➡️ Интересные исследования и новости ИБ за неделю

🟣ФБР доложили, что воспользовались найденной ещё в апреле возможностью удалить червя PlugX с компьютеров в США при помощи встроенной функции самоуничтожения. Судя по формулировкам, в других странах это тоже произошло, но подробности от местных правоохранителей не публиковались. Исследователи в апреле подсчитали, что это ВПО, любимое такими APT как Mustang Panda, бесконтрольно поразило более 2,5 млн компьютеров по всему миру.

🟡Ransomware для облаков: набирает популярность новая техника вымогательства, в которой данные жертвы в AWS шифруются родными функциями хранилища, SSE-C (server-side encryption with customer-provided keys). Для атаки злоумышленники должны найти ключи доступа жертвы, имеющие в AWS права s3:PutObject.

⚫️Очередная волна фишинга от Sticky Werewolf уже прошла после новогодних каникул. Письма якобы от Минпромторга, жертвам ставят коммерческие троянцы и инфостилеры.

🔘Обнаружен крупный ботнет, задействованный в рассылке спама и состоящий из 13 тысяч скомпрометированных роутеров MicroTik.

🔘А ботнет AIRASHI используется в DDoS и заражает широкий спектр оборудования IoT, в первую очередь роутеры и IP-камеры, через многочисленные старые уязвимости. В наблюдаемых атаках чаще всего замечены устройства из Бразилии и России.

🔴Масштабная кампания по заражению пользователей инфостилерами — более 400 доменов. Ориентирована на носителей китайского языка, в качестве приманок используются фальшивые установщики популярного ПО.

🟣Новый «подарочек» в PyPi — пакет pycord-self воровал у разработчиков токены Discord, но при этом полноценно выполнял функции оригинального пакета discord.py-self.

🟡Группа исследователей разгласила 6 уязвимостей в Rsync, включая крайне опасную RCE CVE-2024-12084 с CVSS 9.8. Для эксплуатации достаточно анонимного доступа на чтение. Дефекты устранены в rsync 3.4.0.

🔴Четыре дефекта в популярных протоколах тунеллирования IPIP/IP6IP6, GRE/GRE6, 4in6, 6in4 могут использоваться для проведения кибератак, в первую очередь DoS. 4,2 млн хостов по всему миру уязвимы, а атаки с подменой отправителя возможны на 1,8 млн хостов. Среди подверженных дефекту хостов доминируют узлы CDN, серверы VPN и роутеры интернет-провайдеров, как магистральные, так и домашние.

⚫️Исследование компрометации расширения Cyberhaven и других расширений Chrome даёт интересные побочные эффекты — заодно вышли два исследования (раз, два) о масштабной империи сбора данных с различных расширений Chrome, контролируемых компанией BIscience. Рекомендации по харденингу браузеров в организациях мы давали здесь.

🔘В нашей любимой рубрике «В WordPress всё стабильно» сегодня: миллион уязвимых к SSRF сайтов, использующих плагин W3 Total Cache.
А вот уязвимость, используемая в следующей атаке на WordPress, пока неизвестна. Ясно только, что на 5000 поражённых сайтов установили вредоносный плагин и создали дополнительные административные аккаунты. Атака использует домен wp3[.]xyz в качестве С2.

#новости #APT #дайджест @П2Т

🤖 Безопасность языковых моделей — бесконечная работа

К этому очевидному (?) выводу пришла группа исследователей, которые проводили red teaming 100 продуктов Microsoft с интегрированными функциями генеративного ИИ. По итогам исследования опубликована научная работа, содержащая восемь ключевых уроков, среди которых наиболее тревожно звучат два последних: «LLM усиливают существующие риски безопасности и создают новые» и «работа по обеспечению безопасности ИИ-систем никогда не будет завершена».

Это, конечно, как раз то, что хочет услышать на ночь CISO компании, которая бодрыми темпами внедряет LLM в техподдержку, маркетинг и веб-разработку. 🤪

Впрочем, не всё так ужасно. Авторы предлагают в упражнениях red team сосредоточиться на реальных рисках сегодняшнего дня и и справедливо отмечают, что пока достаточно легко атаковать языковые модели и продукты на их основе дешёвыми и технически несложными методами, такими как джейлбрейкинг. Их даже сравнивают с ошибками переполнения буфера, которые так часто встречались в софте начала века.

