⚠️ Выявлена масштабная фишинговая кампания, в рамках которой злоумышленники для доставки вредоносного ПО используют заражённые PDF-документы, размещённые на популярных интернет-ресурсах.

Эксперты Netskope обнаружили 260 уникальных доменов, на которых размещено около 5000 PDF-файлов с фишинговыми страницами. Хакеры применяют SEO-оптимизацию для повышения видимости вредоносных страниц в поисковой выдаче.

В выявленной вредоносной кампании PDF-файлы содержат поддельные CAPTCHA, которые побуждают пользователей выполнить вредоносные PowerShell-команды. В результате на их устройства загружается Lumma Stealer — инфостилер, способный похищать широкий спектр данных с заражённых Windows-компьютеров.

«Злоумышленники с каждым годом совершенствуют свои знания, инструменты и вредоносные кампании, выявлять которые становится всё труднее. Для того чтобы оградить пользователя и корпоративную сеть организации от атак и опасностей сети Интернет, существует класс решений RBI, основанный на изоляции браузера. И в данной ситуации инфостилер Lumma останется в изолированном контейнере и не сможет нанести вреда АРМ пользователя и корпоративной сети», — говорит Виктория Никулина, менеджер по продукту Ankey RBI компании «Газинформсервис».

#gis_новости #ankey_rbi

⏺Новый ИБ-продукт Ankey RBI компании «Газинформсервис» включён в реестр российского ПО Минцифры. Продукт позволяет безопасно использовать веб-ресурсы путём изоляции браузера от рабочей машины конечного пользователя.

Ankey RBI — это первое отечественное решение класса Remote Browser Isolation, использующее передовые технологии для защиты пользователей и корпоративных данных. Включение продукта в реестр Минцифры подтверждает его соответствие строгим отечественным стандартам качества и безопасности. Реестровая запись №27126 от 19.03.2025 произведена на основании поручения Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 19.03.2025 по протоколу заседания экспертного совета от 07.03.2025 №150пр.

«Сегодня как никогда актуально защищаться от угроз, распространяемых по электронной почте, потому что большинство атак начинается с того, что кто-то открыл полученный файл на рабочем компьютере. Наш продукт позволяет застраховаться от таких инцидентов, даже если информация о вредоносе пока не попала в базы антивирусных программ.

Главная функция продукта — защита от киберугроз в сети Интернет. Ankey RBI реализует работу с веб-ресурсами внутри одноразового контейнера, изолированного от компьютера конечного пользователя и корпоративной сети. Это предотвращает возможность проникновения вредоносного ПО на АРМ пользователя и решает проблему угроз нулевого дня. После закрытия сессии контейнер уничтожается, не оставляя следов в памяти. Ankey RBI обеспечивает безопасное использование всех ресурсов сети Интернет», — отметил Сергей Никитин, руководитель группы управления продуктами компании «Газинформсервис».

Подробнее об Ankey RBI можно узнать здесь.
#gis_новости #ankey_rbi

⚠️ Автомобильная компания Hertz сообщила об утечке данных в результате атаки на цепочку поставок. Злоумышленники проникли в систему через менее защищённого подрядчика, получив доступ к конфиденциальной информации.

В России за подобные утечки предусмотрены высокие штрафы, зависящие от масштаба ущерба и количества нарушений, напоминает Михаил Спицын, киберэксперт, инженер-аналитик аналитического центра компании «Газинформсервис».

«В результате инцидента произошла компрометация довольно чувствительных данных — номеров социального страхования, паспортов, медицинских данных. Сама утечка — результат атаки на цепочку поставок, когда злоумышленники проникают в инфраструктуру менее защищённой компании, которая выступает подрядчиком для более крупной, и таким образом целятся в неё. Это событие подрывает репутацию Hertz и потенциально несёт ещё и финансовый ущерб из-за штрафов от регуляторов за нарушение законодательства.

