Корпорация Microsoft выпустила обновление пакета базовых параметров безопасности для Windows Server 2025 (v2602). Ключевым изменением в Windows Server стало отключение команды sudo на серверах и контроллерах домена. Для контроллеров домена также активирован режим блокировки для проверки ключей Windows Hello for Business, уязвимых к атаке ROCA. В целях снижения рисков возможность запуска Internet Explorer 11 через COM-автоматизацию отключена. Ко всем файлам, загруженным из интернета, применяется тег Mark of the Web (MotW). Включен аудит входящего NTLM-трафика для всех учетных записей, аудит исходящего NTLM-трафика на удаленные серверы, а на контроллерах домена активирован аудит NTLM-аутентификации в домене. Дополнительно Microsoft опубликовала рекомендации по усилению защиты SMB-сервера и управлению сертификатами Secure Boot в контексте истечения их срока действия.
Эксперты Kaspersky сообщили о новой фишинговой кампании группировки Head Mare. Письмо отправляется от имени научно-исследовательской организации и содержит предложение заключить договор и зашифрованный архив. Архив содержит файлы-ярлыки (.lnk), запускающие скачивание вредоносного PowerShell-скрипта. Он загружает файл USOCachedData.txt (на самом деле DLL) и обеспечивает закрепление в системе через технику PSFactoryBuffer COM Hijacking. Загруженная библиотека является новой версией бэкдора PhantomCore и при активации отправляет на C2-сервер два POST-запроса в формате JSON: для регистрации бота с данными о системе и для получения команд. Полученные команды предписывают бэкдору скачать архив с модулем TemplateMaintenanceHost.exe и обеспечить его автозапуск. Далее модуль запускает ssh.exe для создания туннеля с удаленным хостом, превращая зараженную машину в SOCKS5-прокси. Для защиты рекомендуется усилить фильтрацию входящей почты и ограничить выполнение PowerShell-скриптов.
Киберпреступники запустили новую кампанию, которая использует поддельный сайт конференции Zoom для установки ПО для слежки. Жертва переходит на сайт uswebzoomus[.]com/zoom/ и попадает на поддельную страницу ожидания, к которой подключаются вымышленные участники. В чате постоянно висит уведомление о проблемах с сетью, а позже появляется окно о доступности новой версии, после чего браузер загружает вредоносный MSI-файл. В момент скачивания страница имитирует Microsoft Store с установкой «Zoom Workplace». Скачиваемый файл zoom_agent_x64_s-i(...).msi — установщик Teramind, ПО для мониторинга сотрудников. После завершения установки все временные файлы удаляются. Файлы Teramind не содержат вредоносного кода, и антивирусы могут их не обнаруживать. Для защиты рекомендуется открывать Zoom из приложения на своих устройствах и не переходить по ссылкам-приглашениям на собрания.
В новом релизе Wireshark v 4.6.4, программы для захвата и анализа сетевого трафика, исправлены три уязвимости безопасности. Первая уязвимость CVE-2026-3201 (CVSS: 4.7) вызывала отказ в обслуживании через исчерпание памяти в детекторе USB HID. Также были устранены две проблемы, вызывающие аварийное завершение программы при анализе пакетов NTS-KE — CVE-2026-3202 (CVSS: 4.7) и RF4CE Profile — CVE-2026-3203 (CVSS: 5.5). Решена проблема, из-за которой Wireshark не запускался, если Npcap был настроен с ограничением доступа к драйверу только для администраторов. Обновлена поддержка множества протоколов и добавлена возможность дешифровки NTP-пакетов с использованием Network Time Security (NTS).
Группировка Librarian Likho продолжает масштабную фишинговую кампанию. Атака начинается с рассылки писем с вредоносными вложениями — инсталляторами, замаскированными под деловые предложения с расширением .com. При запуске вложения распаковываются в два архива — 2.tmp и temp_0.tmp. Затем запускается файл find.cmd. Ключевым отличием новой кампании стал парсинг C2-серверов. Скрипт получает адреса из файла url.txt, который он парсит, а не использует жестко прописанные URL. Для обхода защиты find.cmd сначала запускает утилиту Trays.exe, скрывающую окна процессов, затем отключает сервисы Microsoft Defender и брандмауэр. Устанавливается AnyDesk с запуском any.bat для закрепления и bat.bat, предоставляющий злоумышленникам данные для подключения и подготавливающий узел к дальнейшей эксплуатации. Для защиты рекомендуется применять решения на уровне почтового шлюза.
