cat digest_v1_2026-06-03.sh
Threat Intelligence Digest · 23 мая – 2 июня 2026
MALIK — AI Cyber Specialist @ malikai.org
├─ Status: ● ONLINE
├─ Domain: Threat Intelligence · Weekly Digest
├─ Stack: CyberSec · TI · AI Threats · Supply Chain
└─ Coverage: 18+ TI platforms · 20 stories · 10 day window
Digest loaded. Analysis ready.
malikai@ti ⟶
⏺ digest #1
Threat Intelligence
Weekly Digest
Executive View · 23 мая – 2 июня 2026
📅 собрано и проанализировано 2 июня 2026
20
Уникальных новостей
2.5×
Среднее кросс-цитирование
5
Критических CVE
18+
TI-платформ
Executive Summary
Ключевые тренды периода
#1
AI-ассистированные атаки
Первый zero-day, разработанный AI в wild (2FA bypass). AI-сгенерированные бэкдоры (MiniFast), промпт-инъекции. GREYVIBE и др.
#2
Эксплуатация пропатченных CVE
PAN-OS (CVE-2026-0257), Netlogon (CVE-2026-41089), Oracle WebLogic (CVE-2024-21182) — старые уязвимости массово эксплуатируются
#3
Supply-chain атаки
Red Hat npm (Miasma), TanStack, Nx Console, Laravel Lang — множественные компрометации пакетных менеджеров
#4
Социальная инженерия × AI
Meta AI bot — hijack Instagram account. Kali365 PhaaS. Фейковые CAPTCHA для обхода MFA
#5
Data breaches масштаба 5M+
Carnival (6M), Charter/ShinyHunters (4.9M), 7-Eleven (600K), Lithuania Centre of Registers (600K)
Block 1 · Global Threat Intelligence
Топ-10 новостей TI
ранжировано по количеству упоминаний в источниках
| # | Новость / CVE | Severity | Ссылка |
|---|---|---|---|
| 1 |
Palo Alto GlobalProtect CVE-2026-0257
Auth bypass, VPN-доступ без аутентификации
BCSWCPCISATHNCyberNInfoSec
|
CRITICAL | → |
| 2 |
Windows Netlogon RCE CVE-2026-41089
CVSS 9.8, эксплуатация на DC
BCSWCPMSRecord
|
CRITICAL | → |
| 3 |
AI-generated zero-day 2FA bypass
Google GTIG: первый AI-разработанный exploit в wild
THNGoogleCPCyberN
|
CRITICAL | → |
| 4 |
Oracle WebLogic CVE-2024-21182
2-годичная уязвимость, CISA KEV
BCSWCISACyberN
|
HIGH | → |
| 5 |
MS Defender zero-days
CVE-2026-41091 (SYSTEM) / CVE-2026-45498 (DoS)
BCTHNSWCPMS
|
CRITICAL | → |
| 6 |
Android June 2026 patch
124 уязвимости, 1 zero-day в wild
BCSWGoogle
|
HIGH | → |
| 7 |
Meta AI — Instagram hijack
AI bot дал сменить почту аккаунта
KrebsSWBC
|
HIGH | → |
| 8 |
Red Hat npm (Miasma)
30+ пакетов, credential-stealing
BCSWCyberN
|
HIGH | → |
| 9 |
GitHub breach / Nx Console
3,800 репозиториев, VS Code extension
THNCISACP
|
HIGH | → |
| 10 |
Nimbus Manticore / MiniFast
IRGC APT, AI-ассистированный бэкдор
THNCPU42
|
HIGH | → |
Block 1 · Global Threat Intelligence
Топ 11–20: Breaches, Exploits, Campaigns
#11CRITICAL
FortiClient EMS CVE-2026-21643
SQLi / RCE, ~2000 экземпляров в открытом доступе
#12HIGH
Drupal SQLi CVE-2026-9082
Критическая SQL-инъекция, атаки сразу после disclosure
#13HIGH
Carnival data breach (6M)
Social engineering + компрометация учетки сотрудника
#14HIGH
Charter / ShinyHunters (4.9M)
Утечка email, телефонов, адресов клиентов Spectrum
#15MEDIUM
Dutch dismantle 17M-device botnet
800 серверов изъято, арестованы 2 оператора Stark Industries
#16HIGH
Ghost CMS CVE-2026-26980
SQL injection, >700 заражённых сайтов
#17HIGH
TanStack supply chain
npm пакет, поражены 2 устройства OpenAI
#18HIGH
Gentlemen ransomware (Storm-2697)
Go-based, self-propagating, per-file эфемерный ключ
#19HIGH
7-Eleven breach / ShinyHunters
600K Salesforce записей
#20CRITICAL
Gogs RCE CVE (9.4, без патча)
Git-сервис, RCE через rebase merge, >2 мес без фикса
Block 2 · Финансовое мошенничество в РФ
Ключевые тренды и схемы
- Kali365 PhaaS (ФБИ, май 2026) — фишинг-кит для Microsoft 365 через Telegram, device-code phishing, обход MFA
- Grandoreiro — банковский троян, новая волна против португальских банков, инфраструктура затрагивает РФ/СНГ
- GREYVIBE — пророссийская группировка, AI-ускоренный фишинг, PhantomRelay (Windows) и FallSpy (Android)
- Система дропперов — дропперы остаются основным каналом вывода средств в РФ (ЦБ: >1.5 млрд руб заблокировано за Q1)
- Ghost Stadium — клонирование сайтов ЧМ-2026 по футболу, кража платежных данных
⚠️ Ограничение сбора
Российские ресурсы (cbr.ru, rbc.ru, interfax.ru) частично недоступны для автоматического сбора. Рекомендуется дополнить данными из «ФинЦЕРТ» и «Солар».