Для защиты от подобных устройств нужно использовать комплексную стратегию защиты: регулярный аудит безопасности и политику Zero Trust. Можно использовать первое в России в своём классе решение Ankey RBI, которое реализует технологию Remote Browser Isolation. Это предотвращает возможность проникновения вредоносного ПО на АРМ пользователя и решает проблему угроз нулевого дня; любая потенциально вредоносная ссылка будет открыта в одноразовом контейнере, и после закрытия сессии контейнер уничтожается, не оставляя следов в памяти, поэтому злоумышленник не сможет навредить. Также не лишним будет организовать мониторинг событий для отслеживания вредоносной активности и своевременного реагирования на инциденты: решение из той же линейки Ankey SIEM NG отлично справляется с такой задачей благодаря обильному количеству коннекторов для мониторинга разных систем».

#gis_новости #ankey_rbi #ankey_siem

⚠️ Google закрыл критическую уязвимость в браузере Chrome, которая существовала более 20 лет. Эта уязвимость в механизме отображения посещённых ссылок (CSS :visited) позволяла злоумышленникам получать доступ к истории просмотров пользователей. Проблема устранена в обновлении Chrome 136 благодаря технологии «partitioned :visited links», которая изолирует информацию о посещённых ссылках.

«Уязвимость была связана с тем, что любая веб-страница могла определить, какие ссылки пользователь посещал ранее, используя стилизацию :visited, что позволяло раскрывать историю посещений сайтов без явного разрешения пользователя. Злоумышленник мог создать вредоносную страницу с множеством ссылок на популярные сайты. Посещённые ссылки меняли свой цвет (пурпурный), что можно было автоматически определить через скрипты. Таким образом возможно было проводить слежку за действиями пользователей и профилировать их интересы для дальнейших атак, например через искусный фишинг», — объясняет Михаил Спицын, инженер-аналитик лаборатории стратегического развития компании «Газинформсервис».

Для защиты корпоративных сетей от подобных угроз, эксперт рекомендует использовать специализированные браузеры с технологией Remote Browser Isolation (RBI):

«В таких браузерах все веб-сессии обрабатываются в изолированном контейнере, а пользователю передаётся лишь безопасный поток данных. Даже если сайт использует скрытые техники отслеживания вроде уязвимости с :visited, они будут исполняться на сервере, а не на рабочем устройстве пользователя. Это кардинально снижает риски утечки данных и атак через браузер».

#gis_новости #ankey_rbi

⚠️ APT-группа UNC1151 (также известная как GhostWriter и Silent Trinity), развернула целевую фишинговую кампанию, эксплуатируя уязвимость в веб-почтовом клиенте Roundcube (CVE-2024-42009). Эта атака выделяется своей скрытностью. Использование Service Worker в цепочке заражения указывает на высокий уровень подготовки злоумышленников и способность обходить традиционные средства защиты.

🗣Александр Катасонов, инженер-аналитик компании «Газинформсервис», предупреждает, что это тревожный пример того, как даже рутинные действия пользователей, такие как открытие письма, могут стать входной точкой для сложных атак.

«Особенно опасно, что атака не требует действий от пользователя и происходит в "невидимом" фоне — как по части эксплойта, так и по части кражи учётных данных. В таких случаях критически важно применять модели изолированного исполнения контента, которые перехватывают потенциально опасные сценарии до того, как они достигают пользователя.

Технология Ankey RBI реализует изолированную среду для обработки содержимого электронной почты и веб-ссылок, исключая возможность выполнения вредоносного кода на рабочем устройстве. Это особенно актуально в контексте атак, подобных описанной, где злоумышленники внедряют скрипты в тело HTML-писем, обходя даже обновлённые средства фильтрации.

Когда вектор атаки — легитимный интерфейс веб-почты, и задействована APT-группа, связанная с кибершпионажем, надёжная изоляция пользовательской сессии становится не просто дополнительной мерой, а обязательной частью стратегии киберустойчивости. Именно такие технологии способны не только прервать цепочку атаки, но и существенно снизить риски компрометации учётных данных».

