it all looks until the bill arrives.

The useful lesson this week is not “watch for weird behavior.” Weird is late.

By then the fake support call has a session, the package has run, the bucket is gone, and the quiet process already has somewhere to send data.

Watch the normal paths instead.

19 часов назад @ thehackernews.com
AI Attacks Move in Minutes. Join This Webinar on Building a Defense That Keeps Up
AI Attacks Move in Minutes. Join This Webinar on Building a Defense That Keeps Up AI Attacks Move in Minutes. Join This Webinar on Building a Defense That Keeps Up

The tools and runbooks most teams run on were built for attackers who work at human speed.

Save your seat for the free webinar, "Outpacing Mythos: How to Fight Back Against AI-Powered Attacks."

Drop network-based trust and allow only the connections users and workloads actually need.

Drop network-based trust and allow only the connections users and workloads actually need.

Plant tripwires that AI attacks set off, firing automated containment before a foothold becomes an incident.

21 час назад @ thehackernews.com
Summer of Clearinghouses
Summer of Clearinghouses Summer of Clearinghouses

The "clearinghouses" being announced this summer aren't a new species, but they do pool a new kind of data: pre-disclosure vulnerabilities scattered across the long tail of open source.

If the pool isn't new, the pool isn't the story.

And a few is stable, because a clearinghouse isn't a cloud provider: nothing accumulates that you can be held hostage to.

It's an open source base layer so hard to break that the models come up empty, and the clearinghouses can finally sit idle.

This summer of clearinghouses won't last forever.

23 часа назад @ thehackernews.com
GodDamn Ransomware Uses PoisonX Driver to Disable Endpoint Defenses
GodDamn Ransomware Uses PoisonX Driver to Disable Endpoint Defenses GodDamn Ransomware Uses PoisonX Driver to Disable Endpoint Defenses

Cybersecurity researchers have flagged a new ransomware family called GodDamn that employs the PoisonX kernel driver to neutralize security software as part of its defense evasion strategy.

According to a new report published by the Threat Hunter Team from Symantec, the ransomware was first publicly spotted in the wild on May 21, 2026.

It's assessed to be a rebrand of the Beast ransomware, which, in turn, was an enhanced version of Monster, a Delphi-based ransomware that surfaced in March 2022.

Also put to use in the attack is a user-mode defense evasion tool that's dressed as a Symantec product ("symantec.exe") and the PoisonX kernel driver ("g11.sys") to disable endpoint defenses in what'…

23 часа назад @ thehackernews.com
Microsoft Patches RoguePlanet Defender Flaw That Can Grant SYSTEM Privileges
Microsoft Patches RoguePlanet Defender Flaw That Can Grant SYSTEM Privileges Microsoft Patches RoguePlanet Defender Flaw That Can Grant SYSTEM Privileges

Microsoft has released security updates for a Defender vulnerability known as RoguePlanet, nearly a month after details of the flaw became public.

The issue has been remediated in Microsoft Malware Protection Engine version 1.1.26060.3008, along with defense-in-depth updates to harden unspecified security-related features.

RoguePlanet was first disclosed by a security researcher named Chaotic Eclipse (aka Nightmare-Eclipse), describing it as a race condition that could be abused to spawn a shell with SYSTEM-level privileges.

Subsequently, Chaotic Eclipse also revealed that the exploit works regardless of whether real-time protection is on or not.

"For enterprise deployments as well as end u…

1 day, 1 hour назад @ thehackernews.com
Meta's New AI Image Tool Lets Others Use Your Public Instagram Photos in AI Images
Meta's New AI Image Tool Lets Others Use Your Public Instagram Photos in AI Images Meta's New AI Image Tool Lets Others Use Your Public Instagram Photos in AI Images

Meta has announced that its new artificial intelligence (AI) model Muse Image lets people use public Instagram posts and reels to generate AI content, and it's enabled by default.

"You can also @-mention Instagram accounts in the Meta AI app to bring specific Instagram profiles right into your images," the social media giant said in a post.

It's also being embedded into WhatsApp and Instagram to facilitate AI-powered effects for Instagram Stories and image generation in direct chats with Meta AI on WhatsApp.

"In addition, people may be able to create content with your Instagram content using AI features at Meta," the company notes in a help document.

Notifications will continue to be sent i…

1 day, 2 hours назад @ thehackernews.com
Top AI Agents Built to Catch Malicious Code Can Be Tricked Into Running It
Top AI Agents Built to Catch Malicious Code Can Be Tricked Into Running It Top AI Agents Built to Catch Malicious Code Can Be Tricked Into Running It

Ask an AI coding agent to scan open-source code for security holes, and it might run the attacker's code on your own machine instead.

It works against Anthropic's Claude Code and OpenAI's Codex when either is running in an autonomous mode that approves its own commands.

Claude Code has caught cruder attempts before; the researchers note it stopped a blunt "delete all the code" injection planted by one library's own maintainer.

Adversa's "TrustFall" turned a booby-trapped repository into one-click code execution across Claude Code, Cursor, Gemini CLI, and Copilot CLI in May.

Tenet's "Agentjacking" did it with a fake bug report planted in the Sentry error tracker, tricking agents like Claude …

1 day, 4 hours назад @ thehackernews.com
GhostApproval Symlink Flaws Could Let Malicious Repos Run Code in AI Coding Agents
GhostApproval Symlink Flaws Could Let Malicious Repos Run Code in AI Coding Agents GhostApproval Symlink Flaws Could Let Malicious Repos Run Code in AI Coding Agents

The affected tools are Amazon Q Developer, Anthropic's Claude Code, Augment, Cursor, Google Antigravity, and Windsurf.

A symlink quietly points to another file elsewhere on disk, so writing to it actually writes to the target.

Wiz built a malicious repository with a symlink named project_settings.json that really points to the victim's SSH login file, ~/.ssh/authorized_keys.

Anthropic Claude Code Disputed; current versions warn Update, and read the symlink warning before accepting.

A shared flaw, not one vendor's slipIn May, Adversa AI published SymJack, the same symlink-and-approval pattern against six coding agents, including Claude Code, Cursor, GitHub Copilot, and Grok Build.

1 day, 5 hours назад @ thehackernews.com
Fake 7-Zip Installers Turn Devices Into Residential Proxy Nodes
Fake 7-Zip Installers Turn Devices Into Residential Proxy Nodes Fake 7-Zip Installers Turn Devices Into Residential Proxy Nodes

]com," covertly recruiting compromised devices as proxy nodes.

]com/mnWD") embedded within the samples tied to the 7-Zip campaign has uncovered that the same underlying infrastructure has been used to serve fake installers for 7-Zip, WhatsApp, tools falsely claiming TikTok and YouTube downloaders, and WireVPN.

"In the original 7-Zip campaign, victims were directed to malicious installers through tutorial content, search-driven discovery, and lookalike domains," Infoblox said.

Regardless, they paint a picture of what appears to be an unlawful proxy business that fuels a coordinated ecosystem spanning victim acquisition, proxy infrastructure, marketing, and monetization.

"We are struck by the…

1 day, 6 hours назад @ thehackernews.com
AI Coding Agents Found Triggering Endpoint Security Rules Built to Catch Attackers
AI Coding Agents Found Triggering Endpoint Security Rules Built to Catch Attackers AI Coding Agents Found Triggering Endpoint Security Rules Built to Catch Attackers

Sophos looked at a week of its own endpoint data and found that AI coding agents such as Claude Code, Cursor, and OpenAI Codex are setting off detection rules written to catch human intruders.

Its /browse skill does exactly that, running PowerShell that calls DPAPI to unlock saved browser data.

In one instance, Claude Code shut down the running browser and ran a script that pulled data from its credential store.

Separately, it ran cmdkey /list to enumerate the credentials Windows Credential Manager was holding.

These are separate events with different rules firing, but they share a surface: browser credential calls, LOLBin downloads, and startup writes now come from benign agents, attacker-…

1 day, 17 hours назад @ thehackernews.com
threatpost threatpost
последний пост None
DarkReading
последний пост None
WeLiveSecurity
последний пост 2 days, 1 hour назад
ESET Threat Report H1 2026
ESET Threat Report H1 2026 ESET Threat Report H1 2026

A view of the H1 2026 threat landscape as seen by ESET telemetry and from the perspective of ESET threat detection and research experts.

The first half of 2026 shows how attackers continue to improve the efficiency and scalability of their operations.

In H1 2026, ESET analyzed nearly 900,000 AI skills – small functional components used by AI agents – and identified tens of thousands of suspicious and thousands of outright malicious instances.

ESET detections of this vector more than doubled between H2 2025 and H1 2026, indicating sustained activity and adaptation.

ESET Research has documented over 100 EDR killers used in the wild, with new variants appearing regularly.

2 days, 1 hour назад @ welivesecurity.com
Cyber readiness for SMBs: Getting the basics right
Cyber readiness for SMBs: Getting the basics right Cyber readiness for SMBs: Getting the basics right

Organizations are right to pay attention, especially because malicious use of AI makes old gaps a more urgent test of an organization’s cyber readiness.

AI and the basics“AI-powered malware” is cited as the top concern of global SMBs for the year ahead, according to the ESET SMB Cyber Readiness Index 2026.

Lack of security monitoring (22%): You might have plenty of security tools, but do you have a single, centralized place to collect, correlate and flag alerts?

Malicious email detection trend in 2025 (source: ESET Threat Report H2 2025)Tried-and-tested solutions to age-old threatsThis isn’t to say that SMBs should ignore AI-enabled threats.

True cyber readiness means being able to prevent,…

6 days, 21 hours назад @ welivesecurity.com
This month in security with Tony Anscombe – June 2026 edition
This month in security with Tony Anscombe – June 2026 edition This month in security with Tony Anscombe – June 2026 edition

It's that time of month when ESET Chief Security Evangelist Tony Anscombe looks back at some of the top cybersecurity stories that made the news over the past 30 or so days and considers what they may mean for your own cyber-defenses.

What lessons does the new CISA policy hold for organizations outside the agency's direct remit?

What else is there to know about threats facing ATGs or, indeed, many other critical infrastructure systems?

How can you stay safe from imposter fraud, and could the social media bans for children work?

Learn more from Tony's video and be sure to check out the May 2026 edition of Tony's monthly security news roundup for more insights.

1 week, 2 days назад @ welivesecurity.com
Inside the inbox: Why cybercriminals want to break into your email account
Inside the inbox: Why cybercriminals want to break into your email account Inside the inbox: Why cybercriminals want to break into your email account

With access to your email account, they can reset your passwords across multiple other accounts – perhaps intercepting one-time passcodes sent by your bank, social media, cloud storage or other online provider.

That could lay the groundwork for a convincing phishing email designed to impersonate a trusted organization you interact with.

A phishing attack on your corporate email account is often the first stage in a bigger data breach, extortion/ransomware or espionage attack.

They’re also using more sophisticated tools to improve the success rates of email phishing campaigns.

In this instance the scammers reportedly hijacked the email account of a high-level executive, before impersonating …

1 week, 4 days назад @ welivesecurity.com
SMB cyber readiness: the road to resilience starts here
SMB cyber readiness: the road to resilience starts here SMB cyber readiness: the road to resilience starts here

For these businesses, cyber resilience should be the direction of travel – that is, the ability to continue operating and recover even during a serious incident.

Cyber readiness is about putting in place the processes and controls to prevent, detect and respond to threats.

So, should confidence in cyber resilience posture be so high, especially if organizations are still getting hit multiple times?

The truth is that there’s no end state for cyber readiness or resilience.

If it’s serious about improving the cyber readiness of small businesses, the vendor community should step up.

2 weeks назад @ welivesecurity.com
Gamaredon in 2025: Leveraging tunnels, workers, dead drops, and new alliances
Gamaredon in 2025: Leveraging tunnels, workers, dead drops, and new alliances Gamaredon in 2025: Leveraging tunnels, workers, dead drops, and new alliances

Key points of this blogpost: Throughout 2025, Gamaredon exclusively targeted governmental and military institutions in Ukraine.

Continued data exfiltration and a new allianceThroughout 2025, Gamaredon stayed highly active and remained focused solely on Ukraine.

Notably, we uncovered that in early 2025, Gamaredon collaborated with Turla, another Russia-aligned threat actor also linked to the FSB; we documented our findings in our blogpost Gamaredon X Turla collab.

Figure 1 shows a chart of unique samples of HTA downloaders delivered per month in Gamaredon spearphishing campaigns.

Compared to 2024, we also saw a shift in how Gamaredon used these dead drops.

2 weeks, 1 day назад @ welivesecurity.com
ESET takes part in Operation Endgame to disrupt Amadey and Stealc
ESET takes part in Operation Endgame to disrupt Amadey and Stealc ESET takes part in Operation Endgame to disrupt Amadey and Stealc

Key points of this blogpost: ESET took part in the coordinated, global Operation Endgame to disrupt Amadey and Stealc.

Our automated systems have been dissecting Amadey and Stealc samples and identifying the fields most relevant for large-scale tracking.

The largest Amadey botnet clusterOne cluster stands out as the largest, and it contributed nearly 34% of all processed Amadey samples.

Stealc affiliate clustering based on ESET telemetryConclusionFor global disruption operations such as Operation Endgame against Amadey and Stealc, long-term automated tracking of malware is necessary.

2026‑04‑09 Stealc C&C server.

2 weeks, 1 day назад @ welivesecurity.com
Killing me gently: Inside Gentlemen’s EDR killer framework
Killing me gently: Inside Gentlemen’s EDR killer framework Killing me gently: Inside Gentlemen’s EDR killer framework

The group distinguishes itself through a mature, operator-maintained set of endpoint detection and response (EDR) killers, i.e., tools for disrupting security software.

In this blogpost, we share our findings on Gentlemen’s suite of EDR killers gained through extensive research and corroborated by the recent leak.

Third‑party EDR killers (HexKiller, ThrottleBlood, and HavocKiller) are operationally integrated.

Rather than relying on affiliates to source their own EDR killers, Gentlemen operators actively develop and maintain a portfolio of EDR killers for affiliates.

