30 000 акаунтів Facebook скомпрометовано через підроблені листи
Дослідники виявили фішингову кампанію, пов’язану з в’єтнамськими зловмисниками. Вони використовували Google AppSheet як проміжний канал для розсилання підроблених листів власникам Facebook Business-акаунтів. У повідомленнях шахраї видавали себе за підтримку Meta, попереджали про нібито ризик видалення акаунта та закликали терміново подати апеляцію.
Завдяки такому способу розсилання листи могли обходити спам-фільтри та мали переконливий вигляд для отримувачів. Після переходу за посиланням користувачів спрямовували на фальшиві сторінки, де зловмисники збирали паролі, контактні дані, бізнес-інформацію, коди двофакторної автентифікації, фото документів і навіть скриншоти браузера.
У межах кампанії було скомпрометовано близько 30 000 Facebook-акаунтів. Надалі зловмисники могли використовувати отриманий доступ у незаконних комерційних схемах — від перепродажу акаунтів до залучення бізнес‑профілів у власних інтересах. 
Рекомендації для звичайних користувачів:
● перевіряйте повідомлення від Meta безпосередньо у своєму Facebook Business Manager або офіційному кабінеті Meta;● будьте обережні з пропозиціями роботи чи співпраці, які переводять спілкування на сторонні сайти.
Джерело

Зловмисники використовують Microsoft Phone Link та CloudZ RAT для викрадення OTP-паролів
Дослідники Cisco Talos виявили нову кіберкампанію. Для атак хакери застосовують троян CloudZ RAT і спеціальний плагін Pheno. Їхня мета — викрадення облікових даних і одноразових кодів підтвердження (OTP-кодів) через перехоплення легітимної синхронізації між комп’ютером і смартфоном.
Ланцюг зараження починається із завантаження підробленого файлу ConnectWise ScreenConnect. Після закріплення в системі розгортається плагін Pheno, який відстежує додаток Microsoft Phone Link і отримує доступ до його бази даних. Це дозволяє зловмисникам непомітно читати SMS та перехоплювати коди двофакторної автентифікації безпосередньо з комп'ютера, навіть не заражаючи телефон жертви.
За даними експертів, кампанія залишається активною щонайменше з січня 2026 року, проте поки що невідомо, яке саме хакерське угруповання за нею стоїть.
Рекомендації для користувачів:
● регулярно перевіряйте підключені пристрої у налаштуваннях Microsoft Phone Link і відключайте невідомі або неактивні сесії;● не завантажуйте програмне забезпечення з неперевірених джерел;● надавайте перевагу додаткам-автентифікаторам або апаратним ключам замість SMS для отримання кодів підтвердження.
Джерело

Викрадач даних PCPJack використовує 5 вразливостей для атаки на хмарні системи
Дослідники SentinelOne виявили новий фреймворк PCPJack для викрадення облікових даних. Він діє як мережевий черв'як й атакує відкриті хмарні інфраструктури (Docker, Kubernetes, Redis, MongoDB, RayML) та вразливі вебзастосунки.
Ланцюг атаки починається зі скрипта, який завантажує С2-фреймворк Sliver та набір Python-модулів. Для подальшого поширення на інші хости вірус експлуатує 5 незакритих вразливостей:
CVE-2025-55182;CVE-2025-29927;CVE-2026-1357;CVE-2025-9501;CVE-2025-48703.
Далі шкідливе ПЗ сканує внутрішні хмарні сервіси (IMDS) та облікові записи Kubernetes, збирає ключі доступу до API і передає їх через Telegram. Для пошуку нових жертв черв'як збирає інформацію з публічних баз даних Common Crawl.
Цікаво, що PCPJack цілеспрямовано шукає і видаляє всі сліди конкуруючого угруповання TeamPCP на зараженому сервері.
Як захистити інфраструктуру:
● вчасно встановлюйте оновлення для хмарних сервісів і контейнерів;● блокуйте зовнішній доступ до IMDS-ендпоінтів і баз даних;● використовуйте сервіси управління секретами для безпечного зберігання ключів.
Джерело

