Порвали два трояна
Про ИБ в бизнесе, промышленности и многом другом 💼 Главный канал Kaspersky Daily @kasperskylab_ru Связь @KasperskyCrew
Show more5 622
Subscribers
-824 hours
-207 days
+22630 days
Posting time distributions
Data loading in progress...
Find out who reads your channel
This graph will show you who besides your subscribers reads your channel and learn about other sources of traffic.
Publication analysis
| Posts | Views | Shares | Views dynamics |
01 🗣 Как обеспечить безопасность облаков?
Когда: 22 мая 2024 в 11:00 (МСК)
Изменения в ландшафте ИТ за последние 2 года преобразили модель рисков для облачной инфраструктуры, а также привели к переоценке ИТ-командами всей системы использования облачных ресурсов. Одновременно значительно выросло число и разнообразие киберугроз. Как обеспечить безопасности облачных сред и на уровне инфраструктуры, и на уровне разработки в этих условиях?
На онлайн-конференции AM Live ведущие эксперты по облачной безопасности обсудят все практические аспекты защиты:
▶️ как оценить зрелость кибербезопасности облачного провайдера;
▶️ что такое «аттестация облака» и какие требования к облачным средам предъявляют государственные регуляторы;
▶️ как разграничиваются ответственность за инцидент ИБ между облачным провайдером и заказчиком;
▶️ какие облачные платформы наиболее дружелюбны для наложенных средств защиты;
▶️ насколько безопасны облака, которые построены на open source;
▶️ что важно учитывать при собственной разработке облака;
▶️ как правильно позаботиться о высокой доступности и предусмотреть потенциальные катастрофы.
👤 От «Лаборатории Касперского» выступит Мария Павленко, эксперт по защите виртуальных сред и публичных облаков
Встречаемся в среду утром: 22 мая 2024 в 11:00 (МСК).
Нужна предварительная регистрация.
Узнать о конференции и зарегистрироваться ⟶
#события @П2Т | 410 | 6 | Loading... |
02 📌 Вышел монументальный отчёт «Лаборатории Касперского» о ландшафте угроз в РФ и СНГ, основанный на большом количестве источников — от статистики Kaspersky Security Network и работы ханипотов до анализа реальных инцидентов и OSINT.
Пересказывать добрую сотню страниц не будем, но пару интересных и печальных моментов хочется отметить.
Во-первых, в топе сетевых уязвимостей, которые пытаются эксплуатировать злоумышленники, до сих пор доминируют баги 2018-2021 годов: Log4shell, Bluekeep, а также старые дефекты в OpenSMTPD, Spring Framework, Apache Struts и Confluence.
То есть защититься от значительного количества атак можно, если обновлять свои системы чаще раза в год 🙈
Или, говоря более точно, грамотно выстроив процесс Patch Management и применяя решения со встроенными средствами управления уязвимостями и установкой исправлений.
📊 Высокую остроту сохраняет угроза шифровальщиков. При этом увеличивается совокупный размер выкупов, а вот наиболее активные игроки и штаммы ВПО каждый год новые. В 2024 году топ-5 самых распространённых шифровальщиков снова значительно обновился.
Что ещё есть в отчёте?
✔️ перечень атакованных стран и индустрий;
✔️ популярные TTPs;
✔️ перечень сопутствующих угроз в регионе;
✔️ описание митигаций рисков.
Скачать отчёт
#статистика #киберугрозы @П2Т | 680 | 21 | Loading... |
03 Media files | 627 | 3 | Loading... |
04 👮 Какие техники злоумышленников чаще всего встречаются в кибератаках?
Мы проанализировали недавние отчёты наших сервисов MDR и Incident Response, и попробовали объединить самые часто встречающиеся техники ATT&CK, применяемые хакерами, в нечто вроде хит-парада.
Встречайте горячую десятку приёмов: от фишинга и эксплойтов до манипуляции аккаунтами и LOLbins.
Командам ИБ есть что противопоставить всем этим трюкам — мы снабдили каждый из них кратким описанием и рекомендациями по противодействию.
🟢 Изучить топ-10
#советы @П2Т | 776 | 11 | Loading... |
05 📌 Вышел монументальный отчёт «Лаборатории Касперского» о ландшафте угроз в РФ и СНГ, основанный на большом количестве источников — от статистики Kaspersky Security Network и работы ханипотов до анализа реальных инцидентов и OSINT.
Пересказывать добрую сотню страниц не будем, но пару интересных и печальных моментов хочется отметить.
Во-первых, в топе сетевых уязвимостей, которые пытаются эксплуатировать злоумышленники, до сих пор доминируют баги 2018-2021 годов: Log4shell, Bluekeep, а также старые дефекты в OpenSMTPD, Spring Framework, Apache Struts и Confluence.
То есть защититься от значительного количества атак можно, если обновлять свои системы чаще раза в год 🙈
Или, говоря более точно, грамотно выстроив процесс Patch Management и применяя решения со встроенными средствами управления уязвимостями и установкой исправлений.
📊 Высокую остроту сохраняет угроза шифровальщиков. При этом увеличивается совокупный размер выкупов, а вот наиболее активные игроки и штаммы ВПО каждый год новые. В 2024 году топ-5 самых распространённых шифровальщиков снова значительно обновился.
Что ещё есть в отчёте?
✔️ перечень атакованных стран и индустрий;
✔️ популярные TTPs;
✔️ перечень сопутствующих угроз в регионе;
✔️ описание митигаций рисков.
Скачать отчёт
#статистика #киберугрозы @П2Т | 1 | 0 | Loading... |
06 Media files | 1 | 0 | Loading... |
07 ➡️Интересные исследования APT и новости ИБ за неделю
👀 Интересная разновидность ViperSoftX: распознаёт изображения на компьютере при помощи опенсорсной OCR Tesseract, отправляет атакующим всё, похожее на пароли, ключи криптокошельков и другую подобную информацию.
