🔗Серед ключових інцидентів тижня: експлойт в Apple, компрометація API та критична діра у Microsoft Copilot.Детальніше про основні загрози — далі⬇️🔍Мільйони старих iPhone та iPad отримали невиправну вразливість usbliter8, яка руйнує захист SecureROMДослідники Paradigm Shift опублікували експлойт usbliter8 для SecureROM у чіпах Apple A12/A13. Вразливість апаратна, не підлягає виправленню. Атака потребує фізичного доступу, режиму DFU та спеціального обладнання.🔍Хакери експлуатують вразливість Gravity SMTP для витоку API-ключівХакери активно експлуатують CVE-2026-4020 у плагіні Gravity SMTP для WordPress. Через вразливий REST API-ендпоінт зловмисники отримують доступ до ключів API, токенів, конфігурацій і системної інформації сайту без автентифікації. Власникам сайтів потрібно негайно оновити плагін і відкликати скомпрометовані облікові дані.🔍Хакери могли викрасти файли та коди багатофакторної автентифікації через Microsoft 365 Copilot Дослідники виявили критичну вразливість SearchLeak (CVE-2026-42824) у Microsoft 365 Copilot Enterprise Search. Один клік на легітимному посиланні дозволяв зловмиснику отримати листи, календарі, файли та навіть одноразові коди MFA через ланцюг prompt injection і SSRF в Copilot. Microsoft закрила цю вразливість.📌 Висновки тижня:Головна загроза — надмірна довіра в системній логіці (API, плагіни, ШІ). Щоб мінімізувати ризики компрометації, пріоритетом №1 має стати тотальний аудит сторонніх підключень і впровадження концепції нульової довіри. ПІДПИСАТИСЯ НА КАНАЛВІДВІДАТИ НАШ САЙТ#КіберНовини_Тренди
Check Point: «невидимі» AI-застосунки — нова загроза для бізнесуКомпанія Check Point досліджує ризики використання «невидимих» AI-застосунків у корпоративному середовищі. Йдеться про інструменти штучного інтелекту, які співробітники застосовують без відома ІТ-відділів і поза межами політик безпеки.Такі сервіси можуть передавати конфіденційні дані за межі контрольованої інфраструктури, що створює ризики витоку інформації та атак через маніпуляцію запитами (prompt injection).Головна складність для команд безпеки — відсутність повної видимості та інвентаризації AI-додатків. Без цього неможливо ефективно застосовувати DLP, централізовані політики доступу та управління даними.Check Point пропонує системний підхід — AI security posture management, який передбачає:▪️виявлення використання AI-сервісів;▪️контроль обробки даних;▪️управління ризиками взаємодії з моделями.Це актуально для бізнесу, який уже інтегрував GenAI у внутрішні процеси. Контроль «тіньового» ШІ дозволяє зменшити ризик витоків даних і впорядкувати використання ШІ в компанії.🔗Дізнайтеся більше за посиланнямПІДПИСАТИСЯ НА КАНАЛВІДВІДАТИ НАШ САЙТ#ВендорськийРадар
GREYVIBE атакує українські організації за допомогою ШІФахівці WithSecure описали нового учасника загроз під назвою GREYVIBE.Групу пов’язують із російськомовним середовищем, її атаки спрямовані проти України та пов’язаних із нею організацій щонайменше з серпня 2025 року.GREYVIBE використовує кілька сценаріїв зараження: фішингові листи, фальшиві CAPTCHA-сторінки, підроблені сайти українських ресурсів з контентом 18+, що маскуються під українські сайти, і підроблені платформи, які імітують благодійні фонди на підтримку ЗСУ. Через них жертві доставляють шкідливі архіви, JavaScript-завантажувачі, Android-шпигун FallSpy або PowerShell-RAT PhantomRelay і LegionRelay.Після зараження PhantomRelay виконує команди й аналізує систему, а LegionRelay додатково викрадає файли, робить знімки екрана, збирає дані браузера, Telegram і WhatsApp та налаштовує RDP-доступ.WithSecure зазначає, що група використовує ШІ-сервіси, зокрема Ideogram AI, ChatGPT і Gemini, для створення зображень, скриптів, інфраструктури та компонентів шкідливого ПЗ.Рекомендації для користувачів:• Перевіряйте посилання з листів і CAPTCHA-сторінок, перш ніж їх відкривати. • Блокуйте запуск підозрілих PowerShell-команд.• Моніторте RDP-доступ і витік даних із месенджерів.🔗Дізнайтеся більше за посиланнямПІДПИСАТИСЯ НА КАНАЛВІДВІДАТИ НАШ САЙТ#cybernews #cybersecurity #itspecialist