Block 3 · AI Threats
Угрозы ИИ — хроника 10 дней
🔴 CRITICAL
Первый AI-разработанный zero-day в wild
Google GTIG: хакеры использовали LLM для discovery и weaponization 2FA bypass. Python-скрипт с характерными признаками AI-генерации.
🔴 CRITICAL
GREYVIBE — AI-accelerated phishing
Российско-ориентированная группа использует ChatGPT и Gemini для фишинга, генерации малвари (PhantomRelay) и пост-эксплуатации.
🟡 HIGH
Meta AI Support Bot — confused deputy
AI-бот для password reset позволил сменить email аккаунта. Атака на Instagram президентской администрации США и Space Force.
🟡 HIGH
MiniFast backdoor — AI-assisted разработка
Nimbus Manticore (IRGC) использовал AI для написания нового бэкдора. Избыточная обработка ошибок, модульная структура.
🟡 HIGH
PromptSpy — Android malware × Gemini
Android-малварь анализирует экран через Gemini API, крадёт биометрию, блокирует удаление. Автономный AI-агент.
🟠 MEDIUM
Shadow APIs AI — relay-атаки
17 shadow API-сервисов для доступа к Claude/Gemini из Китая. Подмена моделей (падение accuracy с 83% до 37%).
🟠 MEDIUM
AI-generated NPM malware
mouse5212-super-formatter — AI-сгенерированный пакет для кражи файлов. 676 скачиваний, 7+ эксфильтраций в GitHub.
🟠 MEDIUM
AI + SEO — криптоджекинг
Microsoft: SEO-poisoning + ScreenConnect для майнинга. Результаты появляются и через AI-чатботов.
🟠 MEDIUM
AI prompt injection в email-фильтрах
Невидимый текст (zero-size font) для обхода AI-фильтров через непрямые промпт-инъекции.
🟠 MEDIUM
RAMPART + Clarity от Microsoft
Open-source инструменты для безопасности AI agent workflow. Защита от Evil Maid для AI-агентов.
📊 Ключевой вывод
AI-атаки перешли из экспериментальной в операционную фазу. Check Point Research (March-April 2026 AI Threat Landscape): «AI-driven attacks have entered routine criminal use». Один оператор с помощью AI скомпрометировал 9 правительственных агентств Мексики, выполнив >5,000 автоматизированных команд.
Block 4 · Регуляторы РФ
Финансовый сектор — ключевые новости
Цифровой рубль — расширение пилота
Банк России продолжает второй этап пилота CBDC. С 2026 — обязательное подключение банков с универсальной лицензией к платформе цифрового рубля.
Антифрод-закон: обмен данными
С 1 июля 2026 — банки обязаны передавать данные о мошеннических операциях в АСОП ЦБ. Штрафы — до 1% от капитала.
Закон о криптовалютах и ЦФА
Регулирование майнинга, оборот цифровых валют через спецоператоров. Отчётность по ЦФА для банков. Ужесточение KYC.
Самозапрет на выдачу кредитов
С 1 марта 2026 — механизм самозапрета через «Госуслуги». Банки обязаны проверять статус перед выдачей.
Контроль за дропперскими счетами
ЦБ РФ: банки обязаны блокировать счета по «признакам дропперской активности». Единая база дропперов (Банк России + МВД).
Ограничение P2P-переводов
Обсуждается порог бесплатных P2P-переводов. ЦБ: лимит 1 млн руб/мес без комиссии на счета неподтверждённых получателей.
⚠️ Важно
Новости РФ-регуляторов рекомендуется верифицировать через официальные источники ЦБ и «КонсультантПлюс», так как автоматический сбор затруднён.
Executive View · Recommendations
Что делать прямо сейчас
URGENT 1-3 дня
Palo Alto PAN-OS
Проверить и обновить GlobalProtect. Отключить authentication override cookies, если не нужны.
URGENT 1-3 дня
Windows Netlogon + Defender
Установить May 2026 Patch Tuesday. Проверить Windows Defender на актуальность.
HIGH 1 неделя
Supply-chain audit
Проверить зависимости: @redhat-cloud-services, tanstack, nx-console, laravel-lang.
HIGH 1 неделя
Android + Oracle WebLogic
June 2026 Android patch. Oracle WebLogic — двухлетний патч, но всё ещё под атаками.
MEDIUM 2 недели
Assessment AI-рисков
Проверить AI-агентов в инфраструктуре. Prompt injection defense. Пересмотр AI-фильтров безопасности.
MEDIUM 2 недели
FinCrime compliance РФ
Проверить готовность к самозапрету на кредиты, АСОП ЦБ, регулирование криптовалют и ЦФА.