#gis_новости #ankey_rbi

⏺Хакерская АРТ-группировка Team46 (TaxOff) использует уязвимость нулевого дня в Google Chrome (CVE-2025-2783) для проведения изощрённой фишинговой кампании.

Использование эксплойта нулевого дня в Chrome и продуманной многоступенчатой схемы загрузки вредоносного ПО позволяет атакующим действовать скрытно, обходя традиционные механизмы обнаружения. В подобной кампании опасность заключается не только в технической сложности, но и в том, что исходной точкой становится обычное письмо, что делает практически любого сотрудника потенциальной жертвой. А основной особенностью этой атаки является использование эксплойта в один клик.

🗣Александр Катасонов, инженер-аналитик компании «Газинформсервис», отмечает, что расследованная атака — это яркий пример того, как APT-группы комбинируют социальную инженерию и технические уязвимости для достижения своих целей:

«Такие атаки подчёркивают необходимость пересмотра подходов к защите конечных точек и электронной почты. Решения класса Remote Browser Isolation, такие как Ankey RBI, позволяют полностью изолировать выполнение подозрительного контента вне корпоративной инфраструктуры, тем самым исключая возможность успешного выполнения эксплойтов и загрузчиков, подобных Trinper. Когда противник использует современные техники обхода защиты и скрывает свои инструменты за легитимными процессами, именно технологии изолированного исполнения позволяют сохранить киберустойчивость и минимизировать риски компрометации», — отмечает киберэксперт.

#gis_новости #ankey_rbi

⚠️ Корпорация Microsoft выпустила Edge Stable Channel версии 138.0.3351.65 — обновление, которое устраняет критические уязвимости Microsoft Edge. Две уязвимости высокой степени серьёзности (CVE-2025-6554, CVE-2025-49713) позволяют удалённо выполнять код, одна из них активно эксплуатируется.

🗣Александр Катасонов, инженер-аналитик компании «Газинформсервис», объяснил, что одна из уязвимостей позволяет злоумышленнику выйти за пределы изолированной среды браузера и получить доступ к памяти устройства — это может привести к краже данных, установке шпионского ПО или полному контролю над системой.

Вторая уязвимость связана с удалённым выполнением кода и активируется всего лишь при переходе по вредоносной ссылке — атаки, связанные с социальной инженерией, чаще всего оказываются успешными, ведь наиболее уязвимая часть инфраструктуры любой компании — её пользователи.

«Отрадно видеть, что коллеги оперативно закрывают такие критические уязвимости. Быстрая реакция на инциденты крайне важна, особенно когда одна из уязвимостей уже используется в реальных атаках. Однако устранение конкретных технических уязвимостей не означает, что угроза исчезла: методы социальной инженерии, эксплойты нулевого дня и задержки в установке обновлений по-прежнему представляют высокий риск. Защита должна строиться не только на своевременных патчах, но и на снижении последствий потенциальной компрометации.

Именно для этого существует решение Ankey RBI — платформа, которая изолирует работу браузера в защищённой среде за пределами локального устройства. Даже если пользователь перейдёт по вредоносной ссылке или откроет заражённый сайт, выполнение кода произойдёт в изолированном контейнере, а не на рабочей машине. Это позволяет обезвредить угрозу ещё до того, как она коснётся корпоративной инфраструктуры. Ankey RBI особенно эффективен в периоды, когда уязвимость уже эксплуатируется, а обновление ещё не установлено — он закрывает риск даже в случае пользовательской ошибки».

#gis_новости #ankey_rbi

⚠️ На децентрализованной бирже GMX, работающей на сети Arbitrum, произошла одна из крупнейших атак в DeFi-секторе. Инцидент датирован 9 июля 2025 года. Детали вызвали серьезное обсуждение в сообществе кибербезопасности и криптоиндустрии.

Злоумышленник использовал уязвимость в контракте GMX V1 на сети Arbitrum и похитил криптоактивы на сумму около 42 миллионов долларов. Атака была основана на re-entrancy-эксплойте, который позволил обойти механизм расчета средней цены шорта на BTC, манипулировать ей, и тем самым искусственно завысить цену GLP-токена.

