Порвали два трояна
24.04.202512:59
☝️ Улучшения по вашим заявкам
В прошлом году мы опросили 500 крупных клиентов и собрали почти 3000 комментариев о наших продуктах, услугах, форматах техподдержки и даже статьях на онлайн-порталах. По итогам этого опроса в KES, KUMA, KICS и других продуктах и сервисах были сделаны многочисленные улучшения — от повышения стабильности KES при работе на высоконагруженных серверах до появления emergency maintenance team в техподдержке.
Подробнее обо всех улучшениях можно узнать из поста в канале наших коллег из службы техподдержки.
▶️ Читать
#советы @П2Т
В прошлом году мы опросили 500 крупных клиентов и собрали почти 3000 комментариев о наших продуктах, услугах, форматах техподдержки и даже статьях на онлайн-порталах. По итогам этого опроса в KES, KUMA, KICS и других продуктах и сервисах были сделаны многочисленные улучшения — от повышения стабильности KES при работе на высоконагруженных серверах до появления emergency maintenance team в техподдержке.
Подробнее обо всех улучшениях можно узнать из поста в канале наших коллег из службы техподдержки.
▶️ Читать
#советы @П2Т
03.04.202507:18
🚑 Свежий обзор киберугроз в секторе здравоохранения может навести страху на любого читателя (особенно того, кто не исключает, что однажды окажется в больнице). Хотя обстоятельный документ полон очевидных наблюдений наподобие «устаревшие ИТ-системы создают плодородную почву для кибератак», есть там и более практичная и менее банальная информация. Например:
▪️ средний ущерб от кибератаки в медучреждениях вдвое превышает средний ущерб по всем индустриям. Не в последнюю очередь — из-за жёстких регуляторных требований по реагированию на инцидент и утечку медицинских данных, но также из-за бОльшей вероятности, что жертва заплатит выкуп рансомварщикам. Ведь каждый час простоя ИТ-систем — это ухудшение прогноза для пациентов в больнице;
▪️ типичный американский госпиталь имеет 10-15 медицинских устройств в пересчёте на койку, и эти тысячи устройств в большинстве случаев подключены к телеметрии и удалённому доступу;
▪️ вообще на США приходится 51% атак на медучреждения, на втором месте Индия с Канадой, которым досталось по 4%;
▪️ значительные усилия вымогателей нацелены на компрометацию цепочки поставок. Специализированные услуги на стыке медицины и ИТ — ведение карт пациента, учёт выплат и страховок, цифровой рентген, УЗИ, КТ и МРТ — поставляет небольшое число фирм. Взлом любой из них сразу накрывает десятки и сотни медицинских учреждений, как наглядно продемонстрировал инцидент с Change Healthcare;
▪️ процент устаревшего оборудования, снабженного очень устаревшим ПО, остаётся значительным.
Рекомендации медицинским учреждениям даны по каждой из проблемных тем отдельно, но наибольший приоритет стоит уделить:
▪️ эффективной сетевой сегментации для снижения рисков, связанных с небезопасной и устаревшей медтехникой;
▪️ детальной подготовке к реагированию на инциденты, включая планирование, киберучения и backup/restore-учения;
▪️ регулярному аудиту прав доступа;
▪️ обучению всего медперсонала ИБ-гигиене;
▪️ поиску, анализу и защите доступных по сети носителей информации;
▪️ борьбе со слабыми и повторяющимися паролями, а также паролями, хранящимися в открытом виде;
▪️ включению вопросов ответственности за ИБ и обращение с ПД в договоры с подрядчиками и поставщиками ПО;
▪️ минимизации доступа подрядчиков к ИТ-системам в рамках принципа наименьших привилегий;
▪️ мониторингу и защите API при интеграции медицинских систем.
#CISO #советы @П2Т
▪️ средний ущерб от кибератаки в медучреждениях вдвое превышает средний ущерб по всем индустриям. Не в последнюю очередь — из-за жёстких регуляторных требований по реагированию на инцидент и утечку медицинских данных, но также из-за бОльшей вероятности, что жертва заплатит выкуп рансомварщикам. Ведь каждый час простоя ИТ-систем — это ухудшение прогноза для пациентов в больнице;
▪️ типичный американский госпиталь имеет 10-15 медицинских устройств в пересчёте на койку, и эти тысячи устройств в большинстве случаев подключены к телеметрии и удалённому доступу;
▪️ вообще на США приходится 51% атак на медучреждения, на втором месте Индия с Канадой, которым досталось по 4%;
▪️ значительные усилия вымогателей нацелены на компрометацию цепочки поставок. Специализированные услуги на стыке медицины и ИТ — ведение карт пациента, учёт выплат и страховок, цифровой рентген, УЗИ, КТ и МРТ — поставляет небольшое число фирм. Взлом любой из них сразу накрывает десятки и сотни медицинских учреждений, как наглядно продемонстрировал инцидент с Change Healthcare;
▪️ процент устаревшего оборудования, снабженного очень устаревшим ПО, остаётся значительным.
Рекомендации медицинским учреждениям даны по каждой из проблемных тем отдельно, но наибольший приоритет стоит уделить:
▪️ эффективной сетевой сегментации для снижения рисков, связанных с небезопасной и устаревшей медтехникой;
▪️ детальной подготовке к реагированию на инциденты, включая планирование, киберучения и backup/restore-учения;
▪️ регулярному аудиту прав доступа;
▪️ обучению всего медперсонала ИБ-гигиене;
▪️ поиску, анализу и защите доступных по сети носителей информации;
▪️ борьбе со слабыми и повторяющимися паролями, а также паролями, хранящимися в открытом виде;
▪️ включению вопросов ответственности за ИБ и обращение с ПД в договоры с подрядчиками и поставщиками ПО;
▪️ минимизации доступа подрядчиков к ИТ-системам в рамках принципа наименьших привилегий;
▪️ мониторингу и защите API при интеграции медицинских систем.
#CISO #советы @П2Т
31.03.202507:12
⏩ Интересные исследования APT и новости ИБ за неделю
🟢Новая волна вредоносных рассылок российским организациям от группировки HeadMare: злоумышленники рассылают ВПО PhantomPyramid. Примечательно, что вложение является «полиглотом» — это склеенные вместе бинарный файл и небольшой ZIP.
🟢Финансовые киберугрозы по итогам 24 года: аэрокосмический рост (89%) попыток фишинга в сфере криптовалют, но первенство среди приманок всё равно держат сообщения от банков (42%).
🟡Поучительное чтение: разбор инцидента с проникновением APT WeaverAnt в сеть азиатского телеком-провайдера. Их неоднократно обнаруживали и пытались выгнать, но «муравьи» возвращались — и так четыре (!) года.
🟣Угрозы для open source всё усложняются — обнаружены два npm-пакета, которые при установке патчат другие установленные пакеты, добавляя обратный шелл.
🔵Промышленные организации во многих странах Азии стали жертвой операции SalmonSlalom — в результате целевого фишинга им установили FatalRAT. В качестве С2 применялись местные сервисы myqcloud и Youdao Cloud Notes.
