Все началось с того, что 26 марта в реестре проекта Zero Day Initiative (одной из наиболее авторитетных независимых платформ по раскрытию уязвимостей) появилась запись о новом критически опасном недостатке безопасности в мессенджере Telegram. Его обнаружил исследователь Майкл Деплант (aka izobashi).
Пока что детали не раскрываются: по правилам площадки после появления информации об уязвимости у Telegram есть 120 дней на ее исправление. Поэтому все подробности станут известны лишь 24 июля. Но сделать некоторые предположения можно уже сейчас.
🗣 Что известно об уязвимости
Ее посчитали критически опасной — 9,8 по шкале CVSS 3.1. Такую оценку можно объяснить указанным вектором атаки: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H.
Это расшифровывается так: атака сетевая, воспроизводится легко, без дополнительных условий, получения привилегий (прав в системе или учетной записи) и взаимодействия с жертвой. При этом возможна полная утечка данных или критически важной информации, а киберпреступник может получить к ним максимальный доступ и нарушить целостность (например, модифицировать).
Основываясь на векторе ошибки, Александр Леонов, ведущий эксперт по управлению уязвимостями PT ESC, предложил два возможных варианта ее эксплуатации.
В обоих случаях злоумышленник в начале атаки может отправить жертве специально подготовленный зараженный медиафайл (стикер). После того как пользователь просмотрит сообщение со стикером, киберпреступник может:
Наши эксперты советуют отключить автозагрузку всех медиафайлов в мессенджере и, по возможности, пользоваться веб-версией вместо мобильного или десктопного приложения.
Если вы опасаетесь стать жертвой злоумышленников, можно включить режимы для безопасной работы мобильных приложений — iOS Lockdown Mode и Android Advanced Protection Mode. Кроме того, не забывайте своевременно обновляться. А в случаях, когда подозреваете, что устройство уже скомпрометировано, сбросьте его до заводских настроек.
В самом Telegram наличие уязвимости отрицают, заявив, что ее эксплуатация через зловредный стикер невозможна, так как все стикеры проходят проверку безопасности на стороне сервера.
Так что ждем июля и полного раскрытия информации, а пока на всякий случай соблюдаем правила кибербезопасности.
#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤24🔥16⚡12🐳2
Недостатки безопасности нашли Дмитрий Скляр и Демид Узеньков, руководитель и специалист направления анализа защищенности промышленных систем и приложений Positive Technologies.
Распределенные системы управления (РСУ) — это АСУ ТП с объединенными в общую сеть децентрализованными контроллерами. Такая архитектура считается более надежной и гибкой, поскольку предотвращает остановку всей системы при выходе из строя одного узла.
Системы серии VP — новейшие модели семейства CENTUM. За 50 лет РСУ этой марки были установлены более чем на 30 000 предприятий энергетической, нефтегазовой, пищевой и других отраслей промышленности не менее чем в 100 странах мира.
Наши эксперты смогли обнаружить ошибки PT-2026-7964–PT-2026-7969 (CVE-2025-1924, CVE-2025-48019–CVE-2025-48023; BDU:2025-02823, BDU:2025-08836–BDU:2025-08840), получившие 6 баллов по шкале CVSS 4.0.
Их эксплуатация могла бы позволить злоумышленникам нарушить технологический процесс или даже остановить работу производственных линий. Система временно перестала бы контролировать процессы, провоцируя поломки оборудования и производственный брак.
Для предполагаемой атаки киберпреступникам пришлось бы проникнуть в технологическую сеть. Обычно этот сегмент изолирован, однако иногда на практике можно получить доступ к оборудованию и рабочим станциям из офисной сети. В теории злоумышленник, захвативший контроль над CENTUM VP, мог месяцами оставаться незаметным, влияя на процесс производства и качество продукции.
🔔 А уже 2 апреля в 14:00 (мск) мы проведем вебинар, где на примере кейса Yokogawa расскажем больше о реверс-инжиниринге в промышленности.
Вы узнаете больше о специфике исследования и поиска уязвимостей в закрытых промышленных системах, разберетесь в их особенностях на примере взаимодействия SCADA-систем и ПЛК. А также познакомитесь с нужными для реверса в этой сфере инструментами и интересными для него компонентами систем.
👉 Регистрируйтесь сейчас, чтобы ничего не пропустить!
#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥17❤8💯5❤🔥4
This media is not supported in the widget
VIEW IN TELEGRAM
🔥143😁91👍18🤔11❤6🎉5🤩5🤯4❤🔥3
This media is not supported in your browser
VIEW IN TELEGRAM
Если у вас плохо здесь грузятся посты, картинки и видео, читайте нас в ЖЖ — https://ptsec.livejournal.com/
@Positive_Technologies
@Positive_Technologies
😁69🐳18🔥14❤8❤🔥1👏1
Forwarded from IT's positive investing
Мы планируем выплатить дивиденды за 2025 год 🪙
Друзья, как мы и говорили ранее, по итогам прошлого года наш показатель NIC вернулся в положительную зону — мы достигли запланированного результата.