It allows the Gentlemen operators to integrate abused drivers into their toolset very soon after an EDR killer PoC is disclos…

3 weeks, 1 day назад @ welivesecurity.com
Protecting legacy OT systems against modern cyberthreats
Protecting legacy OT systems against modern cyberthreats Protecting legacy OT systems against modern cyberthreats

Of course, connecting production systems to enterprise networks delivers tangible benefits, but the security implications – that systems once safe were suddenly no longer so – arrived more quietly.

Start by mapping which systems in an environment are connected and have no security coverage, where IT and OT networks intersect, which segments are unmonitored, and which production systems have fallen outside any vendor support agreement.

Meanwhile, off-the-peg security tools often don’t efficiently meet the enterprise requirements in legacy OT systems that run on older hardware and outdated operating system versions.

The production systems running that version continue to operate for years, ac…

3 weeks, 2 days назад @ welivesecurity.com
FishMonger’s arsenal upgraded: SprySOCKS for Windows
FishMonger’s arsenal upgraded: SprySOCKS for Windows FishMonger’s arsenal upgraded: SprySOCKS for Windows

Key points of this blogpost: We discovered two previously undocumented Windows variants of FishMonger’s SprySOCKS backdoor.

Technical analysisIn this section, we provide a technical analysis of these new, Windows variants of FishMonger’s SprySOCKS backdoor.

Figure 3. klelam00007.bat setting up persistence for the SprySOCKS backdoor (newlines added for readability)Figure 4 depicts the execution chain of the SprySOCKS WIN_DRV variant.

It contained the SprySOCKS backdoor and the SprySOCKS loader.

6490B8E4AADE25A3EE2D A9A47F312DB2122470BC X1B5206BDC1 743DD.dat Win64/SprySOCKS.A Encrypted container of the encrypted WIN_DRV variant of SprySOCKS backdoor, encrypted SprySOCKS RawWNPF and SprySOCKS …

3 weeks, 3 days назад @ welivesecurity.com
EvilTokens: A phishing attack that doesn’t steal your password
EvilTokens: A phishing attack that doesn’t steal your password EvilTokens: A phishing attack that doesn’t steal your password

Instead, attackers get the victim to complete a legitimate authentication process – including two-factor authentication (2FA) – on a real Microsoft login page.

What makes EvilTokens dangerousThe OAuth device code flow was designed for devices that may be awkward to sign into directly, such as smart TVs or printers.

No document, invoice, email, or another platform should ask for a device code without a clear reason.

A real Microsoft page doesn’t automatically make a request safe.

Sometimes the attacker could ask them to enter a real code on a real page – but for the wrong device.

3 weeks, 4 days назад @ welivesecurity.com
OceanLotus: From external espionage to domestic targeting
OceanLotus: From external espionage to domestic targeting OceanLotus: From external espionage to domestic targeting

During this period, the Vietnam-aligned OceanLotus adopted a more selective approach to external operations while placing increasing emphasis on domestic espionage.

We identified two distinct campaigns involving the SPECTRALVIPER backdoor: a supply-chain attack targeting stock investors in Vietnam and a prolonged espionage operation against a Vietnamese infrastructure and transport construction company.

The domain resolved to the genuine IP address of the FireAnt update server, suggesting a supply-chain compromise scenario.

LTD 2025‑09‑20 SPECTRALVIPER C&C server.

]com IRT‑CHOOPALLC‑AP 2025‑09‑20 SPECTRALVIPER C&C server.

4 weeks, 1 day назад @ welivesecurity.com
SMB cyber-readiness: What makes or breaks it
SMB cyber-readiness: What makes or breaks it SMB cyber-readiness: What makes or breaks it

But that realization alone clearly doesn’t prepare them to withstand an attack.

Have the repeat victims come to view their brushes with cyber-incidents as proof of “what doesn’t kill me makes me stronger”?

For all the talk around AI, automation and attacker sophistication, many SMB breaches still begin with a familiar opening.

A total of 71% of SMBs globally now carry cyber insurance, rising to 84% in North America, with adoption climbing sharply among repeat victims.

While “when, not if” has never been more true, that alone doesn’t prepare a business for adversity.

1 month назад @ welivesecurity.com
Cybercriminals: the 'auditors' you never hired
Cybercriminals: the 'auditors' you never hired Cybercriminals: the 'auditors' you never hired

There’s a phrase that is peddled out by governments and companies alike when a catastrophe of any type – including a cybersecurity breach – occurs: “Lessons have been learnt”.

The 130% increase in significant incidents between 2024 and 2025 severely challenges this assertion and points to lessons not being learnt, at a macro level.

In fact, this reluctance to look could also be normalcy bias quietly doing its work.

That is why this metaphor matters – cybercriminals discover the gap between what an organisation believes about its security and what the reality is.

We must accept that normalcy bias exists and act upon it.

1 month назад @ welivesecurity.com
Lessons for life: Why children’s data is a long-term identity risk
Lessons for life: Why children’s data is a long-term identity risk Lessons for life: Why children’s data is a long-term identity risk

Our kids are exposed to many of the same identity, privacy, and data security risks as their parents.

Why do people want my kids’ data?

But when they do finally flag fraud, the impact on your child’s credit history can be severe.

Apply for a credit freeze for your child’s identity with all three major credit bureaus.

Keeping your child’s identity safe should not be about restricting their digital world.

1 month, 1 week назад @ welivesecurity.com
Naked Security Naked Security
последний пост None
Help Net Security Help Net Security
последний пост 2 часа назад
July 2026 Patch Tuesday forecast: Is CVE tracking still practical?
July 2026 Patch Tuesday forecast: Is CVE tracking still practical? July 2026 Patch Tuesday forecast: Is CVE tracking still practical?

There were 116 CVEs for Windows 11 and 104 for Windows 10.

Microsoft announced Windows 11 26H2 is now available in the Windows Insiders Development channel and will be released for general use later this year.

This is much less disruptive than a full OS replacement which is required for Windows 11 23H2 or older versions.

Note that Windows 11 26H1 is not part of this service channel and also has a different OS kernel.

Time will tell how patch processes will evolve but maybe the first question to answer is if CVE tracking will remain practical.

2 часа назад @ helpnetsecurity.com
Workato expands Agent Studio with Headless API, AI guardrails
Workato expands Agent Studio with Headless API, AI guardrails Workato expands Agent Studio with Headless API, AI guardrails

Workato has announced two new capabilities for Agent Studio: Headless API and Agent Guardrails.

Headless API lets Genies, Workato’s AI agents built on Agent Studio, be embedded into any business application surface, on web, mobile, or inside another agent’s own environment.

Headless API: One genie, any surfaceHeadless API means Genies are no longer tied to a single interface.

“Workato can now deliver secure agents anywhere, backed by Headless API and Agent Guardrails.”“Most enterprises have proven that agents work in a pilot.

“By making Headless API and Agent Guardrails native to one platform, Workato is removing the governance rework that keeps agents confined to pilot projects.

3 часа назад @ helpnetsecurity.com
The open source library holding up your stack might have one maintainer
The open source library holding up your stack might have one maintainer The open source library holding up your stack might have one maintainer

Researchers sorted open source software into fourteen sub-genres, each defined by who starts and sustains a project and to what end.

Protestware covers packages a maintainer alters or sabotages to send a political or economic message, with node-ipc and colors.js as examples.

Studies of the npm ecosystem show a related risk, where a small number of maintainer accounts reach much of the network.

The typology is still a work in progress, a light review the authors treat as a starting hypothesis, so the categories will shift as more research comes in.

A foundation-backed project comes with the governance that lets competitors share it in the first place.

3 часа назад @ helpnetsecurity.com
Most data brokers won’t tell you what happened to your deletion request
Most data brokers won’t tell you what happened to your deletion request Most data brokers won’t tell you what happened to your deletion request

Data brokers collect personal details on most adults in the United States and sell them to buyers that include employers, landlords, insurance companies, and government agencies.

That worked out to 322 deletion requests and close to 360 opt-out requests.

Silence is the common responseA broker gets 45 days to tell you what it did with a deletion request.

Whether your real data would have vanished is a separate question, and the researchers are upfront about not answering it.

That tells a security team almost nothing about whether the real data is still sitting there.

3 часа назад @ helpnetsecurity.com
Microsoft is rewriting Windows patch guidance because of AI
Microsoft is rewriting Windows patch guidance because of AI Microsoft is rewriting Windows patch guidance because of AI

Microsoft is recommending that organizations shorten Windows update deployment timelines, warning that advances in AI are reducing the time attackers need to identify and exploit vulnerabilities after security updates are released.

Using Windows Autopatch to identify unpatched devicesThe new Windows Autopatch report in Microsoft Intune helps identify unpatched devices, showing which systems remain exposed after security updates become available.

The service automates the rollout of Windows, Microsoft 365 Apps, and Microsoft Edge updates across administrator-defined device groups.

Windows Autopatch report (Source: Microsoft)Applying update policiesWhen updates are delivered through policy co…

4 часа назад @ helpnetsecurity.com
Turning software supply chain security into a daily habit
Turning software supply chain security into a daily habit Turning software supply chain security into a daily habit

In this Help Net Security video, Anastasia Tikhonova, Global Threat Research Lead at Group-IB, explains how to operationalize software supply chain risk.

Instead of filing an SBOM away as a compliance document, she argues teams should use it every day for vulnerability triage, vendor access reviews, identity monitoring, and incident response.

Drawing on Group-IB’s High-Tech Crime Trend Report 2026, she shows how supply chain attacks now link phishing, ransomware, and data breaches through inherited trust.

She breaks down how to prioritize exposed systems, define a compromise window, and contain stolen credentials.

She also covers vendor risk scoring based on access and blast radius, and war…

4 часа назад @ helpnetsecurity.com
AWS gives its ERP agent deny-by-default rules and a separate identity
AWS gives its ERP agent deny-by-default rules and a separate identity AWS gives its ERP agent deny-by-default rules and a separate identity

AWS has released a framework meant to hand much of that work to a single AI agent.

The AWS Agentic AI Solutions Framework for SAP use cases runs on Amazon Bedrock AgentCore and uses Strands, the company’s open source agentic SDK.

Grounding responses in retrieved documents keeps the agent reasoning from authoritative sources and cuts hallucinated API calls.

During autonomous work, the agent authenticates with its own service account through OAuth 2.0 two-legged authentication.

When a person steps in, AgentCore Identity switches to three-legged authentication and carries that person’s verified identity through to the target system.

5 часов назад @ helpnetsecurity.com
Only 28% of financial workforce MFA is phishing-resistant
Only 28% of financial workforce MFA is phishing-resistant Only 28% of financial workforce MFA is phishing-resistant

Key challenges preventing universal implementation of phishing-resistant MFA (Source: Secret Double Octopus)Workforce authentication trendsBanks and financial organizations use a mix of authentication methods, combining phishing-resistant technologies with methods that remain vulnerable to phishing attacks.

Reducing phishing and credential-based attacks is the primary reason organizations are modernizing workforce MFA.

“Strong-sounding MFA is not the same as phishing-resistant MFA, and partial coverage leaves the most sensitive systems exposed.

Only 28% of workforce MFA is phishing-resistant.

Respondents identified technical complexity, budget constraints, legacy infrastructure, and fragmen…

5 часов назад @ helpnetsecurity.com
New infosec products of the week: July 10, 2026
New infosec products of the week: July 10, 2026 New infosec products of the week: July 10, 2026

Here’s a look at the most interesting products from the past week, featuring releases from Attestiv, Automox, Codenotary, and First Recon AI.

Codenotary launches AI security platform that learns from AI agent behaviorCodenotary has announced AgentMon 3, the latest generation of its enterprise AI security platform, introducing adaptive runtime security policies.

The release advances Automox MCP beyond natural-language access alone, giving IT teams new ways to review, approve, and act on endpoint operations in context.

Automox MCP Server covers the published Automox Console and Webhooks APIs, excluding only secret-exposing operations by design.

First Recon AI Security Runtime helps enterprise…

6 часов назад @ helpnetsecurity.com
Extortion crew hijacks Microsoft 365 accounts via fake passkey setup
Extortion crew hijacks Microsoft 365 accounts via fake passkey setup Extortion crew hijacks Microsoft 365 accounts via fake passkey setup

The Pink cyber extortion crew is tricking employees into giving them access to their Microsoft 365 accounts by faking Entra passkey enrollment requests.

The target is instructed to log in to their Microsoft 365 account, enter their second authentication factor, and set up a passkey.

The specific pages with these input requests are served via a panel-controlled phishing kit, allowing the attackers to customize the authentication flow presented to the targeted users.

“We are not aware of any direct applicability of BIP-39 seed phrases to Microsoft Entra or its passkey registration process.

“It is likely that these passkey-themed pages are available to the phishing kit operator as a sleight of…

19 часов назад @ helpnetsecurity.com
Citrix launches MCP Gateway to secure enterprise AI agents
Citrix launches MCP Gateway to secure enterprise AI agents Citrix launches MCP Gateway to secure enterprise AI agents

In 2029, this will be 35%.” NetScaler AI Gateway, now with MCP Gateway functionality, helps organizations establish governance before scaling — turning agentic AI from an unmanaged set of endpoints into controlled, auditable infrastructure.

MCP Gateway tackles the governance gap in agentic AIMCP is becoming a standard way for AI agents to connect to enterprise applications and tools.

Extending AI Gateway for multi-provider AI workloadsCitrix is also expanding NetScaler AI Gateway with content switching-based model routing and usage tracking.

NetScaler AI Gateway acts as an LLM gateway in front of Claude Code, serving as a single control point for developers accessing Anthropic models throug…

20 часов назад @ helpnetsecurity.com
Vectogate debuts platform to secure and govern autonomous AI agents
Vectogate debuts platform to secure and govern autonomous AI agents Vectogate debuts platform to secure and govern autonomous AI agents

Vectogate has launched an AI governance platform designed to give organizations centralized control over AI agents as they increasingly take on autonomous tasks with access to sensitive data and internal business systems.

What boosts productivity simultaneously creates a new challenge for companies: who controls the AI agents?

With its AI governance platform, the company is bringing to market the first solution that makes AI agents centrally controllable and deploys them in a compliant manner.

“In the coming years, AI agents will become an integral part of corporate IT, much like cloud services or mobile devices.

