☝️ Улучшения по вашим заявкам

В прошлом году мы опросили 500 крупных клиентов и собрали почти 3000 комментариев о наших продуктах, услугах, форматах техподдержки и даже статьях на онлайн-порталах. По итогам этого опроса в KES, KUMA, KICS и других продуктах и сервисах были сделаны многочисленные улучшения — от повышения стабильности KES при работе на высоконагруженных серверах до появления emergency maintenance team в техподдержке.

Подробнее обо всех улучшениях можно узнать из поста в канале наших коллег из службы техподдержки.
▶️ Читать


#советы @П2Т

⚡️ ATT&CK v17: ESXi, мобильные угрозы, и практические советы по сбору телеметрии

MITRE обновила матрицу ATT&CK, включив в новую версию набравшие популярность TTPs злоумышленников, а также прокачав инструментарий для защитников. В таксономии Data Components теперь есть информация не только о том, какую телеметрию нужно собирать, но и как это делать — со ссылками на инструменты и рекомендации для основных ОС и платформ. Примеров и советов стало больше также в блоке Mitigations.

В банке угроз целый ряд интересных дополнений:
🟣целый блок техник атаки на ESXi (включая совершенно новые T1673, T1675, T1059.12, T1505.006);
🟣букет мобильных угроз, включая найденную нами «Операцию "Триангуляция"» (C0054);
🟣закрепление в облачных средах через OAuth (T1671);
🟣недопущение конкурентов на захваченные хосты (T1668: exclusive control);
🔵технические трюки в социальной инженерии ( T1667, T1204.004).

Обновлений много — более 25 новых техник. А существенно переработано 5 техник, включая T1574.01 (Hijack execution flow), remote access tools (T1219), software extensions (T1176).

#новости #советы @П2Т

⌨️ Введение в detection engineering

Почему SOC может быть неэффективен, несмотря на наличие команды и технологий? Это довольно распространённая ситуация. Проводя оценки центров мониторинга безопасности и симуляции действий противника, мы часто сталкиваемся с тем, что внутренним командам сложно поддерживать высокое качество данных для выявления угроз, анализировать оповещения без контекста, агрегировать их в инциденты и корректно определять серьёзность инцидентов.

Один из наиболее действенных способов повысить эффективность SOC — это внедрение комплексной программы Detection Engineering . Она помогает оптимизировать все этапы работы — от сбора логов до реагирования на инциденты. Программа позволяет выстраивать стратегию сбора логов, снижать количество ложных срабатываний при одновременном повышении числа эффективных детектов, документировать процедуры реагирования по каждому типу оповещений и повышать оперативность реагирования аналитиков. Всё это ведёт к более быстрому и качественному реагированию на инциденты.

В рамках жизненного цикла Detection Engineering важно обеспечить наличие всех компонентов: выделенной команды, процессов и процедур, инструментов и метрик, позволяющих объективно оценивать результативность.

В большом посте на Securelist (англ.) разобрали:
🟢 типовые проблемы SOC и как их решает DE;
🟢 какая команда нужна для запуска программы DE (спойлер: для начала хватит всего трёх человек);
🟢 необходимые инструменты;
🟢 методы оценки эффективности;
🟢 полезные практические советы.

#советы #MDR #SOC #CISO

🗣 Поговорим с экспертами про SD-WAN?

SD-WAN позволяет одновременно достичь в своей сети отказоустойчивости, экономической эффективности и более высокой защищённости — и всё это при большем удобстве для команд ИТ и ИБ. Мы непрерывно совершенствуем Kaspersky SD-WAN по этим направлениям, а сделали ещё и важные шаги в части регуляторного соответствия. С новой версии 2.4 доступно проведение пилотов, основанных на ПАК с поддержкой шифрования ГОСТ. Другие важные изменения:

▶️ интеграция с консолью управления Open Single Management Platform (OSMP)​;
▶️ Policy-Based Routing с централизованным управлением;
▶️ единая система управления статическим резервированием IP-адресов.

Хотите узнать подробности или задать практический вопрос? Приходите на онлайн-стрим в этот четверг, 24 апреля 2025 в 11:00 (МСК).

Зарезервировать место на стриме⟶

#события @П2Т

🆔 SVG в фишинге

Хотя файлы SVG предназначены для упаковки простой векторной графики, по сути они являются обычными XML и могут в принципе содержать фрагменты, к картинкам не относящиеся — скрипты и HTML. В марте-апреле мы отмечаем резкий рост использования этой тактики злоумышленниками. К фишинговому письму приложено вложение, якобы картинка SVG, но на деле в файле содержится HTML фишинговой страницы, и если открыть вложение в браузере, то отобразится именно она. Обновляем правила почтовых фильтров. 😎
Подробнее и с примерами рассылок — на Securelist.

#угрозы #фишинг @П2Т

▶️ Паника вокруг CVE, целевые атаки на крупный российский бизнес и другие интересные исследования APT за неделю

👽 Новое сложное ВПО атакует крупные российские организации, мимикрируя под обновления ПО ViPNet. Мы продолжаем исследовать этот бэкдор (IoC и подробности), а обновления и рекомендации от разработчика ViPNet доступны здесь.

☹️ Мировая ИБ-общественность немало поволновалась на минувшей неделе из-за возможного закрытия программы CVE, связанного с прекращением финансирования. В последний момент в CISA нашли деньги, но вопрос снова станет на повестке дня уже в начале следующего года.

🟢 Новая версия троянца MysterySnail, используемого APT IronHusky, обнаружена в госучреждениях России и Монголии, наряду с более лёгкой версией ВПО MysteryMonoSnail. Примечателен вектор начального заражения — это вредоносный скрипт MMC.

👩‍💻 Техника ClickFix, в которой жертв просят вручную запустить команды PowerShell, оказалась такой эффективной, что её взяли на вооружение пять APT.

Новая волна атак APT Cloud Atlas на российские организации — в целевом фишинге используются реальные документы, ранее украденные в других атакованных компаниях.

🤔 В истории с взломом Шрёдингера, который отрицает Oracle Cloud, но подтверждают клиенты и ИБ-исследователи, новый поворот — CISA выпустила рекомендации по митигации рисков, если взлом таки был.

🟠Подробный обзор инструментов APT Mustang Panda: ToneShell, PAKLOG, SplatCloak и другие.

❗️ Ещё одна AWS ransomware: злоумышленники нашли среди утекших ключей AWS работоспособные пары key ID и secret key, а затем использовали их чтобы зашифровать данные в этих корзинах S3 с помощью server side encryption (SSE-C).

🔵Обзор деятельности не очень распиаренной, но активно действующей с сентября банды вымогателей Interlock.

🟢Интересные зиродеи устранены в iOS: использовались в целевых атаках, доставлялись во вредоносных аудиофайлах.

🔴Новое шпионское ПО для macOS: PasivRobber. Примечательно тем, что нацелено на популярные в Китае приложения.

Интересные техники закрепления в системе и другие особенности PowerShell-бэкдора, применяемого рансомварщиками Storm-1811.

🗿Разбор загрузчика DAMASCENED PEACOCK, использованного в атаке на британское Минобороны.

🟢Анализ бэкдора BRICKSTORM, применяемого APT UNC5221 против европейских организаций.

🟢Разбор управляющего компонента, применяемого в кибератаках APT Earth Bluecrow/Red Menshen против египетских и азиатских компаний, преимущественно в телекоме, финансах и розничной торговле.

🟣Разбор Android-банкера Gorilla. Пока это похоже на бету, но уже достаточно функциональную.

🌎 Китайские киберпреступники ставят на поток технику NFC Relay: её предлагает MaaS SuperCardX.

#APT #новости #дайджест @П2Т

🟡 Как оптимизировать бюджет ИБ?

Вернулись к CISO Mindmap, чтобы оценить приоритеты ИБ с позиций экономической эффективности. Улучшить киберустойчивость организации и сэкономить бюджет помогут:
👍 консолидация ИБ-инструментов;
👍 автоматизация зрелых процессов;
👍 экономически эффективные решения в SOC.

А ещё проекты ИБ можно профинансировать в рамках более крупных процессов в компании, например внедрения генеративного ИИ.

Подробнее разобрали подходы в блоге.

#CISO #советы @П2Т

🗣 Ваши вопросы про наш NFGW

По горячим следам выхода Kaspersky NGFW Beta 2 решили провести онлайн-стрим и ещё раз разложить всё по по полочкам. Уже в следующий вторник обсудим:

▶ Kaspersky NGFW;
▶ что нового в Beta 2.0: расширение стека сетевых технологий и функций безопасности;
▶ ключевые показатели: производительность и detection rate;
▶ ответы на самые интересные вопросы.

Встречаемся во вторник: 22 апреля 2025 в 11:00 (МСК).
Если у вас есть вопросы к специалистам, их можно задать заранее на нашем сайте и услышать подробные ответы на стриме!

Зарезервировать место на стриме ⟶

#события @П2Т

☠️ Мошенничество и ransomware — главные угрозы бизнесу среднего размера

Страховщики At-Bay опубликовали свой анализ страховых случаев 2024 года, связанных с киберинцидентами.

Банды вымогателей явно сосредоточились на компаниях среднего размера (выручка $25—$100 млн). Здесь число инцидентов ransomware выросло на 46%, как и масштаб ущерба. При этом в 80% случаев ransomware-атак вектором начального проникновения стали VPN, RDP и другие легитимные средства удалённого доступа. Самые активные банды вымогателей представлены на иллюстрации.

Отдельно рассмотрены случаи, когда жертвой ransomware стала не застрахованная компания, а её поставщик или подрядчик. Большая часть этих случаев относится к взлому технологических партнёров (Change Healthcare, CDK Global и подобные), и хотя в общем пироге их доля невелика, она быстро растёт — в полтора раза за год. Портрет взломанных провайдеров определяет и то, какие бизнесы обращаются за страховым возмещением: в лидерах ритейл, здравоохранение, образовательные учреждения.

В общей картине доминируют обращения из-за финансового мошенничества (BEC и подобные), на них приходится 45% всех страховых случаев. Здесь жертвами чаще становятся крупные компании, но число атак на них снизилось с позапрошлого года, а вот средний бизнес стал страдать чаще на 20%. При этом 83% мошеннических атак начинаются с email.
Авторы обращают внимание, что для противодействия мошенническим схемам нужны не только технические средства, но и развитые процедуры оценки рисков, закупок, проверки регуляторного соответствия — всё это обычно есть в крупных компаниях и крайне редко есть в средних.

#статистика #ransomware @П2Т

🔥 NGFW beta 2 доступна для пилотов!

Продолжаем работать над Kaspersky NGFW и представляем
Beta 2 с более широкими сетевыми возможностями и новыми функциями безопасности. Из главного: значительный рост производительности, новые интеграционные возможности с другими решениями «Лаборатории Касперского» и немного AI. Подробнее — в карточках и на сайте.

Beta 2 уже доступна для тестов в живых инфраструктурах, приходите на пилотирование и делитесь впечатлениями!

➡️ Поучаствовать в пилоте

#NGFW #новости @П2Т

🌎 Сертификаты веб-сайтов — лишь на 47 дней

Форум CA/Browser, объединяющий производителей ведущих браузеров и крупнейшие УЦ проголосовал за поэтапное сокращение срока жизни сертификатов SSL/TLS. На сегодня выпущенный сертификат сайта обычно действителен 398 дней, но к 2029 году этот срок сократится в восемь раз:

🟣с 15.03.2026 срок действия сертификата будет 200 дней;
🔵с 15.03.2027 — 100 дней;
🔵с 15.03.2029 — 47 дней.

Одновременно будет сокращаться срок действия верификации владения доменом (DCV) — до 200, 100 и 10 (!) дней соответственно.
Для тех, кто администрирует значительное количество доменов, это означает, что осталось менее четырёх лет для полной автоматизации управления сертификатами и доменами, потому что уследить за этим вручную будет невозможно. К счастью, изобретать велосипед не обязательно. Эти функции уже автоматизированы у крупных облачных провайдеров и у специализированных УЦ наподобие Let's Encrypt. Последний также предоставляет свой протокол ACME и его open source реализацию для клиента и для сервера.

#новости @П2Т

💾 Злоупотребление архивами: угроза и противодействие

Посчитали из интереса — во вчерашнем дайджесте APT в четырёх новостях из двенадцати упоминаются вредоносные архивы. Этот инструмент помогает злоумышленникам на всех этапах атаки — от социнженерии при первоначальном проникновении до скрытной эксфильтрации данных. Поэтому политика обработки архивов в организации должна быть детально продумана и настроена совместно с IT:
🔵 эшелонированный анализ разными защитными решениями;
🔵 ограничения обработки в веб-приложениях;
🔵 блокировка неиспользуемых в компании и плохо интегрированных с ОС архиваторов;
🔵 дополнительный мониторинг средствами XDR.

Разбор сценариев реальных атак и подробные рекомендации по защите дали в блоге.

#советы #угрозы @П2Т

👀 Интересные исследования APT и новости ИБ за неделю

Очередная волна атак APT GOFFEE на российские организации использует целевой фишинг, распространяющий новый имплант PowerModul, а затем бинарный агент Mythic при горизонтальном перемещении по сети.

APT MirrorFace применяет в атаках Windows Sandbox. Они активируют эту функцию на компьютере жертвы, а затем запускают в песочнице своё ВПО (Anel). В песочнице не работает Defender, при этом в зависимости от настроек могут быть доступны файлы хоста, буфер обмена, и многое другое. Технику, вероятно, возьмут на вооружение и другие атакующие.

Новые тактики обхода защиты в атаках APT ToddyCat.

Fortinet отчитались, что ранее взломанные FortiGate могут быть доступны атакующим в режиме read only даже после того, как уязвимость устранена. Техника, основанная на размещении символических ссылок, применима к устройствам, на которых был включён SSL-VPN и эксплуатировались CVE-2022-42475, CVE-2023-27997, CVE-2024-21762 и возможно другие CVE.

APT Sidecopy сменила свои фишинговые тактики и распространяет ВПО в пакета MSI вместо излюбленного HTA.

Разбор атак APT-Q-2/Kimsuky на южнокорейские компании.

Краткий обзор инцидентов индустриальной ИБ за Q4/2024.

Глубокий разбор ВПО и эволюции HelloKitty ransomware.

Спустя всего 4 часа после публикации данных о критической уязвимости в плагине WordPress OttoKit/Suretriggers её начали эксплуатировать злоумышленники.

Ещё один пример промышленного применения LLM в спаме и SEO: Akirabot применяет API OpenAI для контекстного заполнения форм поддержки, обращений в чат и других подобных инструментов взаимодействия с посетителями веб-сайтов. Существенные усилия приложены для обхода капчи и других защитных механизмов.