И если у нас есть возможность выплачивать дивиденды — мы будем это делать. Согласно нашей дивидендной политике, мы можем направлять на выплаты от 50 до 100% NIC при уровне долговой нагрузки (чистый долг / EBITDA) ниже 2,5.
Учитывая успешную трансформацию бизнеса и возвращение к росту ключевых показателей при сохранении высокой финансовой эффективности, совет директоров компании рекомендовал принять решение о выплате в размере 2 млрд рублей, или 28,08 рубля на одну акцию.
💡 Вопрос об утверждении дивидендов вынесен на рассмотрение внеочередного Общего собрания акционеров, которое пройдет в форме заочного голосования 6 мая.
Напомним, что итоговыми финансовыми результатами за 2025 год мы поделимся 7 апреля.
#POSI
Друзья, как мы и говорили ранее, по итогам прошлого года наш показатель NIC вернулся в положительную зону — мы достигли запланированного результата.
И если у нас есть возможность выплачивать дивиденды — мы будем это делать. Согласно нашей дивидендной политике, мы можем направлять на выплаты от 50 до 100% NIC при уровне долговой нагрузки (чистый долг / EBITDA) ниже 2,5.
Учитывая успешную трансформацию бизнеса и возвращение к росту ключевых показателей при сохранении высокой финансовой эффективности, совет директоров компании рекомендовал принять решение о выплате в размере 2 млрд рублей, или 28,08 рубля на одну акцию.
«Мы уверены, что акционеры позитивно оценят этот шаг со стороны компании, полностью соответствующий нашей дивидендной политике и свидетельствующий о высокой степени финансовой устойчивости бизнеса», — отметил операционный директор Андрей Кузин.
Напомним, что итоговыми финансовыми результатами за 2025 год мы поделимся 7 апреля.
#POSI
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥38❤19👏15🤩7😁3❤🔥2
Совместно с МФТИ будем открывать новые таланты в реверс-инжиниринге 🤝
«Как получить доступ ко всему» — это не только название нашего научпоп-фильма про реверс, но и вопрос, который возникает у подрастающего поколения, когда они начинают знакомиться с технологиями. И речь здесь не только про «затащить катку» обходными путями, а про куда более важное — понять, как все устроено изнутри и как за счет этого создавать технологии лучше и безопаснее.
Именно для таких увлеченных ребят мы вместе с МФТИ запускаем первую в России специализацию «Разработка систем кибербезопасности и реинжиниринг киберфизических систем» в рамках бакалавриата. Базовая кафедра появится в Высшей школе программной инженерии (ВШПИ), прием стартует уже этим летом — всего 36 мест.
МФТИ — одна из сильнейших инженерных школ в стране и один из лидеров в подготовке ученых мирового уровня. Здесь собрана мощная математическая и физическая база, ведутся наукоемкие исследования, а среди выпускников — нобелевские лауреаты. Поэтому поступление сюда — серьезный челлендж.
Для нас это сотрудничество — амбициозный шаг. Позитив разрабатывает передовые решения в кибербезе, проводит уникальные исследования уязвимостей и работает в области реверс-инжиниринга ПО и аппаратных устройств. Мы хотим выстроить устойчивую систему подготовки кадров: вместе запускать сильные исследования, создавать технологии и растить новое поколение специалистов для задач кибербеза.
Особенно ценно, что один из первых таких проектов мы реализуем именно в МФТИ — с нашей экспертизой и инвестициями в развитие талантов для всей страны (и для нас тоже).
Чему будем обучать🧑🎓
Студенты смогут попасть на одно из двух направлений: разработка софта для кибербеза и исследование защищенности систем — в том числе физических устройств. В обоих случаях предстоит глубокое изучение архитектуры компьютеров и операционных систем, а также методов поиска уязвимостей — в коде, железе и микроэлектронике — с использованием реверс-инжиниринга.
Помимо фундаментальной математической и инженерной подготовки, с первого семестра студенты начнут посещать профильные занятия и проходить практику — в инфраструктуре Позитива. Мы подготовим учебный класс и лабораторию с современным оборудованием — идеальное пространство для интеллектуальной и творческой работы, которая лежит в основе реверс-инжиниринга и исследований безопасности. Практические занятия будут вести наши эксперты.
Как поступить 🧐
Новая специализация появится в рамках направления «Программная инженерия». Абитуриентам нужно будет пройти собеседование — оно поможет точнее определить профессиональные интересы и выбрать образовательный трек.