“With Vectogate, we are now delivering exactly that.”One dashboard for everyth…

20 часов назад @ helpnetsecurity.com
Microsoft releases fix for RoguePlanet Defender flaw (CVE-2026-50656)
Microsoft releases fix for RoguePlanet Defender flaw (CVE-2026-50656) Microsoft releases fix for RoguePlanet Defender flaw (CVE-2026-50656)

Microsoft has finally released a security update for its Microsoft Malware Protection Engine, which fixes CVE-2026-50656, the Windows Defender local privilege escalation vulnerability triggered by the RoguePlanet exploit.

Nightmare Eclipse published the RoguePlanet proof-of-concept exploit, which was then tested by other security researchers and found to be functioning.

It took Microsoft two weeks to acknowledge the flaw and a month in total to release a fix.

“Microsoft typically releases an update for the Microsoft Malware Protection Engine once a month or as needed to protect against new threats,” Microsoft explained.

“For enterprise deployments as well as end users, the default configura…

21 час назад @ helpnetsecurity.com
5,811 arrests, $293 million seized over social engineering scams
5,811 arrests, $293 million seized over social engineering scams 5,811 arrests, $293 million seized over social engineering scams

A four-month enforcement campaign against these schemes wrapped up, and police in 97 countries and territories took part.

Thousands of arrestsThe campaign, called Operation First Light 2026, centered on social engineering scams and the money laundering that moves their proceeds.

“Social engineering scams continue to pose a significant threat to our society.

Cases from five countriesIn Eswatini, police arrested 82 people and broke up a network running illegal online gambling, money laundering, and impersonation scams.

Authorities in Singapore and Oman used I-GRIP to stop a $6.6 million transfer linked to a business email compromise scam, after criminals impersonated a supplier to a Singapore…

22 часа назад @ helpnetsecurity.com
Your coding agent says no in chat and yes in the code
Your coding agent says no in chat and yes in the code Your coding agent says no in chat and yes in the code

Inside Visual Studio Code, it opens their files, writes and edits code, runs scripts, and reworks its own output across many turns.

The safety testing that vets these agents still runs on chatbot rules: one harmful prompt, one response, graded alone.

They tested it in GitHub Copilot inside Visual Studio Code, using four closed-weight backends: Claude Sonnet 4.6, Claude Haiku 4.5, Gemini 3.1 Pro, and Gemini 3.5 Flash.

The team pushed 204 harmful prompts through a few setups: a straight chat request, the same prompt read from a CSV file, and a one-step ask to fix code by dropping in a harmful example.

Defenses that read only the visible chat turn will miss content that lands inside a generate…

23 часа назад @ helpnetsecurity.com
IT Security Guru IT Security Guru
последний пост None
SecurityTrails
последний пост None
Блоги 👨‍💻
Бизнес без опасности Бизнес без опасности
последний пост None
Жизнь 80 на 20 Жизнь 80 на 20
последний пост None
ZLONOV ZLONOV
последний пост None
Блог Артема Агеева Блог Артема Агеева
последний пост None
Киберпиздец Киберпиздец
последний пост None
Schneier on Security Schneier on Security
последний пост 23 часа назад
The Language of AI Could Change How Humans Speak
The Language of AI Could Change How Humans Speak The Language of AI Could Change How Humans Speak

Internet risks are nothing new, and cyberattacks—both large and small—have been a significant issue since long before the current crop of generative AI models.

Contrast the L0pht hackers with hackers derided as “script kiddies.” They didn’t understand computers, or security.

Instructing AI models to spy on people and report any malicious prompts to the authorities fails for similar reasons.

We want these AI models to be able to review computer code, find vulnerabilities and automatically fix them.

They are things talked about at that congressional hearing back in 1998, titled “Weak computer security in government: Is the public at risk?” Even the Five Eyes admitted that their security advic…

23 часа назад @ schneier.com
Cybersecurity and the Gap Between Skill and Ability
Cybersecurity and the Gap Between Skill and Ability Cybersecurity and the Gap Between Skill and Ability

Internet risks are nothing new, and cyberattacks—both large and small—have been a significant issue since long before the current crop of generative AI models.

Contrast the L0pht hackers with hackers derided as “script kiddies.” They didn’t understand computers, or security.

Instructing AI models to spy on people and report any malicious prompts to the authorities fails for similar reasons.

We want these AI models to be able to review computer code, find vulnerabilities and automatically fix them.

They are things talked about at that congressional hearing back in 1998, titled “Weak computer security in government: Is the public at risk?” Even the Five Eyes admitted that their security advic…

1 day, 23 hours назад @ schneier.com
Google Is Suing Chinese Scammers Who Are Using Gemini
Google Is Suing Chinese Scammers Who Are Using Gemini Google Is Suing Chinese Scammers Who Are Using Gemini

Not sure this will have any effect, but I support the effort:According to Google’s legal filing, Outsider Enterprise operates through Telegram.

The group offers phishing-as-a-service to individuals who may not be technically savvy enough to set up fraudulent websites and text campaigns on their own.

In its Telegram channels, Outsider Enterprise reportedly provided instructions on how to use Google’s Gemini AI to create websites that imitate those of Google, YouTube, and government agencies such as New York’s E-ZPass.

[…]Google worked with AT&T, Verizon, and T-Mobile to block many of these malicious text messages, and Google notes that its on-device scam detection in Google Messages probably…

2 days, 23 hours назад @ schneier.com
France to Stop Certifying Non-Quantum-Safe Encryption
France to Stop Certifying Non-Quantum-Safe Encryption France to Stop Certifying Non-Quantum-Safe Encryption

France is accelerating its transition to post-quantum encryption:France’s cybersecurity agency ANSSI said on Tuesday it would stop certifying security products that lack quantum-resistant encryption, a move that will force government bodies and critical operators to shift away from older systems.

Samih Souissi, ANSSI’s chief of staff, said at the France Quantum conference that the agency would halt such certifications from 2027, and that businesses should be buying only quantum-safe products by 2030.

ANSSI approval is required for use in French government agencies and critical infrastructure, making the policy a de facto phase-out of older encryption.

3 days, 23 hours назад @ schneier.com
Flock Cameras Can Surveil Cars Without License Plates
Flock Cameras Can Surveil Cars Without License Plates Flock Cameras Can Surveil Cars Without License Plates

This is from a 2024 company presentation:Officers can also tap into data showing a car’s decals, bumper stickers, back and top racks—along with temporary and unique state tags.

Flock calls it a “Vehicle Fingerprint” and it’s touted as a way for law enforcement officials to get more information “even when you don’t have full plate information,” the company’s presentation shows.

The company gives police officers the ability to search that data as well, to “build stronger cases with less information upfront.” That includes being able to locate multiple vehicles law enforcement officials believe are moving together and what Flock calls a “multi geo search.”

6 days, 22 hours назад @ schneier.com
Cybersecurity Mission Creep in the US
Cybersecurity Mission Creep in the US Cybersecurity Mission Creep in the US

Interesting paper: “Cybersecurity Mission Creep.”Abstract: Cybersecurity is experiencing mission creep.

Positioned as security threats, cybersecuritized issues become endowed with the apparent normative power to override countervailing considerations, oversimplifying the problem.

Cybersecuritization’s oversimplification similarly risks unidimensional solutions and invites use of argumentative trump cards, like First Amendment challenges.

Together, the reductive tendencies of cybersecuritization and the deference it prompts to specialists renders ultimate governance choices more opaque.

If we continue to ignore it, we risk abdicating further responsibility for difficult choices to the trump …

1 week назад @ schneier.com
Papa Johns Surveillance-Based Advertising
Papa Johns Surveillance-Based Advertising Papa Johns Surveillance-Based Advertising

The idea is to reach hungry consumers by “knowing what is in their fridge without being too creepy,” said Carrie Drinkwater, chief investment officer at Carat.

To achieve that goal, NBCU and Instacart created a custom audience of shoppers who regularly purchase grocery staples on Instacart, such as eggs, milk, meat and produce.

Based on that data, Papa Johns can determine which days of the week certain consumers are likely to run out of groceries and serve them an ad on NBCU streaming content accordingly.

So the way for Papa John’s to not be “too creepy” is to deliberately get it wrong sometimes.

Posted on July 1, 2026 at 6:53 AM • 0 Comments

1 week, 1 day назад @ schneier.com
The Realities of AI Video Surveillance
The Realities of AI Video Surveillance The Realities of AI Video Surveillance

The Realities of AI Video SurveillanceThe Financial Times has a good article on how AI is changing the capabilities of video surveillance, with information from both Israel/Iran and Russia.

I wrote about this sort of thing a few years ago, how AI enables mass spying in the way that computers and networks enabled mass surveillance.

The interesting development in the article is that AI allows people to ask natural language questions about video footage to AIs—and AIs can answer them.

In contrast with older tools restricted to a few dozen preset searches, these new tools allow an almost unlimited range of enquiries by enabling language-based searches on video.

“This is the holy grail of survei…

1 week, 2 days назад @ schneier.com
Factoring RSA Keys with Many Zeros
Factoring RSA Keys with Many Zeros Factoring RSA Keys with Many Zeros

Interesting research on a new class of weak RSA keys: keys with lots of zeros.

The badkeys project is an open-source service that checks public keys for known vulnerabilities.

Pattern 2 appears on SSH hosts running the CompleteFTP software from EnterpriseDT.

The underlying vulnerability affects RSA keys generated using versions 10.0.0­12.0.0 (Dec 2016­Mar 2019) and DSA keys generated with v10.0.0­23.0.4 (Dec 2016­Dec 2023).

More implementations may include the same bugs, and so it’s worth tailoring cryptanalytic algorithms for this particular type of failure.

1 week, 3 days назад @ schneier.com
Robot Police Officers
Robot Police Officers Robot Police Officers

We’ve taken one small step towards robot police officers: a drone capable of disarming a suspect:In a June 22 video posted on the Sacramento County Sheriff’s Office’s Instagram page, an officer wearing goggles can be seen operating a drone to retrieve a knife from an armed suspect hiding inside a cluttered house.

“After not responding to negotiators, a drone was deployed inside the residence,” the post says.

“Drone pilots located the suspect hiding in a corner of a garage” and then used a high-powered magnet attached to the drone to grab the knife out of the suspect’s hand.

In the video ­ which is soundtracked by the “Mission: Impossible” theme song—the intercepted knife can be seen spinnin…

1 week, 3 days назад @ schneier.com
The Chinese Control the Majority of Argentina’s Squid Fleet
The Chinese Control the Majority of Argentina’s Squid Fleet The Chinese Control the Majority of Argentina’s Squid Fleet

About Bruce SchneierI am a public-interest technologist, working at the intersection of security, technology, and people.

I've been writing about security issues on my blog since 2004, and in my monthly newsletter since 1998.

I'm a fellow and lecturer at Harvard's Kennedy School, a board member of EFF, and the Chief of Security Architecture at Inrupt, Inc.

This personal website expresses the opinions of none of those organizations.

Contact Info

1 week, 6 days назад @ schneier.com
Meta Is Testing Facial Recognition for Police and Military
Meta Is Testing Facial Recognition for Police and Military Meta Is Testing Facial Recognition for Police and Military

Meta Is Testing Facial Recognition for Police and MilitaryWe know that ICE wants to deploy eyeglasses with facial recognition that can identify people in real time.

Turns out Meta is prototyping the feature with a Pentagon supplier.

(Alternate news story.)

Posted on June 26, 2026 at 12:40 PM • 0 Comments

1 week, 6 days назад @ schneier.com
One Million Passports Leaked Online
One Million Passports Leaked Online One Million Passports Leaked Online

One Million Passports Leaked OnlineA database of almost a million passports from around the world was leaked online.

Note what happened.

A high-value credential—a passport—was used in an ancillary low-value authentication system: ID verification for cannabis dispensaries.

And it’s the low-value system that got hacked, putting the high-value credential at risk.

Posted on June 26, 2026 at 7:03 AM • 2 Comments

1 week, 6 days назад @ schneier.com
AI and Liability
AI and Liability AI and Liability

Words are words, and the phone company does not know—nor is it liable for—the words you choose to speak.

Imagine a restaurant review site that provides AI summaries, or a site summarizing laws and government procedures.

AI agents are agents of the person or organization that deploys them—and should be treated by the law as such.

If a company hired human writers to write its summaries, that company would be liable for inaccuracies in those summaries.

Visa and OpenAI recently announced a partnership to build personal AI agents to, among other things, make purchases on our behalf.

2 weeks назад @ schneier.com
Interesting Paper Exploring Prompt Injection
Interesting Paper Exploring Prompt Injection Interesting Paper Exploring Prompt Injection

This is a fascinating explotation of how LLMs fall for prompt injection attacks.

Their conclusion:Role tags were a formatting trick that became the security architecture and the cognitive scaffolding of modern LLMs.

We’ve shown that this architecture doesn’t survive into the model’s actual representations, and that such role confusion is linked to prompt injection.

Unless LLMs achieve genuine role perception, we think injection defense will remain a perpetual whack-a-mole game.

And the continuous nature of role boundaries opens the threat of injections designed to subtly shift LLM states through seemingly innocuous text, legally and at scale.

2 weeks назад @ schneier.com
Krebs On Security
последний пост 1 day, 21 hours назад
Felons, Fraudsters Flog Offensive Cybersecurity Startup
Felons, Fraudsters Flog Offensive Cybersecurity Startup Felons, Fraudsters Flog Offensive Cybersecurity Startup

IRIS C2 says it is a company in McLean, Va. that sells offensive cybersecurity capabilities.

“Our business model is this,” reads a pinned post on top of the IRIS C2 account on X.

The website claims IRIS C2 is in the business of acquiring “zero-day exploits, individual primitives, partial chains, and full capabilities across all major platforms.

When approached with questions about IRIS C2, Burkman referred further inquiries to his longtime associate, 28-year-old Jacob Wohl.

In May, the author of the IRIS C2 account on X said that his girlfriend had no idea what he did for a living.

1 day, 21 hours назад @ krebsonsecurity.com
FBI Seizes NetNut Proxy Platform, Popa Botnet
FBI Seizes NetNut Proxy Platform, Popa Botnet FBI Seizes NetNut Proxy Platform, Popa Botnet

Benjamin Brundage is founder of the proxy tracking service Synthient, one of the companies that published evidence last month linking the Popa botnet to NetNut and Alarum Technologies.