Фейковий репозиторій OpenAI очолив тренди Hugging Face та поширив вірус
Дослідники HiddenLayer виявили на платформі Hugging Face шкідливий проєкт Open-OSS/privacy-filter. Він маскувався під офіційний інструмент OpenAI та заражав системи Windows.
Зловмисники повністю скопіювали опис оригінальної моделі. Під час її запуску виконуються приховані скрипти, які непомітно активують PowerShell, запитують підвищення привілеїв через UAC та додають ШПЗ до списку винятків Windows Defender. Після цього завантажується викрадач даних, який збирає паролі з браузерів, файли криптогаманців, інформацію з Discord і робить знімки екрана. 
Цікаво, що вірус діє як «одноразовий» лаунчер і видаляє себе до перезавантаження системи, щоб не залишати слідів.
Для маскування Rust-викрадач використовує сервіс JSON Keeper, уникає запуску у віртуальних машинах і пісочницях (sandbox), а також намагається вимкнути вбудовані механізми моніторингу Windows (AMSI та ETW). Експерти пов’язують інфраструктуру атаки з китайським хакерським угрупованням Silver Fox (трояном ValleyRAT) і вже виявили ще 6 подібних шкідливих репозиторіїв.
Hugging Face вже видалив загрозу. Проте до блокування проєкт встиг очолити тренди платформи, зібравши 244 тисячі штучно накручених завантажень для створення ілюзії безпеки.
Джерело

Злам на 3,65 ТБ: розробник Canvas заплатив викуп хакерам ShinyHunters
Американська компанія Instructure, яка володіє популярною освітньою платформою Canvas, уклала угоду з угрупованням ShinyHunters. Щоб запобігти витоку викрадених даних, розробник пішов на суперечливий крок і заплатив вимагачам викуп.
Хакери проникли в мережу через неуточнену вразливість у системі запитів до служби підтримки середовища Free-for-Teacher і викрали 3,65 ТБ інформації. Атака зачепила майже 9 тисяч навчальних закладів: до рук зловмисників потрапило близько 275 мільйонів записів (імена, email-адреси, дані про реєстрацію та повідомлення). Під час другої хвилі атаки хакери навіть розмістили повідомлення про викуп на сторінках входу до Canvas у 330 інститутах.
Instructure стверджує, що отримала від хакерів «цифрове підтвердження» знищення інформації. Вразливі акаунти тимчасово заблоковані, а токени доступу скинуті. Проте експерти з безпеки попереджають, що викрадених даних цілком достатньо для проведення потужних цілеспрямованих фішингових атак проти студентів і викладачів.
Джерело

Microsoft підтвердила експлуатацію XSS-вразливості CVE-2026-42897 в Exchange Server
Microsoft розкрила нову вразливість високого рівня (CVSS: 8.1 High) CVE-2026-42897 у локальних версіях Exchange Server. Корпорація офіційно позначила загрозу як таку, що вже експлуатується зловмисниками.
Проблема виникає через некоректну нейтралізацію вхідних даних під час генерації вебсторінок (XSS), що створює умови для проведення спуфінг-атаки. Вектор атаки реалізується через спеціально створений електронний лист. Якщо жертва відкриває його у клієнті Outlook Web Access та виконує певні дії, хакер отримує можливість запустити довільний JavaScript-код безпосередньо в контексті браузера. 
Хто саме стоїть за кібератаками та які масштаби інцидентів — наразі невідомо.
Загроза стосується виключно локальних серверів Exchange 2016, 2019 та Subscription Edition на будь-якому рівні оновлень. Хмарний сервіс Exchange Online залишається захищеним. Поки розробляється патч, Microsoft активувала тимчасовий захист: служба Exchange Emergency Mitigation автоматично блокує експлуатацію шляхом перезапису небезпечних URL-адрес.
Джерело