🥸 Новая уязвимость протокола 802.11: SSID confusion позволяет при определённых условиях обходить VPN.
😶 Вторая часть подробного отчёта про APT Earth Hundun. — разбор механик работы имплантов Deuterbear и Waterbear. Напомним, что целью обычно являются правительственные, технологические и исследовательские организации в АТР.
Продолжая путешествие по Азии, прикоснёмся и к китайскому инфосеку — разбору кампаний APT-C-08 (гугл-перевод), атакующих примерно тот же круг жертв.
🔄 Анализ нового ВПО Gomir, атакующего Linux-системы и применяемого APT Kimsuky/Springail. Имплант является развитием более старого Gobear.
🗿 А в России нашёлся загрузчик PhantomDL, доставляющий ВПО группировки PhantomCore. Как и предполагалось, первоначальное заражение идёт через целевой фишинг и RAR/ZIP архивы, эксплуатирующие CVE-2023-38831.
Майнинг крипты на серверах по-прежнему в моде: ещё одна цепочка атак с применением Log4shell и установкой XMrig.
⛔️ Интересные инструменты Turla: LunarWeb ведет коммуникации с C2 при помощи невинно выглядящих https-запросов и стеганографии, а LunarMail устанавливается как дополнение к Outlook и связывается с C2 по e-mail 🐦.
🎁 Целая группа отчётов, посвященная вредоносному спаму и распространяемым через него инструментам:
- приманки в виде документов на подпись (DocuSign)
- RemcosRAT распространяется через вредоносный архив, эксплуатирующий легитимный бинарник GotoMeeting для запуска
- ещё RemcosRAT, но завёрнутый в MaaS PrivateLoader.
- Agent Tesla
- Sugar Gh0stRAT
- Vidar infostealer, умело замаскированный под юридические письма о нарушении авторских прав
Много атак различных коммерческих RAT на пользователей Foxit PDF reader: в неудачно сделанных предупреждениях безопасности слишком легко кликнуть на «разрешить» и таким образом запустить ВПО с удалённого сервера.
🍏 Apple отчиталась о том, что в 2023 году предотвратила мошеннических транзакций в App Store на $1,8 млрд. Заблокировано 374 млн. мошеннических аккаунтов. В общем, в огороженном саду довольно неспокойно.
#новости #APT @П2Т | 948 | 9 | Loading... |
08 💬 Как XDR решает проблемы ИБ-команд и что превращает концепцию XDR в работоспособный и удобный продукт?
💬 Каков «прожиточный минимум», необходимый для эффективного мониторинга, расследования и реагирования на инциденты?
💬 Что даёт Single Management Platform?
Всё о практике и перспективах внедрения XDR — в интервью Евгении Лагутиной для портала Anti-Malware.ru!
🎬 Смотреть интервью
#видео @П2Т | 1 505 | 18 | Loading... |
09 😎⭐️😎 Инфостилеры и утечки данных: объясняем наглядно
Финдиректор и отдел кадров не понимают, что такое утечки данных и почему «какие-то базы в Телеграме» могут привести к серьёзному инциденту ИБ в компании? Мы сталкивались с этой проблемой не раз, поэтому стараемся объяснять сложные темы даже совсем «нетехническими» словами и способами.
Перешлите эти ролики коллегам, и они за 30 секунд поймут:
🆗 как хакеры используют украденные данные;
🆗 чем опасны утечки лично для них;
🆗 как утечка помогает проникнуть в организацию.
🔗 Ну а тем, кто заинтересовался этой темой, можно прислать и полноценный отчёт Kaspersky Digital Footprint Intelligence о проблеме и описание способов борьбы с ней.
Смотрите и делитесь!
#видео #Азбука_ИБ | 1 485 | 28 | Loading... |
10 Снова обновление Chrome — третий 0day за неделю 😳
Google выкатили обновление Chrome до версии 5.0.6422.60/.61 для Windows и 125.0.6422.60 для Linux.
Ключевым устранённым дефектом является критическая CVE-2024-4947 в движке V8. О ней сообщили разработчикам исследователи «Лаборатории Касперского» и она используется в целевых атаках. Время обновляться!
Для тех, кто неделю не обновлялся 👿, заодно будут устранены две других 0day, также используемые в атаках и закрытые ранее: CVE-2024-4671 и CVE-2024-4761.
#новости @П2Т | 1 538 | 11 | Loading... |
11 💻 Майский вторник патчей: три зиродея
Свежее обновление Microsoft закрывает 59 уязвимостей, в том числе одну критическую, две эксплуатируемые до разглашения и одну разглашённую до устранения (но это не точно). 25 дефектов приводили к RCE, 17 — к повышению привилегий, 7 — к разглашению информации, также есть 3 DoS и 2 обхода функций безопасности.
Один зиродей был обнаружен нами, он используется для повышения привилегий до System и его вероятно используют несколько групп киберпреступников, в том числе для инсталляции QakBot. Сама уязвимость является EoP в библиотеке Windows DWM (CVE-2024-30051, CVSS 7.8)
Второй 0day (CVE-2024-30040, CVSS 8.8) является обходом функций безопасности в MSHTML и позволяет выполнить произвольный код после того, как жертва взаимодействует c вредоносным документом.
Третий зиродей — DoS в Visual Studio, обозначен как разглашённый публично, но без каких-либо подробностей. Возможно, это очередная опечатка Редмонда.
Внимания стоит критическая уязвимость CVE-2024-30044 (CVSS 8.8) в SharePoint Server. Это RCE, но для её эксплуатации нужно аутентифицироваться с правами Site Owner.