Brundage said the domain seizures appear to have disrupted both the Popa botnet and the NetNut proxy network that rides on top of it.

“Google has high confidence that many popular residential proxy brands are in fact whitelabeling the NetNut botnet,” the GTIG report concludes.

What we have observed is that when faced with the degradation of their own botnet, proxy operators begin buying capacity from their competitors, effectively becoming a reseller.

More than a quarter of the apps made for Samsung’s Tizen o…

1 week назад @ krebsonsecurity.com
Scattered Spider Hackers Plead Guilty on Day 1 of Trial
Scattered Spider Hackers Plead Guilty on Day 1 of Trial Scattered Spider Hackers Plead Guilty on Day 1 of Trial

The duo were key members of a prolific cybercrime group known as Scattered Spider, and their guilty pleas came on the first day of what was expected to be a six-week trial.

In April 2026, 24-year-old British national and Scattered Spider member Tyler “Tylerb” Buchanan pleaded guilty to wire fraud conspiracy and aggravated identity theft for participating in the group’s SMS phishing spree in the summer of 2022.

The government said Buchanan, Jubair and others used the credentials harvested in that phishing campaign to steal at least $8 million in cryptocurrency from victims throughout the United States.

The U.S. Department of Justice says three alleged Scattered Spider defendants indicted alo…

2 weeks, 2 days назад @ krebsonsecurity.com
‘Popa’ Botnet Linked to Publicly-Traded Israeli Firm
‘Popa’ Botnet Linked to Publicly-Traded Israeli Firm ‘Popa’ Botnet Linked to Publicly-Traded Israeli Firm

This week, researchers from multiple security firms concluded that the Popa botnet is linked to NetNut, a “residential proxy” provider operated by the publicly-traded Israeli firm Alarum Technologies Ltd [NASDAQ: ALAR].

Qurium said that immediately after that disruption, several dozen new domains were registered to serve as controllers for the Popa botnet, but that one of those control domains was not new: ninjatech[.]io.

Jérôme Meyer, a security researcher at Nokia Deepfield, said the total population of devices participating in the Popa botnet may be far higher than Lumen’s estimates.

“Over 90% of our pharmaceutical and food & beverage customers have queried residential proxy indicators.

3 weeks назад @ krebsonsecurity.com
Who Runs the Ransomware Group ‘The Gentlemen?’
Who Runs the Ransomware Group ‘The Gentlemen?’ Who Runs the Ransomware Group ‘The Gentlemen?’

This post examines clues pointing to a real life identity for the administrator of The Gentlemen ransomware group.

Experts at the security firm Check Point Software have been closely covering exploits of The Gentlemen, a so-called “ransomware-as-a-service” (RaaS) offering that pays affiliates handsomely to help spread the group’s malware.

According to Check Point, the group targets Internet-facing devices (VPNs, firewalls) as their entry point, and once inside moves quickly to encrypt entire networks within hours.

Check Point says the administrator and primary operator of the ransomware group uses the nickname Zeta88 on the Russian-language cybercrime forums, and that this individual was pr…

4 weeks, 1 day назад @ krebsonsecurity.com
A Record-Breaking Patch Tuesday for June 2026
A Record-Breaking Patch Tuesday for June 2026 A Record-Breaking Patch Tuesday for June 2026

Microsoft today released software updates to plug nearly 200 security holes across its Windows operating systems and supported software, a record number of fixes for the company’s monthly Patch Tuesday cycle.

“Some surveys put AI usage among security professionals generally at 90%, so it’s unsurprising that this volume of patches may be the norm,” Narang said.

Microsoft received heavily blowback on social media last month after it said in a blog post that it was considering taking legal action against the security researcher.

While 200 vulnerabilities may be a record for Patch Tuesday, the actual number of security flaws Microsoft addressed this month is far higher, said Rapid7’s Adam Barne…

1 month назад @ krebsonsecurity.com
Hackers Used Meta’s AI Support Bot to Seize Instagram Accounts
Hackers Used Meta’s AI Support Bot to Seize Instagram Accounts Hackers Used Meta’s AI Support Bot to Seize Instagram Accounts

On May 31, word began to spread on several Telegram instant message channels that Meta’s AI bot would happily add an email address to an existing account as part of the bot’s standard password reset flow.

Meta has not responded to requests for comment on the video’s claims, but the company reportedly did acknowledge the dormant Instagram account for the Obama White House was briefly compromised.

Meta’s solution was to deploy a conversational AI layer to handle common recovery workflows: relinking a lost email address, triggering a password reset, verifying account ownership.

Just like human customer support employees can be social engineered into providing unauthorized access to someone’s a…

1 month, 1 week назад @ krebsonsecurity.com
Netherlands Seizes 800 Servers, Arrests 2 for Aiding Cyberattacks
Netherlands Seizes 800 Servers, Arrests 2 for Aiding Cyberattacks Netherlands Seizes 800 Servers, Arrests 2 for Aiding Cyberattacks

But as KrebsOnSecurity observed in September 2025, those sanctions failed to target Stark’s remaining connection to the Internet — an Internet service provider based in the Netherlands called MIRhosting.

MIRhosting is operated by Andrey Nesterenko, a 39-year-old Russian native who runs the business out of the Netherlands.

And as our September 2025 report showed, WorkTitans was controlled by Nesterenko and a 57-year-old from Amsterdam named Youssef Zinad.

On top of that, WorkTitans was getting connectivity to the larger Internet solely through MIRhosting, where Zinad had worked previously.

“The transition to the.hosting was not intended to evade sanctions,” Nesterenko wrote.

1 month, 2 weeks назад @ krebsonsecurity.com
Lawmakers Demand Answers as CISA Tries to Contain Data Leak
Lawmakers Demand Answers as CISA Tries to Contain Data Leak Lawmakers Demand Answers as CISA Tries to Contain Data Leak

The inquiry comes as CISA is still struggling to contain the breach and invalidate the leaked credentials.

Experts who reviewed the exposed secrets said the commit logs for the code repository showed the CISA contractor disabled GitHub’s built-in protection against publishing sensitive credentials in public repos.

CISA acknowledged the leak but has not responded to questions about the duration of the data exposure.

TruffleHog does this by monitoring a live feed that GitHub publishes which includes a record of all commits and changes to public code repositories.

In practical terms, it is likely that cybercrime groups or foreign adversaries also noticed the publication of these CISA secrets, …

1 month, 2 weeks назад @ krebsonsecurity.com
Alleged Kimwolf Botmaster ‘Dort’ Arrested, Charged in U.S. and Canada
Alleged Kimwolf Botmaster ‘Dort’ Arrested, Charged in U.S. and Canada Alleged Kimwolf Botmaster ‘Dort’ Arrested, Charged in U.S. and Canada

A criminal complaint unsealed today in an Alaska district court charges Jacob Butler, a.k.a.

“Dort,” of Ottawa, Canada with operating the Kimwolf DDoS botnet.

“KimWolf was tied to DDoS attacks which were measured at nearly 30 Terabits per second, a record in recorded DDoS attack volume,” the Justice Department statement reads.

Synthient was among many technology companies thanked by the Justice Department today, and Synthient’s founder Ben Brundage told KrebsOnSecurity he’s relieved Butler is in custody.

The DOJ said at least one of those services collaborated with Butler’s Kimwolf botnet.

1 month, 2 weeks назад @ krebsonsecurity.com
CISA Admin Leaked AWS GovCloud Keys on Github
CISA Admin Leaked AWS GovCloud Keys on Github CISA Admin Leaked AWS GovCloud Keys on Github

Until this past weekend, a contractor for the Cybersecurity & Infrastructure Security Agency (CISA) maintained a public GitHub repository that exposed credentials to several highly privileged AWS GovCloud accounts and a large number of internal CISA systems.

Another file exposed in their public GitHub repository — “AWS-Workspace-Firefox-Passwords.csv” — listed plaintext usernames and passwords for dozens of internal CISA systems.

“The available Git metadata alone does not prove which endpoint or device was used.”Caturegli said he validated that the exposed credentials could authenticate to three AWS GovCloud accounts at a high privilege level.

CISA has not responded to questions about the p…

1 month, 3 weeks назад @ krebsonsecurity.com
Patch Tuesday, May 2026 Edition
Patch Tuesday, May 2026 Edition Patch Tuesday, May 2026 Edition

Artificial intelligence platforms may be just as susceptible to social engineering as human beings, but they are proving remarkably good at finding security vulnerabilities in human-made computer code.

May’s Patch Tuesday is a welcome respite from April, which saw Microsoft fix a near-record 167 security flaws.

But at the end of April, Oracle announced it was switching to a monthly update cycle for critical security issues.

Chrome automagically downloads available security updates, but installing them requires fully restarting the browser.

For a more granular look at the Microsoft updates released today, checkout this inventory by the SANS Internet Storm Center.

1 month, 4 weeks назад @ krebsonsecurity.com
Canvas Breach Disrupts Schools & Colleges Nationwide
Canvas Breach Disrupts Schools & Colleges Nationwide Canvas Breach Disrupts Schools & Colleges Nationwide

The stated deadline for payment was initially set at May 6, but it was later pushed back to May 12.

The May 6 update stated that Canvas was fully operational, and that Instructure was not seeing any ongoing unauthorized activity on their platform.

Instructure responded by pulling Canvas offline and replacing the portal with the message, “Canvas is currently undergoing scheduled maintenance.

Data extortion groups like ShinyHunters will typically only remove victims from their leak sites after receiving an extortion payment or after a victim agrees to negotiate.

Last month, ShinyHunters relieved the home security giant ADT of personal information on 5.5 million customers.

2 months назад @ krebsonsecurity.com
Anti-DDoS Firm Heaped Attacks on Brazilian ISPs
Anti-DDoS Firm Heaped Attacks on Brazilian ISPs Anti-DDoS Firm Heaped Attacks on Brazilian ISPs

For the past several years, security experts have tracked a series of massive DDoS attacks originating from Brazil and solely targeting Brazilian ISPs.

The company originated from protecting game servers against DDoS attacks and evolved into an ISP-focused DDoS mitigation provider.

But so-called “DNS reflection” attacks rely on DNS servers that are (mis)configured to accept queries from anywhere on the Web.

“We received and notified many Tier 1 upstreams regarding very very large DDoS attacks against small ISPs,” Nascimento said.

Nascimento flatly denied being involved in DDoS attacks against Brazilian operators to generate business for his company’s services.

2 months, 1 week назад @ krebsonsecurity.com
‘Scattered Spider’ Member ‘Tylerb’ Pleads Guilty
‘Scattered Spider’ Member ‘Tylerb’ Pleads Guilty ‘Scattered Spider’ Member ‘Tylerb’ Pleads Guilty

A 24-year-old British national and senior member of the cybercrime group “Scattered Spider” has pleaded guilty to wire fraud conspiracy and aggravated identity theft.

FBI investigators tied Buchanan to the 2022 SMS phishing attacks after discovering the same username and email address was used to register numerous phishing domains seen in the campaign.

That same year, U.K. investigators found a device at Buchanan’s Scotland residence that included data stolen from SMS phishing victims and seed phrases from cryptocurrency theft victims.

Buchanan is the second known Scattered Spider member to plead guilty.

Two other alleged Scattered Spider members will soon be tried in the United Kingdom.

2 months, 2 weeks назад @ krebsonsecurity.com
Graham Cluley Graham Cluley
последний пост 20 часов назад
Invited to a “job interview” with Netflix or OpenAI? Beware! Your Google password could be at risk
Invited to a “job interview” with Netflix or OpenAI? Beware! Your Google password could be at risk Invited to a “job interview” with Netflix or OpenAI? Beware! Your Google password could be at risk

Have you received an email from a recruiter at Adobe, Netflix, or OpenAI offering you an exciting new marketing role?

Security experts have uncovered a phishing campaign which impersonates over 30 well-known brands in fake job interviews designed to steal Google account passwords.

When victims click on "Continue with Google," a pop-up appears that looks like a legitimate Google authentication dialog.

In the past the FBI has warned the public about scammers using fake job ads to steal money and personal information from applicants.

Earlier this year, Hot for Security published a guide explaining how many fake recruiter scams work, and how to avoid them.

20 часов назад @ bitdefender.com
Smashing Security podcast #475: JadePuffer – the AI that ran a ransomware attack all by itself
Smashing Security podcast #475: JadePuffer – the AI that ran a ransomware attack all by itself Smashing Security podcast #475: JadePuffer – the AI that ran a ransomware attack all by itself

These stories appear different, but they're actually telling the same story.

I'm going to flag, I'm going to flag the point that I made earlier is that operational security isn't always there.

I know how to do this because it's done it for me, but I don't actually know how to apply it logically.

And when the technology you're relying on to protect you, and in some people's case it is protecting their life, and you're not doing it to the best of your ability, that's, that's really, really disappointing.

But I guess for now, all eyes are on Apple and how they're going to respond to this, albeit 13 months later.

1 day, 10 hours назад @ grahamcluley.com
Two arrested over credit card phishing – as the Netherlands is named Europe’s worst for payment fraud
Two arrested over credit card phishing – as the Netherlands is named Europe’s worst for payment fraud Two arrested over credit card phishing – as the Netherlands is named Europe’s worst for payment fraud

Two young men have been arrested in the Netherlands on suspicion of running a phishing operation that harvested the credit card details of unsuspecting victims.

According to a police press release, victims were duped into entering their payment card details on bogus phishing websites.

Investigators believe the arrested men, who have not been named, did not just misuse the stolen payment card details themselves, but also passed them on to other fraudsters.

Card payment fraud was found to be the single most common category, with over half a million fraudulent transactions (up more than a quarter on the year before).

In 2024, just 1% of Dutch fraud victims recovered their money, and while arou…

2 days, 21 hours назад @ bitdefender.com
The Gentlemen ransomware: what you need to know
The Gentlemen ransomware: what you need to know

Who Are The Gentlemen?

Despite the impeccably polite name, there is nothing polite or refined about this particular gang of cybercriminals. Read more in my article on the Fortra blog.