🟣Ransomware-группировка Dragonforce продолжает атаковать конкурентов: следом за Mamona дефейсу подверглись BlackLock. Возможно, за кулисами более мудрёная история вроде перепродажи активов или exit scam.
🟢Технический анализ инструмента, применяемого вымогательскими группами Medusa, RansomHub, BianLian и Play для отключения СЗИ. Разобраны связи между этими группами.
🟣Новая RaaS: VanHelsing.
🔵Обзор PaaS-платформы Lucid, примечательной тем, что спам можно рассылать как через SMS, так и нативные для смартфонов iMessage и RCS.
🟠Анализ инструментария APT FamousSparrow (возможно, пересекающейся с Salt Typhoon и Earth Estries, но это не точно), включая две новые версии фирменного ВПО SparrowDoor
🔴Логический дефект песочницы, являющийся зиродеем и закрытый на неделе в Chrome, оказался применим и в Firefox. Для обоих браузеров доступны обновления.
🔴Разбор GorillaBot, относительно нового IoT-ботнета, применяемого в крупных DDoS-атаках.
🟣Целевые атаки на азиатских пользователей (Индия и Тайвань) с помощью Android-импланта PJobRAT.
🔵Редкая, но приятная новость: арестованы создатели Android-банкера Mamont, ставшего одним из лидеров в топе мобильных зловредов.
🪲Редкая, но неприятная новость: создателя HaveIbeenPwned Троя Ханта успешно скомпрометировали при помощи целевого фишинга и скачали список его почтовой рассылки на Mailchimp.
#дайджест #APT @П2Т
🟢Новая волна вредоносных рассылок российским организациям от группировки HeadMare: злоумышленники рассылают ВПО PhantomPyramid. Примечательно, что вложение является «полиглотом» — это склеенные вместе бинарный файл и небольшой ZIP.
🟢Финансовые киберугрозы по итогам 24 года: аэрокосмический рост (89%) попыток фишинга в сфере криптовалют, но первенство среди приманок всё равно держат сообщения от банков (42%).
🟡Поучительное чтение: разбор инцидента с проникновением APT WeaverAnt в сеть азиатского телеком-провайдера. Их неоднократно обнаруживали и пытались выгнать, но «муравьи» возвращались — и так четыре (!) года.
🟣Угрозы для open source всё усложняются — обнаружены два npm-пакета, которые при установке патчат другие установленные пакеты, добавляя обратный шелл.
🔵Промышленные организации во многих странах Азии стали жертвой операции SalmonSlalom — в результате целевого фишинга им установили FatalRAT. В качестве С2 применялись местные сервисы myqcloud и Youdao Cloud Notes.
🟣Ransomware-группировка Dragonforce продолжает атаковать конкурентов: следом за Mamona дефейсу подверглись BlackLock. Возможно, за кулисами более мудрёная история вроде перепродажи активов или exit scam.
🟢Технический анализ инструмента, применяемого вымогательскими группами Medusa, RansomHub, BianLian и Play для отключения СЗИ. Разобраны связи между этими группами.
🟣Новая RaaS: VanHelsing.
🔵Обзор PaaS-платформы Lucid, примечательной тем, что спам можно рассылать как через SMS, так и нативные для смартфонов iMessage и RCS.
🟠Анализ инструментария APT FamousSparrow (возможно, пересекающейся с Salt Typhoon и Earth Estries, но это не точно), включая две новые версии фирменного ВПО SparrowDoor
🔴Логический дефект песочницы, являющийся зиродеем и закрытый на неделе в Chrome, оказался применим и в Firefox. Для обоих браузеров доступны обновления.
🔴Разбор GorillaBot, относительно нового IoT-ботнета, применяемого в крупных DDoS-атаках.
🟣Целевые атаки на азиатских пользователей (Индия и Тайвань) с помощью Android-импланта PJobRAT.
🔵Редкая, но приятная новость: арестованы создатели Android-банкера Mamont, ставшего одним из лидеров в топе мобильных зловредов.
🪲Редкая, но неприятная новость: создателя HaveIbeenPwned Троя Ханта успешно скомпрометировали при помощи целевого фишинга и скачали список его почтовой рассылки на Mailchimp.
#дайджест #APT @П2Т
27.03.202507:12
💻 ВПО с подписями Microsoft — уже в арсенале злоумышленников
В марте на Virustotal обнаружили многочисленные образцы ВПО, подписанные сертификатами, которые выпущены «Microsoft ID Verified CS EOC CA 01» со сроком действия всего трое суток. Такой сертификат можно получить, используя платформу Microsoft Trusted Signing для облачного подписания ПО.
Microsoft запустила Trusted Signing в прошлом году, видимо вдохновившись успехами Let's Encrypt. Цель — предоставить разработчикам недорогой, простой и безопасный способ подписывать свои программы. Подписание проводится в облаке, и разработчики никогда не распоряжаются самим сертификатом. При этом Редмонд подписывает не файл, а его хэш (digest signing), то есть не проверяет содержимое файла.
Короткоживущие сертификаты по задумке должны снизить масштаб проблемы в случае взлома. Когда сертификат истекает, ранее подписанные им приложения считаются легитимными и продолжают запускаться без всяких предупреждений. Но при обнаружении ВПО или иных проблем Microsoft отзывает сертификат-трёхдневку и всё, что разработчики подписали им за три дня, будет считаться недоверенным. Доступ к Trusted Signing стоит 10 долларов в месяц, и для злоумышленников это конечно гораздо лучше, чем хлопотать с кражей или покупкой полноценного EV-сертификата.
При этом сертификаты этого сервиса повышают репутацию подписанного файла для SmartScreen, наравне с EV-сертификатами. Неудивительно, что новыми сертификатами уже щеголяют образцы Lumma Stealer (VT) и других штаммов ВПО.
Microsoft заявила, что уже отозвала сертификаты у известных вредоносных кампаний, но внедрять более строгий фейс-контроль в своём УЦ, видимо, не планирует. Поэтому проверять и корректировать репутацию подписанных бинарников придётся на стороне SOC.
#советы #Microsoft @П2Т
В марте на Virustotal обнаружили многочисленные образцы ВПО, подписанные сертификатами, которые выпущены «Microsoft ID Verified CS EOC CA 01» со сроком действия всего трое суток. Такой сертификат можно получить, используя платформу Microsoft Trusted Signing для облачного подписания ПО.
Microsoft запустила Trusted Signing в прошлом году, видимо вдохновившись успехами Let's Encrypt. Цель — предоставить разработчикам недорогой, простой и безопасный способ подписывать свои программы. Подписание проводится в облаке, и разработчики никогда не распоряжаются самим сертификатом. При этом Редмонд подписывает не файл, а его хэш (digest signing), то есть не проверяет содержимое файла.
Короткоживущие сертификаты по задумке должны снизить масштаб проблемы в случае взлома. Когда сертификат истекает, ранее подписанные им приложения считаются легитимными и продолжают запускаться без всяких предупреждений. Но при обнаружении ВПО или иных проблем Microsoft отзывает сертификат-трёхдневку и всё, что разработчики подписали им за три дня, будет считаться недоверенным. Доступ к Trusted Signing стоит 10 долларов в месяц, и для злоумышленников это конечно гораздо лучше, чем хлопотать с кражей или покупкой полноценного EV-сертификата.