#новости @П2Т | 1 622 | 7 | Loading... |
12 👏 Secure by design: лайт-версия от CISA
На конференции RSA не то 68, не то 80 крупных ИТ-компаний под эгидой CISA подписали добровольное обязательство создавать безопасные продукты (secure by design). Мы, признаться, не поверили такой решительности, потому что в нашем понимании secure by design — это как минимум, продукт, созданный в методологии SDL, а как максимум — кибериммуннный. Но, как говорится, ставьте перед собой выполнимые задачи. За следующие 12 месяцев подписанты обязуются показать измеримый прогресс в семи направлениях:
🟣внедрять в продукты механизмы, расширяющие применение MFA;
🟣избавляться от стандартных паролей;
🟣применять методы программирования, избавляющие продукты от целых классов уязвимостей: SQLi, XSS, повреждение участков памяти;
🟣стимулировать оперативное применение патчей: внедрять автообновление или упрощать пользователям ручную установку обновлений;
🟣выработать политику по разглашению уязвимостей, разрешить поиск уязвимостей, опубликовать контактные данные для этих целей, публично отказаться от юридического преследования исследователей безопасности, ответственно их разглашающих;
🟣прозрачно и оперативно отчитываться о найденных CVE, включать данные о CWE и CPE для каждой уязвимости;
🟣упростить пользователям сбор артефактов, если кибератака затронула продукты разработчика.
Всё перечисленное на самом деле очень нужно и полезно, даже если не называть эти меры secure by design.
Посмотрим, как будут двигаться по этому роадмэпу Cisco, Fortinet, Ivanti, Microsoft, Netgear или Okta, которые его подписали 🤪
#новости @П2Т | 1 390 | 3 | Loading... |
13 Зацените какая интересная штукенция!
Чуваки запилили полноценный PoC (proof of concept) создания С2 сервера (command and control) на базе принтеров! Вы наверное неоднократно слышали про взломанные и обезумевшие принтеры которые начинали печатать всякую дичь. Дак вот хорватские чуваки из Diverto пошли дальше- показали, что атакующий может использовать системную службу Microsoft, которая отвечает за работу принтеров, в качестве сервака управления малварой, например. Вторая важная штука - они показали, как это безобразие можно детектить в сети, если кто-то уже это эксплуатирует. То есть тут и вектор атаки и как его находить. Самое крутое, что чуваки из Diverto, судя по всему, уже использовали этот подход в своих проектах по тестированию на проникновение/Red Team проектах. Нужно брать такое на заметку
Пацаны вообще ребята! | 1 419 | 33 | Loading... |
14 ✈️ Интересные новости ИБ и исследования APT за неделю
🍎 Обзор активности APT за первый квартал этого года. Среди интересных операций отметим атаку Kimsuky на цепочку поставок в Южной Корее при помощи ВПО Durian, написанного на Golang. Также спустя 11 лет радиомолчания удалось снова идентифицировать вредоносные операции шпионской группы Careto, нацеленные на жертв в Африке и Южной Америке. Детали этой атаки обещаны на VB.
👩💻 Анализ эксплуатируемых уязвимостей за тот же первый квартал. Много интересной статистики в разрезе ОС, бизнес-приложений, и т.п. В топе - четыре бага Ivanti, два ConnectWise Screenconnect и по одному WinRAR и Windows SmartScreen.
Кстати, об Ivanti — появилась разновидность ботнета Mirai, эксплуатирующая две уязвимости Pulse Secure для заражения новых устройств.
Кстати об уязвимостях, на RSAC анонсировали, что более 80 топ-вендоров ПО добровольно присоединяются к инициативе Secure By Design: обещают стойкие пароли по умолчанию, MFA, безопасное программирование, и так далее. Подробнее напишем отдельно.
💎 Масштабная мошенническая операция Bogusbazaar: тысячи веб-сайтов имитируют магазины брендовых товаров, чтобы воровать деньги и данные кредитных карт. Ущерб оценивают в $50 млн. Многие сайты-фальшивки запущены на истёкших доменах с хорошей репутацией. Авторы отчёта говорят, что мошенники работают из Китая.
🐍 И ещё из Поднебесной: тамошний инструмент red team под названием Viper всё шире используют злоумышленники на замену Cobalt Strike. Благо, интерфейс очень похож 😈
📬 Разбор продвинутого фишкита Tycoon MFA, хорошо приспособленного к обходу MFA в MS365 и Google.
Немного эзотерическая атака на VPN, TunnelVision, использует опцию DHCP 121, чтобы пускать трафик в обход VPN, в открытом виде. Не подвержен этому Android, на остальных платформах борьба с уязвимостью сводится к усиленной проверке конфигураций маршрутизации, передаваемых DHCP.
🛡 Новый проект от CISA — Vulrichment. Ещё один подход к приоритизации уязвимостей и обогащению информации о них, используется их же методика Stakeholder Specific Vulnerability Categorization. Прямо на Github лежат удобные .json по каждой свежезаведённой и многим старым CVE.
#дайджест @П2Т | 1 427 | 8 | Loading... |
15 👮♂️ Ransomware: ключевые тенденции 2024 года
Ransomware отвечает за 33% критических инцидентов в минувшем году, затронув бизнесы в каждой отрасли и по всему миру. Многие страны считают ransomware проблемой национальной безопасности, что привело к более координированным операциям правоохранительных органов против известных киберпреступников.
Результат?
Банды становятся всё более фрагментированными, распадаются на мелкие группы, что усложняет полиции охоту за ними.
К сожалению, для защитников эта фрагментация тоже усложняет задачу, количество желающих «пощупать» инфраструктуру компании увеличится. При этом всё больше атак почти молниеносны: более 43% завершаются шифрованием менее чем за сутки.
Вторая тревожная тенденция — существенный рост атак через подрядчиков и поставщиков услуг, включая ИТ-услуги. Это стало одним из трёх основных векторов атак. Другие два — уязвимые приложения, доступные из интернета, а также скомпрометированные учетные данные.
В подробном отчёте на Securelist мы собрали:
🟢 список заметных штаммов ransomware и их излюбленные мишени;
🟢 тактики и техники групп ransomware;
🟢 советы по защите ИТ-инфраструктуры от ransomware-атак.