Ждем вас, если вы не только хотите пользоваться технологиями, но и горите желанием разобраться, как они устроены 💪
@Positive_Technologies
«Как получить доступ ко всему» — это не только название нашего научпоп-фильма про реверс, но и вопрос, который возникает у подрастающего поколения, когда они начинают знакомиться с технологиями. И речь здесь не только про «затащить катку» обходными путями, а про куда более важное — понять, как все устроено изнутри и как за счет этого создавать технологии лучше и безопаснее.
Именно для таких увлеченных ребят мы вместе с МФТИ запускаем первую в России специализацию «Разработка систем кибербезопасности и реинжиниринг киберфизических систем» в рамках бакалавриата. Базовая кафедра появится в Высшей школе программной инженерии (ВШПИ), прием стартует уже этим летом — всего 36 мест.
МФТИ — одна из сильнейших инженерных школ в стране и один из лидеров в подготовке ученых мирового уровня. Здесь собрана мощная математическая и физическая база, ведутся наукоемкие исследования, а среди выпускников — нобелевские лауреаты. Поэтому поступление сюда — серьезный челлендж.
Для нас это сотрудничество — амбициозный шаг. Позитив разрабатывает передовые решения в кибербезе, проводит уникальные исследования уязвимостей и работает в области реверс-инжиниринга ПО и аппаратных устройств. Мы хотим выстроить устойчивую систему подготовки кадров: вместе запускать сильные исследования, создавать технологии и растить новое поколение специалистов для задач кибербеза.
Особенно ценно, что один из первых таких проектов мы реализуем именно в МФТИ — с нашей экспертизой и инвестициями в развитие талантов для всей страны (и для нас тоже).
Чему будем обучать
Студенты смогут попасть на одно из двух направлений: разработка софта для кибербеза и исследование защищенности систем — в том числе физических устройств. В обоих случаях предстоит глубокое изучение архитектуры компьютеров и операционных систем, а также методов поиска уязвимостей — в коде, железе и микроэлектронике — с использованием реверс-инжиниринга.
Помимо фундаментальной математической и инженерной подготовки, с первого семестра студенты начнут посещать профильные занятия и проходить практику — в инфраструктуре Позитива. Мы подготовим учебный класс и лабораторию с современным оборудованием — идеальное пространство для интеллектуальной и творческой работы, которая лежит в основе реверс-инжиниринга и исследований безопасности. Практические занятия будут вести наши эксперты.
«Здесь уже с первого курса можно будет развивать прикладные навыки. Именно такой подход позволит подготовить инженеров, способных решать задачи кибербезопасности национального масштаба», — отметил Алексей Усанов, руководитель R&D-центра Positive Labs.
Как поступить 🧐
Новая специализация появится в рамках направления «Программная инженерия». Абитуриентам нужно будет пройти собеседование — оно поможет точнее определить профессиональные интересы и выбрать образовательный трек.
Ждем вас, если вы не только хотите пользоваться технологиями, но и горите желанием разобраться, как они устроены 💪
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥40❤🔥36❤21👍4🤔1
This media is not supported in your browser
VIEW IN TELEGRAM
📦 Что произошло с банками — пока не знаем. Зато можем рассказать о вредоносном коде в Axios
В последний день марта стало известно об атаке на одну из самых популярных JavaScript-библиотек — Axios. Это HTTP-клиент с более чем 100 млн загрузок в неделю из npm — сервиса распространения программных модулей для разработчиков.
Злоумышленник скомпрометировал аккаунт главного специалиста, ответственного за развитие и работоспособность IT-проекта — мейнтейнера — и опубликовал две вредоносные версии пакета, содержащие троян удаленного доступа (RAT). Инцидент обнаружили исследователи StepSecurity.
🔎 Подробностями делится Владимир Кочетков, руководитель исследований AppSec в Positive Technologies.
Атакующий получил доступ к npm-аккаунту мейнтейнера
В обе версии была добавлена фантомная зависимость
👾 Как работает вредоносная нагрузка
Скрипт
🍏 macOS — бинарник маскировался под системный процесс Apple и размещался в
🖥 Windows — через VBScript и PowerShell разворачивался исполняемый файл
🖥 Linux — Python-бэкдор сохранялся во временной директории
После выполнения вредоносный модуль зачищал следы: удалял собственные файлы, а
😵 Масштаб и последствия
Вредоносные версии были доступны в npm менее трех часов —
Что важно: конечные пользователи браузерных приложений напрямую не затронуты — заражение происходило на этапе установки и сборки, а не в рантайме приложения.
🛡 Как защититься
✅ Проверьте lock-файлы (
✅ Если вредоносные версии обнаружены — откатитесь к безопасным
✅ Ротируйте все секреты: API-ключи, облачные токены, deploy-ключи, npm-токены — все, к чему мог получить доступ вредоносный процесс.
