Канал 🔨SecAtor — @true_secator пишет интересное:

Исследователи F6 обнаружили новую волну вредоносных рассылок, инициированную Werewolves и минирующую под фейковые досудебные претензии с вредоносными вложениями от имени завода спецтехники, базы отдыха и производителя электротехнического оборудования.

Werewolves - группа вымогателей, действующая с 2023 года, в арсенале которой Anydesk, Netscan, CobaltStrike, Meterpreter и Lockbit.

Хакеры нацелены на российские промышленные предприятия, телекоммуникационные и IT-компании, финансовые и страховые организации.

Банда использует традиционную технику двойного вымогательства: помимо требований выкупа за расшифровку данных, злоумышленники выкладывают на DLS информацию о тех, кто отказался платить.

Предыдущая кампания Werewolves фиксировалась в марте 2025 года, а еще ранее весной 24-го, вымогатели проводили массовые рассылки на тему весеннего призыва, а также создали домен kzst45[.]ru, маскирующийся под сайт российского производителя спецтехники.

С помощью него Werewolves также рассылали письма с темами «Досудебная претензия» и «Рекламация», в которых содержались вредоносные вложения, загружавшие Cobalt Strike's Beacon.

Весной 2025 года исследователи F6 отрабатывали вредоносную рассылку на компании из различных сфер, включая банки, промышленные предприятия, ритейл и логистические компании.

После чего в июне хакеры вновь реализовали рассылку, на этот раз - в адрес промышленных, финансовых, энергетических организаций и ритейлеров.

Для доставки вредоносного ПО злоумышленники использовались письма правовой и финансовой тематики. Группа продолжила использовать тот же инструментарий, что и в предыдущих атаках.

В качестве тем в июньских рассылках использовались: «Досудебная претензия», «Досудебное», «Уведомление (досудебное)».

Во вложении рассылался архив с LNK-файл, имеющим двойное расширение, документ Microsoft Office для эксплуатации уязвимости CVE-2017-11882.

В распространяемом архиве содержался файл с двойным расширением .pdf.lnk, который выглядел как обычный документ (PDF, DOC и т.д.).

Расчет на то, что при стандартных настройках Windows реальные расширения могут быть скрыты, т.е. пользователь видит только ".pdf», что снижает бдительность, и жертва может попытаться открыть файл, при этом запустив вредоносный код. 

Запуск файла приводит к эксплуатации CVE-2017-11882, которая позволяет злоумышленнику выполнить произвольный код с привилегиями пользователя, открывшего файл.

Злоумышленники по-прежнему продолжают использовать тот же домен для отправки писем, что и в предыдущих рассылках: kzst45[.]ru, мимикрирующий под легитимный ресурс kzst45[.]com.

Такой же подход к рассылке наблюдался при регистрации домена отправителя из свежих атак – mysterykamchatka[.]ru, оригинальный домен располагается в доменной зоне .com. 

Кроме того, злоумышленники продолжили использовать спуфинг в своих рассылках: в одном из писем группа подменила адрес отправителя, чтобы направить письмо от имени главного бухгалтера одного из российских аэропортов.

В качестве финальной нагрузки - Cobalt Strike's Beacon.

Индикаторы компрометации - в отчете.

📲Как картель 🥷"Синалоа" объявил цифровую охоту на агентов ФБР

Подробный 📄 аудиторский отчет публикует Министерство юстиции США (июнь 2025), раскрывая детали реального инцидента 2018 года, связанного с делом влиятельного картеля 🇲🇽«Синалоа» в Мексике.

Нанятый картелем 🥷 специалист, зная лишь номер мобильного телефона 🇺🇸 помощника юридического атташе ФБР, получил доступ к его геолокации и метаданным звонков, чтобы следить за информаторами бюро.

🤿🔫 Картель использовал разведывательную информацию для запугивания, а в некоторых случаях для убийства потенциальных источников или сотрудничающих свидетелей.

Ключевой аспект операции со стороны наркокартеля заключался в том, что никакого взлома не потребовалось. Хакер картеля 📸 инициировал наблюдение за посольством США в Мехико. С помощью доступа к 👀 уличным камерам он фиксировал людей, входящих и выходящих из здания. После десятков часов слежки, ему удалось идентифицировать (деанонимизировать) помощника юридического атташе ФБР (ALAT).

Далее нужно было узнать мобильный телефон. Отчет не уточняет, как именно был получен номер, но предположительно хакер задействовал следующие тактические приемы:

1️⃣ Социальная инженерия: звонок в посольство под вымышленным предлогом.
2️⃣ Инсайдер: подкуп сотрудника телекоммуникационной компании или кого-то в посольстве.
3️⃣ Технические средства: использование IMSI-catcher в районе посольства для перехвата идентификаторов телефонов.
4️⃣ Утечки данных: покупка баз данных, где мог фигурировать рабочий или личный номер агента.

Согласно оценке ФБР, хакер, зная номер телефона, вероятно, купил эти сведения через коммерческие сервисы, которые агрегируют данные от телеком-операторов и других компаний.