#статистика #ransomware @П2Т | 1 933 | 11 | Loading... |
16 🌐 Критическая уязвимость в TinyProxy — обновление через ручную пересборку 😞
Уязвимость CVE-2023-49606 (CVSS 9.8) в TinyProxy может приводить к исполнению произвольного кода неаутентифицированным атакующим после отправки специального HTTP-запроса. Дефект присутствует в последней официальной версии 1.11.1, а также в 1.10.0. Учитывая простоту эксплуатации уязвимости, а также присутствие TinyProxy во многих сборках Linux и в устройствах IoT, проблема может стать массовой. На сегодня в интернете доступно более 90 тысяч хостов, на которых установлен TinyProxy, в основном в США, Южной Корее, Китае, Франции и Германии. Уязвимо более половины 😞
Патчинг затруднён тем, что разработчики пока не выпустили обновлённую версию, доступен только отдельный коммит в Github и инструкции по самостоятельной пересборке.
#новости @П2Т | 2 016 | 11 | Loading... |
17 🗂 IR-рекомендации от Microsoft
Команда Incident Response из Microsoft собрала удобный набор шпаргалок по использованию различных неочевидных служб и логов Windows при расследовании инцидентов. Редмонд называет этот документ «руководством по IR», но это пожалуй слишком громко. Это именно набор советов. Но очень полезных для всех, кто собирает артефакты с Windows-машин:
⏺ проверка существования файлов и их SHA1 через AmCache;
⏺ проверка существования (и удаления) файлов по LNK и Jumplist;
⏺ контроль создания и запуска бинарников при помощи Prefetch;
⏺ изучение взаимодействия пользователя с папками и файлами через ShellBags;
⏺ проверка существования файлов и их связи между собой через Shimcache;
⏺ проверка запуска файлов и сетевого трафика через SRUM и UserAssist;
⏺ контроль аномальных доступов и горизонтального перемещения при помощи UAL.
Забирайте и пользуйтесь!
#советы @П2Т | 2 773 | 110 | Loading... |
18 ✈️ Интересные новости ИБ и исследования APT за неделю
🤨 Технический анализ сложного модульного импланта Cuttlefish, который заражает SOHO-роутеры и на лету вылавливает в трафике пароли и другие секреты. ВПО способно подменять DNS- и HTTP-запросы, перехватывать трафик при обращении к серверам в интрасети, но особо интересуется доступами к популярным облачным сервисам.
🤔 Ежегодный отчёт по взломам и утечкам, Verizon DBIR, отмечает двукратный рост числа инцидентов и трёхкратный рост случаев, когда для проникновения использовалась эксплуатация уязвимостей. Львиная доля роста обеспечена атаками вымогателей. Интересно сравнить данные с нашим недавним отчётом по расследованию инцидентов — некоторые тренды очень схожи.
🐱 Детальный обзор деятельности кластера APT42, состоящего из таких подгрупп, как Charming Kitten, TA 453 и др. В своей шпионской деятельности APT умело комбинирует ВПО и социальную инженерию. Среди продвинутых социальных трюков — приглашение жертв на различные мероприятия и интервью. После установления доверительных отношений, жертве присылают убедительную фишинговую ссылку для выманивания пароля с обходом MFA. В дальнейшем интересные данные извлекаются из облачных сред Microsoft 365 или Citrix Apps. В разделе про ВПО описаны два свежих изделия группировки, TAMECAT и NICECURL.
✈️ Другие умелые фишеры, Kimsuky/APT43, освоили новые техники целевого фишинга, основанные на обходе слабых политик DMARC в атакованной организации.
🍄 Разбор деятельности MaaS DarkGate, которые отличились в этом году обходом предупреждений SmartScreen.
😞 Кибер-агентства «пяти глаз» выпустили предупреждение о защите «малых форм АСУ ТП» вроде городских водонапорных станций. Их, якобы, пытаются взламывать пророссийские хактивисты. Оставляя политическую часть за скобками, отметим, что панели HMI, торчащие в интернет и доступные через давно устаревшие версии VNC — это очень плохо и требует устранения, вне зависимости от того, в какой стране происходит. Рекомендации по харденингу вполне толковые и выполнимые.
🔜 Запутанный DNS-детектив про пассивную разведку мировой интернет-инфраструктуры при помощи Великого Самизнаетечьего Файрвола. Цели атакующих до конца не ясны, ясно только, что терпения и технологической грамотности им не занимать.
🔥 Эту новость мы не могли обойти — новые требования к ИБ автомобилей в Европе вынуждают производителей прекратить продажу на этом рынке ряда моделей, включая, например, Porsche Macan.
🤡 Новый релиз на Github: встречайте MS-DOS 4.0. 😂
#дайджест @П2Т | 1 976 | 6 | Loading... |
19 #ИБ_мем | 2 427 | 41 | Loading... |
20 👀 Сколько паролей ваших сотрудников гуляет по даркнету?
Легитимные учётные записи являются одним из основных векторов начального проникновения в организацию. Поэтому разработка и распространение инфостилеров, крадущих пароли, продолжает быть оживлённым теневым бизнесом.
🔥 В свежем отчёте Kaspersky Digital Footprint Intelligence разобраны основные тенденции рынка скомпрометированных учётных данных, очень рекомендуем ознакомиться. Число утечек из корпоративных сред растёт, а реагирование на них часто бывает неполным.
👽 При обнаружении скомпрометированного пароля недостаточно его просто сменить. Необходимо провести расследование и проверить подозрительные события на атакованном устройстве, чтобы исключить распространение ВПО или дальнейшую утечку информации, а также настойчиво потребовать у сотрудника проверить личные устройства на признаки компрометации.
#статистика @П2Т | 2 265 | 10 | Loading... |
21 🤔 Разобрали имеющуюся информацию по взлому Dropbox Sign. Ключевой момент — сервис в значительной мере отделён от файлового сервиса Dropbox, поэтому если вы не пользовались именно функциями электронной подписи документов, скорее всего вы не затронуты этой утечкой.