Интересные новости для любителей вайбкодинга: 20% ИИ-кода ссылается на несуществующие зависимости. Исследователи ожидают появления атак slopsquatting — злоумышленники будут регистрировать пакеты с наиболее вероятными именами, по аналогии с typosquatting.

Отмечается рост атак password spraying по всему миру — под прицелом любые публично доступные системы без MFA.

#APT #дайджест #новости @П2Т

⛴ ИБ на море (и на суше)

🔍 В новом выпуске подкаста ОБИБЭ обсуждаем информационную безопасность в судоходстве. Несмотря на немного экзотический контекст, проблемы на повестке дня стоят привычные: стоимость простоя (десятки тысяч долларов в час), модель нарушителя (кто сказал «экипаж»?), особенности ОТ-сетей в этой индустрии, и другое.

О том, как проверяется и обеспечивается безопасность судовых систем и к чему может привести кибератака на пароход, к Владимиру Дащенко, эксперту Kaspersky ICS CERT и ведущему подкаста пришли поговорить:

🎙Владимир Окунев, руководитель проекта ФАУ «Российский морской регистр судоходства»;
🎙Евгений Корянов, технический директор NAVX;
🎙Александр Николаев, аналитик по информационной безопасности «Лаборатории Касперского».

Смотрим на всех платформах: VK, RT, YT

#подкаст #видео @П2Т

🌐 Атакующие, рождённые в облаках

Кто-то из маркетологов западных ИБ-компаний придумал термин cloud-native threats, и он действительно хорошо подходит для описания атак, возможных только в облачной инфраструктуре: зловредные serverless-функции, скачивание образов облачных данных (snapshots), и тому подобное. Судя по новой статистике в отчёте Cloud Security Alert Trends, число таких атак растёт бодрыми темпами.

Системы мониторинга учёток и доступа (IAM) показывают 60% рост API-вызовов к вычислительным ресурсам из регионов, откуда к ним не должны обращаться, а также 116% прирост «невозможных путешествий», когда попытки аутентификации быстро приходят из двух и более географически отдалённых регионов. Подозрительные массовые загрузки облачных объектов, ужасно похожие на эксфильтрацию данных, выросли вчетверо.

Топ оповещений высокой и средней критичности приведён на иллюстрации.

Чтобы эффективно защищаться от подобных угроз, авторы настойчиво рекомендуют сочетать инструменты класса CSPM и мониторинг запущенных облачных нагрузок и действующих сред с помощью CDR.
На облачных хостах обязательно должны работать агенты защитного решения, с облачных провайдеров обязательно требовать расширенное протоколирование событий (включая SaaS), а в настройках облачных платформ рекомендовано ограничивать регионы, в которых разрешено запускать вычислительные нагрузки, включая serverless.

#CISO #облака #советы @П2Т

🔬 Апрельский Patch Tuesday: лучшее, конечно, впереди!

Microsoft опубликовала крупный пакет обновлений, устранив 134 дефекта (из них 10 — в сторонних компонентах). Одна из уязвимостей является зиродеем, эксплуатируемым в атаках ransomware, остальные дефекты ранее не были известны. Неприятной новинкой этого вторника стала доступность обновлений только для Windows 11, для многих критических дефектов указано, что обновления Windows 10 будут доступны «позже». Кроме того, Microsoft дала для многих дефектов оценку критичности, которая отличается от рейтинга CVSS3.1. Вероятно, больше чем в предыдущих вторниках сделана поправка на вероятность эксплуатации.
В результате лишь 11 дефектов получили оценку critical, 2 — low, остальные — important. 49 дефектов приводят к повышению привилегий, 31 — к RCE, 17 — разглашению информации, 14 — отказу в обслуживании, 9 — обходу функций безопасности, 3 — spoofing.


Зиродей на службе RansomEXX
CVE-2025-29824 (7.8) является очередной use after free в драйвере CLFS и используется для повышения привилегий до system.
Дефектом по словам самой Microsoft пользовались вымогатели RansomEXX/Storm-2460, разворачивая на поражённых системах бэкдор PipeMagic и повышая его привилегии с помощью этой уязвимости. Впрочем, компания сообщает, что видит немногочисленные целевые атаки. Мы писали об этом ВПО в прошлом году, атаки с его использованием имели несколько волн в разных странах. Сама эксплуатация CLFS именно в атаках вымогателей — хорошо документированный нами феномен, мы обнаружили 5 подобных уязвимостей и сообщили о них в Microsoft.

Примечательные уязвимости
Хотя у многих опасно выглядящих дефектов Редмонд оценил эксплуатацию как менее вероятную из-за необходимости победить в гонке (race condition), количество уязвимостей, затрагивающих популярные приложения и сервисы или не требующих взаимодействия с пользователем, значительно.
CVE-2025-26663/CVE-2025-26670 — RCE в Windows LDAP, доступно неаутентифицированному атакующему.
CVE-2025-29809 — утечка учётных данных Kerberos в обход Windows Defender Credential Guard. Кроме применения патча надо обновлять и заново применять политики VBS.
CVE-2025-27480/CVE-2025-27482 — RCE в Remote Desktop Services, атакующий должен подключиться к системе в роли шлюза Remote Desktop.
CVE-2025-27740 — повышение привилегий в Active Directory Certificate Services, аутентифицированный атакующий может получить доменного админа.
CVE-2025-26686 — RCE TCP/IP. Жертва должна отправить запрос на соединение DHCPv6, чтобы получить вредоносный пакет в ответ.
CVE-2025-27752 / CVE-2025-29791 — RCE в Excel, работающие через панель предварительного просмотра. Бонусом — CVE-2025-27745, -27748, -27749, все в Office без указания компонентов, тоже работающие через предварительный просмотр.

#патчи #уязвимости #Microsoft @П2Т

🤖 Защита данных в ИИ-системах: а что в договорах?

Крупная швейцарская юридическая фирма Vischer уже больше года выпускает бесплатные материалы по различным правовым аспектам применения ИИ. Они затрагивают не только вопросы чистого комплаенса, но и практические аспекты: что есть, а чего нет в стандартных договорах с ИИ-провайдером, какие системы применимы в специфических нишах (врачебная тайна, адвокатская тайна) и так далее.

Например, чтобы обрабатывать в подобных системах профессиональную тайну, подойдут только пара API-сервисов, да и то потребуется подписать DPA, а затем при помощи допсоглашения отключить выборочную модерацию запросов живыми людьми, а также возможность веб-поиска.

📌 Хорошая сводная таблица по всем сортам Copilot, Gemini и ChatGPT, включающая варианты использования по API и запуска в Azure опубликована здесь. К сожалению, не оценены такие популярные варианты, как DeepSeek и модели на HuggingFace, но всё равно интересно.

Главный вывод, который мы сделали — нельзя ориентироваться ни на имя облачного провайдера, ни на название модели, потому что условия использования и DPA для, например, Gemini API в Google AI Studio и Gemini API в Vertex AI существенно отличаются. Краткий обзор этих увлекательных документов есть в блоге Vischer.

#CISO #советы #AI @П2Т

🗣 Не пишите мне больше

Целевой фишинг, атаки класса BEC (компрометация деловой переписки) и изобретательные рассылки ВПО сохраняют лидерство в печальном хит-параде эффективных методик злоумышленников. Только за прошлый год наша система «Антифишинг» заблокировала 8 миллионов попыток перехода по фишинговым ссылкам. Как усовершенствовать защиту корпоративной почты? Обсудим на онлайн-стриме 10 апреля!

В программе:

▶️ статистика и тренды фишинга и скама;
▶️ комплексный подход к защите электронной почты;
▶️ новые возможности Kaspersky Security Mail Gateway — от дополнительных методов проверки подлинности отправителей до интеграции с SIEM и журнала аудита событий, незаменимого в IR;
▶️ ответы на самые интересные вопросы.

Встречаемся в четверг: 10 апреля 2025 в 11:00 (МСК).

Зарезервировать место на стриме⟶
#события @П2Т

⭐️ Интересные исследования APT и новости ИБ за неделю

▶️Новые вредоносные кампании с применением загрузчика TookPS. Ранее мы обнаружили поддельные сайты DeepSeek, но теперь распространители также мимикрируют под официальные сайты ПО для 3D-моделирования, удалённого доступа, и др.

▶️Вообще новых и обновлённых загрузчиков подвезли много: IDATloader/HijackLoader, Emmenthal/Smokeloader, Gootloader.

▶️Operation HoloQuill атакует российские исследовательские и промышленные компании при помощи целевого фишинга и вредоносных архивов с многоступенчатым ВПО, в конечном счете разворачивающим имплант Cobalt Strike.

▶️Детальный разбор механизмов защиты MS-NRPC и их особенностей, которые позволяют вызывать многие функции без аутентификации, даже если политика RPC аутентифицироваться требует.

▶️Обзор APT Earth Alux и её основного ВПО, бэкдора Vargeit. Атакующие, предположительно из Азии, отдают приоритет длительным и скрытным заражениям, мишени преимущественно расположены в Азии и Латинской Америке.

▶️Технология маскировки С2 под названием Fast flux неожиданно удостоилась бюллетеня безопасности от CISA, АНБ, ФБР и прочих англоязычных агентств.

▶️Небезызвестная Hunters International объявила о переименовании в World Leaks — планируют перейти от шифрования к чистой эксфильтрации информации и хвалятся специальным ПО для детального анализа украденных данных.

▶️В арсенал фишеров прочно вошёл новый инструмент — редиректы при помощи SVG-файлов.

▶️Свежую CVE-2025-24813 в Apache Tomcat уже взяли на вооружение криптомайнеры.

▶️А группировка Jinx-0126 использует новое ВПО CPU_HU для компрометации БД PostgresSQL.

▶️Вы не поверите, но Ivanti снова закрыла критические уязвимости в своих изделиях, которыми снова воспользовались атакующие из UNC5521.

▶️Ещё один обзор трендов «квишинга», то есть фишинга с применением QR-кодов. Многие ИБ-компании отмечают резкий рост применения этой тактики.

▶️Разбор относительно нового бэкдора для Linux, Autocolor.

▶️На российском рынке участились случаи появления смартфонов, уже с завода заражённых Android-троянцем Triada. Зловред крадёт криптовалюту, учётки в мессенджерах, и многое другое.

#APT #дайджест #новости @П2Т

🎯Ребята, мы?
#ИБ_мем @П2Т

Оценка возможностей команды - важнейший вопрос планирования ресурсного обеспечения SOC. С одной стороны необходимо, чтобы команда не простаивала, с другой стороны - чрезмерно большой объем будет приводить к перегреву и потере ключевых сотрудников.

Можно придумать множество различных методик оценки, каждая из которых будет иметь свои сильные и слабые стороны, и показывать хорошие результаты в одних сценариях, а в других - работать очень плохо. В нашем SOC мы используем несколько различных методик, я постараюсь найти время, чтобы поделиться ими всеми в серии статей.

И первый метод, предлагаемый вашему вниманию, основан на анализе сменных графиков.

Этот метод лучше работает в условиях, когда количество работы соответствует размеру команды, когда команда недогружена, или когда объем работ сильно изменяется за период измерения (например, за месяц). К слабым местам этого метода также следует отнести коэффициенты пересчета количества инцидентов в количество алертов, а количества алертов в количество эндпонитов, а также средние продолжительности работы над алертом и инцидентом, поскольку, очевидно, эти значения сильно зависят от конкретного алерта и инцидента. Еще немаловажным моментом является усреднение по месяцу - все константы и коэффициенты взяты на основе анализа статистик за месяц, несложно догадаться, что за месяц объем в значительной степени может меняться во времени.

Однако, при всех описанных минусах и слабостях, представленный метод оценки дает правдоподобные результаты, соотносящиеся с практикой, что оправдывает его использование.

#MDR

🚑 Свежий обзор киберугроз в секторе здравоохранения может навести страху на любого читателя (особенно того, кто не исключает, что однажды окажется в больнице). Хотя обстоятельный документ полон очевидных наблюдений наподобие «устаревшие ИТ-системы создают плодородную почву для кибератак», есть там и более практичная и менее банальная информация. Например:

▪️ средний ущерб от кибератаки в медучреждениях вдвое превышает средний ущерб по всем индустриям. Не в последнюю очередь — из-за жёстких регуляторных требований по реагированию на инцидент и утечку медицинских данных, но также из-за бОльшей вероятности, что жертва заплатит выкуп рансомварщикам. Ведь каждый час простоя ИТ-систем — это ухудшение прогноза для пациентов в больнице;
▪️ типичный американский госпиталь имеет 10-15 медицинских устройств в пересчёте на койку, и эти тысячи устройств в большинстве случаев подключены к телеметрии и удалённому доступу;
▪️ вообще на США приходится 51% атак на медучреждения, на втором месте Индия с Канадой, которым досталось по 4%;
▪️ значительные усилия вымогателей нацелены на компрометацию цепочки поставок. Специализированные услуги на стыке медицины и ИТ — ведение карт пациента, учёт выплат и страховок, цифровой рентген, УЗИ, КТ и МРТ — поставляет небольшое число фирм. Взлом любой из них сразу накрывает десятки и сотни медицинских учреждений, как наглядно продемонстрировал инцидент с Change Healthcare;
▪️ процент устаревшего оборудования, снабженного очень устаревшим ПО, остаётся значительным.

Рекомендации медицинским учреждениям даны по каждой из проблемных тем отдельно, но наибольший приоритет стоит уделить:
▪️ эффективной сетевой сегментации для снижения рисков, связанных с небезопасной и устаревшей медтехникой;
▪️ детальной подготовке к реагированию на инциденты, включая планирование, киберучения и backup/restore-учения;
▪️ регулярному аудиту прав доступа;
▪️ обучению всего медперсонала ИБ-гигиене;
▪️ поиску, анализу и защите доступных по сети носителей информации;
▪️ борьбе со слабыми и повторяющимися паролями, а также паролями, хранящимися в открытом виде;
▪️ включению вопросов ответственности за ИБ и обращение с ПД в договоры с подрядчиками и поставщиками ПО;
▪️ минимизации доступа подрядчиков к ИТ-системам в рамках принципа наименьших привилегий;
▪️ мониторингу и защите API при интеграции медицинских систем.

#CISO #советы @П2Т

📌 CISO mindmap 2025

Популярный постер о работе CISO обновился до свежей версии 2025 (блог, постер в PDF).