Типа "анонимизированные" данные. Помните мы говорили о брокерах данных [1,2]?

🗺 Получая геолокационные данные и метаданные звонков, картель начал мониторить — куда и зачем ходит агент.

Комбинируя данные о местоположении телефона агента в определенное время с видеозаписями с камер из тех же локаций, картель смог постфактум или с небольшой задержкой точно идентифицировать лиц, с которыми встречался сотрудник ФБР. Например, после того как данные брокера показывали, что агент был в определенном кафе с 14:00 до 15:00, картель мог получить видеозапись с камер в этом кафе за указанный период и установить, с кем именно проходила встреча.

В отчете прямо говорится о явных проблемах с OPSEC у ФБР. Агент, как и любой современный человек, оставляет слишком много 📖цифровых следов. В ФБР не сумели выработать единую доктрину по управлению цифровым следом для своих сотрудников.

🛡 В документе говорится, что на этом фоне необходимо сформировать контуры новой модели безопасности для спецслужб:
💠 Тотальное управление и контроль за цифровым следом агентов.
💠 Интегрированный OPSEC.
💠 Внедрение общеобязательных стандартов безопасности во всех подразделениях, от контрразведки до борьбы с киберпреступностью.
💠 Перманентное обучение и продвинутые тренинги.

✋ @Russian_OSINT

🤖ИИ-платформы для автоматизации и MCP
▫️ n8n — гибкая платформа для автоматизации рабочих процессов, ориентированная на технических специалистов. Позволяет создавать сложные многошаговые ИИ-агенты, интегрировать сотни приложений через визуальный редактор или с помощью кода на Python/JavaScript. Поддерживает как самостоятельный хостинг для полного контроля над данными, так и облачное развертывание для удобства использования.
▫️ N8N A.I. Assistant by Nskha — ИИ-ассистент на базе ChatGPT для работы с n8n.
▫️ n8n Community Forum — официальный форум поддержки n8n с участием инженеров и активных пользователей для обсуждения, обмена готовыми сценариями и оперативного решения вопросов по деплою.
▫️ OpenRouter.ai — платформа, предоставляющая единый API-интерфейс к широкому спектру больших языковых моделей (LLM) от различных провайдеров, включая OpenAI, Google, Anthropic и других.
▫️ OWL (Optimized Workforce Learning) — фреймворк для взаимодействия нескольких агентов и автоматизации реальных задач на базе CAMEL-AI. Поддерживает Model Context Protocol, выполнение кода, анализ документов, автоматизацию браузера и мультимодальную обработку.
▫️ Cursor-Free-VIP — утилита для автоматического сброса MachineID в Cursor AI, позволяющая обойти ограничения пробного доступа.
▫️ Open Deep Research — инструмент с открытым исходным кодом, который имитирует эксперимент OpenAI Deep Research. Использует Firecrawl.
▫️ AI Agents for Beginners — курс из 11 уроков от Microsoft, раскрывающий основы построения ИИ-агентов. Включает примеры кода на Python и поддерживает Azure AI Foundry, Semantic Kernel и AutoGen.
▫️ Model Context Protocol servers (GitHub) — крупный официальный каталог MCP-серверов на Github с возможностью фильтрации и быстрого поиска по проектам. Включает как эталонные реализации, так и серверы от сообщества.
▫️ Awesome MCP Servers — тематическая подборка MCP-серверов с переводом описаний на несколько языков и ссылками на официальные ресурсы.
▫️ Playwright MCP — MCP-сервер от Microsoft для автоматизации браузера на базе Playwright. Позволяет LLM выполнять действия на веб-страницах через структурированные снимки доступности, что устраняет необходимость в использовании скриншотов или визуальных моделей.
▫️ Awesome-MCP-Servers — курируемый список серверов, реализующих Model Context Protocol (MCP), который позволяет ИИ-моделям безопасно взаимодействовать с локальными и удаленными ресурсами. Список включает как готовые к использованию, так и экспериментальные решения, и является ценным ресурсом для разработчиков ИИ-агентов.
▫️ MCP-Security-Checklist — полный контрольный список по безопасности для инструментов, использующих Model Context Protocol (MCP). Разработан командой SlowMist и охватывает защиту серверов, клиентов, взаимодействие с LLM и сценарии с несколькими MCP.
▫️ GhidraMCP — сервер Model Context Protocol для интеграции Ghidra с LLM. Позволяет проводить декомпиляцию и анализ бинарных файлов, просматривать методы, классы и импорты, а также автоматически переименовывать элементы через API.
▫️ mcp-containers — коллекция контейнеров для экспериментов с Model Context Protocol (MCP). Упрощает развертывание и интеграцию ИИ-моделей в различных средах, предоставляя готовые к использованию образы Docker.
▫️ Pipedream MCP — сервис интеграции MCP с более чем 2700 API и 10 000 инструментами для автоматизации и обмена данными между приложениями.
▫️ Zapier MCP — инструмент для интеграции MCP с более чем 7000 сервисами через платформу Zapier, позволяющий создавать автоматизированные рабочие процессы и давать ИИ-агентам возможность выполнять реальные задачи.
▫️ Smithery — каталог из более чем 7000 MCP-серверов, сгруппированных по категориям. Позволяет искать и оценивать инструменты по рейтингу и тегам.
▫️MCP.so — поисковик по популярным MCP.