Интересно посмотреть, как этот сюжет будет развиваться далее. Ведь утечка API-ключей и токенов Oauth в принципе позволяла злоумышленникам подписывать чужие документы юридически значимой подписью. Говорят, доступа к документам не обнаружили, но расследование продолжается, поэтому сюрпризы возможны. Надо отметить, что пароли всем пользователям сбросили автоматически, а вот для Oauth и API только «координируют ротацию секретов». То есть неправомерный доступ возможно продолжается и сегодня.
#новости @П2Т | 2 381 | 9 | Loading... |
22 🤔 Квантовые компьютеры ещё не появились, но уже создают проблемы совместимости
В некоторых организациях обновление до Chrome 124 и Edge 124 привело к масштабным сбоям. При попытке установления соединения через обновлённый браузер, оно обрывается на этапе рукопожатия TLS (ClientHello). Всё дело в квантовых компьютерах. 😈
В число поддерживаемых алгоритмов согласования ключей для TLS и QUIC у Chromium начиная с версии 115 входит квантово устойчивый алгоритм Kyber768. Теперь он включён по умолчанию. Размер сообщения ClientHello из-за этой доработки оказывается слишком большим, и его не могут корректно обработать многие веб-приложения, прокси и межсетевые экраны.
Временное решение проблемы - отключить Kyber768 через настройки.
Но поскольку поддержка постквантовых алгоритмов уже включена во все мыслимые стандарты, долгосрочным решением является обновления несовместимых веб-серверов и ИБ-инструментов. Больше деталей о проблеме и ее решении собрано на специальном сайте tldr.fail.
#советы @П2Т | 2 359 | 20 | Loading... |
23 💎 Не пропустите! Самые полезные материалы апреля
Если не успевали в течение месяца, может хотя на майских заглянете 😉
🔖Сага с троянизацией XZ Utlis, включая влияние на русские сборки Linux (1, 2, 3)
🔖Новая CISO mindmap 2024
🔖Разбор опасных схем мошенничества с письмом/сообщением от босса.
🔖Видеодемонстрация Kaspersky Symphony XDR.
🔖Основные тренды ИБ по версии Gartner и куда вообще тратить деньги.
🔖Безопасно выглядящие ссылки на топ-репо в GitHub и как на них публикуют ВПО
🔖Как защититься от атак с применением домашних прокси.
🔖Способы эксплуатации доменов организации через ошибки в DNS.
#дайджест @П2Т | 2 426 | 9 | Loading... |
24 ➡️Интересные исследования APT и новости ИБ за неделю
🦊 Обзор инструментов сбора и эксфильтрации данных APT ToddyCat, преимущественно атакующей организации в Юго-Восточной Азии для кражи конфиденциальной и оборонной информации.
🔓 Okta выпустила предупреждение о кратном росте числа атак credential stuffing с применением домашних прокси. Преимущественно стучатся в VPN и прочие сервисы удалённого доступа. Рекомендуют блокировать на WAF любые IP с низкой репутацией, применять аппаратные способы MFA. Напомним, мы недавно давали советы по этой же проблеме.
🐀 Новые атаки старых знакомцев ScarCruft/APT-C-28, шпионская кампания основана на ВПО RokRat.
💻 Microsoft переходит ко второй фазе отзыва небезопасных сертификатов Secure Boot, который необходим после появления UEFI-буткита BlackLotus.
👮 Несколько разборов штаммов ransomware, которые активно работают без резонанса в СМИ:
KageNoHitobito и DoNex, Cactus.
А вот новички Quilong, наоборот, хотят публичности и начали с публикации фото клиентов клиники пластической хирургии.
🍏 Обзор MacOS-импланта F_Warehouse, применяемого APT Lighthouse.
В мире open source опять всё спокойно нашли троянизированные пакеты, снова в npm, 25 штук.
🤖 Анализ новых версий популярных инфостилеров и загрузчиков:
Redline stealer, Fletchen Stealer, IDAT.
📬 Новые рекорды фишинга: трафик на фейковые домены почты США догнал и возможно перегнал трафик на оригинальный сайт 🤦♂️
Microsoft опубликовала исходники инструмента ICSpector, предназначенного для анализа конфигурации ПЛК.
🥱 Google в очередной раз отложил дату отключения сторонних куки, на сей раз на начало 2025 года.
#новости @П2Т | 2 480 | 9 | Loading... |
25 Олды тут?
#ИБ_мем @П2Т | 5 198 | 53 | Loading... |
26 🆔 Пятьдесят оттенков угона DNS
Злоумышленники активно отслеживают ошибки в DNS-инфраструктуре уважаемых компаний:
🔵 истекающие вспомогательные домены;
🔵 устаревшие CNAME-записи;
🔵 доверенные домены в SPF-записях.
Оперативно выкупая освободившиеся домены и пользуясь ошибками конфигурации DNS, они по сути получают частичный доступ к легитимному основному домену атакованной компании. Это позволяет размещать вредоносные кампании на поддоменах легитимных организаций, рассылать спам с доменов с хорошей репутацией и вести другие теневые операции.
Подробный разбор каждой механики и советы по защите ИТ-инфраструктуры читайте в нашем посте на блоге.
#советы @П2Т | 3 574 | 35 | Loading... |
27 🤯 AI Patch Thursday
Благодаря багбаунти-программе huntr, технологический стек для запуска и эксплуатации ML-моделей обзавёлся чем-то вроде «вторника патчей». Сводный бюллетень уязвимостей, закрытых в апреле, включает 48 дефектов в популярных инструментах MLops, включая PyTorch, BentoML, ZenML, MLflow, Gradio, FastAPI, и др. 16 уязвимостей имеют рейтинг критических, для некоторых доступен PoC.