1 week назад @ fortra.com
Smashing Security podcast #474: Polymarket can predict the future. So how did it miss this hack?
Smashing Security podcast #474: Polymarket can predict the future. So how did it miss this hack? Smashing Security podcast #474: Polymarket can predict the future. So how did it miss this hack?

And I'm going to be looking at whether you're wise to take a gamble with your security on Polymarket.

Right, well, I want to tell you about a company that's built its entire brand on being really, really good at predicting the future.

They've actually done it really, really well.

So it's The Summer Portraits by— remind me who it's by again, 'cause I'm going to butcher his name.

It's really, really good.

1 week, 1 day назад @ grahamcluley.com
Scammers race to cash in on Venezuelan earthquake disaster
Scammers race to cash in on Venezuelan earthquake disaster Scammers race to cash in on Venezuelan earthquake disaster

When a devastating earthquake struck north central Venezuela last week, rescue teams were not the only ones who mobilised fast.

Researchers at threat intelligence firm WhoisXML API say that they uncovered 212 newly-registered domains referencing the earthquake, all of which had been filed within five days of the disaster.

Even years after a natural disaster scammers can still exploit human misery.

And that's because exploitation of a major news event - whether it be a natural disaster of otherwise - can be a successful lure for criminals to deploy when defrauding the unwary out of their savings.

And when a natural disaster creates an urgent need for response, it is all the easier for cyberc…

1 week, 2 days назад @ bitdefender.com
USB drives carrying China-linked malware infected Japanese military networks for nearly a year
USB drives carrying China-linked malware infected Japanese military networks for nearly a year USB drives carrying China-linked malware infected Japanese military networks for nearly a year

Leaked internal documents have revealed that for nearly a year Japan's Ground Self-Defense Force (JGSDF) used counterfeit USB flash drives infected with malware on computers connected to sensitive military networks.

The USB drives have been linked to Chinese hacking operations, according to an investigation by Nikkei Asia.

Subsequent investigations found that six out of eight USB drives tested contained the same malicious code.

The infected USB drives had been attached to over 50 computers, with nearly half of those systems used to handle classified data, including information about the movement of troops.

The counterfeit drives, priced 30 to 50 percent below authentic brands, were traced t…

1 week, 2 days назад @ bitdefender.com
Smashing Security podcast #473: How a hacker could have Rickrolled the entire World Cup
Smashing Security podcast #473: How a hacker could have Rickrolled the entire World Cup Smashing Security podcast #473: How a hacker could have Rickrolled the entire World Cup

Smashing Security, Episode 473: How a Hacker Could Have Rickrolled the Entire World.

You think, oh, hang on, they're going to ask me for a password or they're going to ask me for something like that.

Yeah, we'll take that money from under your bed and store it in a safety deposit box that you don't know where it is.

We saw a huge number of CVEs last year and with Mythos and the Frontier models, we think that's going to continue to spike.

So the blast radius of these IT service providers is really, really big.

2 weeks, 1 day назад @ grahamcluley.com
Hacker hijacks Brazil’s national alert system, sending “misanthropy” to millions of phones
Hacker hijacks Brazil’s national alert system, sending “misanthropy” to millions of phones Hacker hijacks Brazil’s national alert system, sending “misanthropy” to millions of phones

Somebody had broken into Brazil's national Civil Defence alert system and used it to send fake "Extreme Alert" notifications - the most severe category, normally reserved for warnings of imminent natural disasters - to mobile phones across at least five states, including São Paulo, Rio de Janeiro, and the Federal District.

In a statement posted on social media, Brazil's National Civil Defence confirmed that it had pulled the alert platform offline at 1:30am following the compromise.

National Secretary of Protection and Civil Defence Wolnei Wolff confirmed that the attackers managed to regain access after an initial attempt to block them from accessing the system.

Emergency alert systems wor…

2 weeks, 2 days назад @ bitdefender.com
Apple’s Hide My Email tweak leaves privacy fans fuming
Apple’s Hide My Email tweak leaves privacy fans fuming Apple’s Hide My Email tweak leaves privacy fans fuming

Hide My Email is a privacy feature that lets users create unique, random email addresses that forward messages to your real inbox.

That means you can sign-up for websites, newsletters, and apps without exposing your personal email address.

The problem is, however, that one of the reasons that Hide My Email worked so well was because its aliases were indistinguishable from regular iCloud email addresses.

All any website or app that wants to block anonymous sign-ups now has to do is to reject any email address ending in "@private.icloud.com".

For now, if you already have existing Hide My Email addresses in use, they should continue to work without any changes on your part.

2 weeks, 6 days назад @ bitdefender.com
Imposter scams cost Americans $3.5 billion in 2025 – and it’s getting worse
Imposter scams cost Americans $3.5 billion in 2025 – and it’s getting worse

Someone is pretending to be your bank, your government, or your local planning office. And according to the FTC, they're making billions doing it. Read more in my article on the Fortra blog.

2 weeks, 6 days назад @ fortra.com
Smashing Security podcast #472: AI gets hacked, and BitLocker gets bypassed
Smashing Security podcast #472: AI gets hacked, and BitLocker gets bypassed Smashing Security podcast #472: AI gets hacked, and BitLocker gets bypassed

Which is the connection between your AI agent and Sentry.

And when your AI agent reads data back from one of those services, it treats it as trusted and authoritative.

And so the AI agent does what agents are supposed to do.

But if an attacker can plant text somewhere that your AI agent will read, it's possible that your AI agent will act upon it, and that may not be good.

And then whenever AI wants to access something, AI has to give a reason — why do I want that?

3 weeks, 1 day назад @ grahamcluley.com
Maine forced to take down data breach portal after fake notices filed with authorities
Maine forced to take down data breach portal after fake notices filed with authorities Maine forced to take down data breach portal after fake notices filed with authorities

The US state of Maine has taken its public data breach notification portal offline after someone submitted fraudulent breach disclosures impersonating two well-known technology companies.

As Bleeping Computer reported last week, fraudulent data breach disclosures were submitted to Maine's official breach portal and publicly posted before their legitimacy could be verified, prompting the named companies to deny the claims.

However, somewhat more convincing was a fake breach notice that targeted the multiplayer social virtual reality platform VRChat.

It appears that the abuse of the system was possible because the Maine data breach reporting system lacked a proper verification mechanism.

Anyo…

3 weeks, 3 days назад @ bitdefender.com
Privacy own-goal: World Cup blunder leaks Lionel Messi’s passport details
Privacy own-goal: World Cup blunder leaks Lionel Messi’s passport details Privacy own-goal: World Cup blunder leaks Lionel Messi’s passport details

According to media reports, a security blunder carelessly leaked the passport details of every player in Argentina's World Cup squad ahead of Tuesday's warm-up friendly against Iceland.

But why are passport numbers on a World Cup team sheet at all?

Under FIFA regulations, teams must provide passport numbers around an hour before a match kicks off.

So the passport numbers belong in the information handed to the referee.

Before releasing any document containing sensitive data, verify that the data has actually gone - not just covered up.

3 weeks, 6 days назад @ bitdefender.com
Silent Ransom Group: what you need to know
Silent Ransom Group: what you need to know

Most extortion gangs hide behind a keyboard. Silent Ransom Group will phone your staff pretending to be IT support - and if that fails, send someone to your office in person to plug in a USB stick. Read more in my article on the Fortra blog.

4 weeks назад @ fortra.com
Компании 🏢
Блог Касперского Блог Касперского
последний пост 23 часа назад
Что не так с функцией NameTag в умных очках Meta* и почему ее стоит опасаться | Блог Касперского
Что не так с функцией NameTag в умных очках Meta* и почему ее стоит опасаться | Блог Касперского

An error occurred.

Sorry, the page you are looking for is currently unavailable.

Please try again later.

If you are the system administrator of this resource then you should check the error log for details.

Request id: 36cc4a8142dd177820e529f1c74777d2Server IP: 185.54.220.248Client IP: 23.88.109.5Time: 2026-07-09T14:00:09+03:00Config id: 281Faithfully yours, nginx.

23 часа назад @ kaspersky.ru
Целевой фишинг на производственные компании | Блог Касперского
Целевой фишинг на производственные компании | Блог Касперского

An error occurred.

Sorry, the page you are looking for is currently unavailable.

Please try again later.

If you are the system administrator of this resource then you should check the error log for details.

Request id: 1ce0e45ab895fdb2ea63e5f66838efb9Server IP: 185.54.220.248Client IP: 23.88.109.5Time: 2026-07-08T18:00:10+03:00Config id: 281Faithfully yours, nginx.

1 day, 19 hours назад @ kaspersky.ru
Почему капча скоро исчезнет: как ИИ изменил проверку на человечность | Блог Касперского
Почему капча скоро исчезнет: как ИИ изменил проверку на человечность | Блог Касперского

An error occurred.

Sorry, the page you are looking for is currently unavailable.

Please try again later.

If you are the system administrator of this resource then you should check the error log for details.

Request id: 26a02984b49c814d5538d529e6b61e94Server IP: 185.54.220.248Client IP: 23.88.109.5Time: 2026-07-06T15:00:25+03:00Config id: 280Faithfully yours, nginx.

3 days, 22 hours назад @ kaspersky.ru
Неотключаемый бэкдор в роботах-газонокосилках Yarbo | Блог Касперского
Неотключаемый бэкдор в роботах-газонокосилках Yarbo | Блог Касперского Неотключаемый бэкдор в роботах-газонокосилках Yarbo | Блог Касперского

Но в совершенно ином масштабе: в режиме газонокосилки данный робот может обслуживать территории до 2,5 гектар (это 250 соток, то есть небольшой садовый кооператив), а в режиме транспортировщика поддерживает угодья площадью до 12,5 гектар.

Вместе с исследователем Андреасом Макрисом они провели эксперимент, в рамках которого исследователь, будучи в Германии, удаленно захватил контроль над газонокосилкой Yarbo и переехал журналиста, лежащего на газоне у себя в США.

Чаще всего в качестве операционной системы в них используется Linux — и роботы Yarbo тут не исключение.

При этом серийные номера устройств имеют предсказуемый формат и используются в инфраструктуре Yarbo в качестве идентификаторов р…

1 week назад @ kaspersky.ru
Управление рисками агрегаторов LLM и API-прокси для нейросетей
Управление рисками агрегаторов LLM и API-прокси для нейросетей Управление рисками агрегаторов LLM и API-прокси для нейросетей

По мере того как организации начинают использовать нейросети для все более широкого круга задач, они неизбежно сталкиваются с вопросами надежности и стоимости ИИ-инструментов.

Чтобы не отказываться от нужных нейросетей, бизнес часто рассматривает переход на сторонние сервисы, обеспечивающие единое «окно доступа» к различным нейросетям.

Они предлагают услуги на десятки процентов, а иногда и в разы дешевле, чем у официальных поставщиков, обещая заодно обход любых лимитов.

Утечка данных и кража интеллектуальной собственностиИсследование показало, что цель многих таких сервисов — сбор качественных диалогов топовых моделей для обучения нейросетей третьих фирм.

Пять правил безопасной работы с ИИ-…

1 week, 1 day назад @ kaspersky.ru
Социальная инженерия: как злоумышленники манипулируют людьми | Блог Касперского
Социальная инженерия: как злоумышленники манипулируют людьми | Блог Касперского Социальная инженерия: как злоумышленники манипулируют людьми | Блог Касперского

Следующий абзац снова вгоняет вас в панику: «К сожалению, при проверке мы обнаружили, что ваши платежные данные могли быть скомпрометированы».

Для разбирательства напишите нам, иначе мы возбудим уголовное дело и разошлем информацию о вас в СМИ» — и далее по списку.

Но если с вами общаются чересчур эмоционально и вы чувствуете, что на вас давят, то вероятность, что вы общаетесь с мошенником, близится к 99,9%.

→ немедленно смените пароль на этом сервисе и на всех других, где использовали такой же.

Если с вашей карты успели снять или перевести деньги, узнайте, как оспорить транзакцию.

1 week, 3 days назад @ kaspersky.ru
Как сегодня злоумышленники атакуют компании | Блог Касперского
Как сегодня злоумышленники атакуют компании | Блог Касперского Как сегодня злоумышленники атакуют компании | Блог Касперского

Мы выбрали три кейса, три реальные истории о том, как злоумышленники атакуют сегодня, а главное, почему им удается проворачивать такие атаки.

Если вы не видите этот трафик или не считаете это инцидентом — вы проигрываете еще до начала активной фазы атаки.

Как и в предыдущем кейсе, злоумышленники вошли в корпоративную сеть через скомпрометированную учетную запись.

Почему это произошлоБыли допущены две классические ошибки:Сервер мониторинга был настроен с избыточными привилегиями, с доступом ко всем активам компании: и физическим, и виртуальным.

Попав в инфраструктуру, через Active Directory и групповые политики злоумышленники распространили в корпоративной сети вредоносное ПО с функционально…

1 week, 4 days назад @ kaspersky.ru
250 000 мисконфигураций в GitHub Actions | Блог Касперского
250 000 мисконфигураций в GitHub Actions | Блог Касперского 250 000 мисконфигураций в GitHub Actions | Блог Касперского

В частности, опасность может скрываться в GitHub Actions, сценариях автоматизации, позволяющих создавать пайплайны непрерывной интеграции и доставки (CI/CD).

Ошибки и мисконфигурации в них периодически используются злоумышленниками в реальных атаках.

Да, она тоже началась с компрометации мейнтейнера популярного проекта, но распространяемый в ходе этой кампании зловред похищал секреты, именно используя недочет в GitHub Actions.

Как оставаться в безопасностиМисконфигурации в GitHub Actions потенциально могут превратить пайплайны разработки в инструменты злоумышленников, позволяющие скомпрометировать среду разработки или атаковать инфраструктуру компании.

С его помощью наше решение может выявл…

1 week, 6 days назад @ kaspersky.ru
Чек-лист для выбора EPP-решения | Блог Касперского
Чек-лист для выбора EPP-решения | Блог Касперского Чек-лист для выбора EPP-решения | Блог Касперского

Однако очевидно, что краеугольным камнем стратегии информационной безопасности остаются решения для защиты конечных точек.

Мы предлагаем при выборе EPP-решения отталкиваться не от возможностей продуктов, а от конкретных нужд вашей компании.