⚡️Больше полезной информации для исследователей в Лаборатории Russian OSINT

✋ @Russian_OSINT

🤖С 1 июля 2025 года Cloudflare начал блокировать ИИ-краулеры

Компания Cloudflare (проходит около 20% мирового интернет трафика) официально уведомляет, что с 1 июля 2025 года компания активировала блокировку🕷ИИ-краулеров для всех новых регистрируемых доменов, которые занимаются 👀 сбором данных для обучения ИИ-моделей.

Давайте разберем на простом примере.

Представьте, что ваш сайт это большой и популярный магазин электроники. Раньше Google работал как справочное бюро, то есть видел ваш ассортимент и направлял к вам покупателей. Вы получали посетителя и возможную продажу.

На фоне развития ИИ, начали активничать ИИ-краулеры (поисковые боты). Эдакий ушлый конкурент. Он заходит в ваш магазин, не покупает ничего, фотографирует абсолютно все ценники, переписывает все характеристики с витрин и подслушивает, что ваши лучшие консультанты советуют покупателям. После чего уходит и открывает рядом свою информационную будку с блекджеком. Когда к нему подходит человек с вопросом "где лучше купить ноут?", он просто выдает всю собранную у вас информацию. Покупатель получает ответ и уходит, так и не зайдя в ваш магазин. Таким образом, вы потратили деньги на аренду, товары и зарплаты, а вся выгода досталась другому.

Что делает Cloudflare? Она ставит на входе в ваш магазин охранника. Теперь, когда ИИ-краулер пытается зайти на сайт, то охранник его останавливает и говорит: "Вход только для покупателей. Если хотите получить нашу информацию, то идите к владельцу и договаривайтесь об условиях".

👮Как работает механизм блокировки?

Пресс-релиз не раскрывает конкретные технические механизмы блокировки, ограничиваясь лишь утверждением о наличии "передовых решений". Однако в индустрии подобные системы, как правило, используют многофакторный анализ. Он может включать проверку User-Agent, сверку IP-адреса бота с опубликованными списками легитимных адресов (например, от Google или OpenAI), а также поведенческий анализ, цифровые следы и так далее.

Владельцы сайтов не имеют надежного способа проверить, действительно ли к ним на сайт пришел тот, за кого себя выдает. Именно эту уязвимость призван устранить новый протокол, в разработке которого участвует Cloudflare. Его цель «предоставить владельцам ботов и разработчикам ИИ-агентов публичный, стандартный способ идентификации самих себя».

Хотя в самом пресс-релизе детали протокола не раскрываются, название одного из сопутствующих блогов, «Message Signatures are now part of our Verified Bots Program», проливает свет на техническую реализацию. Вероятнее всего, речь идет о криптографическом методе, при котором каждый запрос от верифицированного бота будет подписываться уникальным цифровым ключом. Веб-сервер, получив такой запрос, сможет проверить подпись и со 100% уверенностью установить подлинность отправителя.

👆К инициативе Cloudflare присоединились такие гиганты, как Condé Nast, Reddit, Stack Overflow и даже Universal Music Group. Cloudflare также внедряет систему верификации ботов и пилотную программу "Pay Per Crawl" (плата за сканирование), создавая технологическую основу для легитимного лицензирования контента.

✋ @Russian_OSINT

🤖🧹 Вторая волна сокращений: 9 000 сотрудников 🏠 Microsoft будут уволены

Microsoft объявила о сокращении примерно 9 000 сотрудников, что составляет около 4% от ее глобальной численности персонала (около 228 000 человек). По счету, это второе крупное сокращение в 2025 году, после увольнения 6 000 сотрудников в мае [1,2].

На основе данных из таких источников, как CNBC, The New York Times, Reuters и Bloomberg, а также обсуждений на платформе X, можно сделать вывод о том, что сокращение 9 000 сотрудников в Microsoft связано с инвестициями в ИИ. Напомню, что Микромягкие планируют инвестировать $80 млрд в ИИ в 2025 (включая дата-центры).

🤔Увольнения происходят на фоне парадоксально высоких финансовых показателей компании, включая чистую прибыль в $26 миллиардов за мартовский квартал. Как пишут журналисты, подобный диссонанс между финансовым успехом и кадровой оптимизацией указывает не на экономические трудности, а на фундаментальную стратегическую перестройку корпорации в пользу развития ИИ-технологий.

Происходит не просто сокращение персонала, а глубинная реструктуризация рабочих процессов, где автоматизация когнитивного труда становится ключевым вектором развития компании. Как считают эксперты, выживание в новой парадигме потребует от👨‍💻специалистов не просто знания — как правильно писать код, но и умения взаимодействовать с интеллектуальными системами, которые уже сегодня становятся их прямыми конкурентами.

✋ @Russian_OSINT