Шкідливе ПЗ fast16 роками фальсифікувало результати ядерних випробувань
Фахівці Symantec та Carbon Black опублікували аналіз інструменту промислового саботажу fast16 на базі Lua. Дослідження підтвердило, що це шкідливе ПЗ було розроблене для прихованого викривлення результатів випробувань ядерної зброї.
Ціль атаки — інженерний софт LS-DYNA та AUTODYN для моделювання вибухів. Вірус підміняв математичні розрахунки лише тоді, коли щільність матеріалу в симуляції перевищувала 30 г/см³ (поріг стиснення урану під час ядерного вибуху). ПЗ автоматично поширювалося локальною мережею, щоб усі сусідні інженерні станції видавали однакові хибні дані, але при цьому вірус не інфікував системи з певними встановленими продуктами безпеки.
Розробку fast16 розпочали ще у 2005‑му — за два роки до появи відомого хробака Stuxnet. Інструмент згадувався у витоках The Shadow Brokers і пов’язується з угрупованням Equation Group.
Джерело

GitHub розслідує витік понад 3800 внутрішніх репозиторіїв
GitHub перевіряє несанкціонований доступ до внутрішніх репозиторіїв після заяви угруповання TeamPCP про продаж вихідного коду та даних внутрішніх організацій компанії на кіберзлочинному форумі.
За інформацією GitHub, інцидент пов’язаний зі зламом пристрою співробітника та шкідливим розширенням для Microsoft Visual Studio Code. Зловмисники могли отримати доступ лише до внутрішніх репозиторіїв GitHub. Доказів впливу на клієнтські організації, репозиторії чи дані користувачів зараз немає.
Компанія вже локалізувала інцидент, розпочала екстрену ротацію критичних секретів і моніторить інфраструктуру на предмет подальшої активності. GitHub також заявила, що повідомить клієнтів через офіційні канали, якщо буде виявлено будь-який вплив на їхні дані.
Рекомендації для користувачів:
● перевіряти розширення для середовищ розробки перед встановленням;● вчасно оновлювати інструменти розробника та видаляти непотрібні плагіни;● використовувати багатофакторну автентифікацію й регулярно оновлювати токени доступу.
Джерело

Microsoft попереджає про дві вразливості Defender, які використовують в атаках
Компанія повідомила про активну експлуатацію двох вразливостей у Defender. Одна дозволяє підвищити привілеї до SYSTEM, інша — може спричинити відмову в обслуговуванні.
CVE-2026-41091 отримала оцінку CVSS 7.8. Проблема пов’язана з некоректною обробкою посилань перед доступом до файлів. Якщо зловмисник має локальний доступ до системи, він може використати помилку для підвищення привілеїв.
Друга вразливість — CVE-2026-45498 із CVSS 4.0. Вона впливає на Microsoft Defender і може порушити роботу захисного компонента.
Обидві проблеми внесені CISA до каталогу Known Exploited Vulnerabilities. Microsoft виправила їх у версіях Defender Antimalware Platform 1.1.26040.8 та 4.18.26040.7. Оновлення зазвичай встановлюються автоматично, але варто перевірити версію вручну.
Рекомендації для користувачів:
● перевірте останні оновлення Defender;● переконайтеся, що антивірусні бази та Malware Protection Engine оновлюються автоматично;● обмежте локальні права користувачів і контролюйте підозрілу активність.
Джерело

Вразливість Drupal Core відкриває шлях до атак на сайти з PostgreSQL
Drupal випустив оновлення безпеки для CVE-2026-9082 у Drupal Core. Проблема стосується сайтів із базою даних PostgreSQL і може призвести до витоку даних, підвищення привілеїв або віддаленого виконання коду.
Вразливість отримала оцінку CVSS 6.5. Вона міститься в API абстракції бази даних, який Drupal Core використовує для перевірки запитів і захисту від SQL-ін’єкцій.
Через помилку зловмисник може надсилати спеціально сформовані запити та виконувати довільну SQL-ін’єкцію. Drupal зазначає, що експлуатація можлива навіть для анонімних користувачів, якщо сайт працює з PostgreSQL.
Виправлення доступні у Drupal 11.3.10, 11.2.12, 11.1.10, 10.6.9, 10.5.10 та 10.4.10. Drupal 7 не вразливий, але гілки розробки 8 і 9 вже не підтримуються. Для них опубліковані лише тимчасові патчі без повного покриття безпеки.
Рекомендації для користувачів:
● оновіть Drupal до підтримуваної виправленої версії;● перевірте, чи використовує сайт PostgreSQL;● не залишайте Drupal 8/9 у продуктивному середовищі без плану міграції.
Джерело