Ни одна из имеющихся методологий внедрения LLM и ни один из скороспелых продуктов по «защите ИИ» на сегодняшний день не решает эту проблему целиком, поэтому авторы осторожно описывают подход, который ещё только предстоит внедрить: «одновременное использование митигаций на уровне системы, например очистка ввода и улучшения на уровне модели, например иерархия инструкций».

Конечно, определённое внимание в отчёте уделено таким проблемам, как «human element of AI red teaming» и «responsible AI», но даже если сосредоточиться на рисках, находящихся сугубо в домене информационной безопасности, приведённые в исследовании примеры и практические уроки позволяют скорректировать свои сценарии внедрения ИИ, исключив самые опасные или легко эксплуатируемые сценарии атаки.

#советы #CISO #AI @П2Т

😱 DLP по-честному. Как его использовать и где баланс?

🔍 В новом выпуске подкаста ОБИБЭ обсуждаем Data Leak Prevention, или,  как в шутку расшифровывает это один из гостей выпуска, «Для Любителей Подглядывать».
Что могут современные DLP? Какие регламенты и документы должны быть подписаны в компании и одобрены сотрудником, чтобы соблюсти баланс личных и корпоративных интересов, а какие не устоят в суде? Как бороться со злоупотреблениями DLP? Когда DLP действительно спасает бизнес?

Чтобы найти ответы на все эти вопросы, в гости к Владимиру Дащенко, эксперту Kaspersky ICS CERT и ведущему подкаста пришли:

🎙 Рустэм Хайретдинов, заместитель генерального директора группы компаний «Гарда», разработчик DLP-решений
🎙 Ксения Авдей, руководитель школы менеджмента «Академика», бывший руководитель группы подбора в Яндексе
🎙 Глеб Ситников, адвокат, руководитель практики защиты интеллектуальной собственности и персональных данных в адвокатском бюро «Юрлов и партнеры»

Подключайтесь в: YT, RT и VK!

#подкаст #видео @П2Т

🔎Что такое Threat Intelligence: киберразведка на конкретных примерах

Необычное интервью дал порталу Anti-Malware.ru Никита Назаров — это не только ответы на вопросы, но и живое демо! На примере повседневных ситуаций в ИБ-команде он с конкретикой и скриншотами показал, как Threat Intelligence ускоряет реагирование на инциденты, позволяет принимать проактивные меры безопасности, помогает обучать аналитиков, экономит время при написании детектов.

Также Никита рассказал, как работает новый функционал портала Threat Intelligence – Threat Landscape. С его помощью команды SOC или CSIRT получают актуальные именно для них данные со всего мира и набор готовых к применению инструментов для детектирования, защиты и исследования релевантных угроз.

Ещё обсудили:
⚪️обязателен ли SOC для использования TI;
⚪️как важно учитывать профиль и историю атакующего при выборе тактики реагирования;
⚪️что приходится делать тем, кто вместо обработанной информации TI работает только с сырыми данными и IoC;
⚪️как используются данные TI на разных уровнях;
⚪️чем полезны в TI данные из даркнета.

Очень практичный разговор получился, рекомендуем почитать!
#советы @П2Т

✅ Всё о Kaspersky Cybersecurity Training

В конце года мы запустили в России образовательную онлайн-платформу для ИБ-специалистов, Kaspersky Cybersecurity Training.

На ней собраны практические курсы по самым востребованным навыкам, причём авторы всех курсов — наши ведущие специалисты, реально занимающиеся тем, чему они учат. Среди курсов: анализ ВПО, реагирование на инциденты, мониторинг ИБ и поиск угроз, использование Yara и Suricata.

Проходить курсы и получать практические навыки кибербезопасности можно онлайн, в удобном формате и комфортном темпе.
Чтобы больше узнать о программах и условиях обучения, приходите на вебинар 30 января в 11.00 (МСК). Расскажем:

🟣 про портфолио курсов и разберем, какие компетенции можно освоить с помощью наших программ;
🟣 где можно отточить навыки на реальных образцах вредоносного кода и артефактах, с которыми наши специалисты сталкивались в расследованиях.