Отметьте пункты, которым должно соответствовать решение для защиты конкретно вашей инфраструктуры, и вам будет гораздо проще определиться с выбором.

Для перехода от EPP к EDR или MDR ключевым условием является единое решение, умеющее одновременно выполнять функции и EPP-, и EDR/MDR-агента, а также единая консоль управления.

В Kaspersky Security для бизнеса реализованы передовые защитные технологии, включая машинное обучение, поведенческий анализ, защиту …

2 weeks назад @ kaspersky.ru
Как злоумышленники крадут аккаунты Telegram через PowerShell-скрипты | Блог Касперского
Как злоумышленники крадут аккаунты Telegram через PowerShell-скрипты | Блог Касперского Как злоумышленники крадут аккаунты Telegram через PowerShell-скрипты | Блог Касперского

Как защитить свой аккаунт в TelegramЧто делать, чтобы защитить свой аккаунт в Telegram от подобных схем угона?

Если вы подозреваете, что стали жертвой подобного стилера или других махинаций злоумышленников, как можно скорее завершите все сессии в Telegram: Настройки → Устройства → Активные сессии → Завершить другие сеансы.

Почему так — мы подробно рассказывали в материале Что делать, если взломали аккаунт в Telegram, перечислив в нем все способы восстановления доступа к своей учетной записи.

Во-первых, необходимо установить облачный пароль для Telegram в разделе Настройки → Конфиденциальность → Облачный пароль.

Наш менеджер паролей кроссплатформенный, поэтому войти в Telegram с использовани…

2 weeks, 2 days назад @ kaspersky.ru
Как Hola Browser распространял криптомайнер Monero | Блог Касперского
Как Hola Browser распространял криптомайнер Monero | Блог Касперского Как Hola Browser распространял криптомайнер Monero | Блог Касперского

Скомпрометированная версия израильского браузера Hola для Windows (1.251.91.0) загружала на устройства пользователей криптомайнер для добычи криптовалюты Monero.

Исследователи обнаружили признаки компрометации браузера Hola в рамках процесса сертификации AppEsteem Windows Certified Application.

}exe показало, что в нем скрывался криптомайнер для добычи криптовалюты Monero.

Как злоумышленники использовали Hola Browser для майнинга MoneroКриптомайнеры — это программы, которые используют вычислительные возможности компьютера для добычи криптовалюты.

Как мы уже сказали выше, в случае заражения Hola Browser на устройства жертв загружался криптомайнер для добычи криптовалюты Monero.

2 weeks, 3 days назад @ kaspersky.ru
Мошеннические схемы на чемпионате мира по футболу 2026 года | Блог Касперского
Мошеннические схемы на чемпионате мира по футболу 2026 года | Блог Касперского Мошеннические схемы на чемпионате мира по футболу 2026 года | Блог Касперского

Ставка на проигрышВо время чемпионата мира предсказания результатов матчей и «ставки на спорт» становятся особенно популярны — чем активно пользуются злоумышленники.

Это еще и рекордные продажи коллекционной атрибутики — наклеек, шарфиков, формы сборных, официальных мячей турнира и так далее.

На скриншоте выше злоумышленники предлагают заплатить 67 евро за коллекцию наклеек, но на маркетплейсах такой же набор обойдется как минимум вдвое дороже, а на официальном сайте Panini — втрое.

Конечно, товар вы не получите и потеряете не только деньги, но и реквизиты банковской карты.

Установите Kaspersky Premium — приложение убережет вас от зловредов, фишинга, спама, переходов на вредоносные и поддел…

3 weeks назад @ kaspersky.ru
Ключевые проблемы создания автономного SOC и их решения
Ключевые проблемы создания автономного SOC и их решения Ключевые проблемы создания автономного SOC и их решения

Фундаментальные проблемы автономного SOC: за пределами ИИХотя использование ИИ для анализа данных и принятия решений в SOC звучит как логичная и относительно несложная в реализации идея, попытка ее внедрить ставит и обостряет проблемы, с которыми организации столкнулись при внедрении SIEM, XDR и SOAR:Качество исходных данных.

Даже когда роль ИИ сводится к предварительному сбору данных и рекомендациям, аналитики зачастую не доверяют данным и тратят время на их повторный сбор и анализ.

В SOC и ИБ в целом всегда есть плохо документированная информация: бизнес-контекст, коллективные знания и другие данные, которые помогают верно оценивать оповещения и инциденты.

Проблемы ИИ, критичные для SOCКр…

3 weeks, 3 days назад @ kaspersky.ru
Атака FROST: слежка за пользователем при помощи SSD
Атака FROST: слежка за пользователем при помощи SSD Атака FROST: слежка за пользователем при помощи SSD

Хотя она и изолирована, но записываются эти данные в итоге на тот же SSD, с которым также работают прочие программы и веб-сайты.

Оказалось, что если вредоносная страница постоянно обращается к SSD, по задержкам при доступе к данным можно определить, что еще происходит на ПК.

Допустим, на SSD имеется достаточно большой файл, наполненный случайными данными.

Комбинация всех особенностей атаки объясняет ее название: FROST расшифровывается как Fingerprinting Remotely using OPFS-based SSD Timing, то есть удаленное наблюдение над SSD с использованием технологии OPFS.

Впрочем, суть атаки FROST не в передаче данных, а в слежке за активностью пользователя.

4 weeks, 1 day назад @ kaspersky.ru
Argamal RAT: злоумышленники распространяют троян удаленного доступа через хентай-игры | Блог Касперского
Argamal RAT: злоумышленники распространяют троян удаленного доступа через хентай-игры | Блог Касперского Argamal RAT: злоумышленники распространяют троян удаленного доступа через хентай-игры | Блог Касперского

Злоумышленники внедряют в установочные файлы игр троян удаленного доступа под названием Argamal.

Рассказываем, как не стать жертвой нового трояна — и как безопасно и максимально анонимно смотреть пикантный контент с аниме-девочками (или без).

В другой ситуации это, наверное, сложно было бы назвать неприятной характеристикой, но Argamal, к сожалению, троян не из «скорострелов».

Через три дня компьютер подключается к GitHub, скачивает зашифрованный файл, расшифровывает его и превращает в рабочий модуль трояна.

Именно поэтому мы рекомендуем хранить пароли не в текстовых файлах, а в зашифрованном контейнере менеджера паролей.

1 month назад @ kaspersky.ru
Блог Group-IB
последний пост None
Cisco Security Blog Cisco Security Blog
последний пост 2 days, 16 hours назад
SharpHound Recon Attack – How AI enhanced the threat hunt
SharpHound Recon Attack – How AI enhanced the threat hunt SharpHound Recon Attack – How AI enhanced the threat hunt

We innovated by giving the Agentic SOC access to Endace’s always-on, full packet capture, and asked the agent to assess a potential SharpHound Recon attack that we had seen while threat hunting.

This blog explores how we built the integrations and how AI helped us with our threat hunt and threat assessment.

Agentic AI Massively Speeds our AnalysisAt this point, we decided to use Agentic AI capabilities to investigate and assess this potential threat.

ConclusionThe Agentic SOC, blending Agentic AI built into Endace’s products with custom agentic tools, is a massive boost to productivity and security.

AcknowledgementsOur thanks go to the Cisco SOC team led by @Jessica Oppenheimer and @Ivan Be…

2 days, 16 hours назад @ blogs.cisco.com
Machine Speed, Human Judgement: How AI Changed the SOC in 2026
Machine Speed, Human Judgement: How AI Changed the SOC in 2026 Machine Speed, Human Judgement: How AI Changed the SOC in 2026

Having spent time in the Cisco Live Americas 2026 SOC, one thing became abundantly clear:The way SOCs operate today is fundamentally different from even a few years ago.

Instead of spending time gathering information, analysts could spend more time understanding what the information actually meant.

Just as spreadsheets empowered business users decades ago, AI-assisted coding is beginning to empower security analysts today.

At Cisco Live, AI was already present throughout the workflow:Incident summaries generated automatically within XDR.

And based on what I saw at Cisco Live 2026, that future has already arrived.

2 days, 16 hours назад @ blogs.cisco.com
Elevating Expertise in the SOC
Elevating Expertise in the SOC Elevating Expertise in the SOC

The new SOC analysts were great at finding evidence, helped with triage and correlation by the AI agents in the SOC architecture.

With the advancements in Cloud Control, our new SOC Analysts can validate their hypothesis.

They had the ability to investigate the incident and find the root cause found in Splunk Security and Endace.

Instant Attack VerificationIn each Incident, the SOC Analysts is given an AI generated Summary stitching all the relevant logs from all the sources that are related to the objects in question.

Check out the blogs by the engineers who worked inside the SOC at Las Vegas:

2 days, 16 hours назад @ blogs.cisco.com
Educate at Event Speed: Cisco Live Security Operations Center
Educate at Event Speed: Cisco Live Security Operations Center Educate at Event Speed: Cisco Live Security Operations Center

At Cisco Live AMER 2026 in Las Vegas, my work with the Cisco Event SOC centered on one outcome that makes these deployments valuable beyond the event itself: Education.

The SOC protects the conference, but it also turns live operations into a learning environment through SOC tours, Cisco Live sessions, training inside the SOC, and conversations in the World of Solutions.

Bringing live SOC lessons into the classroomEducation also happened in the sessions I delivered at Cisco Live.

Cisco Live AMER 2026 reinforced that the SOC is one of the best classrooms we have because it teaches through real operations.

For a deeper look at the model behind these deployments, read the Cisco Event SOCs: A R…

2 days, 16 hours назад @ blogs.cisco.com
What Working the Cisco Live SOC Taught Me About AI, Detection, and Response
What Working the Cisco Live SOC Taught Me About AI, Detection, and Response What Working the Cisco Live SOC Taught Me About AI, Detection, and Response

Inside the Cisco Live SOCAt Cisco Live AMER, the Security Operations Center (SOC) is more than a demo environment.

For a broader look at how the Cisco Live SOC operates, read this overview.

Another part was spent in the SOC, working real investigations with XDR, Splunk Enterprise Security, firewall events, DNS telemetry, packet data, and AI assistance.

AI can help a product manager become useful faster in a live SOC.

That is the bar I want us to continue building toward as we build Cisco XDR and Splunk Security.

2 days, 16 hours назад @ blogs.cisco.com
Cable to Cloud – A Product Engineer’s Journey Through the Cisco Live AMER 2026 SOC
Cable to Cloud – A Product Engineer’s Journey Through the Cisco Live AMER 2026 SOC Cable to Cloud – A Product Engineer’s Journey Through the Cisco Live AMER 2026 SOC

As part of the Cisco XDR (Extended Detection and Response) product engineering group, a few of us got exactly that chance.

Every product had a part to play for a network as traffic-heavy as Cisco Live.

(PS : Flaunting the SOC T-shirts was fun)AcknowledgementsA heartfelt thank you to Cisco and the entire SOC team — you are all amazing.

To the Cisco XDR , Splunk , Secure Access , and Secure Firewall engineering teams.

Check out the other blogs from our team at the Cisco Live Americas 2026 SOC at Las Vegas:

2 days, 16 hours назад @ blogs.cisco.com
The Experience Dividend: How Better Digital Experience Protects Revenue, Trust, and Growth
The Experience Dividend: How Better Digital Experience Protects Revenue, Trust, and Growth The Experience Dividend: How Better Digital Experience Protects Revenue, Trust, and Growth

We built an Experience Score model on Cisco and Splunk infrastructure and watched it run against real traffic, at real scale, in real time.

The result was a working model for how leaders measure what customers feel, act before friction surfaces, and tie operational decisions to revenue and trust.

At Cisco Live, the Experience Score model organized that architecture around four questions business and technology leaders can answer together.

The composite Experience Score tells a leader whether the experience is healthy enough to protect the moments the business depends on.

From Cisco Live to LA28Cisco Live was a rehearsal for larger exposure surfaces, where digital experience, revenue, brand …

2 days, 16 hours назад @ blogs.cisco.com
AIM: Building an Agentic Tier-2 SOC Analyst at Cisco Live AMER 2026
AIM: Building an Agentic Tier-2 SOC Analyst at Cisco Live AMER 2026 AIM: Building an Agentic Tier-2 SOC Analyst at Cisco Live AMER 2026

And we kept thinking the same engineer thought: this flow is so consistent… could an agentic agent do the first 90%?

It was a great experiment — and a glimpse of a fully self-hosted agentic SOC — but for the event we pivoted to Claude Opus 4.8 running through Claude Code.

The division of labor we landed on: Tier-1 agentic SOC was already handled beautifully by the AI features in our own products — XDR’s Agentic Attack Storyboard and Splunk’s Triage Agent.

What does an agentic SOC actually need?

The MCP servers — an Endace MCP for packet capture/decode and a Splunk MCP for running queries.

2 days, 16 hours назад @ blogs.cisco.com
Building the Agentic SOC at Cisco Live Americas 2026
Building the Agentic SOC at Cisco Live Americas 2026 Building the Agentic SOC at Cisco Live Americas 2026

Building on the Cisco Live EMEA SOC, Cisco Live Americas placed the Security Operations Center (SOC) and Network Operations Center (NOC) at the center of the World of Solutions, demonstrating the power of Cisco in bringing Networking, Security and Observability together.

The Cisco Live Americas Agentic SOC architecture shows how a “One Cisco” approach brings different security tools together to eliminate data silos, in close partnership with the NOC.

The SOC at Cisco Live was set up in just two days, thanks to lessons learned and continuous evolution.

For Cisco Live AMER, we treated agentic AI as an auditable review layer across the SOC, not as a replacement for analysts.

Agentic SOC: Incid…

2 days, 16 hours назад @ blogs.cisco.com
Ten Years in the SOC at RSAC: What We Learned in 2026
Ten Years in the SOC at RSAC: What We Learned in 2026 Ten Years in the SOC at RSAC: What We Learned in 2026

Cisco Security and Splunk Security released the Findings Report from the Security Operations Center at RSAC 2026 Conference.

This year marked the 10th year of the SOC at RSAC.

Those lessons helped inform the Agentic SOC work that followed at Cisco Live Americas 2026.