При этом сертификаты этого сервиса повышают репутацию подписанного файла для SmartScreen, наравне с EV-сертификатами. Неудивительно, что новыми сертификатами уже щеголяют образцы Lumma Stealer (VT) и других штаммов ВПО.
Microsoft заявила, что уже отозвала сертификаты у известных вредоносных кампаний, но внедрять более строгий фейс-контроль в своём УЦ, видимо, не планирует. Поэтому проверять и корректировать репутацию подписанных бинарников придётся на стороне SOC.
#советы #Microsoft @П2Т
25.03.202509:55
Астрологи объявляют неделю подорожания зиродеев для Signal и смартфонных ОС.
#ИБ_мем @П2Т
#ИБ_мем @П2Т
20.03.202507:32
👌 ИИ в SIEM: практические сценарии применения
Не любим размахивать руками в воздухе, поэтому сразу к делу — уже сейчас в KUMA, нашей SIEM, есть три ИИ-инструмента, которые значительно повышают производительность труда аналитика и эффективность внедрения SIEM в целом:
1️⃣▶️приоритизация алертов. Система AI asset risk scoring повышает приоритет предупреждений, которым сопутствует аномальное поведение ИТ-актива;
2️⃣▶️ускорение IR. Языковая модель, например, помогает мгновенно разобраться в конечной цели обфусцированных команд (пример с PowerShell на скриншоте);
3️⃣▶️поиск TI. Нечёткий поиск с помощью LLM позволяет найти и систематизировать релевантные данные киберразведки, располагая любым фрагментом начальной информации, вроде подозрительного имени файла или хэша.
Подробнее (и с примерами!) текущие сценарии использования и перспективы на будущее описаны у нас в блоге.
#советы #SIEM @П2Т
Не любим размахивать руками в воздухе, поэтому сразу к делу — уже сейчас в KUMA, нашей SIEM, есть три ИИ-инструмента, которые значительно повышают производительность труда аналитика и эффективность внедрения SIEM в целом:
1️⃣▶️приоритизация алертов. Система AI asset risk scoring повышает приоритет предупреждений, которым сопутствует аномальное поведение ИТ-актива;
2️⃣▶️ускорение IR. Языковая модель, например, помогает мгновенно разобраться в конечной цели обфусцированных команд (пример с PowerShell на скриншоте);
3️⃣▶️поиск TI. Нечёткий поиск с помощью LLM позволяет найти и систематизировать релевантные данные киберразведки, располагая любым фрагментом начальной информации, вроде подозрительного имени файла или хэша.
Подробнее (и с примерами!) текущие сценарии использования и перспективы на будущее описаны у нас в блоге.
#советы #SIEM @П2Т
18.04.202512:56
🟡 Как оптимизировать бюджет ИБ?
Вернулись к CISO Mindmap, чтобы оценить приоритеты ИБ с позиций экономической эффективности. Улучшить киберустойчивость организации и сэкономить бюджет помогут:
👍 консолидация ИБ-инструментов;
👍 автоматизация зрелых процессов;
👍 экономически эффективные решения в SOC.
А ещё проекты ИБ можно профинансировать в рамках более крупных процессов в компании, например внедрения генеративного ИИ.
Подробнее разобрали подходы в блоге.
#CISO #советы @П2Т
Вернулись к CISO Mindmap, чтобы оценить приоритеты ИБ с позиций экономической эффективности. Улучшить киберустойчивость организации и сэкономить бюджет помогут:
👍 консолидация ИБ-инструментов;
👍 автоматизация зрелых процессов;
👍 экономически эффективные решения в SOC.
А ещё проекты ИБ можно профинансировать в рамках более крупных процессов в компании, например внедрения генеративного ИИ.
Подробнее разобрали подходы в блоге.
#CISO #советы @П2Т
02.04.202507:34
📌 CISO mindmap 2025
Популярный постер о работе CISO обновился до свежей версии 2025 (блог, постер в PDF).
Изменения выделены цветом, но если вкратце, то основные направления, в которых ИБ-лидерам нужно совершенствовать безопасность организации таковы:
🟣полный цикл мер по защите применения генеративного ИИ: стандарты и политики, отбор допустимых моделей и провайдеров ИИ для различных департаментов и задач, включение в программы управления уязвимостями, обучение персонала;
🟣консолидация инструментов ИБ — либо в рамках моновендорного подхода, либо в философии best of the breed с упором на инструменты с хорошей API-интеграцией;
🟣запуск программы по идентификации и устранению ИБ-долга:
🟣конкретные меры подготовки к атакам ransomware — от учений по восстановлению резервных копий до программ повышения киберустойчивости и покупки кибер-страховки;
🟣выработка и переход к осмысленным метрикам ИБ, которые полезны в управлении рисками и понятны высшему руководству;
🟣кибер-гигиена: улучшение безопасности API, управление рисками в цепочке поставок, сокращение поверхности атаки,чистка зубов перед сном.
#советы #CISO @П2Т
Популярный постер о работе CISO обновился до свежей версии 2025 (блог, постер в PDF).
Изменения выделены цветом, но если вкратце, то основные направления, в которых ИБ-лидерам нужно совершенствовать безопасность организации таковы:
🟣полный цикл мер по защите применения генеративного ИИ: стандарты и политики, отбор допустимых моделей и провайдеров ИИ для различных департаментов и задач, включение в программы управления уязвимостями, обучение персонала;
🟣консолидация инструментов ИБ — либо в рамках моновендорного подхода, либо в философии best of the breed с упором на инструменты с хорошей API-интеграцией;
🟣запуск программы по идентификации и устранению ИБ-долга:
🟣конкретные меры подготовки к атакам ransomware — от учений по восстановлению резервных копий до программ повышения киберустойчивости и покупки кибер-страховки;
🟣выработка и переход к осмысленным метрикам ИБ, которые полезны в управлении рисками и понятны высшему руководству;
🟣кибер-гигиена: улучшение безопасности API, управление рисками в цепочке поставок, сокращение поверхности атаки,
#советы #CISO @П2Т
30.03.202510:18
🎚 Демо NFGW, краденые и бездарно слитые учётные данные, и другие полезные посты марта
Собрали самое ценное и интересное за месяц — эти материалы помогут выстроить эффективные процессы и системы в ИБ. Если вы пропустили их в спешке, самое время почитать! 🤗
🟣Видео-демонстрация особенностей и возможностей нашего NGFW;
🟣любимые TTPs атакующих по статистике экспертов сервиса IR;
🟣сколько секретов на самом деле хранится в GitHub (а в Slack ещё больше);
🟣подробный, с 🔥 разбор деятельности Lazarus — от атак на ЦБ Бангладеш до кражи из Bybit;
🟣сколько корпоративных учёток нашлось в логах инфостилеров;
🟣где в разработке ПО копится техдолг, опасный для ИБ, и что с этим делать;
🟣откуда взялось свежее ВПО с цифровой подписью Microsoft;
🟣какими практически полезными ИИ-функциями можно воспользоваться в KUMA уже сейчас
🟣как оптимизировать сканирование огромных хранилищ файлов;
🟣прощание с uBlock и Skype, новая слежка Google и другие новости личной ИБ.