Изменения выделены цветом, но если вкратце, то основные направления, в которых ИБ-лидерам нужно совершенствовать безопасность организации таковы:

🟣полный цикл мер по защите применения генеративного ИИ: стандарты и политики, отбор допустимых моделей и провайдеров ИИ для различных департаментов и задач, включение в программы управления уязвимостями, обучение персонала;
🟣консолидация инструментов ИБ — либо в рамках моновендорного подхода, либо в философии best of the breed с упором на инструменты с хорошей API-интеграцией;
🟣запуск программы по идентификации и устранению ИБ-долга:
🟣конкретные меры подготовки к атакам ransomware — от учений по восстановлению резервных копий до программ повышения киберустойчивости и покупки кибер-страховки;
🟣выработка и переход к осмысленным метрикам ИБ, которые полезны в управлении рисками и понятны высшему руководству;
🟣кибер-гигиена: улучшение безопасности API, управление рисками в цепочке поставок, сокращение поверхности атаки, чистка зубов перед сном.

#советы #CISO @П2Т

🗣 Практика MDR из первых рук

Критические инциденты, которые в прошлом году обработало наше решение MDR, в среднем требовали на 48% больше времени, чтобы их детектировать и полноценно описать. Сложность атак повышается, поэтому важно знать, как меняется фокус злоумышленников и их инструментарий. Уникальный шанс узнать об этом из первых рук — уже в этот четверг.

Сергей Солдатов, руководитель центра мониторинга кибербезопасности «Лаборатории Касперского», расскажет:

▶️ каков портрет злоумышленника и как атаки сгруппированы по типу и целям;
▶️ какие TTPs хакеры стали использовать чаще;
▶️ что и как сделать, чтобы своевременно выявить угрозу и защитить бизнес.

Встречаемся в четверг: 3 апреля 2025 в 11:00 (МСК).
Нужна предварительная регистрация.

Зарезервировать место на стриме ⟶
#события @П2Т

☀️ Полсотни уязвимостей в... солнечных батареях

Исследовательское подразделение Forescout выкатило монументальный отчёт об уязвимостях в инфраструктуре солнечной энергетики. Поскольку почти все солнечные панели — от стоящих на крыше частного дома до крупных ферм на пару мегаватт — подключены к инструментам телеметрии и управления нагрузкой, они подвержены всем типичным атакам, знакомым по другим дырявым устройствам IoT. В отчёте упомянуто минимум три крупных инцидента прошлого года, исходящих от всех групп атакующих: от хактивистов до шпионских APT.

Неприятно, когда ваша солнечная батарея подрабатывает в Mirai на полставки, но основной угрозой конечно является нарушение стабильности энергосистемы. Компрометация инверторов может привести к целенаправленному нарушению выработки электроэнергии и даже к массовым отключениям, достижимым при помощи класса атак load altering. Это может быть актуально для регионов с динамично растущей долей солнечной генерации, будь то Нидерланды или Забайкалье.

🔥 В отчёте упоминаются 93 ранее раскрытые уязвимости, которые в разной мере приводят к компрометации устройств, связанного с ними облачного сервиса и других компонентов, 80% имеют уровень серьёзности high и critical. Но исследователи не удовлетворились обзором литературы и занялись изучением панелей ведущих производителей, включая Huawei, Sungrow, Ginlong Solis, Growatt, GoodWe и SMA.
У Sungrow, Growatt и SMA было выявлено 46 новых уязвимостей, включая жёстко заданные учётные данные, слабое шифрование, возможность перебора пользователей, и даже XSS и классическое переполнение буфера с RCE.

Основные выводы для тех, кто эксплуатирует любые солнечные батареи (крупнее калькуляторов и садовых фонарей):
🟢 относитесь к инверторам как критической инфраструктуре;
🟢 размещайте их в изолированных подсетях и обеспечьте постоянный мониторинг трафика и событий;
🟢 проводите аудит безопасности солнечных установок по аналогии с другой IT/OT-инфраструктурой;
🟢 выбирайте поставщиков с учётом соблюдения ими принципов безопасной разработки, прохождения регулярных пентестов и соответствия международным стандартам безопасности.

Для этого класса устройств есть подробные руководства по ИБ от NIST и американского Минэнерго.

#советы #угрозы @П2Т

⏩ Интересные исследования APT и новости ИБ за неделю

🟢Новая волна вредоносных рассылок российским организациям от группировки HeadMare: злоумышленники рассылают ВПО PhantomPyramid. Примечательно, что вложение является «полиглотом» — это склеенные вместе бинарный файл и небольшой ZIP.

🟢Финансовые киберугрозы по итогам 24 года: аэрокосмический рост (89%) попыток фишинга в сфере криптовалют, но первенство среди приманок всё равно держат сообщения от банков (42%).

🟡Поучительное чтение: разбор инцидента с проникновением APT WeaverAnt в сеть азиатского телеком-провайдера. Их неоднократно обнаруживали и пытались выгнать, но «муравьи» возвращались — и так четыре (!) года.

🟣Угрозы для open source всё усложняются — обнаружены два npm-пакета, которые при установке патчат другие установленные пакеты, добавляя обратный шелл.

🔵Промышленные организации во многих странах Азии стали жертвой операции SalmonSlalom — в результате целевого фишинга им установили FatalRAT. В качестве С2 применялись местные сервисы myqcloud и Youdao Cloud Notes.

🟣Ransomware-группировка Dragonforce продолжает атаковать конкурентов: следом за Mamona дефейсу подверглись BlackLock. Возможно, за кулисами более мудрёная история вроде перепродажи активов или exit scam.

🟢Технический анализ инструмента, применяемого вымогательскими группами Medusa, RansomHub, BianLian и Play для отключения СЗИ. Разобраны связи между этими группами.

🟣Новая RaaS: VanHelsing.

🔵Обзор PaaS-платформы Lucid, примечательной тем, что спам можно рассылать как через SMS, так и нативные для смартфонов iMessage и RCS.

🟠Анализ инструментария APT FamousSparrow (возможно, пересекающейся с Salt Typhoon и Earth Estries, но это не точно), включая две новые версии фирменного ВПО SparrowDoor

🔴Логический дефект песочницы, являющийся зиродеем и закрытый на неделе в Chrome, оказался применим и в Firefox. Для обоих браузеров доступны обновления.

🔴Разбор GorillaBot, относительно нового IoT-ботнета, применяемого в крупных DDoS-атаках.

🟣Целевые атаки на азиатских пользователей (Индия и Тайвань) с помощью Android-импланта PJobRAT.

🔵Редкая, но приятная новость: арестованы создатели Android-банкера Mamont, ставшего одним из лидеров в топе мобильных зловредов.

🪲Редкая, но неприятная новость: создателя HaveIbeenPwned Троя Ханта успешно скомпрометировали при помощи целевого фишинга и скачали список его почтовой рассылки на Mailchimp.

#дайджест #APT @П2Т

🎚 Демо NFGW, краденые и бездарно слитые учётные данные, и другие полезные посты марта

Собрали самое ценное и интересное за месяц — эти материалы помогут выстроить эффективные процессы и системы в ИБ. Если вы пропустили их в спешке, самое время почитать! 🤗

🟣Видео-демонстрация особенностей и возможностей нашего NGFW;
🟣любимые TTPs атакующих по статистике экспертов сервиса IR;
🟣сколько секретов на самом деле хранится в GitHub (а в Slack ещё больше);
🟣подробный, с 🔥 разбор деятельности Lazarus — от атак на ЦБ Бангладеш до кражи из Bybit;
🟣сколько корпоративных учёток нашлось в логах инфостилеров;
🟣где в разработке ПО копится техдолг, опасный для ИБ, и что с этим делать;
🟣откуда взялось свежее ВПО с цифровой подписью Microsoft;
🟣какими практически полезными ИИ-функциями можно воспользоваться в KUMA уже сейчас
🟣как оптимизировать сканирование огромных хранилищ файлов;
🟣прощание с uBlock и Skype, новая слежка Google и другие новости личной ИБ.

Бонус-трек: вредные opsec-советы по обсуждению секретных сведений в мессенджере Signal от редакции The Atlantic (часть 1, часть 2). А если серьёзно, в Signal есть удобная функция приватных псевдонимов, позволяющая пользователям не путать, кого из нескольких JG надо добавлять в чат.

#советы #дайджест @П2Т

Почему надо обновлять не только Chromium.

Прямо вслед за новостью об уязвимости в Chrome и Chromium, свой браузер Firefox пропатчила Mozilla.

Да, Хромиума нет, а уязвимость, получается, есть (была), и она находилась в логике взаимодействия песочницы с ОС, которая у разных браузеров имеет (имела) схожую ошибку.

Напомню, мы недавно обнаружили дыру в Chrome и лежащем в его основе Chromium ( который также используется в Яндекс.Браузере, MS Edge и т.д.).

Уязвимость использовали в реальных атаках на цели в России, судя по всему, достаточно продвинутые хакеры.

В общем, обновляйте и Firefox тоже.

🗣 SOC-битва: коммерческий против гибридного

Когда: 2 апреля 2025 в 11:00 (МСК)

Лёгкое масштабирование или глубокое знание защищаемой инфраструктуры? Зависимость от поставщика или бесконечная погоня за компетентными кадрами? Что дешевле, а что лучше соответствует регуляторным нормам? Все аспекты выбора между стопроцентно сервисной моделью SOC (MSSP) или гибридным вариантом, когда часть функций выполняет внутренняя команда, обсудят руководители ведущих SOC на онлайн-конференции AM-Live!
Детально разберёмся:

▶️ в отличиях гибридной схемы оказания услуг и полностью сервисного MSSP-подхода;
▶️ какой вариант SOC более востребован в РФ, и почему;
▶️ как влияют на выбор отраслевые и законодательные требования;
▶️ в обязательных условиях ответственности и SLA в контракте;
▶️ в затратах на запуск и поддержание SOC в обеих моделях;
▶️ как измерить эффективность гибридного и коммерческого SOC? Будут ли отличия в критериях?


👤 От «Лаборатории Касперского» выступит Сергей Солдатов, руководитель центра мониторинга кибербезопасности

Встречаемся в среду: 2 апреля 2025
Нужна предварительная регистрация.

Узнать о конференции и зарегистрироваться ⟶
#события @П2Т

💻 ВПО с подписями Microsoft — уже в арсенале злоумышленников

В марте на Virustotal обнаружили многочисленные образцы ВПО, подписанные сертификатами, которые выпущены «Microsoft ID Verified CS EOC CA 01» со сроком действия всего трое суток. Такой сертификат можно получить, используя платформу Microsoft Trusted Signing для облачного подписания ПО.

Microsoft запустила Trusted Signing в прошлом году, видимо вдохновившись успехами Let's Encrypt. Цель — предоставить разработчикам недорогой, простой и безопасный способ подписывать свои программы. Подписание проводится в облаке, и разработчики никогда не распоряжаются самим сертификатом. При этом Редмонд подписывает не файл, а его хэш (digest signing), то есть не проверяет содержимое файла.
Короткоживущие сертификаты по задумке должны снизить масштаб проблемы в случае взлома. Когда сертификат истекает, ранее подписанные им приложения считаются легитимными и продолжают запускаться без всяких предупреждений. Но при обнаружении ВПО или иных проблем Microsoft отзывает сертификат-трёхдневку и всё, что разработчики подписали им за три дня, будет считаться недоверенным. Доступ к Trusted Signing стоит 10 долларов в месяц, и для злоумышленников это конечно гораздо лучше, чем хлопотать с кражей или покупкой полноценного EV-сертификата.

При этом сертификаты этого сервиса повышают репутацию подписанного файла для SmartScreen, наравне с EV-сертификатами. Неудивительно, что новыми сертификатами уже щеголяют образцы Lumma Stealer (VT) и других штаммов ВПО.

Microsoft заявила, что уже отозвала сертификаты у известных вредоносных кампаний, но внедрять более строгий фейс-контроль в своём УЦ, видимо, не планирует. Поэтому проверять и корректировать репутацию подписанных бинарников придётся на стороне SOC.

#советы #Microsoft @П2Т

👀 Patch Wednesday: накопилось

Кроме вчерашнего 0day в Chrome, ответственным за управление уязвимостями стоит мобилизовать ИТ-команды для оперативного устранения нескольких разношёрстных, но серьёзных дефектов в корпоративном ПО:

IngressNightmare: 4 CVE в контроллере Ingress-NGINX, который активирован на 41% кластеров Kubernetes, видимых из Интернета. Цепочка четырёх уязвимостей коллективно тянет на CVSS 9.8 и в итоге приводит к RCE без аутентификации. Атакующие могут утащить все секреты, сохранённые в кластере и захватить его в целом. Обычно admission endpoint не стоит выставлять в публичный интернет, доступ к нему нужен только API-серверу K8s, тем не менее, по оценкам Wiz более 6500 корпораций сделали именно это.

CVE-2025-22230 (CVSS 7.8), обход аутентификации в VMWare tools, позволяет выполнять высокопривелегированные операции в гостевой VM на Windows.

Дыра без CVE в CrushFTP 11, позволяющая без аутентификации получать доступ к данным через порты HTTP(S). Вендор стыдливо упомянул о дефекте только в клиентской рассылке, но оперативно устранил дефект и обещал номер CVE попозже.

#новости #уязвимости @П2Т

❗️ Зиродей в Chrome используется в атаках на российских пользователей

Эксперты Kaspersky GReAT обнаружили целевую атаку на представителей СМИ, образовательных учреждений и правительственных организаций, в которой жертв заманивают на вредоносный сайт, эксплуатирующий ранее неизвестную уязвимость Chromium (дефект получил номер CVE-2025-2783). Пользователей Windows после посещения сайта заражали ВПО предположительно с целью шпионажа. Для привлечения жертв использовался целевой фишинг, приглашающий на научный форум «Примаковские чтения».

И уязвимость, и ВПО отличаются высокой степенью изощрённости, поэтому вероятно за атакой стоит APT-группировка, спонсируемая государством. Подробности об атаке и IoC можно прочитать на Securelist, а технический разбор самой уязвимости в Chrome мы опубликуем, когда большая часть пользователей установит обновления.

Мы сообщили об уязвимости в Google и сегодня вышла обновлённая версия Chrome 134.0.6998.177/.178, которую мы рекомендуем незамедлительно установить. На всех компьютерах должно быть установлено надёжное защитное ПО. Решения Kaspersky успешно детектируют эксплойты, использованные в данной атаке.

#APT #уязвимости @П2Т

Астрологи объявляют неделю подорожания зиродеев для Signal и смартфонных ОС.

#ИБ_мем @П2Т

➡️ Интересные исследования APT и новости ИБ за неделю

💡 Отчёт о реагировании на инциденты в 2024 году: детальный разбор профиля атакующих и жертв, излюбленных тактик, техник и инструментов злоумышленников.