The SOC used Cisco AI Defense to gain visibility into generative AI application usage and to help protect on-premises AI models running in the SOC in a Box.

Download the full RSAC 2026 SOC Findings Report to see the architecture, metrics, investigations, lessons learned, and recommendations from the 10th year of the SOC.

1 week, 1 day назад @ blogs.cisco.com
Uplevelling Black Hat Threat Hunters
Uplevelling Black Hat Threat Hunters Uplevelling Black Hat Threat Hunters

More telemetry means better visibility – but also more data for threat hunters to sift through.

Then came an important decision: Focus on what matters for detection of threats at Black Hat.

Enriching with Network Context and reducing noiseA file submitted via HTTP doesn’t exist in isolation – it has network context.

It was about:Surfacing high-risk submissions automaticallyProviding network context for faster triageHelping threat hunters dismiss noise fasterThis workflow is far from perfect.

Driven by the needs of the community, Black Hat events showcase content directly from the community through Briefings presentations, Trainings courses, Summits, and more.

2 weeks, 2 days назад @ blogs.cisco.com
Making Workflow Runs Explain Themselves: AI-Powered Run Summaries in Cisco XDR Automate
Making Workflow Runs Explain Themselves: AI-Powered Run Summaries in Cisco XDR Automate Making Workflow Runs Explain Themselves: AI-Powered Run Summaries in Cisco XDR Automate

If you’ve ever troubleshot a complex workflow run, you know the drill: click into actions, expand inputs and outputs, scan logs, backtrack, repeat.

We’ve just released Workflow Run Summaries in Cisco XDR Automate: an on-demand, AI-generated summary that explains what happened during a workflow execution, where things went wrong, and why that matters, without forcing you to manually inspect every step.

What the feature doesWith a single click on “Generate Run Summary”, Cisco XDR Automate analyzes a completed workflow run and produces a concise, human-readable explanation of its execution.

Why this matters, especially for Agentic AIAs XDR Automate Workflows are increasingly triggered by Agent…

3 weeks, 1 day назад @ blogs.cisco.com
Independent Testing Confirms Secure Email Threat Defense’s Email Security Strength
Independent Testing Confirms Secure Email Threat Defense’s Email Security Strength Independent Testing Confirms Secure Email Threat Defense’s Email Security Strength

It is the hardest attack category in email security — for any vendor, any product, any architecture.

This balance — 98% threat detection alongside zero hard false positives — is what the 94% Total Accuracy Rating reflects.

What Independent Validation Means for Your Security StrategyEvery email security vendor publishes detection rates.

Read the full report for more insight into ETD’s comprehensive email security capabilities.

All performance data sourced from the SE Labs Advanced Security Test Report — Email (Protection), Cisco Secure Email Threat Defense, May 2026 (v1.0).

3 weeks, 2 days назад @ blogs.cisco.com
Defenseclaw for On-Prem AI SOC Workflow at Black Hat Asia
Defenseclaw for On-Prem AI SOC Workflow at Black Hat Asia Defenseclaw for On-Prem AI SOC Workflow at Black Hat Asia

Caption: MCP integrations exposed to the local AI workflow for SOC investigation contextAt this stage, the system was already useful.

Caption: OpenClaw using the local Ollama model backend instead of an external model providerThe distinction is important.

I installed DefenseClaw alongside the OpenClaw environment, to add inspection and audit visibility around the agentic AI workflow.

Sending DefenseClaw events into Splunk made the AI workflow feel more operational and less experimental.

At Black Hat Asia, this became a practical way to explore what private AI for SOC workflows could look like.

3 weeks, 3 days назад @ blogs.cisco.com
Cisco Secure Access with MCP Infrastructure at Black Hat Asia 2026
Cisco Secure Access with MCP Infrastructure at Black Hat Asia 2026 Cisco Secure Access with MCP Infrastructure at Black Hat Asia 2026

Cisco has been a long-standing partner in securing Black Hat conferences worldwide, providing the critical network infrastructure that ensures safe connectivity for all attendees.

At Black Hat Asia 2026, we continued this tradition while introducing significant enhancements to our security capabilities through innovative integrations.

Resource ConnectorCisco Secure Access Resource Connector was deployed to provide secure remote access to critical systems.

Resource Connector solves this problem by creating secure path to the target, which is accessible from public URL generated by Secure Access platform.

Check out the other blogs from our team at Black Hat Asia 2026.

3 weeks, 3 days назад @ blogs.cisco.com
Microsoft Security Microsoft Security
последний пост 19 часов назад
GigaWiper: Anatomy of a destructive backdoor assembled from multiple malware
GigaWiper: Anatomy of a destructive backdoor assembled from multiple malware GigaWiper: Anatomy of a destructive backdoor assembled from multiple malware

In analyzing these backdoor capabilities, we discovered that some backdoor commands contain code from additional malware families.

GigaWiper backdoor command 3 is heavily based on Crucio’s code, leading to the assessment that the same threat actor developed both malware families.

Crucio’s code was the base for GigaWiper command 3, and FlockWiper was recoded in Golang and updated for GigaWiper command 12.

Indicators of compromiseIndicator Type Description 633d4cbd496b1094495da89a64f5e6c31a0f6d4d1488411db5b0cba1cfe42001 SHA-256 GigaWiper backdoor ce9ad5f6c12019f4aae5b189bd8ddf5bb09e75b06a0a587b25a855c65948c913 SHA-256 GigaWiper backdoor f622ed85ef31ad4ab973f4e74524866fe1bb44f0965ad2b2ad796cd6…

19 часов назад @ microsoft.com
Protecting Microsoft at AI speed: How SFI proactively hardens our cloud
Protecting Microsoft at AI speed: How SFI proactively hardens our cloud Protecting Microsoft at AI speed: How SFI proactively hardens our cloud

At Microsoft we encompass these security requirements, along with threat knowledge and operational frameworks in our Secure Future Initiative (SFI), to guide what a well-defended cloud service looks like.

This system is purpose-built to evaluate Microsoft’s own cloud services against our stringent security requirements and make our infrastructure harder to compromise.

Enumerates applicable security controls based on SFI requirements across identity, network, tenant isolation, engineering systems, and detection domains.

Proven results: From theory to practiceWithin a few months, the system has enabled Microsoft security engineering teams to proactively harden our cloud services.

The same AI …

1 day, 17 hours назад @ microsoft.com
5 insights from Frost & Sullivan’s 2025 Frost Radar™ for Cloud Security Posture Management
5 insights from Frost & Sullivan’s 2025 Frost Radar™ for Cloud Security Posture Management 5 insights from Frost & Sullivan’s 2025 Frost Radar™ for Cloud Security Posture Management

Frost & Sullivan’s 2025 Frost Radar™ for Cloud Security Posture Management points to a structural shift: CSPM is no longer a periodic compliance exercise.

Frost & Sullivan’s evaluation framework reflects this transition—placing greater emphasis on integrated, code to cloud risk management capabilities inside broader CNAPP platforms.

The Frost Radar™ for Cloud Security Posture Management visualizes how leading vendors compare across innovation and growth—two key measures of market leadership and future potential.

Learn moreRead the Frost & Sullivan Frost Radar™ for Cloud Security Posture Management (2025) to see how CSPM leaders are evaluated—and what capabilities matter most as vendor selec…

3 days, 18 hours назад @ microsoft.com
Improving security posture across the Microsoft partner ecosystem
Improving security posture across the Microsoft partner ecosystem Improving security posture across the Microsoft partner ecosystem

For Microsoft, these partners are Microsoft Cloud Solution Providers (CSPs), and they help customers buy, manage, and optimize cloud services like Microsoft 365 and Microsoft Azure.

This helps us ensure that the Microsoft partner ecosystem remains healthy, compliant, and effective, and ultimately helps drive the best outcomes for our customers.

Partner vetting helps ensure that only legitimate organizations can enter the ecosystem, while CSP security posture improvements help enhance the operating standards of organizations already in the ecosystem.

In short, we have made a set of improvements to the security posture across the CSP ecosystem, both at the Microsoft platform layer and at the …

1 week назад @ microsoft.com
Microsoft named a leader in the Frost Radar for cloud and application runtime security
Microsoft named a leader in the Frost Radar for cloud and application runtime security Microsoft named a leader in the Frost Radar for cloud and application runtime security

Frost & Sullivan’s 2026 Frost Radar™ for Cloud/Application Runtime Security (CARS) reflects this shift.

Why cloud security is being redefinedThe Frost Radar makes a clear point: cloud security is no longer about visibility or compliance alone.

These are the capabilities that define the next generation of cloud and application runtime security.

Learn moreRead Frost & Sullivan’s 2026 Frost Radar™ for Cloud/Application Runtime Security to see how leading vendors are evaluated—and how the category is shifting toward unified cloud and application runtime risk operations.

Explore Microsoft cloud security solutions to see how unified posture management, risk prioritization, and protection across t…

1 week, 1 day назад @ microsoft.com
Accelerating the quantum-safe timeline
Accelerating the quantum-safe timeline Accelerating the quantum-safe timeline

The quantum-safe timeline has changedFor years, planning for post-quantum cryptography (PQC) was framed as a future problem: important, inevitable, but distant.

At Microsoft, we are acting on this shift by bringing our quantum-safe timeline forward so organizations can begin the transition earlier and with greater confidence.

Accelerating our timelineIn response to these shifts, we are accelerating the Microsoft Quantum Safe Program (QSP) timeline with the goal of transitioning critical products and services to PQC by 2029.

We will continue to share technical guidance and operational best practices to help organizations adopt quantum-safe cryptography with confidence as they move from plann…

1 week, 2 days назад @ microsoft.com
​​What’s new in Microsoft Security: June 2026
​​What’s new in Microsoft Security: June 2026 ​​What’s new in Microsoft Security: June 2026

Prioritize risk with unified identity risk scoreA new unified identity risk score combines signals from across Microsoft Security into a single, explainable measure of an identity’s risk.

Prioritize identity risk and enforce protection in real time with the new unified identity risk score.

Organizations can use the new security tools and capabilities announced at Microsoft Build 2026 to innovate faster and scale AI adoption without sacrificing security.

In the Loop posts are your reliable source of what’s new across Microsoft Security and what it means for your security strategy.

Also, follow us on LinkedIn (Microsoft Security) and X (@MSFTSecurity) for the latest news and updates on cybers…

1 week, 2 days назад @ microsoft.com
Securing AI agents: When AI tools move from reading to acting
Securing AI agents: When AI tools move from reading to acting Securing AI agents: When AI tools move from reading to acting

AI Application Series 1: Security considerations when adopting AI tools examined how AI adoption expands the enterprise attack surface.

AI Application Series 2: Detecting and analyzing prompt abuse in AI tools showed how indirect prompt injection can bias the output of a passive AI summarizer.

AI agents can plan multi-step tasks, decide which tools to invoke, and execute actions on behalf of the user.

This post focuses on one of its fastest-moving categories: tool misuse and agentic supply chain risk exploited through poisoned MCP tool metadata.

The tool name and user-facing summary remain unchanged, but the MCP tool description is silently modified.

1 week, 2 days назад @ microsoft.com
Chromium extension uses AI‑related branding to redirect browser search
Chromium extension uses AI‑related branding to redirect browser search Chromium extension uses AI‑related branding to redirect browser search

Extension overviewThe extension we analyzed has the following attributes:Attribute Value Extension name Search for perplexity ai Extension ID flkebkiofojicogddingbdmcmkpbplcd Manifest version MV3 Version 2.2 Observed purpose Browser search override and redirect logic Referenced brand Perplexity AI Suspicious domain perplexity-ai[.

The runtime workflow we’ve observed demonstrates browser search redirection behavior:User enters search query into the Omnibox.

Monitor unauthorized changes to browser search settings, unusual extension permissions, and outbound traffic to intermediary or non-standard domains associated with search activity.

Learn moreFor the latest security research from the Micr…

1 week, 3 days назад @ microsoft.com
Photo ZIP campaign targeting hospitality industry delivers Node.js implant for persistent access
Photo ZIP campaign targeting hospitality industry delivers Node.js implant for persistent access Photo ZIP campaign targeting hospitality industry delivers Node.js implant for persistent access

]info Domain C2 domain recstrace[.

]info Domain C2 domain heliosup[.

]info Domain C2 domain fairyspells[.

Learn moreFor the latest security research from the Microsoft Threat Intelligence community, check out the Microsoft Threat Intelligence Blog.

To hear stories and insights from the Microsoft Threat Intelligence community about the ever-evolving threat landscape, listen to the Microsoft Threat Intelligence podcast.

2 weeks назад @ microsoft.com
Microsoft a Leader in The Forrester Wave™ for Endpoint Management Platforms
Microsoft a Leader in The Forrester Wave™ for Endpoint Management Platforms Microsoft a Leader in The Forrester Wave™ for Endpoint Management Platforms

Microsoft’s recognition as a Leader in The Forrester Wave™: Endpoint Management Platforms, Q2 2026 report reflects that shift—and the role Microsoft Intune plays in helping organizations manage what’s next.

Figure 1: Forrester Wave showing Microsoft in a Leader position for both strength of offering and strategyWhy Microsoft Intune is a leader in endpoint managementThe Forrester Wave™ Endpoint Management Platforms, Q2 2026 report includes eight endpoint management platform providers, assessed across current offering, strategy, and customer feedback.

Full details are in our announcement blog: Microsoft 365 adds advanced Microsoft Intune solutions at scale.

Bookmark the Microsoft Intune blog …

2 weeks назад @ microsoft.com
CNAPP evolution: How Microsoft aligns with leading cloud risk management platforms
CNAPP evolution: How Microsoft aligns with leading cloud risk management platforms CNAPP evolution: How Microsoft aligns with leading cloud risk management platforms

Organizations now require platforms that can:Correlate posture, runtime, identity, and data signals.

Learn moreRead Frost & Sullivan’s 2026 Frost Radar™ for Cloud-Native Application Protection Platforms (CNAPP) to see how leading vendors are evaluated—and how the category is shifting toward unified cloud risk operations platforms.

Explore Microsoft cloud security solutions to see how unified posture management, risk prioritization, and protection across the application lifecycle can help reduce cloud risk.

Bookmark the Microsoft Security blog to keep up with our expert coverage on security matters.