Бонус-трек: вредные opsec-советы по обсуждению секретных сведений в мессенджере Signal от редакции The Atlantic (часть 1, часть 2). А если серьёзно, в Signal есть удобная функция приватных псевдонимов, позволяющая пользователям не путать, кого из нескольких JG надо добавлять в чат.
#советы #дайджест @П2Т
Собрали самое ценное и интересное за месяц — эти материалы помогут выстроить эффективные процессы и системы в ИБ. Если вы пропустили их в спешке, самое время почитать! 🤗
🟣Видео-демонстрация особенностей и возможностей нашего NGFW;
🟣любимые TTPs атакующих по статистике экспертов сервиса IR;
🟣сколько секретов на самом деле хранится в GitHub (а в Slack ещё больше);
🟣подробный, с 🔥 разбор деятельности Lazarus — от атак на ЦБ Бангладеш до кражи из Bybit;
🟣сколько корпоративных учёток нашлось в логах инфостилеров;
🟣где в разработке ПО копится техдолг, опасный для ИБ, и что с этим делать;
🟣откуда взялось свежее ВПО с цифровой подписью Microsoft;
🟣какими практически полезными ИИ-функциями можно воспользоваться в KUMA уже сейчас
🟣как оптимизировать сканирование огромных хранилищ файлов;
🟣прощание с uBlock и Skype, новая слежка Google и другие новости личной ИБ.
Бонус-трек: вредные opsec-советы по обсуждению секретных сведений в мессенджере Signal от редакции The Atlantic (часть 1, часть 2). А если серьёзно, в Signal есть удобная функция приватных псевдонимов, позволяющая пользователям не путать, кого из нескольких JG надо добавлять в чат.
#советы #дайджест @П2Т
26.03.202511:31
👀 Patch Wednesday: накопилось
Кроме вчерашнего 0day в Chrome, ответственным за управление уязвимостями стоит мобилизовать ИТ-команды для оперативного устранения нескольких разношёрстных, но серьёзных дефектов в корпоративном ПО:
IngressNightmare: 4 CVE в контроллере Ingress-NGINX, который активирован на 41% кластеров Kubernetes, видимых из Интернета. Цепочка четырёх уязвимостей коллективно тянет на CVSS 9.8 и в итоге приводит к RCE без аутентификации. Атакующие могут утащить все секреты, сохранённые в кластере и захватить его в целом. Обычно admission endpoint не стоит выставлять в публичный интернет, доступ к нему нужен только API-серверу K8s, тем не менее, по оценкам Wiz более 6500 корпораций сделали именно это.
CVE-2025-22230 (CVSS 7.8), обход аутентификации в VMWare tools, позволяет выполнять высокопривелегированные операции в гостевой VM на Windows.
Дыра без CVE в CrushFTP 11, позволяющая без аутентификации получать доступ к данным через порты HTTP(S). Вендор стыдливо упомянул о дефекте только в клиентской рассылке, но оперативно устранил дефект и обещал номер CVE попозже.
#новости #уязвимости @П2Т
Кроме вчерашнего 0day в Chrome, ответственным за управление уязвимостями стоит мобилизовать ИТ-команды для оперативного устранения нескольких разношёрстных, но серьёзных дефектов в корпоративном ПО:
IngressNightmare: 4 CVE в контроллере Ingress-NGINX, который активирован на 41% кластеров Kubernetes, видимых из Интернета. Цепочка четырёх уязвимостей коллективно тянет на CVSS 9.8 и в итоге приводит к RCE без аутентификации. Атакующие могут утащить все секреты, сохранённые в кластере и захватить его в целом. Обычно admission endpoint не стоит выставлять в публичный интернет, доступ к нему нужен только API-серверу K8s, тем не менее, по оценкам Wiz более 6500 корпораций сделали именно это.
CVE-2025-22230 (CVSS 7.8), обход аутентификации в VMWare tools, позволяет выполнять высокопривелегированные операции в гостевой VM на Windows.
Дыра без CVE в CrushFTP 11, позволяющая без аутентификации получать доступ к данным через порты HTTP(S). Вендор стыдливо упомянул о дефекте только в клиентской рассылке, но оперативно устранил дефект и обещал номер CVE попозже.
#новости #уязвимости @П2Т
24.03.202508:54
➡️ Интересные исследования APT и новости ИБ за неделю
💡 Отчёт о реагировании на инциденты в 2024 году: детальный разбор профиля атакующих и жертв, излюбленных тактик, техник и инструментов злоумышленников.
🔵Поступают новые подробности атаки на GitHub-процесс tj-actions/changed-file, судя по всему, это было лишь промежуточным звеном в атаке на Coinbase. Что интересно, атакующие, похоже, из Европы (а не как вы подумали, прочитав слово Coinbase).
⚪️Ландшафт угроз для систем промышленной автоматизации. В целом по миру в 4 квартале 2024 число атакованных компьютеров АСУ ТП незначительно снизилось, но в 8 регионах, включая Россию, отмечен рост.
🟡Новая кампания APT Mirror Face/Earth Kasha/APT10 нацелена на японские госорганизации и компании в сфере космоса, консалтинга и СМИ. Используются бэкдор Uppercut/Anel и AsyncRAT.
🔵Группа UAT-5918, пересекающаяся с Volt Typhoon/Flax Typhoon/Earth Estries, атакует тайваньские организации для создания долгосрочного шпионского доступа к локальной сетевой инфраструктуре.
🔵Разбор сложного бэкдора Betruger, применяемого группировкой RansomHub.
🟢Критическая уязвимость CVE-2025-23120 в Veeam Backup & Replication приводит к RCE.
🟢Что может быть хуже «умного лицензирования»? Только эксплуатация злоумышленниками уязвимостей в утилите умного лицензирования, особенно если это Cisco.
🟣На выходных вышло исследование о неприятной уязвимости CVE-2025-29927 фреймворка Next.js, обход аутентификации с CVSS 9.1. В Shodan светится 300 тысяч уязвимых сайтов.
🔵Древний образец ransomware Albabat неожиданно обзавёлся версиями для macOS и Linux.
🟣Отчёт о деятельностиартистов вымогателей BlackLock, ранее известных как ElDorado.
🟣Масштабная сеть скомпрометированных сайтов WordPress работает с 2016 года и используется в качестве С2 и TDS. Авторы этого ботнета, названного DollyWay, даже патчат уязвимости на «своих» сайтах и вычищают ВПО конкурентов.
🟢Новый инфостилер SVC, распространяется через фишинг с января, ворует всё что обычно, плюс данные из приватных мессенджеров.
🟣А Arcane stealer распространяется преимущественно через Youtube.
✳️ Не совсем по профилю канала, но пройти мимо не можем: год назад у Keenetic утекли данные мобильного приложения и вот наконец они решили сообщить об этом пользователям. На сервере хранится очень много данных, включая пароли Wi-Fi и ключи VPN.
#новости #APT #дайджест #уязвимости @П2Т
💡 Отчёт о реагировании на инциденты в 2024 году: детальный разбор профиля атакующих и жертв, излюбленных тактик, техник и инструментов злоумышленников.