Получив прибыль, хакер начал поэтапно возвращать средства и в итоге согласился на «bug bounty»-сделку с выплатой в 5 миллионов долларов от команды GMX. Основная брешь была закрыта, а уязвимая логика в V1 признана неактуальной — в GMX V2 подобный механизм больше не используется. Биржа пообещала покрыть убытки пользователей из внутренних резервов.

«Этот инцидент стал классическим примером того, как архитектурная уязвимость в смарт-контрактах может быть использована для сложной финансовой манипуляции без нарушения кода самого протокола», – комментирует Михаил Спицын, киберэксперт лаборатории стратегического развития аналитического центра кибербезопасности компании «Газинформсервис».

Эксперт отмечает, что Re-entrancy остается одной из самых опасных категорий уязвимостей в Web3, особенно когда в контрактной логике разделены расчеты и исполнение. Важно отметить, что всё чаще появляются векторы атак не только на контракты, но и на конечных пользователей — особенно через вредоносные интерфейсы Web3, поддельные обменники и фишинговые wallet-connect страницы.

«Именно здесь на помощь приходит технология RBI. Она может быть крайне полезна в следующих сценариях: во-первых, при защите от фишинга — например, когда пользователь случайно попадает на фейковую версию DeFi-интерфейса, RBI изолирует выполнение веб-контента и предотвращает утечку приватной информации. Во-вторых, она блокирует загрузку вредоносных payload’ов и JavaScript-атак, часто встроенных в скомпрометированные смарт-интерфейсы», — подытожил киберэксперт.

Ранее «Телеспутник» писал о том, что медиаотрасль в РФ по итогам 2024 года занимает 15-е место в списке самых атакуемых в стране индустрий. Более того, уже в 2026-2027 годах она может войти в ТОП-10 этого списка. В медиа исторически риски в вопросах информационной безопасности (ИБ) оценивались как минимальные. Однако массовые атаки на телекомпании, операторов связи и вещателей в предыдущие годы показали, что медиаотрасль может быть важным инструментов в руках хакеров.
#gis_новости #ankey_rbi

Мир кибербезопасности постоянно находится в состоянии «гонки вооружений», где атакующие неустанно ищут новые способы обойти защитные механизмы. Современные злоумышленники отошли от прямого технического взлома, сделав ставку на социальную инженерию и манипуляцию пользовательским поведением. Они научились искусно подменять страницы входа, заставляя пользователей добровольно раскрывать свои логины, пароли и даже коды многофакторной аутентификации.

🗣Александр Катасонов, эксперт и инженер-аналитик компании «Газинформсервис», отмечает:

«Темпы развития атак показывают: даже самые современные методы аутентификации быстро перестают быть надёжной преградой. Всё чаще злоумышленники обходят защиту не за счёт технического взлома, а благодаря манипуляциям с поведением пользователя и логикой системы — например, подменяя страницу входа или переключая пользователя на менее безопасный способ подтверждения. Социальная инженерия остаётся одним из самых эффективных инструментов атаки, ведь слабое звено в любой инфраструктуре — это человек».

В условиях быстро меняющегося ландшафта киберугроз простое внедрение новых технологий уже недостаточно. Как подчёркивает наш эксперт, ключевым фактором становится комплексный подход к защите. Необходимо контролировать не только способы доступа, но и обеспечивать безопасность всей рабочей среды.

«В таких условиях особенно важен комплексный подход к защите: важно не только контролировать способы доступа, но и обеспечивать безопасность самой рабочей среды — отмечает эксперт. — В линейке решений компании "Газинформсервис" "Защита рабочих станций и серверов" (продукты "Блокхост-Сеть 4", SafeNode System Loader и Ankey RBI) реализован именно такой подход: управление аутентификацией и устройствами, предотвращение запуска вредоносного ПО, анализ поведения пользователей и централизованная реакция на инциденты. Всё это помогает минимизировать последствия даже в случае успешного обмана пользователя».

#gis_новости #ankey_rbi #safenode #блокхост