За неделю исследователи описали сразу несколько заметных угроз: атаки на сетевые экраны, новый Linux-руткит, кражу облачных секретов и заражённые установщики популярного ПО. Для российских компаний особенно важны эпизоды с DAEMON Tools и облачной инфраструктурой: часть жертв и целей находилась в России.
Главная общая черта этих историй — злоумышленники всё чаще не ломают дверь с нуля, а используют уже доверенные каналы: админские панели, инструменты удалённого доступа, установщики и корпоративные чаты.
Сетевые экраны снова стали точкой входа
Ivanti предупредила клиентов об эксплуатации CVE-2026-6973 в Endpoint Manager Mobile. Ошибка связана с некорректной проверкой входных данных и позволяет пользователю с правами администратора удалённо запустить код. Компания не раскрыла, когда заметила первые атаки и сколько клиентов пострадали.
Параллельно Palo Alto Networks сообщила об атаках на уязвимость нулевого дня (zero-day — брешь, для которой ещё нет готового исправления) в PAN-OS. Ошибка CVE-2026-0300 затрагивает портал аутентификации и позволяет неавторизованному атакующему запустить код с правами root на устройствах PA-Series и VM-Series.
По данным Censys, в интернете доступны около 263 тыс. хостов с PAN-OS. Патчи производитель планировал выпускать с 13 мая 2026 года. Для администраторов это не формальность: сетевой экран часто стоит на периметре, и его компрометация открывает путь к внутренней сети.
Quasar Linux прячется глубже обычного трояна
Новый Quasar Linux, или QLNX, исследователи описывают как модульный троян удалённого доступа (RAT, remote access trojan — программа для скрытого контроля чужой системы). Он нацелен на Linux-серверы и может собирать данные с заражённых машин.
Опасность QLNX не только в удалённом управлении. Вредонос использует руткит (rootkit — набор компонентов, которые скрывают присутствие программы в системе), бэкдор в PAM-механизме аутентификации и приёмы закрепления через LD_PRELOAD. Проще говоря, он старается остаться в системе даже после перезагрузки и спрятаться под видом обычных Linux-служб.
Отдельно исследователи выделяют P2P-сетку: заражённые хосты могут общаться друг с другом, а не только с центральным сервером управления. Такую инфраструктуру сложнее выключить одним точным ударом. Похожая логика видна и в атаках на серверные панели: ранее мы разбирали, как уязвимость cPanel уже используют для кражи паролей сайтов.
Облачные ключи стали добычей для PCPJack
Ещё одна кампания получила название PCPJack. Неизвестный участник зачищает следы группировки TeamPCP на уже заражённых системах и ставит собственные инструменты для кражи учётных данных. Цель — облака, контейнеры, сервисы разработки, рабочие платформы и финансовые аккаунты.
Кампания активна с конца апреля. Вредонос не ограничивается одной машиной: он двигается по сети и ищет новые открытые или уязвимые облачные серверы. Для поиска целей злоумышленники, по данным исследователей, загружают parquet-файлы из Common Crawl.
Интересная деталь: майнера в кампании не нашли, хотя в атаках на облака его часто используют для скрытой добычи криптовалюты. Здесь фокус сместился на секреты — пароли, токены, ключи API. Это тот же класс риска, о котором мы писали в материале про уязвимость Ollama и утечку ключей API.
Заражённые установщики и имитация вымогателей
Атака на цепочку поставки ПО (supply chain attack — взлом доверенного канала доставки программы) затронула DAEMON Tools. Злоумышленники подменили установщики, а вредоносные версии заметили в начале апреля. По данным исследователей, заражённые сборки попали на тысячи компьютеров более чем в 100 странах, среди них Россия, Бразилия, Турция, Испания, Германия, Франция, Италия и Китай.
Большинство жертв получило только сборщик системной информации. Более продвинутый загрузчик разворачивали выборочно — среди целей были организации из розницы, науки, госсектора и производства в России, Белоруссии и Таиланде. Имплант QUIC RAT, по известным данным, применили только против одного российского образовательного учреждения. Kaspersky нашла в коде элементы на китайском языке, но не связала атаку с конкретной группой.
Отдельная история — MuddyWater. Эту группировку отраслевые отчёты относят к иранским государственным операциям. В начале 2026 года она маскировала разведывательную активность под атаку вымогателей Chaos: использовала социальную инженерию через Microsoft Teams, собирала учётные данные и выводила данные, но не запускала шифрование файлов.
Легальные инструменты админов используют против админов
Исследователи также описали кампанию голосового фишинга (vishing — выманивание данных по телефону или через голосовую связь), которая идёт как минимум с апреля 2025 года. Злоумышленники убеждают сотрудников поставить легальные инструменты удалённого мониторинга и управления — SimpleHelp и ScreenConnect.
Такой подход снижает шум для защитных систем. Антивирус не всегда блокирует программу, которой реально пользуются системные администраторы. Проблема начинается, когда злоумышленник получает постоянный канал к рабочей станции и дальше крадёт данные или развивает атаку внутри сети.
Для обычного пользователя вывод проще: вредонос всё чаще маскируется под решение бытовой проблемы. Если браузер или мессенджер зависает, запросы вроде «вечный starting discord» или «discord web» могут привести не к исправлению, а к сомнительному установщику, расширению или удалённой утилите. Для работы из кафе, аэропортов и гостиниц полезен сервис безопасного интернет-соединения, который помогает защитить трафик и приватность данных в публичных сетях.
Что сделать сейчас
- Проверьте, есть ли в вашей сети Ivanti EPMM, Palo Alto Networks PAN-OS, DAEMON Tools, SimpleHelp или ScreenConnect. Для корпоративной сети это задача администратора, для домашнего ПК — владельца устройства.
- Установите свежие обновления сетевых экранов, серверных панелей, Linux-систем и программ, которые запускаются с правами администратора.
- Удалите старые установщики ПО и скачивайте программы только с официальных источников производителя.
- Проверьте список пользователей, SSH-ключей, токенов API и облачных ключей доступа. Всё лишнее — удалить, всё подозрительное — заменить.
- Включите многофакторную защиту для почты, облака, админских панелей и репозиториев кода.
- Запретите сотрудникам ставить инструменты удалённого доступа без согласования с ИТ-отделом.
- Не доверяйте звонкам и сообщениям, где просят срочно установить программу для поддержки, диагностики или ускорения работы сервиса.
- Если на сервере появились странные процессы с именами, похожими на системные службы, сохраните журналы и передайте машину специалистам по реагированию.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.