Большинство критических уязвимостей приводят к выполнению произвольного кода или возможности прочитать/записать файлы на сервере. При этом их природа печально знакома исследователям веб-приложений: недостаточная защита от CSRF и SSRF, небезопасная десериализация объектов, SQL-инъекции. Только одна атака специфична именно для ML — это промпт-инъекция в llama_index.
Чемпионом в печальном зачёте по дырявости стало приложение anything-llm. В нём было обнаружено 9 уязвимостей, включая 3 критических. Их эксплуатация позволяет удалять данные других пользователей приложения, в том числе удалить все данные всех пользователей, повышать привилегии пользователя на атакованной машине, а также инициировать отказ в обслуживании.
Все проанализированные приложения относятся к open source. К сожалению, бурное развитие индустрии AI и конкуренция за скорейший выход новых моделей и сервисов практически исключают возможность внимательно отнестись к безопасности всего стека MLops. И пока топовые компании думают, как бы защититься от злого гения GAI, вся индустрия исправно плодит типовые ошибки класса MoveIT Transfer meets Ivanti Connnect Secure. 😞
#новости @П2Т | 2 670 | 5 | Loading... |
28 👀 Опубликовали вторую часть анализа бэкдора в XZ Utils.
Исследователи GReAT сосредоточились на социоинженерном аспекте этой атаки, подробно проанализировав личность и динамику участников операции по вытеснению мейнтейнера XZ Utils и троянизации пакета.
Помимо большой длительности атаки, интересен фокус атакующих на компрометации в процессе сборки — до этого такая техника была замечена в резонансном инциденте SolarWinds.
Самое печальное — вряд ли инцидент с XZ Utils единичен. Следы аналогичных атак на мейнтейнеров популярных проектов исследуются прямо сейчас и вероятно приведут к новым громким разоблачениям в скором будущем.
Все подробности — на securelist!
#APT #новости @П2Т | 2 770 | 12 | Loading... |
29 👀 Особенность Github и Gitlab упрощает фишниг и хостинг ВПО
Злоумышленники активно эксплуатируют особенность Github и Gitlab, которую некоторые называют багом. В любом публичном проекте можно завести отчёт о проблеме (issue) и приложить к нему вспомогательные файлы, описывающие проблему. Если приложить файлы с ВПО, но не завершить публикацию проблемы, то файл будет лежать на CDN Github по ссылке вида
github[.]com/owner/repo/files/id/filename
но владельцы репозитория не будут его видеть и не смогут удалить. О проблеме известно с марта, но она не решается, несмотря на то, что среди репозиториев, эксплуатируемых таким образом, находятся проекты самой Microsoft.
В GitLab — аналогичная проблема, вредоносные файлы можно подгрузить в черновик комментария к проекту, не публикуя комментарий. Файлы оказываются доступны по адресу
gitlab[.]com/owner/repo/uploads/filehash/filename
Очевидно, что злоумышленники получают тут не только хостинг на популярном и доверенном сайте, но и фишинговую ссылку очень убедительного вида, включающую именитые компании и проекты. Владельцы репозиториев ничего не могут с этим сделать, они даже не видят этот контент, и он доступен только по прямой ссылке на вредоносные файлы.
Пока Gitlab и Github не изменят политику по работе с вложениями в проблемы/комментарии, защищаться можно только повышением осведомлённости сотрудников, использованием allowlists для запуска приложений или селективной блокировкой загрузки файлов с github/gitlab.
#новости @П2Т | 2 665 | 56 | Loading... |
30 🌐Обновили SD-WAN — всё ближе к SASE!
Решение Kaspersky SD-WAN обновилось до версии 2.2. Оно значительно расширяет возможности команд ИБ и ИТ:
⏺ позволяет централизованно отправлять телеметрию NetFlow c CPE и упрощает детектирование аномалий в сетевом трафике SIEM-системой и Kaspersky CyberTrace;
⏺ улучшена интеграция с Kaspersky Unified Monitoring and Analysis Platform, Kaspersky Industrial CyberSecurity for Networks, а также Kaspersky Anti Targeted Attack;
⏺ появилась возможность управлять правилами файрволла и NAT на всех маршрутизаторах SD-WAN из единой консоли с использованием шаблонов;
⏺ реализованы настройка Direct Internet Access (DIA) и поддержка протокола PPPoE.
Выход новой версии — ещё один шаг в развитии транспортной базы для SASE (Secure Access Service Edge).
❕ Полный список улучшений и обновлённый обзор решения — уже у нас на сайте!
#новости @П2Т | 2 888 | 16 | Loading... |
31 🗣 Как XDR отвечает на современные вызовы ИБ?
В ответ на растущую сложность киберугроз множатся и усложняются сами средства защиты. Разрозненные ИБ-инструменты делают работу безопасников сложнее, расследования инцидентов занимают всё больше времени, а нанять нужных специалистов трудно. Как XDR поможет преодолеть эти вызовы? Об этом расскажем на вебинаре, посвящённом новой версии Kaspersky Symphony XDR 2.0:
▶️ изменения в Kaspersky Symphony XDR: обновлённые состав, архитектура и сценарии использования;
▶️ новые возможности и особенности;
▶️ преимущества Single Management Platform в составе решения.
Встречаемся в эту среду: 24 апреля 2024 в 11:00 (МСК).
Нужна предварительная регистрация.
Зарезервировать место на вебинаре ⟶
#события @П2Т | 2 440 | 3 | Loading... |
32 ➡️Интересные исследования APT и новости ИБ за неделю
📌 Итоги года по версии нашего сервиса MDR: классификация алёртов по критичности, индустрии, географии и конечно TTP атакующих.
📌 А вот разбор инцидентов, которые потребовали расширенного реагирования с привлечением экспертов Kaspersky. Резко возросло число атак через взломанных подрядчиков 😳.