🔵Поступают новые подробности атаки на GitHub-процесс tj-actions/changed-file, судя по всему, это было лишь промежуточным звеном в атаке на Coinbase. Что интересно, атакующие, похоже, из Европы (а не как вы подумали, прочитав слово Coinbase).

⚪️Ландшафт угроз для систем промышленной автоматизации. В целом по миру в 4 квартале 2024 число атакованных компьютеров АСУ ТП незначительно снизилось, но в 8 регионах, включая Россию, отмечен рост.

🟡Новая кампания APT Mirror Face/Earth Kasha/APT10 нацелена на японские госорганизации и компании в сфере космоса, консалтинга и СМИ. Используются бэкдор Uppercut/Anel и AsyncRAT.

🔵Группа UAT-5918, пересекающаяся с Volt Typhoon/Flax Typhoon/Earth Estries, атакует тайваньские организации для создания долгосрочного шпионского доступа к локальной сетевой инфраструктуре.

🔵Разбор сложного бэкдора Betruger, применяемого группировкой RansomHub.

🟢Критическая уязвимость CVE-2025-23120 в Veeam Backup & Replication приводит к RCE.

🟢Что может быть хуже «умного лицензирования»? Только эксплуатация злоумышленниками уязвимостей в утилите умного лицензирования, особенно если это Cisco.

🟣На выходных вышло исследование о неприятной уязвимости CVE-2025-29927 фреймворка Next.js, обход аутентификации с CVSS 9.1. В Shodan светится 300 тысяч уязвимых сайтов.

🔵Древний образец ransomware Albabat неожиданно обзавёлся версиями для macOS и Linux.

🟣Отчёт о деятельности артистов вымогателей BlackLock, ранее известных как ElDorado.

🟣Масштабная сеть скомпрометированных сайтов WordPress работает с 2016 года и используется в качестве С2 и TDS. Авторы этого ботнета, названного DollyWay, даже патчат уязвимости на «своих» сайтах и вычищают ВПО конкурентов.

🟢Новый инфостилер SVC, распространяется через фишинг с января, ворует всё что обычно, плюс данные из приватных мессенджеров.

🟣А Arcane stealer распространяется преимущественно через Youtube.

✳️ Не совсем по профилю канала, но пройти мимо не можем: год назад у Keenetic утекли данные мобильного приложения и вот наконец они решили сообщить об этом пользователям. На сервере хранится очень много данных, включая пароли Wi-Fi и ключи VPN.

#новости #APT #дайджест #уязвимости @П2Т

🐧Линуксоиды, уже поставили себе Kaspersky?

Если нет — собрали для вас самое главное в карточках, а подробности — в нашем блоге.

Полезные ссылки к карточкам:
▶️системные требования;
▶️инструкция по установке;
▶️справка Kaspersky для Linux.

Топ-108 телеграм-каналов в ИБ

Сделали с каналом «Пакет Безопасности» второй рейтинг лучших Telegram-каналов в ИБ-отрасли, расширив выборку и добавив новые категории.

Выбирать лучшие каналы нам помогали ИБ-специалисты, PR-специалисты, маркетологи и журналисты ведущих деловых СМИ. Состав экспертного совета, который голосовал за каналы, опубликуем отдельно. Главный критерий по традиции — контент.

Каналы ранжируются по количеству голосов в своих категориях.

Авторские:

1. Пакет Безопасности
2. Пост Лукацкого
3. Сицебрекс! и Sachok
4. Ever Secure и Технологический болт Генона
5. Солдатов в телеграм, BESSEС, Евгений Касперский
6. ZLONOV, Управление уязвимостями и прочее и Топ кибербезопасности Батранкова

Offensive:

1. Похек
2. Red team brazzers
3. Багхантер
4. Кавычка
5. Егор Богомолов
6. Заметки Слонсера и PRO:PENTEST
7. s0i37_chanel
Поросенок Петр
GigaHackers

Defensive:

1. ESCalator
2. README.hta
3. Blue (h/c)at Café и Security wine (бывший - DevSecOps Wine) и Makrushin
4. Disasm.me channel
5. Четыре луча, AppSec Journey и PurpleBear

Mixed:

1. k8s (in)security
2. Кибервойна и Mobile AppSec World
3. Репорты простым языком
4. Сертификат безопасности
5. Кибербез образование, Райтапы по CTF {2025}, ГОСТ VPN | aveselov.ru, PWN AI, Monkey see, monkey do

Микроблоги:

1. Ильдар Пишет
2. Омский Багхантер
3. Банка пывна и Про ИБ с высоты каблуков и Кибербез Андрея Дугина
4. Двое из Кибермаркетинга
5. CyberBox и NA_SOC
6. Защита персональных данных и не только и SbX | Security by Xyurity

Новостные/агрегаторы:

1. SecАtor
2. НеЛукацкий
3. НеКасперский
4. Утечки информации и Порвали два трояна и Offensive Twitter
5. Об ЭП и УЦ
6. Максим Горшенин | imaxai и RUSCADASEC news: Кибербезопасность АСУ ТП

Корпоративные:

1. Kaspersky
2. Red Security
3. Positive Technologies
4. Борьба с киберпреступностью | F6 и BI.ZONE
5. Innostage
6. РТ-ИБ, ИнфоТеКС, Инфосистемы Джет, 3side кибербезопасности и Echelon Eyes
7. CURATOR, Angara Security, InfoWatchOut

Каналы IT-журналистов:

1. Грустный киберпанк
2. КиберBEZправил
3. Radio Tishina
4. Игнатий Цукергрохер
5. Doomtech
6. Убедился корр. ТАСС, Половников и Девочки/Перцева
7. Точксичная цифра, Первый канал, Электро⚡шок, это Жабин

OSINT:

1. Russian OSINT
2. КиберДед official
3. OSINT mindset ( https://t.me/osint_mindset )
4. Интернет-Розыск I OSINT I Киберрасследования ( https://t.me/irozysk )Schwarz_Osint ( https://t.me/Schwarz_Osint )
5. DanaScully ( https://t.me/xbshsuwiow83 ) STEIN: ИБ OSINT ( https://t.me/secur_researcher )network worm notes( https://t.me/nwnotes )BeholderIsHere Media HUB( https://t.me/BeholderIsHereHub )
6. Pandora’s box ( https://t.me/pandora_intelligence )

Юмор/мемы:

1. Cybersecurity memes off ( https://t.me/cybersecurity_memes_off )
2. Bimbosecurity ( https://t.me/bimbosec )и Я у мамы SecMemOps
3. #memekatz (https://t.me/memekatz) и Information Security Memes (https://t.me/infosecmemes)
4. Спасите Нарциссо (https://t.me/savenarcisso) и Memes 365 (https://t.me/bugbountymeme)
5. OTSOSINT (https://t.me/ots0sint) и The After Times (https://t.me/theaftertimes) и Вредные советы по ИБ (https://t.me/badofis)

Специальная номинация: канал «Код ИБ»( https://t.me/codeibnews )

PR Machine https://t.me/PR_machine_Nika

@cybersachok

💻Задача со звёдочкой

Просканировать диски на ВПО — обычная, повседневная задача. Звёздочка повышенной сложности возникает, если объём дискового массива исчисляется десятками терабайт, а просканировать его надо целиком, да так, чтобы пользователи не ощутили снижения производительности. О том, как оптимизировать решение этой задачи и не наступить на типовые грабли вроде «проверка остановилась и ждёт пароль для архива», читайте в нашей статье. Примеры настроек приведены для Kaspersky Endpoint Security, но общая логика советов применима к любым EPP/EDR.

#советы @П2Т

👌 ИИ в SIEM: практические сценарии применения

Не любим размахивать руками в воздухе, поэтому сразу к делу — уже сейчас в KUMA, нашей SIEM, есть три ИИ-инструмента, которые значительно повышают производительность труда аналитика и эффективность внедрения SIEM в целом:

1️⃣▶️приоритизация алертов. Система AI asset risk scoring повышает приоритет предупреждений, которым сопутствует аномальное поведение ИТ-актива;
2️⃣▶️ускорение IR. Языковая модель, например, помогает мгновенно разобраться в конечной цели обфусцированных команд (пример с PowerShell на скриншоте);
3️⃣▶️поиск TI. Нечёткий поиск с помощью LLM позволяет найти и систематизировать релевантные данные киберразведки, располагая любым фрагментом начальной информации, вроде подозрительного имени файла или хэша.

Подробнее (и с примерами!) текущие сценарии использования и перспективы на будущее описаны у нас в блоге.

#советы #SIEM @П2Т

👽 Секреты, секреты повсюду

Тем, кого не впечатлил пятничный переполох с утечкой секретов с GitHub, стоит изучить годовой отчёт GitGuardian, чтобы прочувствовать масштаб проблемы. В 35% приватных репозиториев обнаружены прописанные прямо в код секреты, в публичных репо доля ниже — 4,6%. При этом 70% секретов, обнаруженных в 2022 (!) году, остаются публично доступны.

Можно, конечно, предположить, что люди, сделавшие такую ошибку три года назад, ротировали секреты и больше так плохо не поступают, но на самом деле число новых секретов, обнаруженных за год, выросло на четверть.

Благодаря языковым моделям теперь проще детектировать в исходном коде секреты, не имеющие чёткой структуры: ключи шифрования, сохранённые в виде обычных строк, пароли, нестандартные токены. Они чаще проскакивают через стандартную меру безопасности GitHub (push protection), предупреждающую о публикации кода с секретами. В результате до 58% всех обнаруженных секретов являются неспецифичными. А вот число репозиториев с токенами OpenAI и ключами GitHub наоборот снизилось.

Чаще всего в публичных репо GitHub находили реквизиты доступа к MongoDB, API-ключи Google и токены телеграм-ботов. А в приватных репозиториях всё иначе: лидируют строки подключения к ODBC. 🤪 Весь хит-парад — на иллюстрациях.

Из любопытных и практически применимых наблюдений в отчёте:
🌚 в Slack и прочих корпоративных чатах секреты обнаруживаются на 23% чаще, чем в платформах управления исходным кодом;
🌚 сканирование образов Docker показало, что 98% секретов живут в небольших (и предположительно позднейших) слоях образов, то есть их можно обнаружить только детальным сканированием образов;
😑в репозиториях, владельцы которых активировали Copilot, 🤖 секреты встречаются на 40% чаще. Вайб-кодинг имеет свою цену.

#статистика @П2Т

🐱 Опасная уязвимость в Apache Tomcat эксплуатируется вживую.

Опубликованная неделю назад CVE-2025-24813 в Apache Tomcat версий 9, 10 и 11 обзавелась публичным PoC. Атака основана на стандартном механизме сохранения сессий в Tomcat и состоит из двух частей: сначала злоумышленник загружает методом PUT сериализованный сессионный файл Java, а затем инициирует десериализацию с помощью GET, указывая в куки идентификатор вредоносной сессии. В результате без всякой аутентификации достижима RCE на сервере со всеми вытекающими следствиями. Единственное ограничение атаки — на сервере должно быть включено хранение сессий в файлах, но это довольно популярная настройка, поэтому попытки массовой эксплуатации неизбежны. Более подробно уязвимые настройки разобраны здесь.

Первые попытки эксплуатации уязвимости зарегистрированы всего через 30 часов после публикации бюллетеня Apache, а с появлением публичного PoC обновление Tomcat стало критической необходимостью. В качестве временной митигации можно отключить разрешения на запись для стандартной конфигурации сервлетов (параметр readonly в conf/web.xml) или отключить частичный PUT (allowPartialPut=false).

#новости #уязвимости @П2Т

☝️ Поговорим об инцидентах: изобретения злоумышленников против передовых практик реагирования

Как мы и обещали, эксперты глобальной команды реагирования на киберинциденты (GERT) «Лаборатории Касперского» готовы поделиться статистикой и уроками, извлечёнными при IR в 2024 году. Наш ежегодный отчёт по IR — это предельно практичный материал, помогающий защитникам уточнить профиль угроз для своей организации и сделать конкретные улучшения в методах обнаружения угроз и реагирования на них.

На вебинаре 20 марта обсудим самое важное в отчёте:
🔵 какие регионы и отрасли находились в эпицентре угроз;
🔵 инструменты и практики, помогающие оперативному и полному реагированию;
🔵 новые TTPs злоумышленников, рост и падение популярности различных инструментов атаки;
🔵 как повысить уровень защищенности компании.

И конечно, ответим на вопросы слушателей!
Встречаемся в этот четверг, 20 марта, в 11:00 (мск).

P.S. А ещё, 20 марта станет доступна версия отчёта на русском языке, которую получат все зарегистрированные участники!

Зарезервировать место на вебинаре⟶

#события @П2Т

🌎 Атаки на девопсов, расшифровка Akira и другие интересные исследования APT и новости ИБ за неделю

🟢 Разбор новых TTPs группировки Head Mare, атакующей российские компании. Теперь явно видно, что Head Mare и Twelve сотрудничают — первая использует инструменты и С2 второй.

❗️ Атаки на цепочку поставок теперь и у девопсов. В пятницу популярный скрипт GitHub Actions tj-actions/changed-files был троянизирован для кражи секретов. Это действие используется в 23 тысячах проектов на GitHub. Администрация заблокировала changed-files в субботу и помогла восстановить чистую версию этого действия. Секреты записываются в журнал сборки проекта (build log), поэтому для приватных репо риск утечки ниже, а вот публичным проектам теперь нужно провести ротацию секретов. Инцидент даже получил свою CVE.

🟣Разбор бэкдоров UNC3886, используемых для компрометации старых роутеров Juniper MX.

🟣Новая неделя — новое ВПО из недр APT37, новый кроссплатформенный имплант получил название KOSpy.

🟣Хорошие новости для жертв Akira. Потратив пару тысяч долларов на GPU-вычисления в ряде случаев можно восстановить то, что пошифровано в кластере ESXi.

🔵С прошлой недели идёт массовая эксплуатация (старых) уязвимостей SSRF в дюжине популярных приложений: vCenter, Zimbra, Ivanti Connect Secure, GitLab CE/EE и других.

🔴Разбор бэкдора Anubis, применяющегося группировкой FIN7.

🟠Обзор экзотического ВПО, встречавшегося в живой природе за последний год: пассивный бэкдор в IIS, буткит, отдалённо похожий на изделия Equation Group и редтим-инструмент ProjectGeass.

🟡Анализ инструмента Bruted, используемого понятно для чего вымогателями BlackBasta.

⚪️И технический анализ шифровальщика LockBit Green (v4).

🟣Новый способ распространять бэкдор DCrat: в основном через YouTube.

⚡️Прошедшая неделя была богата на критические уязвимости и срочные патчи: 3 зиродея в VMWare, 6 — в Windows, 3 критические уязвимости в GitLab, Fortinet выкатила бюллетени на 9 дефектов в различных продуктах и обновила пяток уже известных бюллетеней.