Сповіщення WhatsApp і Slack можуть зламати Google Gemini на AndroidДослідник компанії SafeBreach Or Yair виявив спосіб атакувати Google Gemini на Android через шкідливі сповіщення з WhatsApp, Slack, SMS, Signal, Instagram або Messenger, коли користувач просить асистента обробити повідомлення. Для цього не потрібно встановлювати шкідливий застосунок на телефон. Проблема стосувалася функції Utilities, яка дозволяє Gemini читати сповіщення й відповідати на них. Якщо асистент сприймав текст сповіщення як корисний контекст, зловмисник міг передати приховану інструкцію через звичайне повідомлення.Метод Fake Context Alignment давав змогу обходити перевірки підтвердження дій. У тестах Gemini міг відкривати підключені пристрої розумного дому, запускати застосунки, переходити за посиланнями, підміняти зміст повідомлень і записувати сторонні дані у пам’ять акаунта.Google вже усунув проблему на серверному рівні. CVE для цього методу не вказано, а доказів її використання у реальних атаках немає.Рекомендації для користувачів:• Вимкніть доступ Gemini до сповіщень, якщо він не потрібен.• Перевірте дозволи Google app на Android.• Обережно ставтеся до голосових підтверджень дій.🔗Дізнайтеся більше за посиланнямПІДПИСАТИСЯ НА КАНАЛВІДВІДАТИ НАШ САЙТ#cybernews#cybersecurity#itspecialist
Хакери підробляють Gemini CLI та Claude Code через SEO-отруєнняРозробників атакують через фальшиві сторінки встановлення Gemini CLI та Claude Code. Кампанію виявили аналітики EclecticIQ: зловмисники просувають шкідливі сайти в пошуку, щоб вони мали вигляд офіційних інструкцій.Користувач шукає, як встановити інструмент, переходить на підроблену сторінку й копіює PowerShell-команду у термінал. Для Gemini CLI вона завантажує Install.ps1 із gemini-setup[.]com, а справжній npm-пакет встановлюється паралельно, тому підміна непомітна.Шкідливий скрипт працює лише у пам’яті й не записує файли на диск. Він обходить частину захисту Windows, збирає облікові дані, OAuth-токени, CI/CD-секрети, VPN-дані та сесійні cookies із робочих сервісів.Такі cookies можуть дати доступ до корпоративних просторів навіть без пароля й MFA. Це не вразливість у Gemini CLI чи Claude Code, а соціальна інженерія.Рекомендації для користувачів: • Встановлюйте інструменти лише з офіційної документації. • Перевіряйте домени перед запуском команд. • Моніторте PowerShell-команди з шаблоном irm | iex.🔗Дізнайтеся більше за посиланнямПІДПИСАТИСЯ НА КАНАЛВІДВІДАТИ НАШ САЙТ#cybernews #cybersecurity #itspecialist
Showboat атакує Linux-системи телеком-провайдера на Близькому СходіДослідники Lumen Technologies Black Lotus Labs розкрили деталі шкідливого ПЗ Showboat для Linux. Його використовують проти телеком-провайдера на Близькому Сході з середини 2022 року.Showboat працює як модульний інструмент після компрометації системи. Він може створювати віддалену оболонку, передавати файли, ховатися у списку процесів і діяти як SOCKS5-проксі.Після запуску шкідливе ПЗ зв’язується із C2-сервером, збирає дані про систему та надсилає їх у зашифрованому вигляді. Через SOCKS5-проксі зловмисники можуть переходити до інших пристроїв у локальній мережі, навіть якщо вони недоступні з інтернету.Кампанію пов’язують із кластерами активності, афілійованими з Китаєм, зокрема Calypso, також відомим як Bronze Medley та Red Lamassu. Точний спосіб первинного доступу поки невідомий.Рекомендації для користувачів: • Перевірте Linux-сервери на підозрілі ELF-файли та приховані процеси. • Обмежте вихідні з’єднання до невідомих C2-серверів. • Контролюйте SOCKS5-проксі та сегментуйте локальну мережу.🔗Дізнайтеся більше за посиланнямПІДПИСАТИСЯ НА КАНАЛВІДВІДАТИ НАШ САЙТ#cybernews #cybersecurity #itspecialist
Ghostwriter атакує держоргани України через фішинг під виглядом PrometheusУрядові організації України стали ціллю кампанії Ghostwriter, також відомої як UAC-0057 та UNC1151. За даними CERT-UA, атаки тривають із весни 2026 року, а листи надходять зі зламаних облікових записів.Зловмисники маскують повідомлення під темою платформи Prometheus. У листі є PDF-файл із посиланням на ZIP-архів із JavaScript-файлом.Після запуску OYSTERFRESH показує фальшивий документ і записує зашифрований OYSTERBLUES у реєстр Windows. Модуль OYSTERSHUCK розшифровує його та запускає наступний етап атаки.OYSTERBLUES збирає ім’я комп’ютера, обліковий запис, версію ОС і список процесів. Дані йдуть на сервер через HTTP POST. Далі система очікує подальших відповідей, що містять JavaScript-код, який виконується за допомогою функцій eval(). Остаточним фінальним навантаженням є Cobalt Strike – фреймворк, який часто використовується для симуляції дій зловмисників після успішної експлуатації системи.