⏳ Новая кампания DuneQuixote нацелена на шпионаж за ближневосточными организациями. Для этого используется имплант в памяти под названием CR4T и хорошо фильтрующие клиентов серверы С2.
⚡️Снова геополитика перемешалась с ИБ: китайские исследователи спорят с атрибуцией по группе Volt Typhoon и утверждают, что это на самом деле криминальная группировка Dark Power.
🐶 Анализ ransomware кампании Cerber, заражающей организации через уязвимости в сервере Confluence.
🤑 И англо-голландский анализ Akira, которых называют новой личиной банды Conti.
⭕️ Разбор опенсорсного кроссплатформенного троянца PupyRAT, его дорабатывают и применяют как преступники мелкого калибра, так и серьёзные APT.
⚙️ Обновлённый разбор билдера Lockbit 3.0 и тактик злоумышленников по его кастомизации под конкретную жертву.
👾 Новый банкер Soumnibot для Android, примечателен многочисленными техниками ухода от сканирования с помощью неверного манифеста.
🖱 Вечером в пятницу (традиционно для плохих новостей) MITRE отчиталась, что её взломали через дыру в правильно, Ivanti Connect Secure. Расследование продолжается, но уже можно почитать подробный отчёт с разбором найденных этапов атаки (разложенном по ATT&CK) и рекомендации по харденингу инфраструктуры.
Кстати, Ivanti снов закрыла 27 (!) багов в Avalanche.
#дайджест #APT @П2Т | 2 405 | 12 | Loading... |
Photo unavailableShow in Telegram
🗣 Как обеспечить безопасность облаков?
Когда: 22 мая 2024 в 11:00 (МСК)
Изменения в ландшафте ИТ за последние 2 года преобразили модель рисков для облачной инфраструктуры, а также привели к переоценке ИТ-командами всей системы использования облачных ресурсов. Одновременно значительно выросло число и разнообразие киберугроз. Как обеспечить безопасности облачных сред и на уровне инфраструктуры, и на уровне разработки в этих условиях?
На онлайн-конференции AM Live ведущие эксперты по облачной безопасности обсудят все практические аспекты защиты:
▶️ как оценить зрелость кибербезопасности облачного провайдера;
▶️ что такое «аттестация облака» и какие требования к облачным средам предъявляют государственные регуляторы;
▶️ как разграничиваются ответственность за инцидент ИБ между облачным провайдером и заказчиком;
▶️ какие облачные платформы наиболее дружелюбны для наложенных средств защиты;
▶️ насколько безопасны облака, которые построены на open source;
▶️ что важно учитывать при собственной разработке облака;
▶️ как правильно позаботиться о высокой доступности и предусмотреть потенциальные катастрофы.
👤 От «Лаборатории Касперского» выступит Мария Павленко, эксперт по защите виртуальных сред и публичных облаков
Встречаемся в среду утром: 22 мая 2024 в 11:00 (МСК).
Нужна предварительная регистрация.
Узнать о конференции и зарегистрироваться ⟶
#события @П2Т
👍 3🔥 1
Photo unavailableShow in Telegram
📌 Вышел монументальный отчёт «Лаборатории Касперского» о ландшафте угроз в РФ и СНГ, основанный на большом количестве источников — от статистики Kaspersky Security Network и работы ханипотов до анализа реальных инцидентов и OSINT.
Пересказывать добрую сотню страниц не будем, но пару интересных и печальных моментов хочется отметить.
Во-первых, в топе сетевых уязвимостей, которые пытаются эксплуатировать злоумышленники, до сих пор доминируют баги 2018-2021 годов: Log4shell, Bluekeep, а также старые дефекты в OpenSMTPD, Spring Framework, Apache Struts и Confluence.
То есть защититься от значительного количества атак можно, если обновлять свои системы чаще раза в год 🙈
Или, говоря более точно, грамотно выстроив процесс Patch Management и применяя решения со встроенными средствами управления уязвимостями и установкой исправлений.
📊 Высокую остроту сохраняет угроза шифровальщиков. При этом увеличивается совокупный размер выкупов, а вот наиболее активные игроки и штаммы ВПО каждый год новые. В 2024 году топ-5 самых распространённых шифровальщиков снова значительно обновился.
Что ещё есть в отчёте?
✔️ перечень атакованных стран и индустрий;
✔️ популярные TTPs;
✔️ перечень сопутствующих угроз в регионе;
✔️ описание митигаций рисков.
Скачать отчёт
#статистика #киберугрозы @П2Т
🔥 13❤ 6👍 4💩 2
👮 Какие техники злоумышленников чаще всего встречаются в кибератаках?
Мы проанализировали недавние отчёты наших сервисов MDR и Incident Response, и попробовали объединить самые часто встречающиеся техники ATT&CK, применяемые хакерами, в нечто вроде хит-парада.
Встречайте горячую десятку приёмов: от фишинга и эксплойтов до манипуляции аккаунтами и LOLbins.
Командам ИБ есть что противопоставить всем этим трюкам — мы снабдили каждый из них кратким описанием и рекомендациями по противодействию.
🟢 Изучить топ-10
#советы @П2Т
Защита от популярных техник и тактик кибератак в 2024 году
Обзор самых частых техник ATT&CK в реальных инцидентах и советы по защите от них в 2024 году
🔥 2👍 1
Photo unavailableShow in Telegram
📌 Вышел монументальный отчёт «Лаборатории Касперского» о ландшафте угроз в РФ и СНГ, основанный на большом количестве источников — от статистики Kaspersky Security Network и работы ханипотов до анализа реальных инцидентов и OSINT.
Пересказывать добрую сотню страниц не будем, но пару интересных и печальных моментов хочется отметить.
Во-первых, в топе сетевых уязвимостей, которые пытаются эксплуатировать злоумышленники, до сих пор доминируют баги 2018-2021 годов: Log4shell, Bluekeep, а также старые дефекты в OpenSMTPD, Spring Framework, Apache Struts и Confluence.
