Специалистами «Лаборатории Касперского» раскрыта деятельность неизвестной хакерской группировки, атакующей российские организации с 2024 года. Больше половины атак за последний год пришлось на учебные заведения, преимущественно морского и речного профиля. В 2026 году основным вектором атак стали фишинговые письма с ZIP-архивами, содержащими XLL-файл. Эти файлы маскируются под легитимные надстройки Microsoft Excel, а при двойном клике запускают вредоносный код, загружая DLL-библиотеку. XLL-файлы созданы с помощью открытого фреймворка Excel-DNA на C# и выступают в роли загрузчика, который скачивает со взломанного сайта два вредоносных файла. Один из них — биндер с известными бэкдорами и стилерами (PureRAT, Vidar, Lumma, RedLine, StealC), а второй — утилита для запуска PowerShell-скрипта, который загружает новый фреймворк Ravage. Рекомендуется усилить фильтрацию входящих почтовых сообщений с вложениями XLL и провести обучение сотрудников распознаванию фишинговых писем.
Раскрыта критическая уязвимость в ядре Windows CVE-2026-40369 (CVSS: 7.8), которая позволяет любому непривилегированному процессу, включая sandbox, повысить привилегии до SYSTEM. Проблема затрагивает версии Windows 11 24H2 и 25H2. Ошибка заключается в функции ExpGetProcessInformation (ядро ntoskrnl.exe) и достигается через системный вызов NtQuerySystemInformation с классом информации 253 (SystemProcessInformationExtension). Атакующий передает управляемый указатель, а при установке длины буфера (Length) в 0 механизм проверки ProbeForWrite полностью пропускается, позволяя записывать данные в произвольный адрес памяти ядра. Функция не возвращает ошибку досрочно, а сначала выполняет цикл для каждого процесса, что превращает ошибку длины в надежный примитив. Эта техника обходит механизмы блокировки win32k в браузерах и доступна из low-integrity-процессов, что делает ее идеальной для эскалации после эксплуатации RCE-уязвимости в браузере.
Специалисты компании Socket выявили скоординированную атаку на цепочку поставок ПО под кодовым названием TrapDoor, в ходе которой было загружено более 34 вредоносных пакетов в трех крупнейших репозиториях: npm, PyPI и Crates.io. Атака нацелена на разработчиков в сферах криптовалют, DeFi, Solana и AI с целью кражи секретов, криптокошельков, SSH-ключей, облачных учетных данных, данных браузера и переменных окружения. Пакеты npm развертывают общую полезную нагрузку trap-core.js, которая сканирует учетные данные, проверяет их валидность через AWS и GitHub API и создает устойчивость на хосте с помощью хуков Git, systemd, cron и SSH. Пакеты Rust используют скрипт сборки (build.rs) для поиска локальных хранилищ ключей, шифруют данные XOR-ключом и exfiltrate их в GitHub Gists. Пакеты PyPI автоматически выполняются при импорте и загружают JavaScript с подконтрольного домена GitHub Pages для выполнения через node -e.
Microsoft устранила уязвимость в SharePoint Server CVE-2026-45659 (CVSS: 8.8), которая позволяла авторизованному злоумышленнику удаленно выполнять произвольный код (RCE). Для эксплуатации атакующему требуется аутентификация, однако низкая сложность атаки и отсутствие необходимости во взаимодействии с пользователем делают эту уязвимость особенно опасной в корпоративной среде. Успешная атака позволяет выполнить произвольный код в контексте сервера SharePoint, что может привести к боковому перемещению по сети, повышению привилегий и несанкционированному доступу к конфиденциальным данным предприятия. На момент публикации не зафиксировано активной эксплуатации, однако, учитывая низкую сложность атаки, организациям следует незамедлительно установить обновления от Microsoft.
Эксперты Microsoft Defender раскрыли активную кампанию криптоджекинга, в которой злоумышленники отравляют не только результаты поисковых систем, но и взаимодействия с AI-чат-ботами для продвижения вредоносных сайтов. Кампания, продолжающаяся как минимум с марта 2026 года, использует более 150 вредоносных доменов и нацелена на пользователей высокопроизводительных GPU. Пользователь переходит по поддельной ссылке и скачивает ZIP-архив, содержащий легитимный исполняемый файл утилиты и вредоносную DLL (autorun.dll), которая устанавливает легитимный ScreenConnect для обеспечения удаленного доступа. Через него злоумышленники доставляют загрузчик SimpleRunPE.exe, который создает множество механизмов персистентности в системе. Финальным этапом является внедрение кода майнера в один из семи процессов Microsoft .NET. Для защиты рекомендуется включить облачную защиту Microsoft Defender и EDR в режиме блокировки.