🔵Поступают новые подробности атаки на GitHub-процесс tj-actions/changed-file, судя по всему, это было лишь промежуточным звеном в атаке на Coinbase. Что интересно, атакующие, похоже, из Европы (а не как вы подумали, прочитав слово Coinbase).
⚪️Ландшафт угроз для систем промышленной автоматизации. В целом по миру в 4 квартале 2024 число атакованных компьютеров АСУ ТП незначительно снизилось, но в 8 регионах, включая Россию, отмечен рост.
🟡Новая кампания APT Mirror Face/Earth Kasha/APT10 нацелена на японские госорганизации и компании в сфере космоса, консалтинга и СМИ. Используются бэкдор Uppercut/Anel и AsyncRAT.
🔵Группа UAT-5918, пересекающаяся с Volt Typhoon/Flax Typhoon/Earth Estries, атакует тайваньские организации для создания долгосрочного шпионского доступа к локальной сетевой инфраструктуре.
🔵Разбор сложного бэкдора Betruger, применяемого группировкой RansomHub.
🟢Критическая уязвимость CVE-2025-23120 в Veeam Backup & Replication приводит к RCE.
🟢Что может быть хуже «умного лицензирования»? Только эксплуатация злоумышленниками уязвимостей в утилите умного лицензирования, особенно если это Cisco.
🟣На выходных вышло исследование о неприятной уязвимости CVE-2025-29927 фреймворка Next.js, обход аутентификации с CVSS 9.1. В Shodan светится 300 тысяч уязвимых сайтов.
🔵Древний образец ransomware Albabat неожиданно обзавёлся версиями для macOS и Linux.
🟣Отчёт о деятельности
🟣Масштабная сеть скомпрометированных сайтов WordPress работает с 2016 года и используется в качестве С2 и TDS. Авторы этого ботнета, названного DollyWay, даже патчат уязвимости на «своих» сайтах и вычищают ВПО конкурентов.
🟢Новый инфостилер SVC, распространяется через фишинг с января, ворует всё что обычно, плюс данные из приватных мессенджеров.
🟣А Arcane stealer распространяется преимущественно через Youtube.
✳️ Не совсем по профилю канала, но пройти мимо не можем: год назад у Keenetic утекли данные мобильного приложения и вот наконец они решили сообщить об этом пользователям. На сервере хранится очень много данных, включая пароли Wi-Fi и ключи VPN.
#новости #APT #дайджест #уязвимости @П2Т
18.03.202512:36
🐱 Опасная уязвимость в Apache Tomcat эксплуатируется вживую.
Опубликованная неделю назад CVE-2025-24813 в Apache Tomcat версий 9, 10 и 11 обзавелась публичным PoC. Атака основана на стандартном механизме сохранения сессий в Tomcat и состоит из двух частей: сначала злоумышленник загружает методом PUT сериализованный сессионный файл Java, а затем инициирует десериализацию с помощью GET, указывая в куки идентификатор вредоносной сессии. В результате без всякой аутентификации достижима RCE на сервере со всеми вытекающими следствиями. Единственное ограничение атаки — на сервере должно быть включено хранение сессий в файлах, но это довольно популярная настройка, поэтому попытки массовой эксплуатации неизбежны. Более подробно уязвимые настройки разобраны здесь.
Первые попытки эксплуатации уязвимости зарегистрированы всего через 30 часов после публикации бюллетеня Apache, а с появлением публичного PoC обновление Tomcat стало критической необходимостью. В качестве временной митигации можно отключить разрешения на запись для стандартной конфигурации сервлетов (параметр readonly в conf/web.xml) или отключить частичный PUT (allowPartialPut=false).
#новости #уязвимости @П2Т
Опубликованная неделю назад CVE-2025-24813 в Apache Tomcat версий 9, 10 и 11 обзавелась публичным PoC. Атака основана на стандартном механизме сохранения сессий в Tomcat и состоит из двух частей: сначала злоумышленник загружает методом PUT сериализованный сессионный файл Java, а затем инициирует десериализацию с помощью GET, указывая в куки идентификатор вредоносной сессии. В результате без всякой аутентификации достижима RCE на сервере со всеми вытекающими следствиями. Единственное ограничение атаки — на сервере должно быть включено хранение сессий в файлах, но это довольно популярная настройка, поэтому попытки массовой эксплуатации неизбежны. Более подробно уязвимые настройки разобраны здесь.
Первые попытки эксплуатации уязвимости зарегистрированы всего через 30 часов после публикации бюллетеня Apache, а с появлением публичного PoC обновление Tomcat стало критической необходимостью. В качестве временной митигации можно отключить разрешения на запись для стандартной конфигурации сервлетов (параметр readonly в conf/web.xml) или отключить частичный PUT (allowPartialPut=false).
#новости #уязвимости @П2Т
01.04.202509:07
🗣 Практика MDR из первых рук
Критические инциденты, которые в прошлом году обработало наше решение MDR, в среднем требовали на 48% больше времени, чтобы их детектировать и полноценно описать. Сложность атак повышается, поэтому важно знать, как меняется фокус злоумышленников и их инструментарий. Уникальный шанс узнать об этом из первых рук — уже в этот четверг.
Сергей Солдатов, руководитель центра мониторинга кибербезопасности «Лаборатории Касперского», расскажет:
▶️ каков портрет злоумышленника и как атаки сгруппированы по типу и целям;
▶️ какие TTPs хакеры стали использовать чаще;
▶️ что и как сделать, чтобы своевременно выявить угрозу и защитить бизнес.
Встречаемся в четверг: 3 апреля 2025 в 11:00 (МСК).
Нужна предварительная регистрация.
Зарезервировать место на стриме ⟶
#события @П2Т
Критические инциденты, которые в прошлом году обработало наше решение MDR, в среднем требовали на 48% больше времени, чтобы их детектировать и полноценно описать. Сложность атак повышается, поэтому важно знать, как меняется фокус злоумышленников и их инструментарий. Уникальный шанс узнать об этом из первых рук — уже в этот четверг.
Сергей Солдатов, руководитель центра мониторинга кибербезопасности «Лаборатории Касперского», расскажет:
▶️ каков портрет злоумышленника и как атаки сгруппированы по типу и целям;
▶️ какие TTPs хакеры стали использовать чаще;
▶️ что и как сделать, чтобы своевременно выявить угрозу и защитить бизнес.
Встречаемся в четверг: 3 апреля 2025 в 11:00 (МСК).
Нужна предварительная регистрация.
Зарезервировать место на стриме ⟶
#события @П2Т
Пераслаў з:
Евгений Касперский
28.03.202514:06
Почему надо обновлять не только Chromium.
Прямо вслед за новостью об уязвимости в Chrome и Chromium, свой браузер Firefox пропатчила Mozilla.
Да, Хромиума нет, а уязвимость, получается, есть (была), и она находилась в логике взаимодействия песочницы с ОС, которая у разных браузеров имеет (имела) схожую ошибку.
Напомню, мы недавно обнаружили дыру в Chrome и лежащем в его основе Chromium ( который также используется в Яндекс.Браузере, MS Edge и т.д.).
Уязвимость использовали в реальных атаках на цели в России, судя по всему, достаточно продвинутые хакеры.