То есть защититься от значительного количества атак можно, если обновлять свои системы чаще раза в год 🙈
Или, говоря более точно, грамотно выстроив процесс Patch Management и применяя решения со встроенными средствами управления уязвимостями и установкой исправлений.
📊 Высокую остроту сохраняет угроза шифровальщиков. При этом увеличивается совокупный размер выкупов, а вот наиболее активные игроки и штаммы ВПО каждый год новые. В 2024 году топ-5 самых распространённых шифровальщиков снова значительно обновился.
Что ещё есть в отчёте?
✔️ перечень атакованных стран и индустрий;
✔️ популярные TTPs;
✔️ перечень сопутствующих угроз в регионе;
✔️ описание митигаций рисков.
Скачать отчёт
#статистика #киберугрозы @П2Т
🔥 1
➡️Интересные исследования APT и новости ИБ за неделю
👀 Интересная разновидность ViperSoftX: распознаёт изображения на компьютере при помощи опенсорсной OCR Tesseract, отправляет атакующим всё, похожее на пароли, ключи криптокошельков и другую подобную информацию.
🥸 Новая уязвимость протокола 802.11: SSID confusion позволяет при определённых условиях обходить VPN.
😶 Вторая часть подробного отчёта про APT Earth Hundun. — разбор механик работы имплантов Deuterbear и Waterbear. Напомним, что целью обычно являются правительственные, технологические и исследовательские организации в АТР.
Продолжая путешествие по Азии, прикоснёмся и к китайскому инфосеку — разбору кампаний APT-C-08 (гугл-перевод), атакующих примерно тот же круг жертв.
🔄 Анализ нового ВПО Gomir, атакующего Linux-системы и применяемого APT Kimsuky/Springail. Имплант является развитием более старого Gobear.
🗿 А в России нашёлся загрузчик PhantomDL, доставляющий ВПО группировки PhantomCore. Как и предполагалось, первоначальное заражение идёт через целевой фишинг и RAR/ZIP архивы, эксплуатирующие CVE-2023-38831.
Майнинг крипты на серверах по-прежнему в моде: ещё одна цепочка атак с применением Log4shell и установкой XMrig.
⛔️ Интересные инструменты Turla: LunarWeb ведет коммуникации с C2 при помощи невинно выглядящих https-запросов и стеганографии, а LunarMail устанавливается как дополнение к Outlook и связывается с C2 по e-mail 🐦.
🎁 Целая группа отчётов, посвященная вредоносному спаму и распространяемым через него инструментам:
- приманки в виде документов на подпись (DocuSign)
- RemcosRAT распространяется через вредоносный архив, эксплуатирующий легитимный бинарник GotoMeeting для запуска
- ещё RemcosRAT, но завёрнутый в MaaS PrivateLoader.
- Agent Tesla
- Sugar Gh0stRAT
- Vidar infostealer, умело замаскированный под юридические письма о нарушении авторских прав
Много атак различных коммерческих RAT на пользователей Foxit PDF reader: в неудачно сделанных предупреждениях безопасности слишком легко кликнуть на «разрешить» и таким образом запустить ВПО с удалённого сервера.
🍏 Apple отчиталась о том, что в 2023 году предотвратила мошеннических транзакций в App Store на $1,8 млрд. Заблокировано 374 млн. мошеннических аккаунтов. В общем, в огороженном саду довольно неспокойно.
#новости #APT @П2Т
🔥 4👍 2
💬 Как XDR решает проблемы ИБ-команд и что превращает концепцию XDR в работоспособный и удобный продукт?
💬 Каков «прожиточный минимум», необходимый для эффективного мониторинга, расследования и реагирования на инциденты?
💬 Что даёт Single Management Platform?
Всё о практике и перспективах внедрения XDR — в интервью Евгении Лагутиной для портала Anti-Malware.ru!
🎬 Смотреть интервью
#видео @П2Т
Интервью с Евгенией Лагутиной, экспертом по системам мониторинга ИБ и SOC "Лаборатории Касперского"
Интервью с Евгенией Лагутиной, Экспертом по системам мониторинга ИБ и SOC-сервисам «Лаборатории Касперского» о новой версии экосистемы Kaspersky Symphony XD...
👍 11🔥 7
😎⭐️😎 Инфостилеры и утечки данных: объясняем наглядно
Финдиректор и отдел кадров не понимают, что такое утечки данных и почему «какие-то базы в Телеграме» могут привести к серьёзному инциденту ИБ в компании? Мы сталкивались с этой проблемой не раз, поэтому стараемся объяснять сложные темы даже совсем «нетехническими» словами и способами.
Перешлите эти ролики коллегам, и они за 30 секунд поймут:
🆗 как хакеры используют украденные данные;
🆗 чем опасны утечки лично для них;
🆗 как утечка помогает проникнуть в организацию.
🔗 Ну а тем, кто заинтересовался этой темой, можно прислать и полноценный отчёт Kaspersky Digital Footprint Intelligence о проблеме и описание способов борьбы с ней.
Смотрите и делитесь!
#видео #Азбука_ИБ
💯 8👍 7👎 2❤ 2🤔 1
Снова обновление Chrome — третий 0day за неделю 😳
Google выкатили обновление Chrome до версии 5.0.6422.60/.61 для Windows и 125.0.6422.60 для Linux.
Ключевым устранённым дефектом является критическая CVE-2024-4947 в движке V8. О ней сообщили разработчикам исследователи «Лаборатории Касперского» и она используется в целевых атаках. Время обновляться!
Для тех, кто неделю не обновлялся 👿, заодно будут устранены две других 0day, также используемые в атаках и закрытые ранее: CVE-2024-4671 и CVE-2024-4761.
#новости @П2Т
Stable Channel Update for Desktop
The Chrome team is delighted to announce the promotion of Chrome 125 to the stable channel for Windows, Mac and Linux. This will roll out o...
👍 6🔥 3