Also, follow us on LinkedIn (Microsoft Security) and X (@MSFTSecurity) for the latest news an…

2 weeks, 1 day назад @ microsoft.com
StealC and Amadey: Breaking down infostealers and the cybercrime services that deliver them
StealC and Amadey: Breaking down infostealers and the cybercrime services that deliver them StealC and Amadey: Breaking down infostealers and the cybercrime services that deliver them

Indicators of compromiseIndicator Type Description 8f32456359f209a63adfd24b94235e1727382ac7f7bb7f2bcaf754e721925b64 SHA-256 StealC 0215f734867bd71c57ff5c524d8cc670be5b4f1861b2c390cf46d18784a53624 SHA-256 StealC 2a0f053855da59b3b56812e580d7baeba59fc9493694722aa9e3f121ee3363f1 SHA-256 StealC 977b33a9b481cf714946b7d386865cd5d284312aa5ecfa0546c197b1003e1bde SHA-256 StealC b7d1f172ff3feafe65d47fd1cbe0cc249316371ae0e1cbe3a7c741c738b3353d SHA-256 Amadey 5.87 9383572a30ae5b76fadd0700fbd7a1aa7b05d0b6c8f9cdaef9b30a3e1f65d57d SHA-256 Amadey 5.86 5f5b25b2e35d404034d0d60975cf1ffbc6f141761ec3f4f15d6f7c6213a056f6 SHA-256 Amadey 5.80 98e504cc7125b79eda5491f40b998605a05f4cd968b961aab4cce7beb074fefe SHA-256 …

2 weeks, 1 day назад @ microsoft.com
Guarding AI memory
Guarding AI memory Guarding AI memory

AI memory transforms an AI system from a stateless tool into a learning collaborator.

What AI memory is (and why it matters)AI systems use memory to retain and recall information across interactions.

Since AI memory attacks happen outside of their original context, defenses are often lower and forensics are harder.

Building safe AI memory is one of the most consequential challenges in AI.

Our AI memory strategy is guided by design principles for building safe memory systems.

2 weeks, 3 days назад @ microsoft.com
One intrusion, two cyberattackers: Uncovering parallel threat activity
One intrusion, two cyberattackers: Uncovering parallel threat activity One intrusion, two cyberattackers: Uncovering parallel threat activity

Once inside, the threat actor shifted focus to persistence and control.

As DART correlated activity across the environment, investigators uncovered signs of a second, unrelated threat actor operating in parallel.

DART moved quickly to contain the active intrusion involving multiple threat actors and stabilize the environment, activating a structured response playbook focused on limiting threat actor impact and restoring control.

Continuous coordination with the customer, including daily briefings, ensured that containment actions were timely, aligned, and effective in reducing further threat actor movement.

Today’s modern cyberattacks can quickly evolve beyond a single incident-blending tac…

2 weeks, 3 days назад @ microsoft.com
Google Online Security Blog Google Online Security Blog
последний пост 2 months, 2 weeks назад
AI threats in the wild: The current state of prompt injections on the web
AI threats in the wild: The current state of prompt injections on the web AI threats in the wild: The current state of prompt injections on the web

Here, threat actors may simply seed prompt injections on websites in hope of corrupting AI systems that browse them.

Early experiments revealed a significant volume of "benign" prompt injection text, which illustrates the complexity of distinguishing between functional threats and harmless content.

Many prompt injections were found in research papers, educational blog posts, or security articles discussing this very topic.

(Source: GitHub/swisskyrepo)When searching for prompt injections naively, the majority of detections are benign content – false positives in our case.

Malicious: ExfiltrationWe were able to observe a small number of prompt injections that aim at theft of data.

2 months, 2 weeks назад @ security.googleblog.com
Bringing Rust to the Pixel Baseband
Bringing Rust to the Pixel Baseband Bringing Rust to the Pixel Baseband

Recognizing the risks associated within the complex modem firmware, Pixel 9 shipped with mitigations against a range of memory-safety vulnerabilities.

Following our previous discussion on "Deploying Rust in Existing Firmware Codebases", this post shares a concrete application: integrating a memory-safe Rust DNS(Domain Name System) parser into the modem firmware.

Hook-up Rust to modem firmwareBefore building the Rust DNS library, we defined several Rust unit tests to cover basic arithmetic, dynamic allocations, and FFI to verify the integration of Rust with the existing modem firmware code base.

Pixel modem firmware already has a well-tested and specialized global memory allocation system to…

3 months назад @ security.googleblog.com
Protecting Cookies with Device Bound Session Credentials
Protecting Cookies with Device Bound Session Credentials Protecting Cookies with Device Bound Session Credentials

This project represents a significant step forward in our ongoing efforts to combat session theft, which remains a prevalent threat in the modern security landscape.

Session theft typically occurs when a user inadvertently downloads malware onto their device.

Once active, the malware can silently extract existing session cookies from the browser or wait for the user to log in to new accounts, before exfiltrating these tokens to an attacker-controlled server.

How DBSC WorksDBSC protects against session theft by cryptographically binding authentication sessions to a specific device.

The issuance of new short-lived session cookies is contingent upon Chrome proving possession of the correspondi…

3 months назад @ security.googleblog.com
Google Workspace’s continuous approach to mitigating indirect prompt injections
Google Workspace’s continuous approach to mitigating indirect prompt injections Google Workspace’s continuous approach to mitigating indirect prompt injections

Staying ahead of the latest indirect prompt injection attacks is critical to our mission of securing Workspace with Gemini.

In our previous blog “Mitigating prompt injection attacks with a layered defense strategy”, we reviewed the layered architecture of our IPI defenses.

Synthetic data generationAfter we discover, curate, and catalog new attacks, we use Simula to generate synthetic data expanding these new attacks.

We partition the synthetic data described above into separate training and validation sets to ensure performance is evaluated against held-out examples.

This process leverages the newly generated synthetic attack data described on this blog, to create a robust, end-to-end evalu…

3 months, 1 week назад @ security.googleblog.com
VRP 2025 Year in Review
VRP 2025 Year in Review VRP 2025 Year in Review

2025 marked a special year in the history of vulnerability rewards and bug bounty programs at Google: our 15th anniversary 🎉🎉🎉!

Coming back to 2025 specifically, our VRP once again confirmed the ongoing value of engaging with the external security research community to make Google and its products safer.

Vulnerability Reward Program 2025 in NumbersWant to learn more about who’s reporting to the VRP?

Tip: Want to be informed of new developments and events around our Vulnerability Reward Program?

Follow the Google VRP channel on X to stay in the loop and be sure to check out the Security Engineering blog, which covers topics ranging from VRP updates to security practices and vulnerability des…

3 months, 1 week назад @ security.googleblog.com
Security for the Quantum Era: Implementing Post-Quantum Cryptography in Android
Security for the Quantum Era: Implementing Post-Quantum Cryptography in Android Security for the Quantum Era: Implementing Post-Quantum Cryptography in Android

To stay ahead of the curve, the technology industry must undertake a proactive, multi-year migration to Post-Quantum Cryptography (PQC).

To bring these critical protections to the wider developer community with minimal friction, the transition will be supported through Play App Signing.

Play App Signing leverages Google Cloud KMS, which helps ensure industry-leading compliance standards, to secure signing keys.

Empower Developers : The inclusion of ML-DSA support within Android Keystore and Play App Signing allows developers to safeguard their users and application.

: The inclusion of ML-DSA support within Android Keystore and Play App Signing allows developers to safeguard their users and …

3 months, 2 weeks назад @ security.googleblog.com
Cultivating a robust and efficient quantum-safe HTTPS
Cultivating a robust and efficient quantum-safe HTTPS Cultivating a robust and efficient quantum-safe HTTPS

Today we're announcing a new program in Chrome to make HTTPS certificates secure against quantum computers.

Instead, Chrome, in collaboration with other partners, is developing an evolution of HTTPS certificates based on Merkle Tree Certificates (MTCs), currently in development in the PLANTS working group.

Since MTC technology shares significant architectural similarities with CT, these operators are uniquely qualified to ensure MTCs are able to get off the ground quickly and successfully.

The Chrome Quantum-resistant Root Program will operate alongside our existing Chrome Root Program to ensure a risk-managed transition that maintains the highest levels of security for all users.

First, we…

4 months, 1 week назад @ security.googleblog.com
Staying One Step Ahead: Strengthening Android’s Lead in Scam Protection
Staying One Step Ahead: Strengthening Android’s Lead in Scam Protection Staying One Step Ahead: Strengthening Android’s Lead in Scam Protection

For Majik, Scam Detection was the intervention he needed: “The warning is what made me pause and avoid a bad situation”.

As scammers evolve their tactics and create more convincing and personalized threats, we’re using the best of Google AI to stay one step ahead.

Expanding Scam Detection for Calls to Samsung DevicesTo help protect you during phone calls, Scam Detection alerts you if a caller uses speech patterns commonly associated with fraud.

Scam Detection for phone calls on Google Pixel devices is available in the U.S., Australia, Canada, India, Ireland, and the UK.

Powered by Gemini’s on-device model, Scam Detection provides intelligent protection against scam calls while ensuring that…

4 months, 2 weeks назад @ security.googleblog.com
Keeping Google Play & Android app ecosystems safe in 2025
Keeping Google Play & Android app ecosystems safe in 2025 Keeping Google Play & Android app ecosystems safe in 2025

Upgrading Google Play’s AI-powered, multi-layered user protectionsWe’ve seen a clear impact from these safety efforts on Google Play.

As Android’s built-in defense against malware and unwanted software, Google Play Protect now scans over 350 billion Android apps daily.

This proactive protection constantly checks both Play apps and those from other sources to ensure they are not potentially harmful.

Looking aheadOur top priority remains making Google Play and Android the most trusted app ecosystems for everyone.

Thank you for being part of the Google Play and Android community as we work together to build a safer app ecosystem.

4 months, 2 weeks назад @ security.googleblog.com
New Android Theft Protection Feature Updates: Smarter, Stronger
New Android Theft Protection Feature Updates: Smarter, Stronger New Android Theft Protection Feature Updates: Smarter, Stronger

That’s why we're committed to providing multi-layered defenses that help protect you before, during, and after a theft attempt.

Today, we're announcing a powerful set of theft protection feature updates that build on our existing protections, designed to give you greater peace of mind by making your device a much harder target for criminals.

These updates are now available for Android devices running Android 16+.

More User Control for Failed Authentications: In Android 15, we launched Failed Authentication Lock, a feature that automatically locks the device's screen after excessive failed authentication attempts.

This feature is now getting a new dedicated enable/disable toggle in settings,…

5 months, 1 week назад @ security.googleblog.com
HTTPS certificate industry phasing out less secure domain validation methods
HTTPS certificate industry phasing out less secure domain validation methods HTTPS certificate industry phasing out less secure domain validation methods

These initiatives, driven by Ballots SC-080, SC-090, and SC-091, will sunset 11 legacy methods for Domain Control Validation.

What’s Domain Control Validation?

Domain Control Validation is a security-critical process designed to ensure certificates are only issued to the legitimate domain operator.

Sunsetted methods relying on email:Sunsetted methods relying on phone:Sunsetted method relying on a reverse lookup:For everyday users, these changes are invisible - and that’s the point.

These changes push the ecosystem toward standardized (e.g., ACME), modern, and auditable Domain Control Validation methods.

7 months назад @ security.googleblog.com
Further Hardening Android GPUs
Further Hardening Android GPUs Further Hardening Android GPUs

Partnership with ArmOur goal is to raise the bar on GPU security, ensuring the Mali GPU driver and firmware remain highly resilient against potential threats.

We partnered with Arm to conduct an analysis of the Mali driver, used on approximately 45% of Android devices.

This approach allowed us to roll out the new security policy broadly while minimizing the impact on developers.

This effort spans across Android and Android OEMs, and required close collaboration with Arm.

The Android security team is committed to collaborating with ecosystem partners to drive broader adoption of this approach to help harden the GPU.

7 months назад @ security.googleblog.com
Architecting Security for Agentic Capabilities in Chrome
Architecting Security for Agentic Capabilities in Chrome Architecting Security for Agentic Capabilities in Chrome

We built on Gemini's existing protections and agent security principles and have implemented several new layers for Chrome.

To further bolster model alignment beyond spotlighting, we’re introducing the User Alignment Critic — a separate model built with Gemini that acts as a high-trust system component.

A flow chart that depicts the User Alignment Critic: a trusted component that vets each action before it reaches the browser.

The User Alignment Critic runs after the planning is complete to double-check each proposed action.

Looking forwardThe upcoming introduction of agentic capabilities in Chrome brings new demands for browser security, and we've approached this challenge with the same ri…

7 months назад @ security.googleblog.com
Android expands pilot for in-call scam protection for financial apps
Android expands pilot for in-call scam protection for financial apps Android expands pilot for in-call scam protection for financial apps

Android uses the best of Google AI and our advanced security expertise to tackle mobile scams from every angle.

Over the last few years, we’ve launched industry-leading features to detect scams and protect users across phone calls, text messages and messaging app chat notifications.

To help combat these types of financial scams, we launched a pilot earlier this year in the UK focused on in-call protections for financial apps.

The UK pilot of Android’s in-call scam protections has already helped thousands of users end calls that could have cost them a significant amount of money.

We’ve also started to pilot this protection with more app types, including peer-to-peer (P2P) payment apps.

7 months, 1 week назад @ security.googleblog.com
Android Quick Share Support for AirDrop: A Secure Approach to Cross-Platform File Sharing
Android Quick Share Support for AirDrop: A Secure Approach to Cross-Platform File Sharing Android Quick Share Support for AirDrop: A Secure Approach to Cross-Platform File Sharing

Secure by DesignWe built Quick Share’s interoperability support for AirDrop with the same rigorous security standards that we apply to all Google products.

Secure Sharing Channel: The communication channel itself is hardened by our use of Rust to develop this feature.

On Android, security is built in at every layer.

On Android, security is built in at every layer.

Secure Sharing Using AirDrop's "Everyone" ModeTo ensure a seamless experience for both Android and iOS users, Quick Share currently works with AirDrop's "Everyone for 10 minutes" mode.

7 months, 3 weeks назад @ security.googleblog.com