В общем, обновляйте и Firefox тоже.
Прямо вслед за новостью об уязвимости в Chrome и Chromium, свой браузер Firefox пропатчила Mozilla.
Да, Хромиума нет, а уязвимость, получается, есть (была), и она находилась в логике взаимодействия песочницы с ОС, которая у разных браузеров имеет (имела) схожую ошибку.
Напомню, мы недавно обнаружили дыру в Chrome и лежащем в его основе Chromium ( который также используется в Яндекс.Браузере, MS Edge и т.д.).
Уязвимость использовали в реальных атаках на цели в России, судя по всему, достаточно продвинутые хакеры.
В общем, обновляйте и Firefox тоже.
25.03.202522:31
❗️ Зиродей в Chrome используется в атаках на российских пользователей
Эксперты Kaspersky GReAT обнаружили целевую атаку на представителей СМИ, образовательных учреждений и правительственных организаций, в которой жертв заманивают на вредоносный сайт, эксплуатирующий ранее неизвестную уязвимость Chromium (дефект получил номер CVE-2025-2783). Пользователей Windows после посещения сайта заражали ВПО предположительно с целью шпионажа. Для привлечения жертв использовался целевой фишинг, приглашающий на научный форум «Примаковские чтения».
И уязвимость, и ВПО отличаются высокой степенью изощрённости, поэтому вероятно за атакой стоит APT-группировка, спонсируемая государством. Подробности об атаке и IoC можно прочитать на Securelist, а технический разбор самой уязвимости в Chrome мы опубликуем, когда большая часть пользователей установит обновления.
Мы сообщили об уязвимости в Google и сегодня вышла обновлённая версия Chrome 134.0.6998.177/.178, которую мы рекомендуем незамедлительно установить. На всех компьютерах должно быть установлено надёжное защитное ПО. Решения Kaspersky успешно детектируют эксплойты, использованные в данной атаке.
#APT #уязвимости @П2Т
Эксперты Kaspersky GReAT обнаружили целевую атаку на представителей СМИ, образовательных учреждений и правительственных организаций, в которой жертв заманивают на вредоносный сайт, эксплуатирующий ранее неизвестную уязвимость Chromium (дефект получил номер CVE-2025-2783). Пользователей Windows после посещения сайта заражали ВПО предположительно с целью шпионажа. Для привлечения жертв использовался целевой фишинг, приглашающий на научный форум «Примаковские чтения».
И уязвимость, и ВПО отличаются высокой степенью изощрённости, поэтому вероятно за атакой стоит APT-группировка, спонсируемая государством. Подробности об атаке и IoC можно прочитать на Securelist, а технический разбор самой уязвимости в Chrome мы опубликуем, когда большая часть пользователей установит обновления.
Мы сообщили об уязвимости в Google и сегодня вышла обновлённая версия Chrome 134.0.6998.177/.178, которую мы рекомендуем незамедлительно установить. На всех компьютерах должно быть установлено надёжное защитное ПО. Решения Kaspersky успешно детектируют эксплойты, использованные в данной атаке.
#APT #уязвимости @П2Т
Пераслаў з:
Kaspersky
21.03.202514:06
🐧Линуксоиды, уже поставили себе Kaspersky?
Если нет — собрали для вас самое главное в карточках, а подробности — в нашем блоге.
Полезные ссылки к карточкам:
▶️системные требования;
▶️инструкция по установке;
▶️справка Kaspersky для Linux.
Если нет — собрали для вас самое главное в карточках, а подробности — в нашем блоге.
Полезные ссылки к карточкам:
▶️системные требования;
▶️инструкция по установке;
▶️справка Kaspersky для Linux.
18.03.202508:50
☝️ Поговорим об инцидентах: изобретения злоумышленников против передовых практик реагирования
Как мы и обещали, эксперты глобальной команды реагирования на киберинциденты (GERT) «Лаборатории Касперского» готовы поделиться статистикой и уроками, извлечёнными при IR в 2024 году. Наш ежегодный отчёт по IR — это предельно практичный материал, помогающий защитникам уточнить профиль угроз для своей организации и сделать конкретные улучшения в методах обнаружения угроз и реагирования на них.
На вебинаре 20 марта обсудим самое важное в отчёте:
🔵 какие регионы и отрасли находились в эпицентре угроз;
🔵 инструменты и практики, помогающие оперативному и полному реагированию;
🔵 новые TTPs злоумышленников, рост и падение популярности различных инструментов атаки;
🔵 как повысить уровень защищенности компании.
И конечно, ответим на вопросы слушателей!
Встречаемся в этот четверг, 20 марта, в 11:00 (мск).
P.S. А ещё, 20 марта станет доступна версия отчёта на русском языке, которую получат все зарегистрированные участники!
Зарезервировать место на вебинаре⟶
#события @П2Т
Как мы и обещали, эксперты глобальной команды реагирования на киберинциденты (GERT) «Лаборатории Касперского» готовы поделиться статистикой и уроками, извлечёнными при IR в 2024 году. Наш ежегодный отчёт по IR — это предельно практичный материал, помогающий защитникам уточнить профиль угроз для своей организации и сделать конкретные улучшения в методах обнаружения угроз и реагирования на них.
На вебинаре 20 марта обсудим самое важное в отчёте:
🔵 какие регионы и отрасли находились в эпицентре угроз;
🔵 инструменты и практики, помогающие оперативному и полному реагированию;
🔵 новые TTPs злоумышленников, рост и падение популярности различных инструментов атаки;
🔵 как повысить уровень защищенности компании.
И конечно, ответим на вопросы слушателей!
Встречаемся в этот четверг, 20 марта, в 11:00 (мск).
P.S. А ещё, 20 марта станет доступна версия отчёта на русском языке, которую получат все зарегистрированные участники!
Зарезервировать место на вебинаре⟶
#события @П2Т
Пераслаў з:
Солдатов в Телеграм
04.04.202507:58
Оценка возможностей команды - важнейший вопрос планирования ресурсного обеспечения SOC. С одной стороны необходимо, чтобы команда не простаивала, с другой стороны - чрезмерно большой объем будет приводить к перегреву и потере ключевых сотрудников.
Можно придумать множество различных методик оценки, каждая из которых будет иметь свои сильные и слабые стороны, и показывать хорошие результаты в одних сценариях, а в других - работать очень плохо. В нашем SOC мы используем несколько различных методик, я постараюсь найти время, чтобы поделиться ими всеми в серии статей.
И первый метод, предлагаемый вашему вниманию, основан на анализе сменных графиков.
Этот метод лучше работает в условиях, когда количество работы соответствует размеру команды, когда команда недогружена, или когда объем работ сильно изменяется за период измерения (например, за месяц). К слабым местам этого метода также следует отнести коэффициенты пересчета количества инцидентов в количество алертов, а количества алертов в количество эндпонитов, а также средние продолжительности работы над алертом и инцидентом, поскольку, очевидно, эти значения сильно зависят от конкретного алерта и инцидента. Еще немаловажным моментом является усреднение по месяцу - все константы и коэффициенты взяты на основе анализа статистик за месяц, несложно догадаться, что за месяц объем в значительной степени может меняться во времени.