Если не сможете присутствовать на вебинаре, всё равно регистрируйтесь — мы пришлём вам запись!

Узнать о всех курсах.

#события @П2Т

🗣 Всё самое важное в ИБ: из 2024 в 2025

Хотите обсудить с экспертами ключевые события в сфере ИБ за прошлый год и получить прогнозы на наступивший? Или устроить обзор событий для коллег, редко интересующихся этой сферой? Приходите на онлайн-стрим уже завтра, во вторник!

Наши эксперты, специализирующиеся на сложных угрозах, финансово мотивированной киберпреступности, хактивизме, применению ИИ в атаке и защите, поделятся статистикой, разберут основные тенденции, дадут прогнозы на наступивший год и ответят на вопросы слушателей.

Подключайтесь завтра, 28 января 2025, 12:00 (по МСК)

Зарегистрироваться на стрим ⟶

#события @П2Т

💥 Импланты для Juniper, ханты для инфостилеров и другие интересные исследования ИБ за неделю

🔵Новая сложная атака на роутеры Juniper, их заражают ВПО J-magic, которое исследователи называют развитием бэкдора cd00r, обнаруженного нами добрых десять лет назад. Имплант прослушивает весь входящий трафик и реагирует на запросы соединения в «волшебных» пакетах. Если вызывающий компьютер пройдёт двухэтапную проверку имплантом, ему открывается обратный шелл на роутере. Исследователи считают кампанию отдельной от других известных на сегодня атак с компрометацией корпоративных МСЭ и маршрутизаторов.

🟣Разбор сложной тактики вымогателей: скомпрометированные хосты ESXi используются для развития атаки во внутренней сети, а присутствующие на хосте ESXi инструменты, например SSH, используются чтобы установить SOCKS туннель к С2.

🟢Отличное руководство от CERT-IL по обнаружению инфостилеров в инфраструктуре. Разобраны основные семейства, тенденции на рынке этого ВПО, рекомендованы признаки компрометации, которые удобно находить в сетевом трафике и на конечных точках. Есть правила SIGMA и Yara.

🟢Долгосрочная компрометация цепочки поставок: APT PlushDaemon больше чем на полгода смогла троянизировать инсталлятор VPN IPany, популярного в Южной Корее. В нагрузку к клиенту жертвам полагался троян SlowStepper.

⚪️Разбор атак на финансовые департаменты российских компаний. Группа DarkGaboon проводит качественный фишинг со знанием специфики работы этих отделов и устанавливает жертвам коммерческий троянец Revenge RAT.

🟣Две относительно новые RaaS, Hellcat и Morpheus, используют одну и ту же вредоносную нагрузку, так что возможно за ними стоят одни и те же люди.

🟣Свеженькая глобальная атака с распространением Lumma Stealer — под видом решения капчи просят запустить скрипт из буфера обмена. Это определённо стало модной тактикой.

🟢Новое в романтических приключениях жабы и гадюки: вредоносная кампания ориентирована на начинающих злоумышленников. Под видом билдера трояна XWorm они получают... заражение этим самым XWorm, который ворует у них токены Discord, Telegram и всё, что плохо лежит.

🟣Обстоятельное интервью с теперь уже бывшим директором CISA Джен Истэрли. Просто интересно почитать, что думает директор одного из самых эффективных агентств в сфере кибербезопасности.

#новости #APT #дайджест @П2Т

💰 CISO, эволюция, зарплатный рост

Подробное исследование на базе опроса многих западных CISO опубликовал IANS. Отчёт 2025 State of the CISO содержит любопытную статистику о том, чем занимаются различные CISO, как различается их роль и вес внутри компании, и как они видят эволюцию своего подразделения, своей должности и карьеры.

Основной тенденцией последнего года-двух называют расширение роли CISO за пределы традиционной ИБ — приходится охватывать более широкий спектр бизнес-рисков, уделяя внимание безопасности цепочки поставок, непрерывности бизнес-операций, защищённости выпускаемых продуктов. Этот рост обязанностей создаёт новые возможности карьерного роста и даже новые руководящие позиции, такие как Chief Trust Officer и Chief Digital Officer.