#APT #дайджест #уязвимости #новости @П2Т

Все слышали про атаку MitM, но не все знают, что это означает Mouse in the Middle.

#ИБ_мем @П2Т

🥸 Как страшно жить Важные новости личной ИБ и конфиденциальности

🟢 Конец мощным адблокерам: следом за Chrome расширения Manifest V2 отключает Edge. Серьёзная защита от слежки и рекламы теперь только в Firefox и его форках (ну и отчасти в Safari на macOS/iOS).

🟢Кстати, о Firefox — новый ToS Mozilla намекает на возможности использования пользовательских данных. Сколько в этом плохого выбора слов, а сколько зловещих замыслов продаться рекламодателям, покажет будущее.

🟢И ещё о Firefox — пользователям очень старых версий нужно до 14 марта обновиться хотя бы до 128-й. Истекающий корневой сертификат сделает невозможным обновление, воспроизведение DRM-контента и работу расширений.

🟢В мае прощаемся со Skype. Скучать не будем, но переходить на замену в Teams тоже не тянет.

🟢Вышел Chrome 134. Из интересных новшеств — на Android локальная LLM анализирует попытки показать всплывающее оповещение и подавляет мошеннические сообщения. Также началось внедрение технологии Device Bound Session Credentials, которая должна помешать краже куки.

🟢А в Android постепенно раскатывается локальный (on-device) анализатор мошеннических сообщений и звонков. Он идентифицирует попытки мошенничества и предлагает прервать общение. LLM анализирует именно содержимое разговора, и только для общения с незнакомцами.

🟢С помощью вредоносного ПО можно превратить Bluetooth-устройство на базе Windows, Linux или Android в маячок AirTag. Дальше за владельцем можно следить через Find my iPhone. Apple устранила дефект в декабре, но пока большинство iPhone не обновятся, атака продолжает быть практически применимой.

🟢Пользователей 1Password атакуют фишинговым письмом, требующим срочно сменить мастер-пароль, якобы из-за утечки.

🟢Постепенно упрощается одна из главных проблем ключей доступа (passkeys) — жёсткая привязка к одной экосистеме. Теперь Google Password Manager успешно работает с passkeys на iOS. А для тех, кто решил покинуть мирок Google целиком, в менеджере появилась опция удалить все сохранённые ключи разом (редакция в шоке, что раньше это было невозможно).

🟢С февраля рекламная сеть Google разрешает рекламодателям считывать цифровые отпечатки браузера, включая IP-адреса. Ждём роста загрузок у браузеров с активным противодействием фингерпринтингу.

#новости #Азбука_ИБ #дайджест @П2Т

☝️ Реагирование на инциденты: уроки 2024-го

Промышленный конвейер из кражи действующих аккаунтов и их использования в атаках ransomware набирает обороты. Среди инцидентов, к реагированию на которые привлекали экспертов «Лаборатории Касперского» в 2024 году, доля атак вымогателей достигла 42%, а легитимные учётки были вектором начального проникновения в 31% случаев.

Если сопоставить результат атаки и способ проникновения в организацию, то именно украденные учётные записи чаще всего приводят к атакам шифровальщиков. Если рассматривать все атаки, самым популярным вектором проникновения по-прежнему является эксплуатация публично доступных приложений, а атаки через доверенные отношения набрали вес, но добрались лишь до третьего места.

Серьёзной проблемой даже для зрелых ИБ-команд стали скоростные атаки вымогателей, где от начального проникновения до шифрования файлов проходит менее 1 дня. Атакующие не стремятся к скрытности и эксплуатируют широко известные и легко обнаруживаемые проблемы безопасности.

В мировом масштабе инциденты чаще всего происходили в промышленных, государственных и финансовых организациях.

Эксперты рекомендуют простые, но действенные средства, чтобы противостоять атакующим:
🔵продуманная парольная политика и обязательная многофакторная аутентификация;
🔵удаление управляющих консолей и портов из открытого доступа;
🔵строгая политика патч-менеджмента;
🔵создание правил детектирования популярных инструментов атакующих;
🔵регулярные мероприятия по оценке компрометации;
🔵внедрение EDR-телеметрии в стек инструментов ИБ;
🔵регулярное создание резервных копий, которые затруднительно удалить атакующим;
🔵ролевая система управления доступом (RBAC);
🔵привлечение экспертов по IR для гарантированно быстрого реагирования.

Подробности о TTPs атакующих, самых популярных инструментах, разворачиваемых в атакованной сети, и типовых сценариях их использования, можно изучить в полной версии отчёта.

А если вы хотите задать вопросы непосредственно авторам отчёта, то эта возможность будет очень скоро — на вебинаре, о котором мы объявим дополнительно.

#статистика #IR @П2Т

❗️ Весенний урожай патчей: 7 зиродеев от Microsoft

Мартовский Patch Tuesday не поражает числом устранённых уязвимостей — их 57, но аж 7 были известны до публикации бюллетеней и 6 (!) из них находились в реальной эксплуатации. Ни один из зиродеев не имеет рейтинг критического, зато эту оценку получили шесть других дефектов, все приводят к RCE.

Из общего числа устранённых дефектов 23 приводят к RCE, 23 — к повышению привилегий, по 4 — к спуфингу и утечке информации, 3 — обходу функций безопасности.

Активно эксплуатируемые уязвимости
CVE-2025-26633 (CVSS3 7.0) — самый понятный из зиродеев, обход функций безопасности в Microsoft Management Console. Пользователь может без «лишних» подтверждений запустить вредоносный .msc-файл. Уязвимость по данным ZDI эксплуатировалась в ransomware-атаках EncryptHub.

CVE-2025-24993 и -24985 (CVSS 7.8) — приводят к выполнению произвольного кода, если на компьютере подключить вредоносный образ диска (VHD). Первый дефект кроется в драйвере NTFS, второй — в драйвере Fast FAT FS.
CVE-2025-24984 и -24991 (4.6 и 5.5) тоже являются уязвимостями в NTFS и приводят к утечке информации.

Где и как использовали эти 4 уязвимости, увы, неизвестно. Благодарности адресованы анонимному исследователю. Вероятно, все они были частью одной атаки.

CVE-2025-24983 (7.0) — уже классическое повышение привилегий до system через Win32.

Уязвимость CVE-2025-26630 (7.8) — это RCE в MS Access, срабатывающая при открытии вредоносной БД. Из панели предварительного просмотра она не срабатывает. Уязвимость найдена гигантскими боевыми роботами Unpatched.ai.

Переходя к уязвимостям, которые стоит оперативно устранить, несмотря на (временное) отсутствие реальной эксплуатации, выделим CVE-2025-24035 и -24045 (8.1). Оба являются RCE в Remote Desktop Services, комментарии излишни.

Вишенка на торте — RCE в клиенте Remote Desktop, срабатывающая при подключении к вредоносному серверу RDP (CVE-2025-26645, 8.8)

Не до конца понятен механизм работы CVE-2025-24084 (8.4) в WSL2. Нажатие жертвой на вредоносную ссылку, а в худшем случае — просто получение вредоносного email приводит к выполнению вредоносного кода в контексте ядра подсистемы Linux. Должен ли почтовый клиент работать в среде Linux, или достаточно, чтобы WSL2 была активна в Windows, неясно.

Последним критическим дефектом является RCE в Office, срабатывающая даже через панель предварительного просмотра. Однако Microsoft оценивает эксплуатацию CVE-2025-24057 как маловероятную.

Призовая игра:
Adobe выпустила бюллетень, в числе прочего устраняющий 8 дефектов в Reader, 6 из которых имеют рейтинг критических, все приводят к RCE).

Ну а Apple срочно обновляет Safari на всех своих платформах, чтобы устранить CVE-2025-24201 в WebKit, используемую в «очень сложных целевых атаках».

Нескучной всем недели!

#новости #уязвимости #Adobe #Microsoft #Apple @П2Т

🖥 Год борьбы с security debt

Половина компаний, создающих хоть какое-то ПО, имеют критический «ИБ-долг», причем 70% долга связано с использованием стороннего кода. Согласно отчету Veracode 2025 State of Software Security, с 2020 года процент приложений с уязвимостями высокой степени серьёзности увеличился на 181%.

Желающим изучить, откуда берётся ИБ-долг и как компании с ним (не) борются, прилагаем полную версию отчёта, а здесь сосредоточимся на практических рекомендациях авторов:

1. Обеспечьте полную обзорность в вашем процессе безопасной разработки
Автоматизируйте непрерывное сканирование на всех этапах SDLC, чтобы выявлять новые уязвимости до публикации кода в действующее приложение. Интегрируйте SAST, DAST и SCA, чтобы отслеживать код прямо во время его написания. Раннее выявление помогает предотвратить накопление рисков. Компании, где используются автоматизированные инструменты, улучшили показатели успешного прохождения OWASP Top 10 на 63%.

2. Используйте AI для автоматизации устранения уязвимостей
Применяйте ИИ для автоматической приоритизации и устранения менее сложных уязвимостей. ИИ-инструменты ускоряют исправление простых, повторяющихся ошибок, позволяя специалистам сосредоточиться на более сложных задачах. Команды, использующие ИИ, добились значительного сокращения среднего «времени полураспада» уязвимостей — то есть периода, за который устранена половина дефектов.

3. Реализуйте политику Secure-by-Design
Разрабатывайте и внедряйте политики разработки, которые требуют соблюдения безопасных практик программирования. Используйте рекомендации OWASP в качестве базового стандарта при проведении код-ревью, чтобы обеспечить интеграцию безопасности на ранних этапах разработки.

4. Приоритизируйте устранение уязвимостей высокого риска
Создайте процесс, который выделяет и устраняет 8% уязвимостей с наивысшими показателями серьезности и эксплуатируемости. Используйте модели оценки рисков для приоритетного исправления критических уязвимостей перед менее важными. Это устраняет большую часть реальных рисков при вложении ограниченных ресурсов.

5. Выделяйте время в спринтах на инициативы по снижению «ИБ-долга»
Резервируйте часть каждого спринта для устранения security debt. Назначайте «чемпионов безопасности» внутри команд разработчиков, которые будут фокусироваться исключительно на устранении ключевых уязвимостей.

6. Обеспечьте безопасность сторонних и open-source компонентов
Проактивно сканируйте и отслеживайте сторонний код, чтобы предотвратить внедрение компонентов, которые могут добавить значительные риски. (от редакции: звучит красиво!)

7. Адаптируйте стратегии под возраст и язык ваших приложений
Учитывайте в планах устранения уязвимостей специфику языка программирования и возраст приложений. Уделяйте особое внимание крупным и старым кодовым базам, в них чаще накоплен значительный ИБ-долг, что делает их очевидной целью для улучшений.

#советы #уязвимости @П2Т

🗣Реагирование на инциденты: процессы и люди

Тема IR неисчерпаема, как и атом 😏, но наиболее интересен в ней организационный аспект. Как нужно готовить команды к инциденту, как распределять ответственность и полномочия между ИБ, ИБ и АСУ ТП? Что делать, и чего не стоит делать в случае регистрации инцидента? Об этом поговорят и поспорят практики на онлайн-конференции AM-Live!

Обсудим:
▶️ как процесс реагирования должен быть формализован в плане;
▶️ ключевые компетенции, необходимые членам команды реагирования;
▶️ какие виды тренингов и киберучений наиболее эффективны для подготовки команд;
▶️ можно ли частично или полностью доверить реагирование внешней команде?
▶️ какие требования законодательства необходимо учитывать при реагировании на инциденты;
▶️ на каких этапах реагирования можно использовать ML и ИИ.

👤 От «Лаборатории Касперского» выступит Константин Сапронов, руководитель отдела оперативного решения компьютерных инцидентов.

Встречаемся в среду, 12 марта в 11:00 (МСК).
Нужна предварительная регистрация.

Узнать о конференции и зарегистрироваться ⟶
#события @П2Т

▶️ Атаки на мореходство и атомную энергетику, ransomware через камеру, и другие интересные исследования APT за неделю

🟢Описанная нами в прошлом году APT SideWinder расширила географию своих интересов, особенно в Африке. Но также замечены атаки в Австрии, ОАЭ, Азии и других регионах. Цепочка заражения по-прежнему включает фишинг с документами, использующими старую CVE в Office, а завершает установкой сложного импланта StealerBot, работающего только в оперативной памяти. Эту APT интересуют дипломатические организации, а также атомная энергетика и судоходство.

🔴Детальный разбор свежих TTPs, используемых группировкой Silk Typhoon. Они компрометируют облачных провайдеров, MSP, поставщиков систем управления привилегиями, чтобы в дальнейшем взломать их клиентов из индустрий, интересных этой APT. Как правило пытаются украсть API-ключи и реквизиты доступа, чтобы скомпрометировать облачные среды и украсть данные без ВПО, но также активно используют веб-шеллы. Целью всех активностей является шпионаж.

🟠Анализ мобильных угроз по итогам 2024 года: в целом продолжает доминировать рекламное ПО, но растет число серьёзных финансовых угроз, таких как заражения банкером Mamont и ВПО для MitM-атак на бесконтактные платежи.

🟡Множество вредоносных сайтов распространяют ВПО под видом несуществующего официального клиента для DeepSeek и Grok. Ещё один серьёзный вектор доставки инфостилеров в организацию.

⚪️Интересная шпионская атака на организации в ОАЭ, связанные с авиацией и спутниками. В ней применяются файлы-полиглоты, склеенные из двух кусков. Они могут интерпретироваться и как PDF, и как ZIP. В конечном счете разворачивается новый бэкдор Sosana, написанный на Golang.

🔵Подробный разбор (частично) прихлопнутого на прошлой неделе ботнета Badbox 2.0. Заражённые Android-устройства применяются для рекламного мошенничества и в качестве сети домашних прокси, в том числе для целевых атак.

Новые штаммы ransomware и новые группировки:
🟢 Boramae
🟢 Ebyte
🟢 SECP0

И новости о старых группировках:
🔵FunkSec якобы создали ВПО на Rust с помощью ИИ
🔵применение BackConnect бандами BlackBasta и Cactus.
🟣Akira пошифровала жертву, сначала заразив IP-камеру (зачем IP-камере полноценный доступ к серверам организации, в посте не написано).

🟣Атаки на организации в Японии при помощи RCE в Windows-версии PHP, у жертв разворачивают кит TaoWu на базе CobaltStrike.

🟣Мельница ВПО в репозиториях open source продолжает крутиться: вредоносный пакет в PyPi ворует Ethereum.

