Репортаж от Wedoany，На прошлой неделе в сфере кибербезопасности произошло несколько широкомасштабных атак. Проблемы, такие как отравление пакетов, использование ИИ-помощников и черви в репозиториях кода, проявились одновременно, однако коренной причиной остаётся продолжающаяся эффективность старых методов атак. Один чат-бот был легко обманут, вредоносное ПО раскрыло токены бота, а злоумышленники месяцами скрывались в почтовых ящиках, похищая информацию.

Червь Miasma атаковал 73 репозитория в составе организации Microsoft GitHub, включая Azure, Azure-Samples, Microsoft и MicrosoftDocs. Этот инцидент побудил GitHub отключить доступ к соответствующим репозиториям. Miasma оценивается как вариант червя Mini Shai-Hulud, выпущенного TeamPCP в середине мая 2026 года, и представляет собой самореплицирующуюся атаку на цепочку поставок.

Google выпустил патч за июнь 2026 года, исправляющий 124 уязвимости безопасности, затрагивающие операционную систему Android, включая критическую уязвимость CVE-2025-48595 (оценка CVSS 8.4) в компоненте фреймворка, которая уже активно эксплуатируется. Эта уязвимость позволяет повысить привилегии без взаимодействия с пользователем и затрагивает версии Android 14, 15, 16 и 16 QPR2. Google признал, что уязвимость может иметь ограниченное целевое использование.

Министерство юстиции США объявило о результатах операции «Неделя развала», направленной на борьбу с киберпреступлениями и мошенничеством с криптовалютами, нацеленными на американцев. В ходе операции были ликвидированы миллионы учётных записей в социальных сетях, электронной почте и интернет-доступа, используемых транснациональными киберпреступными группировками из Юго-Восточной Азии для мошенничества. Частные предприятия добровольно заморозили криптовалюты на сумму более 3,8 миллиона долларов, связанные с отмыванием денег. Эта операция является частью инициативы США «Ударная группа по борьбе с мошенническими центрами», направленной на ликвидацию сетей мошенничества, торговли людьми и отмывания денег, управляемых транснациональными преступными организациями из Юго-Восточной Азии.

Новая китайская киберпреступная группировка TA4922 расширила сферу своей деятельности с Восточной Азии на Европу и Африку, а также обновила вредоносное ПО, используемое для взлома сетей. Группировка руководствуется экономическими мотивами, получая удалённый доступ для кражи данных, мошенничества и перепродажи доступа. Её тактика частично пересекается с Silver Fox и Void Arachne, используя в различных кампаниях распространение вредоносного ПО, фишинг учётных данных и кражу кредитных карт. В качестве приманок используются налоговые органы, финансовые отделы и кадровые службы Японии, Тайваня, Южной Кореи, Сингапура, Индии, Великобритании, Германии, Италии и ЮАР. Вредоносное ПО распространяется через технику DLL- sideloading, включая Atlas RAT, RomulusLoader и SilentRunLoader.

Ранее не зарегистрированный кластер угроз OP-512 был замечен в развёртывании кастомного фреймворка Web Shell на серверах Microsoft IIS. Эта операция, ориентированная на шпионаж, по оценкам, исходит из Китая. ReliaQuest сообщает, что OP-512, возможно, ведёт шпионскую деятельность через скомпрометированные веб-серверы IIS, а его целевые сектора и географическое положение соответствуют приоритетам китайской разведки. Фреймворк Web Shell поддерживает управление файлами и выполнение команд с аутентификацией.

Неизвестный злоумышленник успешно следил за почтовым ящиком Outlook высокопоставленного члена неназванной глобальной фондовой биржи в течение как минимум пяти месяцев. Злоумышленник развернул похититель почтовых ящиков, который каждые 2-4 недели собирал данные электронной почты, и небольшими партиями выгружал информацию через Dropbox и Microsoft OneDrive Personal, чтобы избежать обнаружения. Самые ранние признаки вредоносной активности были замечены 10 октября 2025 года, а утечка данных продолжалась до марта 2026 года.

На этой неделе ключевые уязвимости затронули множество продуктов и платформ, включая SolarWinds Serv-U, FFmpeg, Cisco Catalyst SD-WAN Manager, Cisco Unified Communications Manager, плагин Everest Forms Pro, Google Android, PCTCore64.sys, сеть IMS Verizon, Appsmith, Collibra Agent, HP Poly Voice, плагин Themeum Kirki, Redis, маршрутизатор Acer Wave 7, Securly, Google Chrome, Broadcom VMware Cloud Foundation Operations, сервер UniFi OS, Hugging Face, Microsoft Edge, Apache ActiveMQ, Ivanti ISTM, laravel/framework, камеры видеонаблюдения KMW, маршрутизаторы TP-Link Archer BE450 и BE7200, StrongDM, IBM WebSphere и MCP Toolbox.