Значительно увеличивается количество CISO, должность которых является одной из высших в компании и взаимодействующих с советами директоров. CISO, имеющие доступ к руководству, обладают большим стратегическим влиянием и видимостью — 47% из них взаимодействуют с советом директоров ежемесячно или ежеквартально. Впрочем, этот показатель отличается для бизнесов разного размера и, парадоксально, он ниже для относительно небольших компаний.

IANS выделяет три разновидности CISO — Стратегические, Функциональные и Тактические — в зависимости от круга их задач и уровня доступа к руководству. Стратегические CISO, обладающие высоким уровнем влияния и регулярным взаимодействием с советом директоров, хвастают сообщают о более высокой удовлетворённости работой и в полтора раза большей компенсацией.

Практические советы
На основании вышесказанного авторы дают несколько советов для CISO, стремящихся к развитию, росту профессиональных компетенций и доходов:
Лучше доступ к руководству. CISO следует стремиться чаще общаться с топ-менеджментом, выстраивая доверительные отношения с членами совета директоров и участвуя в стратегических бизнес-дискуссиях. При этом важно работать над восприятием CISO как стратегического партнёра, а не просто технического консультанта. Это включает в себя согласование стратегий безопасности с бизнес-целями и практически полезный вклад в обсуждения бизнес-рисков.

Новые сферы влияния. Карьерный рост вместо выгорания авторы увязывают c ролями, которые объединяют безопасность с ИТ, цифровой трансформацией, внедрением ИИ или управлением рисками. В зависимости от того, чем занимается организация, перспективными «следующими должностями» для CISO названы Chief Trust Officer, Chief Product Officer и Chief Risk Officer.

Для тех, кому интересно, во сколько раз больше можно получать, совмещая роли CIO и CISO, во вложении — полная версия отчёта с многочисленными диаграммами. 😊

#советы #CISO @П2Т

🤖 Угрозы в облаках: от злоупотребления API до слабых паролей

Полугодовой обзор Google Cloud даёт довольно чёткие сигналы о том, какие угрозы в публичных облаках нужно отслеживать и предотвращать в первую очередь (даже если перед словом Cloud стоит любой другой бренд). На фоне привычных и печальных проблем со слабыми или отсутствующими паролями для доступа в облако (привет, DeepSeek!) и мисконфигурациями облачных сервисов (45,7% и 34,3% инцидентов), отмечен значительный рост атак с компрометацией или злонамеренным использованием доступных API и UI. Их доля достигла 17%, на треть больше, чем за предыдущие полгода. В ответ на эту угрозу рекомендуют развивать API security, а как минимум — систематически находить и убирать из общего доступа случайно доступные там API. Надо же с чего-то начинать эту самую API security.

Особо авторы подчёркивают угрозы базам данных. Если вышеописанные трюки открывают доступ к БД, злоумышленники могут и извлечь данные для вымогательства, и, например, запустить на серверах майнинг Monero — удивительно популярный в 2024 году метод заработка. Кроме вышеописанных мер защиты, для серверов БД неплохо работают «ковровые» ограничения, такие как разрешение обращаться к БД только из доверенной подсети или вообще с конкретных IP.

Identity называют «новым периметром» и подчёркивают всё растущее разнообразие способов его кражи и эксплуатации: от воровства куки и сессионных токенов до AitM. А учитывая, что identity уже давно получают не только пользователи, но и, например, микросервисы, управлять этим зоопарком без централизованного решения становится проблематично.
Характерным трендом является недооценка инцидентов с identity командами ИБ, поэтому реагирование часто оказывается недостаточным и атакующие быстро возвращают утраченные позиции.

Авторы рекомендуют обновить плейбуки для реагирования на инциденты с identity и включить в них полный комплекс мер: принудительно включить MFA и исключить нестойкие методы MFA, сбросить пароли, отозвать сессионные ключи и токены, удалить куки и разорвать все ранее аутентифицированные сессии, вручную перепроверить и по необходимости перевыпустить связанные долгосрочные ключи и методы идентификации, такие как криптографические сертификаты, отозвать авторизацию приложений и сервисов, добавленных скомпрометированным аккаунтом, а также добавленных в аккаунт устройств.