🔵Исследование: с помощью ВПО можно превратить Bluetooth-устройство на базе Windows, Linux или Android в маячок AirTag. Дальше за владельцем можно следить через Find my iPhone. Apple устранила дефект в декабре, но пока большинство iPhone не обновятся, атака продолжает быть практически применимой.

🔵DDoS-ботнет Eleven11bot продолжает разрастаться, пока 86 тысяч заражённых устройств.

🟡Новые атаки на организации в ЕС при помощи RemcosRAT: на последнем этапе заражения скрипты Powershell используются для обхода детектирования AMSI и журналирования ETW.

🟢Лонг-рид про Scam empire: крупную сеть легальных, полулегальных и нелегальных маркетинговых компаний и колл-центров в Европе, преимущественно выманивающих крипту у жертв под видом инвестиций.

#APT #дайджест @П2Т

⌨️ Угон $1,4 млрд и другие приключения Lazarus

Когда мы начали снимать это огненное видео про историю группировки (или вернее кластера угроз) Lazarus, о рекордном ограблении Bybit в их исполнении ещё не было известно. Поэтому в последний момент видео стало длиннее ещё на восемь захватывающих минут 🙈. А ещё эксперты GReAT вспомнили все этапы большого пути предположительно корейских хакеров, рассказали, чем отличается Bluenoroff от Andariel, почему им не удалось ограбить ЦБ в Бангладеше, и как Lazarus связаны с Wannacry.
Вишенка на торте — рассказ о разработке «Лазарями» настоящей компьютерной игры, использовании зиродеев и трудоёмкой социальной инженерии.

Эксперты выпуска:

⏺Александр Гостев, главный технологический эксперт;
⏺Борис Ларин, ведущий эксперт GReAT по исследованиям угроз;
⏺Василий Бердников, ведущий исследователь кибербезопасности GReAT;
⏺Соджун Рю, эксперт GReAT.

🗣 Ведущий, автор и продюсер — Артём Кулаков

Видео длинное, но очень живое, час пролетает незаметно. Рекомендуем на выходные!
🎬 Смотреть: Rutube, Youtube.

#APT #видео

Редкие кадры: сервис MDR обнаруживает активность, впоследствии квалифицированную как insider threat:

#ИБ_мем @П2Т

👀 Корпоративные данные в логах инфостилеров

Инфостилеры остаются серьёзной угрозой для безопасности компаний, и она реализуется в нескольких сценариях. Например, в виде кражи нерабочей учётной записи, которая привязана к рабочему email. Это далеко не экзотика — свежий анализ, проведённый командой Kaspersky Digital Footprint Intelligence, показал, что 7% утёкших учётных записей Netflix, Roblox и Discord были зарегистрированы на корпоративный email. А если поискать в утечках email из доменов банковского сектора, окажется, что сотрудники регистрируют на рабочий адрес стриминговые сервисы, соцсети, маркетплейсы и даже «клубничный» контент.

Злоумышленники могут использовать данные этих учёток при подборе пароля уже к рабочим аккаунтам, а также использовать полученную информацию для целевого фишинга.

К сожалению, в опубликованных в даркнете логах инфостилеров, на которых основан этот анализ, по-прежнему встречается значительный процент данных, собранных с Windows 10 Enterprise. Это означает, что компании не спешат обновляться на свежие версии Винды, и, что более существенно, зачастую не могут соблюдать базовые политики ИБ, препятствующие запуску и полноценной отработке инфостилеров на корпоративных устройствах.

Полную статистику по ОС и другие тренды можно посмотреть без регистрации и SMS на сайте.

#угрозы #статистика @П2Т

✊🔥 Как выглядит наш NGFW и что умеет?

Мы уже шутили на тему NGFW, а теперь настало время для серьёзного технического материала. Переложили PoC Guide первой версии нашего NGFW в формат видео.

Кликайте в плейлист на Rutube или Youtube и узнайте:

🟢 как работает система IDPS для предотвращения сетевых вторжений;
🟢 как работает расшифровка TLS-трафика на базе самоподписанного CA-сертификата и DPI-движок для классификации приложений и сервисов;
🟢 как управлять учетными записями, а также лицензиями системы Open Single Management Platform (OSMP);
🟢 как контролировать трафик на основе IP-адресов и портов и анализировать состояние соединений;
🟢 как настраивать сетевые интерфейсы Management Plane и Data Plane, а также подключать Kaspersky NGFW к OSMP;
🟢 как локальная БД и облачная система KSN помогают определять репутацию хешей неизвестных файлов, IP-адресов и URL в режиме реального времени;
🟢 как работает классификация URL и ограничения доступа на её основе;
🟢 какие возможности DNS Security позволяют инспектировать DNS-трафик и фильтровать DNS-ответы в случае запросов к вредоносным ресурсам.

Все видео довольно короткие — от 4 до 17 минут. Приятного просмотра!

#видео #NFGW @П2Т

❗️ Три зиродея в VMWare

Broadcom разразилась срочным бюллетенем и обновлениями для устранения трёх дефектов, позволяющих злоумышленнику сбежать из виртуальной машины и запустить свой код в гипервизоре. CVE-2025-22224, -22225 и -22226 имеют CVSS 9.3, 8.2 и 7.1 со статусом критических. Производитель лаконично сообщает о возможной эксплуатации уязвимостей в реальных атаках. В прошлом дефектами в VMWare пользовались все категории атакующих — от азиатских шпионских APT до вымогателей.

Дефекту подвержены VMware ESXi, VMware Workstation Pro / Player, VMware Fusion, VMware Cloud Foundation и VMware Telco Cloud Platform. Для устранения уязвимостей выпущены патчи для всех подверженных продуктов, производитель не предлагает других способов митигации.

#новости #уязвимости @П2Т

🗣 Как противостоять новым угрозам на промышленных объектах

Целевые атаки на промышленную инфраструктуру становятся разнообразней и сложней. В конце года мы обнаружили атаку на атомную промышленность, в феврале серии атак подверглись индустриальные мишени в АТР. О том, чего добиваются злоумышленники, как они действуют, а главное — как им эффективно противостоять, поговорим на онлайн-стриме 6 марта! Что в программе:

▶️обсудим статистику атак на промышленные компании;
▶️разберём свежие инциденты;
▶️поговорим об особенностях промышленного XDR;
▶️изучим новые возможности Kaspersky Industrial CyberSecurity;
▶️обсудим следующие шаги к OT CyberSecurity — как пройти путь от XDR-платформы до целостной и взаимосвязанной системы промышленной кибербезопасности.

И конечно, будут ответы на вопросы!
Встречаемся в четверг, 6 марта 2025 в 11:00 (МСК).

Зарезервировать место на стриме⟶

#события @П2Т

➡️ Интересные исследования APT и новости ИБ за неделю

🟣Эксплойты и уязвимости в Q4 2024 — число дефектов выросло, а вот PoC стало меньше.

🟣Итоги 2024 года от CrowdStrike: к западу от Атлантики тенденции похожи на наши. На треть выросло число человекоуправляемых атак, вишинг вырос на 440%, а превоначальный доступ как сервис стал в полтора раза популярнее.
(спойлер: ничего хуже битого обновления в отчёте не нашлось).

🟣Разбор случая с инфицированием сервера веб-шеллом Behinder (aka Rebeyond, aka 冰蝎) демонстрирует общую тенденцию. Шеллы постепенно разрослись до уровня полноценного постэксплуатационного фреймворка.

🟣Если ваша компания раньше пользовалась Google Workspace, а потом ещё и сменила домен по любым причинам, возможно ценные данные всё ещё хранятся в недрах Google и их могут захватить посторонние. Разбираем угрозу и шаги противодействия.

🟣Атаки на тайваньские кампании используют целевой фишинг и сложное ВПО Winos 4.0, атакующие занимаются шпионажем.

🟣Разбор новых активностей APT Dark Caracal, нацеленных на пользователей в Латинской Америке.

🟣Новый DDoS-ботнет eleven11bot стал инструментом рекордной атаки с пиковым объёмом 6,5 Tbps.

🟣Ещё один список IP-адресов сервиса Astrill, которым предположительно пользуются участники Lazarus.

🟣Российских пользователей заражают на GitHub инфостилером Redox. Угроза охватывает более 1000 репо, посвящённых читам для игр и другим бытовым темам.

🟣Тем временем в мире npm всё стабильно: снова обнаружено около сотни вредоносных пакетов.

🟣Увлекательное чтение: некоторые технические детали о работе Великого Китайского Файрвола.

#APT #дайджест @П2Т

🎚 Лучшие посты февраля

Собрали самое ценное и интересное за месяц — эти материалы помогут выстроить эффективные процессы и системы в ИБ. Если вы пропустили их в спешке, самое время почитать! 🤗

🟣новое Likho и целевой фишинг в адрес российских компаний;
🟣роль ИБ-профессий в отчёте ВЭФ Future of Jobs;
🟣подробное руководство по поиску вредоносных изменений групповых политик;
🟣обновление тематик фишинга — что стоит внести в курсы и тренинги;
🟣инфостилеры прорвались в App Store;
🟣тепловая карта TTPs атакующих и другая статистика из нашего сервиса MDR;
🟣как победить разрастание бэклога ИБ-команды;
🟣вся правда о внедрении SIEM в очень крупной российской компании;
🟣разбираем новые подходы в сетевой безопасности для тех, кто наконец похоронил периметр;
🟣от ИИ люди глупеют, слежка в мобильной рекламе практически неотключаема, и другие новости личной ИБ.

#советы #дайджест @П2Т

🚫 Если вы думаете, что хакерам неинтересен малый и средний бизнес, то у нас плохие новости. На самом деле МСБ — одна из самых уязвимых мишеней.

Минимальная защита, слабая осведомленность сотрудников и вера в «авось» — всё это делает небольшие компании лёгкой добычей для атакующих.

В материале для ИНК. разбираем самые распространённые ошибки предпринимателей:

🟢 Почему «у нас и красть нечего» — это миф?
🟢 Как одна утечка данных может похоронить бизнес?
🟢 Можно ли слепо доверять IT-специалисту вопросы безопасности?

Больше на тему ИБ в МСБ — в статье.

🎁 Как опробовать KasperskyOS

Хотя KasperskyOS уже внедрена в самые различные устройства — от промышленных роутеров до тонких клиентов, число тех, кто ещё не успел с ней познакомиться, достаточно велико. Но интерес есть, и нас часто спрашивают, где и как её изучить поближе.

Всем, кому это интересно, предлагаем познакомиться с KasperskyOS Community Edition SDK (KasperskyOS CE SDK). Это общедоступная версия KasperskyOS, на которой можно изучить основные принципы разработки безопасных решений, основываясь на подходе Secure by Design.

Подчеркнём, что она остаётся микроядерной ОС для подключенных к Интернету систем с особыми требованиями к кибербезопасности, а не замена линуксов на домашнем компьютере 🤪

Подробный разбор архитектуры системы, совместимого «железа» и процесса установки разобран на Хабре, а краткий обзор свежей версии и ссылку на загрузку SDK можно получить на сайте KasperskyOS.

@П2Т

✅ Экономические выгоды облачной безопасности

Крупные компании тратят до 80% своих ИТ-бюджетов и времени на обслуживание техдолга и поддержку старого ПО. Исследования показывают, что результате перехода к современным ИТ-архитектурам бизнесу удаётся высвободить много ресурсов на инновации и стать более конкурентным.

А при чём здесь ИБ? Если грамотно провести трансформацию, то процессы и системы ИБ органично встраиваются в ИТ-разработку, и ИБ-команда сэкономит массу ресурсов на отслеживании и применении политик ИБ, сканировании уязвимостей, ресурсах SOC при мониторинге облачных сред и даже реагировании на инциденты.

Разобрали воодушевляющие цифры и привели примеры конкретных технологий в статье в блоге.

#советы #CISO @П2Т

🗣Защита от DDoS — выбираем осознанно

Организовать мощные атаки DDoS стало пугающе просто и дёшево, поэтому защищаются от этой угрозы практически все компании, у которых есть ИТ-сервисы. Но очень часто они выбирают «коробочную» защиту от своего хостинг-провайдера или телеком-оператора, которая в ряде случаев не решает поставленную задачу. Как выбрать подходящий облачный сервис защиты от DDoS и какие особенности сравнивать? Об этом поговорят и поспорят эксперты на онлайн-конференции AM-Live!

Темы:
▶️ независимые провайдеры vs подразделения операторов связи: в чём принципиальные отличия?
▶️ как встать под защиту? Существующие режимы подключения;
▶️ как комбинировать и правильно настроить совместную работу защиты от DDoS с услугой CDN;
▶️ какой уровень SLA гарантируют провайдеры и что будет, если защита всё же ляжет?
▶️ какие методы обнаружения и защиты от DDoS-атак являются наиболее эффективными в 2025 году;
▶️ каверзные вопросы сервис-провайдерам. Что должен спросить заказчик перед заключением договора?

👤 От «Лаборатории Касперского» выступит Вячеслав Кириллов, менеджер по продукту.

Встречаемся в среду, 5 марта в 15:00 (МСК).
Нужна предварительная регистрация.

Узнать о конференции и зарегистрироваться ⟶
#события @П2Т

👽 Невидимый Unicode в реальных атаках

Хотя существование многочисленных невидимых символов в Unicode не является тайной, их практическое применение в ИБ стало заметно лишь недавно. Раньше злоумышленники в основном эксплуатировали омоглифы в Unicode для создания фишинговых адресов или обмана контент-фильтров, но недавний инцидент с целевым фишингом показал, что теперь у злодеев дошли руки и до скрытого текста. В описанной атаке вредоносная нагрузка JavaScript была скрыта в череде контрольных символов Unicode, каждый из которых переключает отображение между половинной и полной шириной символов корейского алфавита, Hangul. Эти символы имеют нулевую ширину и не влияют на отображение обычной латиницы. При ручном просмотре вредоносного HTML-кода полезная нагрузка вообще не заметна, и только с помощью hex-редактора или иного инструмента можно заметить подвох.

Недостатком этого метода является то, что каждый невидимый символ кодирует всего один бит информации, поэтому вредоносный скрипт сильно раздувает размер HTML. Интересно, что атака была описана ИБ-исследователями лишь в октябре в статусе PoC, и почти сразу была замечена в арсенале злоумышленников.