Окремого патча немає: це фішингова кампанія, а не вразливість у продукті.Рекомендації для користувачів: • Обмежте запуск wscript.exe для звичайних користувачів. • Перевіряйте PDF-файли й посилання навіть із довірених адрес. • Увімкніть багатофакторну автентифікацію та моніторинг скриптів.🔗Дізнайтеся більше за посиланнямПІДПИСАТИСЯ НА КАНАЛВІДВІДАТИ НАШ САЙТ#cybernews#cybersecurity#itspecialist
Microsoft відкрила RAMPART і Clarity для безпечної розробки AI-агентівКомпанія представила два відкриті інструменти — RAMPART і Clarity. Вони допомагають командам перевіряти безпеку AI-агентів ще під час розробки, а не лише після запуску.RAMPART — це фреймворк для тестування безпеки AI-агентів на базі Pytest та PyRIT. Він дозволяє створювати сценарії, які імітують атаки або перевіряють поведінку агента у ризикових ситуаціях.Зокрема, інструмент допомагає виявляти непрямі prompt injection, коли недовірені дані потрапляють до AI-системи через файл, електронний лист або вебсторінку. Також RAMPART може перевіряти ризики витоку даних і небажані зміни поведінки.Clarity працює на етапі проєктування. Він допомагає командам уточнювати цілі, перевіряти припущення, аналізувати можливі збої та фіксувати рішення до написання коду.Рекомендації для користувачів:• Тестуйте AI-агентів на етапі розробки, а не лише перед релізом.• Перевіряйте доступ агентів до файлів, пошти, вебсторінок та зовнішніх інструментів.• Документуйте ризики, припущення й рішення щодо безпеки.🔗Дізнайтеся більше за посиланнямПІДПИСАТИСЯ НА КАНАЛВІДВІДАТИ НАШ САЙТ#cybernews#cybersecurity#itspecialist
Вразливість Drupal Core відкриває шлях до атак на сайти з PostgreSQLDrupal випустив оновлення безпеки для CVE-2026-9082 у Drupal Core. Проблема стосується сайтів із базою даних PostgreSQL і може призвести до витоку даних, підвищення привілеїв або віддаленого виконання коду.Вразливість отримала оцінку CVSS 6.5. Вона міститься в API абстракції бази даних, який Drupal Core використовує для перевірки запитів і захисту від SQL-ін’єкцій.Через помилку зловмисник може надсилати спеціально сформовані запити та виконувати довільну SQL-ін’єкцію. Drupal зазначає, що експлуатація можлива навіть для анонімних користувачів, якщо сайт працює з PostgreSQL.Виправлення доступні у Drupal 11.3.10, 11.2.12, 11.1.10, 10.6.9, 10.5.10 та 10.4.10. Drupal 7 не вразливий, але гілки розробки 8 і 9 вже не підтримуються. Для них опубліковані лише тимчасові патчі без повного покриття безпеки.Рекомендації для користувачів:• Оновіть Drupal до підтримуваної виправленої версії.• Перевірте, чи використовує сайт PostgreSQL.• Не залишайте Drupal 8/9 у продуктивному середовищі без плану міграції.🔗Дізнайтеся більше за посиланнямПІДПИСАТИСЯ НА КАНАЛВІДВІДАТИ НАШ САЙТ#cybernews#cybersecurity#itspecialist
Microsoft попереджає про дві вразливості Defender, які використовують в атакахКомпанія повідомила про активну експлуатацію двох вразливостей у Defender. Одна дозволяє підвищити привілеї до SYSTEM, інша — може спричинити відмову в обслуговуванні.CVE-2026-41091 отримала оцінку CVSS 7.8. Проблема пов’язана з некоректною обробкою посилань перед доступом до файлів. Якщо зловмисник має локальний доступ до системи, він може використати помилку для підвищення привілеїв.Друга вразливість — CVE-2026-45498 із CVSS 4.0. Вона впливає на Microsoft Defender і може порушити роботу захисного компонента.Обидві проблеми внесені CISA до каталогу Known Exploited Vulnerabilities. Microsoft виправила їх у версіях Defender Antimalware Platform 1.1.26040.8 та 4.18.26040.7. Оновлення зазвичай встановлюються автоматично, але варто перевірити версію вручну.Рекомендації для користувачів:• Перевірте останні оновлення Defender.• Переконайтеся, що антивірусні бази та Malware Protection Engine оновлюються автоматично.• Обмежте локальні права користувачів і контролюйте підозрілу активність.🔗Дізнайтеся більше за посиланнямПІДПИСАТИСЯ НА КАНАЛВІДВІДАТИ НАШ САЙТ#cybernews#cybersecurity#itspecialist
TGLIST.COM.UA
2025-12-08