Microsoft відкрила RAMPART і Clarity для безпечної розробки AI-агентів
Компанія представила два відкриті інструменти — RAMPART і Clarity. Вони допомагають командам перевіряти безпеку AI-агентів ще під час розробки, а не лише після запуску.
RAMPART — це фреймворк для тестування безпеки AI-агентів на базі Pytest та PyRIT. Він дозволяє створювати сценарії, які імітують атаки або перевіряють поведінку агента у ризикових ситуаціях.
Зокрема, інструмент допомагає виявляти непрямі prompt injection, коли недовірені дані потрапляють до AI-системи через файл, електронний лист або вебсторінку. Також RAMPART може перевіряти ризики витоку даних і небажані зміни поведінки.
Clarity працює на етапі проєктування. Він допомагає командам уточнювати цілі, перевіряти припущення, аналізувати можливі збої та фіксувати рішення до написання коду.
Рекомендації для користувачів:
● тестуйте AI-агентів на етапі розробки, а не лише перед релізом;перевіряйте доступ агентів до файлів, пошти, вебсторінок та зовнішніх інструментів;● документуйте ризики, припущення й рішення щодо безпеки.
Джерело

Ghostwriter атакує держоргани України через фішинг під виглядом Prometheus
Урядові організації України стали ціллю кампанії Ghostwriter, також відомої як UAC-0057 та UNC1151. За даними CERT-UA, атаки тривають із весни 2026 року, а листи надходять зі зламаних облікових записів.
Зловмисники маскують повідомлення під темою платформи Prometheus. У листі є PDF-файл із посиланням на ZIP-архів із JavaScript-файлом.
Після запуску OYSTERFRESH показує фальшивий документ і записує зашифрований OYSTERBLUES у реєстр Windows. Модуль OYSTERSHUCK розшифровує його та запускає наступний етап атаки.
OYSTERBLUES збирає ім’я комп’ютера, обліковий запис, версію ОС і список процесів. Дані йдуть на сервер через HTTP POST. Далі система очікує подальших відповідей, що містять JavaScript-код, який виконується за допомогою функцій eval(). Остаточним фінальним навантаженням є Cobalt Strike – фреймворк, який часто використовується для симуляції дій зловмисників після успішної експлуатації системи.
Окремого патча немає: це фішингова кампанія, а не вразливість у продукті.
Рекомендації для користувачів:
● обмежте запуск wscript.exe для звичайних користувачів;● перевіряйте PDF-файли й посилання навіть із довірених адрес;● увімкніть багатофакторну автентифікацію та моніторинг скриптів.
Джерело

Showboat атакує Linux-системи телеком-провайдера на Близькому Сході
Дослідники Lumen Technologies Black Lotus Labs розкрили деталі шкідливого ПЗ Showboat для Linux. Його використовують проти телеком-провайдера на Близькому Сході з середини 2022 року.
Showboat працює як модульний інструмент після компрометації системи. Він може створювати віддалену оболонку, передавати файли, ховатися у списку процесів і діяти як SOCKS5-проксі.
Після запуску шкідливе ПЗ зв’язується із C2-сервером, збирає дані про систему та надсилає їх у зашифрованому вигляді. Через SOCKS5-проксі зловмисники можуть переходити до інших пристроїв у локальній мережі, навіть якщо вони недоступні з інтернету.
Кампанію пов’язують із кластерами активності, афілійованими з Китаєм, зокрема Calypso, також відомим як Bronze Medley та Red Lamassu. Точний спосіб первинного доступу поки невідомий.
Рекомендації для користувачів:
● перевірте Linux-сервери на підозрілі ELF-файли та приховані процеси;● обмежте вихідні з’єднання до невідомих C2-серверів;
контролюйте SOCKS5-проксі та сегментуйте локальну мережу.
Джерело