Глядя на такую оперативность, предположим, что усовершенствованная техника Emoji Smuggling, описанная в феврале, тоже скоро найдётся в реальных атаках. Здесь используются 256 невидимых символов Unicode, называемых variation selectors. Они должны описывать модификацию предыдущего видимого символа, но для многих знаков Unicode, например эмоджи, вариации не описаны. Поэтому селектор, «приклеенный» к эмоджи, никак не меняет отображение смайлика, и не виден сам. При этом к одному видимому символу можно приклеивать неограниченное число селекторов, запрятав там хоть целый текст (протестируйте этот смайл в декодере 😎󠄻󠅑󠅣󠅠󠅕󠅢󠅣󠅛󠅩󠄐󠅢󠅥󠅜󠅕󠅪 ). И здесь раздувание размера файлов уже не будет таким очевидным, поскольку он растёт ровно на число скрытых символов.

Эти методы стеганографии при всей своей простоте требуют учёта в целом ряде процессов ИБ — от настроек DLP до спам- и веб-фильтров.

#новости #угрозы @П2Т

🥳 Автодятлу первой ML-системе «Лаборатории Касперского» исполнилось 20 лет

Задолго до ИИ-аналитика в нашем SOC и языковой модели, помогающей находить релевантные IoC в сервисе Kaspersky Threat Lookup, мы придумали и внедрили один из первых в индустрии механизмов автоматизированной классификации ВПО, который обрабатывал новые образцы и создавал для них правила детектирования. Звучит скучновато, если не знать, что было это в 2005 году, когда эти самые правила писало всего пять человек, включая самого Евгения Касперского.

Узнать, как всё начиналось и посмотреть на музейные редкости диаграммы, сопровождавшие проектирование первого ИИ-аналитика ВПО, можно в посте Евгения Касперского.

#события @П2Т

🤯 Новые целевые атаки на РФ, разоблачения «APT-старожилов» и другие интересные новости ИБ за неделю

🔎 Новый сезон атак на российские организации открыла группировка Angry Likho/Sticky Werewolf. Целевой фишинг с вредоносным вложением приводит к установке Lumma Stealer, судя по тематике приманок, целятся в основном в российские госучреждения.

🤔 Увлекательный материал с пересказом всего, что китайские ИБ-компании писали в отношении Equation Group. Кроме IOC и обширного описания TTPs атакующих, интересны наблюдения за тем, как китайские компании сотрудничают и используют оригинальные методики реагирования на инциденты.

🔵Другой разбор APT со стажем 10+ лет связал группировку Stately Taurus с пожилым модульным ВПО Bookworm.

❕ GitVenom — новая кампания по распространению троянизированного ПО на GitHub. Примечательна языковым разнообразием и качеством приманок. Найдены сотни проектов на C++, C#, Python и JS, отличающиеся методами обфускации. Все они снабжены качественным описанием, имеют много звёзд и коммитов.

🟢Детальный анализ TTPs группы Salt Typhoon при атаке на телеком-операторов через роутеры Cisco. В атаке преимущественно используется LotL и старые уязвимости, но также замечен инструмент JumbledPath, позволяющий захватывать пакеты, проходящие через скомпрометированное устройство.

🌚 Аж два разбора предположительно северокорейской кампании с фальшивыми собеседованиями для разработчиков: один про ВПО для macOS, второй про общую конструкцию кампании и импланты для всех ОС.

▶️ Статистика MDR-2024: выросли сложность целевых атак и упор на LotL.

⚪️Внутренние конфликты в вымогательской группировке Blackbasta, похоже, привели к её расколу и остановке деятельности. В числе прочего, были слиты внутренние чаты группы. Там много доксинга и грязного белья, но также можно узнать, что некоторые участники обманывали жертв и не предоставляли расшифровщик, а некоторые пытались атаковать российские банки.

🟡Возможность пользоваться Signal на нескольких устройствах применяется в целевых атаках для шпионажа за перепиской. Механика похожа на известные схемы с WhatsApp и Telegram, фейковое приглашение в группу. Но авторы Signal уже подкрутили процесс подключения устройства, чтобы усложнить эту атаку.

🟣Анализ новой версии Snake Keylogger (a.k.a. 404 keylogger), преимущественно замеченного в Европе и на Ближнем Востоке.

🔴Опасная эволюция фишкитов — Darcula 3.0 позволяет «клиентам» имитировать любой сайт без программирования или вёрстки.

#APT #дайджест #новости @П2Т

Спросили у продуктовой команды, какие функции NFGW наиболее важны заказчикам, и как проходили внедрения отечественных NGFW в прошлом году. Делимся мудбордом!

#ИБ_мем

😈 Атаки на бизнес-переписку теперь угрожают и малому бизнесу

Очевидный сценарий злонамеренного применения ИИ реализовался на практике и подтвердился статистикой. Годовой отчёт Abnormal security отмечает 54% рост атак BEC по сравнению с позапрошлым годом. При этом наибольший рост отмечен для небольших компаний — в течение недели они имеют 70% шанс получить хотя бы одно зловредное письмо, замаскированное под инвойс реального поставщика или другую типовую BEC-приманку. Наиболее часто атакуют компании из развлекательной индустрии, строительства, торговли и логистики.

Чатботы помогают качественно маскировать мошеннические письма, точно имитируя стиль предыдущей корреспонденции и корпоративные стандарты оформления. Для этого используются как популярные платформы в сочетании с джейлбрейк-трюками, так и узкоспециализированные языковые модели для мошенничества.

Среди ходовых тактик, увеличивающих шансы успешного фишинга упомянуты:
✈️ рассылка приманок через оповещения легитимных сервисов (Docusign, Dropbox);
✈️ многоканальный фишинг — обработка жертвы начинает через email, но далее переходит в мессенджеры, соцсети и даже телефонные звонки.

Всё это перекликается с одним из выводов нашего отчёта MDR — даже небольшим компаниям нужно делать инвестиции в тренировку сотрудников и продвинутые системы защиты электронной почты.

#статистика #BEC @П2Т

Статистика MDR за 2024: критических инцидентов стало меньше, но их сложность возросла. APT-группировки атакуют каждую четвёртую организацию.

Наши эксперты делятся глобальной статистикой угроз и практическими рекомендациями по защите в подробном отчёте Kaspersky MDR за 2024 год. В прошлом году критические инциденты (high severity) случались в среднем более трёх раз за два дня. Доля критических инцидентов снизилась до 4,7% и при этом на 48% выросло время, уходящее на детектирование и описание критического инцидента, указывая на возросшую сложность угроз.

Портрет критического инцидента претерпел определённые изменения. В пересчёте на 10 тысяч отслеживаемых хостов, больше всего их обнаруживали в организациях телеком, ИТ и пищевой отрасли, а прошлогодний лидер, государственный сектор, занял четвёртое место. 43% критических инцидентов обусловлены целевыми атаками, 17% — киберучениями, 12% относились к серьёзным нарушениям политик ИБ.

Как ловили APT
Большую часть инцидентов детектируют на стадии TA0001 (Initial Access). Подавляющее большинство инцидентов, обнаруженных на этом этапе, связано с фишинговыми письмами, содержащими различные типы вредоносных объектов. Но критические инциденты чаще всего обнаруживали на этапе TA0002 (Execution), а второе место держит TA0042 (Resource Development). На практике это обычно обнаружение нежелательного или вредоносного ПО, которое не имеет признаков запуска.
Первоначальный доступ в случае APT — это как правило успешный фишинг и целевые социоинженерные атаки, а также компрометация сервисов, доступных дистанционно.

Подробную тепловую карту техник атак и эффективности их обнаружения в сервисе MDR можно изучить в полной версии отчёта. Наиболее эффективными для детектирования техниками, обнаружение которых чаще всего заканчивается критическими инцидентами, в этом году стали T1078 (Valid Accounts, привет инфостилерам), T1098 (Account Manipulation) и T1566.002 (Spearphishing Link).

Топовые LOLBins
Легитимные инструменты применяются в значительном проценте атак, и абсолютным чемпионом среди них остаётся Powershell. Он замечен в 10,5% критических инцидентов. В горячую пятёрку также входят rundll32, comsvcs.dll, reg и msiexec. В отчёте этого года хотим обратить внимание на mshta.exe, используемый для запуска вредоносного кода (HTA, HTML application), T1218.005 в ATT&CK. Другой вариант запуска и закрепления в системе — через MSbuild (T1127.001).

Возросшая сложность обнаружения целевых атак косвенно подтверждается тем, что в 2024 году впервые основной объём эффективных IoA и правил обнаружения срабатывал в инструментах класса XDR. В прошлом для успешного детектирования было нередко достаточно журналов ОС.

Самые часто срабатывающие и самые эффективные правила обнаружения, а также необходимая для этого телеметрия и её обогащение представлены в полной версии отчёта, которую мы рекомендуем изучить и обсудить с коллегами.

#MDR #SOC #статистика @П2Т

😶‍🌫️ Облачные риски: как побороть разрастание бэклога

62% инцидентов ИБ в облачной инфраструктуре связаны с рисками, уже известными команде ИБ и находящимися в очереди на устранение. Но эта очередь не уменьшается — средняя организация создаёт за месяц 55 задач на устранение риска (уязвимость, мисконфигурация, и т.п.), а закрывает только 10. По результатам опроса, половина респондентов не планирует устранять около 56% рисков. Они отнесены к категории приемлемых рисков.

Ежемесячно на оценку, подтверждение и приоритизацию новых рисков уходит 6-8 человеко-дней. А само устранение рисков занимает от 3,5 недель в случаях с неверной конфигурацией до 8 недель для уязвимости в приложении.
Наиболее неприятными признаны риски, связанные с контейнерами и appsec.

Авторы отчёта отмечают, что практики в индустрии всё чаще приоритизируют риски, исходя из того, каких усилий будет стоить их устранение. Effort-based prioritization позволяет в первую очередь запускать изменения, которые одним махом устранят максимальное количество идентифицированных рисков. Об этом подходе позитивно отозвались 53% опрошенных.

84% с надеждой смотрят на системы, дающие широкие возможности митигации, такие как WAF и системы контейнерной безопасности.

И разумеется, все молятся на автоматизацию — 73% хотят автоматизировать анализ и поиск первопричины риска, 70% не прочь прибегнуть к ИИ, чтобы определить, кто именно должен решать найденную проблему. 👾

#статистика @П2Т

🗣 Машинное обучение в ИБ: реалии внедрения и эффективность

Когда: 19 февраля 2025 в 11:00 (МСК)

Никакого Гартнера не хватит, чтобы нарисовать текущий Hype Cycle по теме ИИ, хайп зашкаливает. Но машинное обучение давно стало неотъемлемой частью ИБ, и практики находят применение новому поколению нейросетей и языковых моделей. Главное — ставить реалистичные задачи и решать их при помощи подходящих и безопасных в использовании инструментов.
Каких? Об этом на онлайн-конференции AM Live поговорят эксперты по теме машобуча, работающие в крупнейших российских ИТ- и ИБ-компаниях!

Обсудим:

▶️применение открытых моделей;
▶️в каких реальных задачах модель обгоняет человека по эффективности и скорости;
▶️как производители ПО и заказчики обосновывают вложения в ИИ в ИБ;
▶️условия, при которых можно доверять результатам работы модели;
▶️правовые ограничения при обучении своих моделей или использовании в коммерческих целях;
▶️какие роли в ИБ исчезают под влиянием ИИ уже сейчас, и что будет в ближайшие 1-2 года?


👤 От «Лаборатории Касперского» выступит Владислав Тушканов, руководитель группы исследований и разработки.

Встречаемся в среду: 19 февраля 2025
Нужна предварительная регистрация.

Узнать о конференции и зарегистрироваться ⟶

#события @П2Т

❕ Патчим CommuniGate Pro

Давненько не было критических уязвимостей в отечественном ПО.
Те, кто соскучился, ловите BDU:2025-01331 — RCE в популярном почтовом сервере CommuniGate Pro, со скромным CVSS3 9,8.
Эксплуатация не требует аутентификации. Уязвимы версии с 6.3.0 по 6.3.39.
Есть признаки эксплуатации в дикой природе, поэтому патчимся сегодня. Дефекту не подвержены версии 6.3.39 release 3 или выше.

#новости #уязвимости @П2Т

➡️ Интересные исследования APT и новости ИБ за неделю

🧙 Целевые атаки на российские организации с помощью кастомного агента Merlin для Mythic framework.

⚙️ Технический анализ шпионской кампании FINALDRAFT, в которой ВПО использует для коммуникации целый ряд протоколов, включая Microsoft Graph API. Существуют Windows- и Linux-версии.

👀 Ещё одно подтверждение того, что азиатские APT и азиатские ransomware сильно пересекаются. В новом исследовании найдены пересечения шпионских атак с применением PlugX и вымогательских атак RA World.

🟣В Японии обнаружены свежие атаки Winnti/APT41, кампания RevivalStone использует обновлённое ВПО.

🟣Детальный разбор killchain APT-группировки RedCurl/EarthKapre.

🟠Новая разновидность фишинга — атакующие выманивают проверочный код, который облачные сервисы генерируют для аутентификации на устройствах с ограниченными возможностями ввода, как правило телевизорах. Удивительно, но так можно зайти в Microsoft 365, а не только в Youtube и Netflix.

⚠️ Подробный разбор полётов относительно новой вымогательской группировки RansomHub. Её «партнёры» нередко атакуют организации в сфере здравоохранения и жалуются на жертв в надзорные органы по защите персональных данных.

🔵И технический анализ Lynx ransomware для Windows, похоже это ВПО основано на более старом INC.

😂 Старая шутка про албанский вирус сначала стала явью в кампании ClickFix, а теперь вошла в арсенал APT Kimsuky — они просят жертв вручную запустить их скрипт в PowerShell.

🟡Новый инструмент С2: на скомпрометированном хосте запускают Tor hidden service при помощи техники, названной ShadowLink и далее управляют им через .onion-адрес.

⚪️Похожая история с недавно обнаруженным троянцем I2PRAT, он применяет для С2 сеть I2P.

😱 Кто-то сорвался с цепи и массово публикует вредоносные пакеты в npm — на прошлой неделе GitHub опубликовал более 50 оповещений, и только за сегодня уже более 120.

🟢Chainalysis продолжает подводить итоги 2024 года — найденные мошеннические схемы создали оборот криптовалюты в $9,9 млрд. Ожидается, что после обнаружения дополнительных криптокошельков цифра повысится до $12,5 млрд. 85% — схемы pig butchering.

#новости #APT #дайджест @П2Т

🤓 Интересные новости личной кибербезопасности и конфиденциальности

🚀 Обзор самых популярных схем угона WhatsApp и Telegram (и, конечно, способы защиты от них).

🌐Интересный эксперимент поставил на себе исследователь — он на практике подтвердил, что через рекламу в мобильных приложениях утекает очень много данных о пользователях, включая геолокацию, даже если человек выбирает опцию «не отслеживать меня». Более того, через специальные базы рекламные идентификаторы можно связать с реальными адресами и именами.