Однако, при всех описанных минусах и слабостях, представленный метод оценки дает правдоподобные результаты, соотносящиеся с практикой, что оправдывает его использование.
#MDR
Можно придумать множество различных методик оценки, каждая из которых будет иметь свои сильные и слабые стороны, и показывать хорошие результаты в одних сценариях, а в других - работать очень плохо. В нашем SOC мы используем несколько различных методик, я постараюсь найти время, чтобы поделиться ими всеми в серии статей.
И первый метод, предлагаемый вашему вниманию, основан на анализе сменных графиков.
Этот метод лучше работает в условиях, когда количество работы соответствует размеру команды, когда команда недогружена, или когда объем работ сильно изменяется за период измерения (например, за месяц). К слабым местам этого метода также следует отнести коэффициенты пересчета количества инцидентов в количество алертов, а количества алертов в количество эндпонитов, а также средние продолжительности работы над алертом и инцидентом, поскольку, очевидно, эти значения сильно зависят от конкретного алерта и инцидента. Еще немаловажным моментом является усреднение по месяцу - все константы и коэффициенты взяты на основе анализа статистик за месяц, несложно догадаться, что за месяц объем в значительной степени может меняться во времени.
Однако, при всех описанных минусах и слабостях, представленный метод оценки дает правдоподобные результаты, соотносящиеся с практикой, что оправдывает его использование.
#MDR
01.04.202506:06
☀️ Полсотни уязвимостей в... солнечных батареях
Исследовательское подразделение Forescout выкатило монументальный отчёт об уязвимостях в инфраструктуре солнечной энергетики. Поскольку почти все солнечные панели — от стоящих на крыше частного дома до крупных ферм на пару мегаватт — подключены к инструментам телеметрии и управления нагрузкой, они подвержены всем типичным атакам, знакомым по другим дырявым устройствам IoT. В отчёте упомянуто минимум три крупных инцидента прошлого года, исходящих от всех групп атакующих: от хактивистов до шпионских APT.
Неприятно, когда ваша солнечная батарея подрабатывает в Mirai на полставки, но основной угрозой конечно является нарушение стабильности энергосистемы. Компрометация инверторов может привести к целенаправленному нарушению выработки электроэнергии и даже к массовым отключениям, достижимым при помощи класса атак load altering. Это может быть актуально для регионов с динамично растущей долей солнечной генерации, будь то Нидерланды или Забайкалье.
🔥 В отчёте упоминаются 93 ранее раскрытые уязвимости, которые в разной мере приводят к компрометации устройств, связанного с ними облачного сервиса и других компонентов, 80% имеют уровень серьёзности high и critical. Но исследователи не удовлетворились обзором литературы и занялись изучением панелей ведущих производителей, включая Huawei, Sungrow, Ginlong Solis, Growatt, GoodWe и SMA.
У Sungrow, Growatt и SMA было выявлено 46 новых уязвимостей, включая жёстко заданные учётные данные, слабое шифрование, возможность перебора пользователей, и даже XSS и классическое переполнение буфера с RCE.
Основные выводы для тех, кто эксплуатирует любые солнечные батареи (крупнее калькуляторов и садовых фонарей):
🟢 относитесь к инверторам как критической инфраструктуре;
🟢 размещайте их в изолированных подсетях и обеспечьте постоянный мониторинг трафика и событий;
🟢 проводите аудит безопасности солнечных установок по аналогии с другой IT/OT-инфраструктурой;
🟢 выбирайте поставщиков с учётом соблюдения ими принципов безопасной разработки, прохождения регулярных пентестов и соответствия международным стандартам безопасности.
Для этого класса устройств есть подробные руководства по ИБ от NIST и американского Минэнерго.
#советы #угрозы @П2Т
Исследовательское подразделение Forescout выкатило монументальный отчёт об уязвимостях в инфраструктуре солнечной энергетики. Поскольку почти все солнечные панели — от стоящих на крыше частного дома до крупных ферм на пару мегаватт — подключены к инструментам телеметрии и управления нагрузкой, они подвержены всем типичным атакам, знакомым по другим дырявым устройствам IoT. В отчёте упомянуто минимум три крупных инцидента прошлого года, исходящих от всех групп атакующих: от хактивистов до шпионских APT.
Неприятно, когда ваша солнечная батарея подрабатывает в Mirai на полставки, но основной угрозой конечно является нарушение стабильности энергосистемы. Компрометация инверторов может привести к целенаправленному нарушению выработки электроэнергии и даже к массовым отключениям, достижимым при помощи класса атак load altering. Это может быть актуально для регионов с динамично растущей долей солнечной генерации, будь то Нидерланды или Забайкалье.
🔥 В отчёте упоминаются 93 ранее раскрытые уязвимости, которые в разной мере приводят к компрометации устройств, связанного с ними облачного сервиса и других компонентов, 80% имеют уровень серьёзности high и critical. Но исследователи не удовлетворились обзором литературы и занялись изучением панелей ведущих производителей, включая Huawei, Sungrow, Ginlong Solis, Growatt, GoodWe и SMA.
У Sungrow, Growatt и SMA было выявлено 46 новых уязвимостей, включая жёстко заданные учётные данные, слабое шифрование, возможность перебора пользователей, и даже XSS и классическое переполнение буфера с RCE.
Основные выводы для тех, кто эксплуатирует любые солнечные батареи (крупнее калькуляторов и садовых фонарей):
🟢 относитесь к инверторам как критической инфраструктуре;
🟢 размещайте их в изолированных подсетях и обеспечьте постоянный мониторинг трафика и событий;
🟢 проводите аудит безопасности солнечных установок по аналогии с другой IT/OT-инфраструктурой;
🟢 выбирайте поставщиков с учётом соблюдения ими принципов безопасной разработки, прохождения регулярных пентестов и соответствия международным стандартам безопасности.
Для этого класса устройств есть подробные руководства по ИБ от NIST и американского Минэнерго.
#советы #угрозы @П2Т
28.03.202510:48
🗣 SOC-битва: коммерческий против гибридного
Когда: 2 апреля 2025 в 11:00 (МСК)
Лёгкое масштабирование или глубокое знание защищаемой инфраструктуры? Зависимость от поставщика или бесконечная погоня за компетентными кадрами? Что дешевле, а что лучше соответствует регуляторным нормам? Все аспекты выбора между стопроцентно сервисной моделью SOC (MSSP) или гибридным вариантом, когда часть функций выполняет внутренняя команда, обсудят руководители ведущих SOC на онлайн-конференции AM-Live!
Детально разберёмся:
▶️ в отличиях гибридной схемы оказания услуг и полностью сервисного MSSP-подхода;
▶️ какой вариант SOC более востребован в РФ, и почему;
▶️ как влияют на выбор отраслевые и законодательные требования;
▶️ в обязательных условиях ответственности и SLA в контракте;
▶️ в затратах на запуск и поддержание SOC в обеих моделях;
▶️ как измерить эффективность гибридного и коммерческого SOC? Будут ли отличия в критериях?
👤 От «Лаборатории Касперского» выступит Сергей Солдатов, руководитель центра мониторинга кибербезопасности
Встречаемся в среду: 2 апреля 2025
Нужна предварительная регистрация.
