Исследователи Arctic Wolf и StrikeReady документируют масштабную кибершпионскую кампанию, в которой группа, связанная с Китаем и обозначаемая как UNC6384 (Mustang Panda), эксплуатирует уязвимость в обработке Windows-ярлыков CVE-2025-9491 для доставки малвари PlugX в сети дипломатических и правительственных организаций.
Атаки, зафиксированные в Венгрии, Бельгии, Италии, Нидерландах и Сербии, начинаются с таргетированных фишинговых рассылок со ссылками на вредоносные LNK-файлы. При открытии такого файла запускается цепочка с PowerShell, которая извлекает TAR-архив, показывает PDF-приманку и использует легитимную утилиту Canon вместе с вредоносной DLL CanonStager для развёртывания зашифрованного пейлоада PlugX через технику DLL side-loading.
Аналитики отмечают эволюцию инструментария атакующих: артефакты CanonStager заметно уменьшились в размере, появились HTA- и JavaScript-загрузчики, а инфраструктура доставки пейлоадов перенастраивается для минимизации следов. Модульная архитектура PlugX обеспечивает злоумышленникам гибкие возможности для сбора разведданных и долговременного управления скомпрометированными машинами.
Проблема усугубляется отсутствием официального исправления от Microsoft на момент публикации. Arctic Wolf и другие эксперты рекомендуют оперативно ограничить приём и запуск LNK-файлов, усилить фильтрацию почты, внедрить эвристическое детектирование и блокировать известные C2-домены, указанные в индикаторах компрометации исследователей. Также важны проверка логов на поведенческие аномалии и готовность к локальному расследованию инцидента.
Каширский городской суд вынес приговор участникам схемы мошенничества, связанной с программой Пушкинская карта.
Federal Bureau of Investigation объявило о поиске пользователей, которые могли пострадать от действий хакеров, взломавших аккаунты популярной игровой платформы Steam.
Эксперты по кибербезопасности из Microsoft сообщили о новой вредоносной кампании, в рамках которой злоумышленники распространяют поддельные VPN-клиенты через поисковую выдачу.
Редакция Cyber Media собрала ключевые события из мира кибербезопасности за эту неделю.
Аналитический центр Black Lotus Labs совместно с Министерством юстиции США провел операцию по нейтрализации прокси-сети SocksEscort, построенной на базе вредоносного ПО AVRecon.
Google выпустила внеплановое обновление стабильной ветки Chrome, закрывающее две критические уязвимости, которые, по данным компании, уже эксплуатируются в реальных кибератаках.
Исследователи Qualys Threat Research Unit обнаружили девять уязвимостей в модуле безопасности AppArmor, которые существовали с 2017 года и затрагивают более 12,6 млн систем по всему миру.
Более 200 представителей российских компаний ежегодно принимают участие в Security Summit — руководители ИБ, ИТ-директора и представители бизнеса.
Аналитики «Контур Фокуса» и «Контур Эгиды» представили исследование российского рынка информационной безопасности, охватывающее период с 1 марта 2024 по 1 марта 2026 года.
В 2026 году основным инструментом борьбы с технологическими подсказками на едином госэкзамене станут системы подавления сотовой связи.