😞 Печальные новости для фанатов ИИ: исследование Microsoft (!) показывает снижение навыков критического мышления у тех, кто активно применяет ИИ в рабочих задачах, вместо того чтобы думать самостоятельно.

🍏 От Apple в Великобритании потребовали дать доступ к зашифрованным данным пользователей. Пользователей со всего мира, не только английских. В Купертино сопротивляются и не хотят создавать бэкдоры.

💻 Microsoft внедряет в Edge защиту от пугающих сайтов (scareware), которые требуют немедленно удалить с компьютера страшные вирусы, исправить сорок критических ошибок, и так далее. Говорят, что технология работает на базе ИИ-анализа сайтов, но в чём он заключается, неизвестно.

👀 Новый Samsung Galaxy S25 будет из коробки поддерживать технологию C2PA, подтверждающую происхождение изображений и видео. В новости желтовато пишут «идентифицировать ИИ-контент», но это совсем не точно. Изображения, снабжённые метками C2PA, можно отследить до их источника, а вот про картинки и видео без метки нельзя сказать ничего. Мы писали об этой технологии ранее.

📱 В Google Play придумали выдавать приложениям бейдж за повышенное внимание к вопросам конфиденциальности и доверия. Судя по анонсу, его пока получили два VPN-приложения и один браузер.

🔵 В Signal запустили обновлённую синхронизацию устройств, на дополнительные девайсы можно синхронизировать историю переписки с основного устройства.

🖌 Пока Илон Маск крушит американские правительственные структуры, против него и DOGE копятся иски в судах — особенно плохи шансы новой администрации в кейсах с доступом к личным данным американцев.

🤖 Фанатам DeepSeek приготовиться — защита данных в приложении весьма слабая, куда утекут ваши чаты, предсказать сложно.

Уязвимость в YouTube позволяла раскрывать email-адреса владельцев каналов. Сейчас её вроде закрыли, но на анонимность в YouTube лучше не рассчитывать.

#новости #Азбука_ИБ @П2Т

🎃Новое Likho для российских компаний

Очередная смена тактики атак на российские организации. Либо новая, либо значительно доработавшая свои TTPs старая группа, которую мы назвали Mythic Likho, атакует российские компании из различных отраслей — от поставщиков телеком-оборудования до промышленных предприятий. Предположительная цель атак — шпионаж.

Атака начинается с убедительного целевого фишинга (тексты у разных жертв сильно отличаются). Вложение содержит архив с несколькими компонентами, включая безопасный документ-обманку (резюме) и меняющуюся от раза к разу цепочку заражения, в конце которой на хосте разворачивают агент Merlin — open-source инструмент постэксплуатации, совместимый с фреймворком Mythic.

IoC и технические подробности — на Securelist.

#новости #APT @П2Т

🪟 Февральский Patch Tuesday

После январских рекордов в Редмонде решили сбавить темп — в феврале Microsoft устранила 55 уязвимостей, из которых 4 являются зиродеями, но лишь 2 реально эксплуатировались.

Всего 3 уязвимости получили статус критических. 21 дефект приводят к RCE, 19 — EoP, 9 — отказу в обслуживании, 2 — обходу функций безопасности.

Эксплуатируемые 0day приводят к повышению привилегий через Ancillary Function Driver for WinSock и Windows Storage. CVE-2025-21418 и -21391 получили рейтинг CVSSv3 7.8 и 7.1 соответственно. Первый дефект является классическим EoP до system, а вот второй чуть интересней, он «всего лишь» позволяет удалять произвольные файлы в системе. Где и как их использовали, увы, неизвестно.

Из других 0day, разглашённых, но не эксплуатируемых, интересна уязвимость CVE-2025-21194 с обходом защиты UEFI в устройствах Surface. Весьма вероятно что это разновидность уязвимости в процессе загрузки по сети, PixieFail, о которой стало известно в январе.

Второй дефект, прямо под копирку с январского — spoofing в Windows, приводящий к утечке хэшей NTLM, CVE-2025-21377. Для эксплуатации атакуемый пользователь должен хотя бы выделить в Проводнике вредоносный файл. Для устранения нужно установить не только заплатки безопасности, но и кумулятивное обновление IE (он давно мёртв, мы знаем).

Среди ранее не разглашённых дефектов, отметим RCE в Windows LDAP, CVE-2025-21376, с CVSS 8.1. Как и предыдущие подобные баги в декабре, она выделена Редмондом как кандидат на будущую эксплуатацию.

Также отметим RCE в SharePoint Server (CVE-2025-21400) и три дефекта в Windows Core Messaging, приводящие к повышению привилегий до System (CVE-2025-21184, -21358, -21414).

#новости #уязвимости #Microsoft @П2Т

🛡 Как сэкономить время и деньги при защите контейнерных инфраструктур?

Короткий ответ — применять для этого систему с низкой нагрузкой на кластер, высоким уровнем автоматизации всех действий и глубоко интегрированную в конвейер разработки. Именно по этому пути мы развиваем Kaspersky Container Security.
Новая версия 2.0 докажет это даже скептикам:

⚪️ автоматическое профилирование контейнеров упрощает генерацию политик безопасности и поиск аномального поведения запущенных контейнеров;
⚪️ проблемы безопасности оркестратора и ошибочные конфигурации детектируются в автоматическом режиме;
⚪️ агенты безопасности запускаются в отдельных контейнерах, чтобы не приводить к деградации производительности;
⚪️ масштабируемость нового уровня — можно защитить кластеры с многими тысячами узлов;
⚪️ коробочные настройки значительно ускоряют внедрение.

О том, как это работает на практике, об отраслевых внедрениях и других изюминках защитного решения мы расскажем на онлайн-стриме!

Встречаемся во вторник, 18 февраля, в 11:00 (мск)

Зарегистрироваться и узнать все подробности

#события @П2Т

🔎 Living off the ... Tunnels

Злонамеренная эксплуатация различных туннелей, созданных легитимными инструментами, стала излюбленной тактикой злоумышленников для эксфильтрации данных и незаметного доступа к поражённым хостам. Кроме всем известных ngrok и Cloudflared, для этой задачи применяют и Dev Tunnels, и VSCode, и десяток менее известных инструментов, которые объединены двумя удобными злоумышленникам свойствами. Во-первых, туннель создаёт легитимный процесс с хорошей репутацией, во-вторых, в сетевой телеметрии видны вполне благополучные на вид домены и адреса.

Чтобы упростить детектирование и расследование инцидентов, связанных с этой тактикой, на Github был создан новый краудсорс-каталог инструментов, используемых для Living off the Tunnels. По структуре сайт скопирован с известного проекта LOLBAS и на сегодня содержит описание более 20 инструментов туннелирования вместе с рекомендациями по их обнаружению.

Озаботились проблемой туннелей и в Microsoft. Недавно Редмонд объявил, что для управления туннелями VS Code/VS/Devtunnel теперь есть групповые политики. Можно вообще отключить туннели, запретить их использование анонимными пользователями, и так далее. Эти настройки можно делать через файлы шаблонов политики, ADML/ADMX.

#новости @П2Т

🗣Как правильно спроектировать SOC и повысить эффективность существующего?

При создании или оптимизации корпоративного SOC приходится решать сотни вопросов — от чисто технических до почти философских. Распределённая архитектура или централизованная? Какой минимальный стек технологий и какой набор систем необходим для начала? Как остаться в рамках бюджета? Поделимся проверенными рецептами на онлайн-конференции AM-Live!

Темы:
▶️ какие сроки и ресурсы закладывать для реализации проекта SOC?
▶️ на какие особенности ИТ-инфраструктуры нужно обратить внимание;
▶️ сложности и ограничения при параллельном импортозамещении систем ИТ и ИБ;
▶️ стоит ли полагаться на одного поставщика,
▶️ какие компоненты можно приобрести под ключ;
▶️ за счет каких мер, процессов и технологий можно повысить эффективность своего SOC?

👤 От «Лаборатории Касперского» выступит Сергей Солдатов, руководитель центра мониторинга кибербезопасности.

Встречаемся в среду, 12 февраля в 11:00 (МСК).
Нужна предварительная регистрация.

Узнать о конференции и зарегистрироваться ⟶
#события @П2Т

➡️ Интересные исследования и новости ИБ за неделю

🔆 За 2024 год объём платежей рансомварщикам упал на треть, причём в основном за счёт резкого снижения во втором полугодии. Авторы исследования считают, что из-за давления правоохранителей уменьшилось число резонансных атак на крупные компании, плюс половина жертв в принципе не хочет платить.

🟦 Разбор довольно опасного ВПО sshdinjector, применяемого APT DaggerFly для компрометации Linux-устройств. Половину дизассемблирования сделал ИИ-ассистент 🤪

🍏 Первый OCR-инфостилер в App Store. В Google Play тоже замечен.

👀 Анализ новых TTP APT Kimsuky — вместо разворачивания сложного ВПО они всё чаще используют легковесный RDP Wrapper, чтобы копаться на интересном хосте вручную.

🔎 Разбор интересной атаки на серверы MS IIS, в которой для RCE на сервере используются вредоносные viewstate на основе публично доступных или украденных ключей (machine key) ASP NET. Microsoft рекомендует проверить инфраструктуру, не используются ли такие ключи — список известных они выложили на Github.

🍏 Обзор актуальных инфостилеров для macOS. Число детектов этой заразы за последние полгода удвоилось.

Также защитникам маков стоит изучить разбор ВПО FlexibleFerret, используемого APT Lazarus.

💻 Если отфильтровать мемасики и хайп, это разбор нового вектора атаки — захват брошенных корзин S3. Почти как захват истекших доменов, только лучше, потому что в корзины чаще стучатся важные приложения с ценной информацией.

🏙 Подробный технический анализ ValleyRAT, используемого для компрометации финансистов и топ-менеджмента в крупных организациях.

🔵Обзор текущей ситуации с криптомайнерами. Akamai не показывает статистики за 2024 год, но утверждает, что резкий рост заражений, начавшийся в 2023 году, продолжился.

❕ Разбор TTP AbyssLocker.

🔅 Подробный разбор работы банкера FatBoyPanel, более 900 образцов ВПО нацелены на жертв в Индии.

👮‍♀️ Власти в мировых столицах скама и их приграничные соседи резко активизировались в борьбе с мошенниками. В Маниле накрыли одну скам-ферму и арестовали 100 человек, в любимой всеми Нигерии, оказывается, ещё с декабря ждут своей судьбы почти 800 арестованных принцев, а в Таиланде обрубили подачу электричества в приграничные области сопредельной Мьянмы, обесточив тамошние... их уже скам-фермами не назовёшь. Скам-фабрики и заводы.

#дайджест #APT #новости @П2Т

🍏 OCR-инфостилеры — угроза добралась до iOS

Вы наверняка учитываете утечку данных через смартфоны в своей модели угроз (tm), но степень риска и векторы атаки пора снова переоценивать. Обнаруженный нами инфостилер SparkCat содержит сразу несколько неприятных сюрпризов.

Во-первых, мы его обнаружили в обоих ведущих мобильных сторах.
Во-вторых, для своей деятельности он довольствуется доступом к галерее, не запрашивая других «опасных» прав.
В-третьих, он целится в ценную информацию, которую жертва атаки сфотографировала или сделала скриншот, и использует OCR и комбинацию эвристик, чтобы эту информацию находить. Найденная нами версия охотится лишь на криптокошельки, но файлы конфигурации с другими паттернами поиска злоумышленники могут выкатить очень легко.

Есть о чём подумать и что подкрутить в корпоративных политиках по отношению к мобильным устройствам.
IoC и подробный технический анализ опубликованы на Securelist, а ещё есть советы обычным пользователям (перешлите нетехническим коллегам!)

#новости @П2Т

Шок-новости! Возможно, логотип Deepseek сгенерировала нейросеть по запросу «напиши слово дипсик по-инновационному, но синими буквами».

#ИБ_мем @П2Т

😵‍💫 «Нигерийские» новинки для учений по фишингу

Хотя «нигерийскому» спаму уже более двух десятилетий, он и не думает умирать. На смену богатым африканским принцам просто приходят новые легенды, но сама схема, основанная на том, чтобы заинтересовать жертву крупной суммой и вовлечь в мошенническую переписку с выманиваем денег и личных данных, остаётся.

Среди оригинальных легенд последнего времени наши эксперты отметили такие:
🟣 заинтересованный инвестор. Отправитель, якобы, ищет компании, в которые он может вложить деньги и просит фирму получателя установить с ним связь;
🟣 возмещение ущерба. Отправитель письма, якобы, представляет финансовую организацию, а получателя пытались обокрасть коррумпированные служащие. Теперь нужно обсудить, какую финансовую компенсацию получит жертва несостоявшейся кражи;
🟣 пианино в наследство. Кроме денежных приманок в спаме порой фигурируют необычные и ценные вещи, от которых отправитель мечтает избавиться;
🟣 приглашение в иллюминаты. Все члены тайных обществ крайне богаты, как упустить такую возможность? 😈

Хотя атаки такого рода исторически фокусируются на частных лицах, предотвращать их разновидности, направленные на корпоративных сотрудников, да и просто улучшать «кибергигиену» среди персонала будет очень полезно.

#советы @П2Т

🎧 Регуляторы хотят большей visibility в сетевых устройствах

Новые требования к сетевому оборудованию хотят предъявить кибер-агентства Великобритании, США и Австралии. На роутерах, файрволах, VPN, устройствах IoT и прочем они требуют достичь уровня обзорности (visibility and observability), который обеспечит ИБ-службе эффективный мониторинг устройства «из коробки», а также упростит сбор артефактов при расследовании инцидентов. Начинание очень здравое, учитывая десятки масштабных инцидентов с эксплуатацией сетевых устройств, сложности с их защитой и привилегированное положение, которое они занимают в сетях компаний.

В списке протоколируемых событий и нужных для расследования артефактов почти полсотни пунктов, поэтому отметим только несколько ключевых:
🟣события аутентификации со всеми деталями, включая неуспешные попытки;
🟣любые смены конфигурации устройства с данными о том, какой пользователь или процесс и как именно сделал изменения;
🟣любые манипуляции с файлами журналов;
🟣попытки обновления ПО и прошивки;
🟣создание и завершение процессов, монтирование и размонтирование томов.

Устройство обязано поддерживать передачу событий в «почти реальном времени» для дистанционного мониторинга и безопасный интерфейс выгрузки данных для расследований.

Отделам закупок, службам ИТ и ИБ рекомендовано ориентироваться на этот список как на минимальные требования, которым должно соответствовать приобретаемое сетевое устройство. Ну а производителям рекомендовано бегом воплощать всё перечисленное.

#новости #CISO #SIEM #SOC @П2Т