✅ Проверьте наличие IoCs: сетевые обращения к
🧑🏫 Уроки для разработчиков
Этот инцидент — очередное напоминание о том, что без AppSec-инструментов под реальной угрозой оказываются качество кода и его защищенность. Одного скомпрометированного аккаунта мейнтейнера достаточно для внедрения вредоносного кода в проекты по всему миру.
Для снижения рисков стоит использовать фиксированные версии зависимостей вместо диапазонов, включить двухфакторную аутентификацию (2FA) на npm, применять
@Positive_Technologies
В последний день марта стало известно об атаке на одну из самых популярных JavaScript-библиотек — Axios. Это HTTP-клиент с более чем 100 млн загрузок в неделю из npm — сервиса распространения программных модулей для разработчиков.
Злоумышленник скомпрометировал аккаунт главного специалиста, ответственного за развитие и работоспособность IT-проекта — мейнтейнера — и опубликовал две вредоносные версии пакета, содержащие троян удаленного доступа (RAT). Инцидент обнаружили исследователи StepSecurity.
Атакующий получил доступ к npm-аккаунту мейнтейнера
jasonsaayman, сменил привязанный email и опубликовал версии axios@1.14.1 и axios@0.30.4 напрямую в npm — минуя CI/CD-пайплайн и GitHub. Именно поэтому зараженные релизы не появились среди тегов репозитория на GitHub, что стало одним из первых признаков подмены.В обе версии была добавлена фантомная зависимость
plain-crypto-js@4.2.1 — пакет-обманка, маскирующийся под легитимную библиотеку crypto-js с идентичным описанием и ссылкой на оригинальный репозиторий. Эта зависимость нигде не импортировалась в исходном коде Axios. Ее единственное назначение — выполнить postinstall-скрипт setup.js при установке пакета.Скрипт
setup.js использовал двухслойную обфускацию (XOR-шифр с ключом OrDeR_7077 и base64). После деобфускации он обращался к C2-серверу sfrclak.com и загружал платформенно-специфичный RAT:🍏 macOS — бинарник маскировался под системный процесс Apple и размещался в
/Library/Caches/com.apple.act.mond🖥 Windows — через VBScript и PowerShell разворачивался исполняемый файл
wt.exe в %PROGRAMDATA% с механизмом персистентности/tmp/ld.pyПосле выполнения вредоносный модуль зачищал следы: удалял собственные файлы, а
package.json подменял на «чистую» заглушку с номером версии 4.2.0 вместо 4.2.1 — намеренное расхождение для затруднения расследования.Вредоносные версии были доступны в npm менее трех часов —
axios@1.14.1 около 2 часов 53 минут, axios@0.30.4 около 2 часов 15 минут. Тем не менее любой проект, в котором зависимость была указана как ^1.14.0 или ^0.30.0, мог автоматически установить зараженную версию при сборке. А учитывая 100 млн загрузок Axios в неделю, потенциальный охват атаки огромен. По данным Malwarebytes, любой CI/CD-процесс, запустивший установку с включенными скриптами, мог привести к утечке всех инжектированных секретов.Что важно: конечные пользователи браузерных приложений напрямую не затронуты — заражение происходило на этапе установки и сборки, а не в рантайме приложения.
✅ Проверьте lock-файлы (
package-lock.json, yarn.lock) на наличие axios@1.14.1, axios@0.30.4 или plain-crypto-js@4.2.1. Обратите внимание, что npm audit может не выявить компрометацию — вредонос зачищает следы после установки.✅ Если вредоносные версии обнаружены — откатитесь к безопасным
axios@1.14.0 или axios@0.30.3, а затронутые машины (локальные и CI/CD-раннеры) считайте потенциально скомпрометированными.✅ Ротируйте все секреты: API-ключи, облачные токены, deploy-ключи, npm-токены — все, к чему мог получить доступ вредоносный процесс.
✅ Проверьте наличие IoCs: сетевые обращения к
sfrclak.com (IP 142.11.206.73, порт 8000) и характерные файлы на диске.🧑🏫 Уроки для разработчиков
Этот инцидент — очередное напоминание о том, что без AppSec-инструментов под реальной угрозой оказываются качество кода и его защищенность. Одного скомпрометированного аккаунта мейнтейнера достаточно для внедрения вредоносного кода в проекты по всему миру.
Для снижения рисков стоит использовать фиксированные версии зависимостей вместо диапазонов, включить двухфакторную аутентификацию (2FA) на npm, применять
--ignore-scripts при установке пакетов и мониторить изменения зависимостей специализированными инструментами — SCA-анализаторами.@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👏7❤🔥6🔥3❤2