Узнать о конференции и зарегистрироваться ⟶
#события @П2Т
Когда: 2 апреля 2025 в 11:00 (МСК)
Лёгкое масштабирование или глубокое знание защищаемой инфраструктуры? Зависимость от поставщика или бесконечная погоня за компетентными кадрами? Что дешевле, а что лучше соответствует регуляторным нормам? Все аспекты выбора между стопроцентно сервисной моделью SOC (MSSP) или гибридным вариантом, когда часть функций выполняет внутренняя команда, обсудят руководители ведущих SOC на онлайн-конференции AM-Live!
Детально разберёмся:
▶️ в отличиях гибридной схемы оказания услуг и полностью сервисного MSSP-подхода;
▶️ какой вариант SOC более востребован в РФ, и почему;
▶️ как влияют на выбор отраслевые и законодательные требования;
▶️ в обязательных условиях ответственности и SLA в контракте;
▶️ в затратах на запуск и поддержание SOC в обеих моделях;
▶️ как измерить эффективность гибридного и коммерческого SOC? Будут ли отличия в критериях?
👤 От «Лаборатории Касперского» выступит Сергей Солдатов, руководитель центра мониторинга кибербезопасности
Встречаемся в среду: 2 апреля 2025
Нужна предварительная регистрация.
Узнать о конференции и зарегистрироваться ⟶
#события @П2Т
25.03.202522:31
21.03.202509:41
💻Задача со звёдочкой
Просканировать диски на ВПО — обычная, повседневная задача. Звёздочка повышенной сложности возникает, если объём дискового массива исчисляется десятками терабайт, а просканировать его надо целиком, да так, чтобы пользователи не ощутили снижения производительности. О том, как оптимизировать решение этой задачи и не наступить на типовые грабли вроде «проверка остановилась и ждёт пароль для архива», читайте в нашей статье. Примеры настроек приведены для Kaspersky Endpoint Security, но общая логика советов применима к любым EPP/EDR.
#советы @П2Т
Просканировать диски на ВПО — обычная, повседневная задача. Звёздочка повышенной сложности возникает, если объём дискового массива исчисляется десятками терабайт, а просканировать его надо целиком, да так, чтобы пользователи не ощутили снижения производительности. О том, как оптимизировать решение этой задачи и не наступить на типовые грабли вроде «проверка остановилась и ждёт пароль для архива», читайте в нашей статье. Примеры настроек приведены для Kaspersky Endpoint Security, но общая логика советов применима к любым EPP/EDR.
#советы @П2Т
17.03.202509:10
🌎 Атаки на девопсов, расшифровка Akira и другие интересные исследования APT и новости ИБ за неделю
🟢 Разбор новых TTPs группировки Head Mare, атакующей российские компании. Теперь явно видно, что Head Mare и Twelve сотрудничают — первая использует инструменты и С2 второй.
❗️ Атаки на цепочку поставок теперь и у девопсов. В пятницу популярный скрипт GitHub Actions tj-actions/changed-files был троянизирован для кражи секретов. Это действие используется в 23 тысячах проектов на GitHub. Администрация заблокировала changed-files в субботу и помогла восстановить чистую версию этого действия. Секреты записываются в журнал сборки проекта (build log), поэтому для приватных репо риск утечки ниже, а вот публичным проектам теперь нужно провести ротацию секретов. Инцидент даже получил свою CVE.
🟣Разбор бэкдоров UNC3886, используемых для компрометации старых роутеров Juniper MX.
🟣Новая неделя — новое ВПО из недр APT37, новый кроссплатформенный имплант получил название KOSpy.
🟣Хорошие новости для жертв Akira. Потратив пару тысяч долларов на GPU-вычисления в ряде случаев можно восстановить то, что пошифровано в кластере ESXi.
🔵С прошлой недели идёт массовая эксплуатация (старых) уязвимостей SSRF в дюжине популярных приложений: vCenter, Zimbra, Ivanti Connect Secure, GitLab CE/EE и других.
🔴Разбор бэкдора Anubis, применяющегося группировкой FIN7.
🟠Обзор экзотического ВПО, встречавшегося в живой природе за последний год: пассивный бэкдор в IIS, буткит, отдалённо похожий на изделия Equation Group и редтим-инструмент ProjectGeass.
🟡Анализ инструмента Bruted, используемого понятно для чего вымогателями BlackBasta.
⚪️И технический анализ шифровальщика LockBit Green (v4).
🟣Новый способ распространять бэкдор DCrat: в основном через YouTube.
⚡️Прошедшая неделя была богата на критические уязвимости и срочные патчи: 3 зиродея в VMWare, 6 — в Windows, 3 критические уязвимости в GitLab, Fortinet выкатила бюллетени на 9 дефектов в различных продуктах и обновила пяток уже известных бюллетеней.
#APT #дайджест #уязвимости #новости @П2Т
🟢 Разбор новых TTPs группировки Head Mare, атакующей российские компании. Теперь явно видно, что Head Mare и Twelve сотрудничают — первая использует инструменты и С2 второй.
❗️ Атаки на цепочку поставок теперь и у девопсов. В пятницу популярный скрипт GitHub Actions tj-actions/changed-files был троянизирован для кражи секретов. Это действие используется в 23 тысячах проектов на GitHub. Администрация заблокировала changed-files в субботу и помогла восстановить чистую версию этого действия. Секреты записываются в журнал сборки проекта (build log), поэтому для приватных репо риск утечки ниже, а вот публичным проектам теперь нужно провести ротацию секретов. Инцидент даже получил свою CVE.
🟣Разбор бэкдоров UNC3886, используемых для компрометации старых роутеров Juniper MX.
🟣Новая неделя — новое ВПО из недр APT37, новый кроссплатформенный имплант получил название KOSpy.
🟣Хорошие новости для жертв Akira. Потратив пару тысяч долларов на GPU-вычисления в ряде случаев можно восстановить то, что пошифровано в кластере ESXi.
🔵С прошлой недели идёт массовая эксплуатация (старых) уязвимостей SSRF в дюжине популярных приложений: vCenter, Zimbra, Ivanti Connect Secure, GitLab CE/EE и других.
🔴Разбор бэкдора Anubis, применяющегося группировкой FIN7.
🟠Обзор экзотического ВПО, встречавшегося в живой природе за последний год: пассивный бэкдор в IIS, буткит, отдалённо похожий на изделия Equation Group и редтим-инструмент ProjectGeass.
🟡Анализ инструмента Bruted, используемого понятно для чего вымогателями BlackBasta.
⚪️И технический анализ шифровальщика LockBit Green (v4).
🟣Новый способ распространять бэкдор DCrat: в основном через YouTube.
⚡️Прошедшая неделя была богата на критические уязвимости и срочные патчи: 3 зиродея в VMWare, 6 — в Windows, 3 критические уязвимости в GitLab, Fortinet выкатила бюллетени на 9 дефектов в различных продуктах и обновила пяток уже известных бюллетеней.
#APT #дайджест #уязвимости #новости @П2Т
Паказана 1 - 24 з 58
Увайдзіце, каб разблакаваць больш функцый.