Альянс «Пять глаз» опубликовал консультативный доклад, утверждая, что китайская военная разведка использует профессиональные социальные сети, такие как LinkedIn, Indeed и Upwork, для вербовки лиц, имеющих доступ к правительственной, военной, внешнеполитической или чувствительной экономической информации. В докладе указывается, что целью является получение привилегированных военных, политических и экономических разведданных. Целевым лицам предлагается вознаграждение в обмен на информацию, которое может выплачиваться через такие платформы, как PayPal, Zelle, Wise, Western Union и криптовалюты.

Meta раскрыла, что недавняя атака с использованием инструментов поддержки на базе ИИ могла затронуть 20 225 учётных записей Instagram. Злоумышленники требовали от чат-бота Meta привязать их собственный адрес электронной почты к целевой учётной записи для сброса пароля и получения контроля над ней. Многие учётные записи с высокой известностью впоследствии были выставлены на продажу в даркнете. Эта эксплуатация была обнаружена 31 мая 2026 года. Кроме того, в веб-процессе сброса пароля Instagram была раскрыта уязвимость, которая раскрывает неотредактированные адреса электронной почты и номера телефонов пользователей.

Sophos обнаружила, что бинарный файл криптомайнера XMRig был встроен в аутентичную версию установщика браузера Hola для Windows. Hola объяснила аномалию компрометацией цепочки поставок, затронувшей её конвейер распространения обновлений. Вредоносные пакеты npm нацелены на ИИ-компании, люксовые бренды и венчурные фирмы, развёртывая вредоносное ПО, маскирующееся под инструменты кодирования на базе ИИ. Два вредоносных пакета npm, turbo-axios и faster-axios, нацелены на разработчиков, использующих популярный HTTP-клиент axios, и распространяют похититель информации Epsilon Stealer через хуки после установки. Вредоносный пакет npm cms-store-ren собирает данные с машин разработчиков и отправляет их в Telegram-канал, одновременно раскрывая собственный API-токен бота.

Власти Франции и Испании при поддержке Европола ликвидировали подпольное производство поддельных документов в Аликанте, Испания, изъяв около 800 поддельных европейских документов и соответствующее оборудование. Это предприятие продавало поддельные удостоверения личности сетям контрабандистов мигрантов, действующим в Европе. Бывший руководитель кибербезопасности IBM обвинил компанию в сокрытии взломов после трёх атак иностранных правительственных хакеров за последнее десятилетие. Новая версия ботнета Gafgyt, C0XMO, нацелена на прошивку маршрутизаторов DD-WRT через эксплуатацию уязвимости переполнения буфера стека; активность была обнаружена в марте 2026 года. Вредоносный пакет PyPI Parsimonius развернул бэкдор на базе Telegram, набрав 2 474 загрузки до удаления.

Анализ Windows-версии программы-вымогателя VECT выявил дополнительные уязвимости, которые могут привести к переименованию файлов, частичному шифрованию или повреждению, которое невозможно обратить с помощью дешифратора злоумышленника. Recorded Future сообщает, что Министерство разведки Ирана может расширить использование персонажа Handala, включив в него внешние физические и информационные операции, направленные против интересов США и Израиля. Новый Android-банковский троян OverlayPhantom нацелен на более чем 180 приложений в 10 странах через вредоносные URL, похищая учётные данные с помощью поддельных наложений и прямой трансляции экрана. Злоумышленники используют поддельные уведомления об авторских правах по электронной почте, нацеленные на разработчиков расширений Chrome, для кражи имён пользователей и паролей Google.

Trail of Bits заявила, что смогла обойти сканер вредоносных навыков ClawHub от Cisco, внедрить вредоносные навыки в публичный магазин навыков и украсть данные с систем разработчиков. Фишинговые электронные письма на тему платёжных поручений используются для распространения Remcos RAT. Новый киберпреступный бренд Pink использует голосовой фишинг для первоначального доступа, нацеливаясь в основном на кражу данных и вымогательство. CAI — это фреймворк с открытым исходным кодом для создания ИИ-агентов, поддерживающий более 300 моделей ИИ и включающий встроенные инструменты для разведки, эксплуатации, повышения привилегий и оценки безопасности. PMG — это бесплатный инструмент с открытым исходным кодом, который блокирует вредоносные пакеты с открытым исходным кодом до их установки, используя угрозную информацию SafeDep для проверки пакетов.

Данный материал скомпилирован платформой Wedoany. При цитировании материалов, созданных с помощью искусственного интеллекта (ИИ), необходимо обязательно указывать источник — «Wedoany». В случае выявления нарушения прав или иных проблем просим своевременно информировать нас. Сайт оперативно внесёт изменения или удалит материал.Электронная почта: news@wedoany.com