#советы #облако @П2Т

🐥 Ловим вредоносные изменения групповых политик

Групповые политики (GPO) незаменимы для администратора, управляющего инфраструктурой на технологиях Microsoft. Но их повсеместное присутствие делает их привлекательной целью для атакующих, применяющих GPO среди прочих инструментов LotL, чтобы воровать и шифровать данные, не вызывая срабатываний СЗИ.

Типичные сценарии зловредного применения GPO включают одновременный запуск шифровальщиков на многих хостах, добавление вредоносных администраторов и запуск запланированных задач. Для этого атакующие используют как стандартную консоль Microsoft для работы с GPO, так и дополнительные инструменты, такие как SharpGPOAbuse.

Простой способ мониторинга подозрительного использования GPO — это отслеживание в логах события 5136, которое пишется при изменении объектов Active Directory. Однако многие организации по разным причинам не включают extended logging на Windows-хостах, а он нужен для такого мониторинга. Кроме того, требуется опыт, чтобы минимизировать количество ложных срабатываний, но сохранить эффективность.

Предоставляя услуги Kaspersky MDR, мы отслеживаем изменения GPO в инфраструктуре клиентов, используя несколько подходов. Если журналы extended logging недоступны, мы полагаемся на другие источники данных, включая ETW (Event Tracing for Windows), а также применяем собственный инструменты GCNet, который фиксирует любые изменения GPO сразу же, как они происходят.

Чтобы узнать больше о вредоносном использовании GPO, инструменте GCNet и других методах в нашем арсенале MDR, изучите этот пост на Securelist.

#советы #APT #Microsoft #SOC #MDR @П2Т

🎚 Лучшие посты января

Собрали самое ценное и интересное за месяц — эти материалы помогут выстроить эффективные процессы и системы в ИБ. Если вы пропустили их в спешке, самое время почитать! 🤗

🟣все новшества фреймворка D3FEND 1.0, парного к ATT&CK;
🟣сколько стоит железо для SIEM;
🟣о пользе киберразведки (TI) на многочисленных примерах;
🟣ИБ-ликбез: ответы самые популярные вопросы родственников, друзей и коллег;
🟣живой и честный разговор о DLP в России;
🟣куда развиваться CISO и сколько денег просить;
🟣безопасность LLM — бесконечная работа (и это не про DeepSeek);
🟣прогноз рынка труда на 5 лет и кому придётся учиться ИБ;
🟣сколько стоит утечка и что, кроме вымогателей нужно учесть.

#советы #дайджест @П2Т

🗣 Узнайте о новостях SIEM из первых рук

Совершенствование SIEM и процессов в SOC — процесс бесконечный, но иногда надо остановиться и посмотреть, как много нового и полезного удалось сделать. Мы тоже посмотрели, и поняли, что масштабный релиз Kaspersky Unified Monitoring and Analysis Platform требует целой телепередачи 😊, чтобы рассказать обо всех новшествах и о том, как они повышают качество и скорость работы SOC.
Приходите на эфир KUMA.TV завтра, чтобы послушать про:

▶️ новый AI-модуль в нашем SIEM;
▶️ что поможет эффективно обрабатывать SIGMA-правила и находить правила, не используемые корреляторами;
▶️ какие ИИ-функции помогут приоритизировать алерты и ускорят обработку инцидентов;
▶️ можно ли использовать KUMA в очень большой разнородной инфраструктуре;
▶️ как внедряют нашу SIEM заказчики в РФ и на Ближнем Востоке.

Кроме этого, конечно будут ответы на вопросы и живая демонстрация!
Встречаемся уже завтра, 4 февраля 2025 в 11:00 (МСК).

Зарезервировать место на стриме⟶

#события @П2Т

➡️ Интересные исследования APT и новости ИБ за неделю

🔵Анализ Android-инфостилера Tria, примечательного необычной приманкой — приглашением на свадьбу.

🟣Подробный разбор целевой атаки на телеком-провайдеров в Азии: целью является шпионаж, поэтому атакующие использовали целый букет редких инструментов и техник, чтобы быть малозаметными. Финально у жертвы на хосте развернули PlugX.

🟣Российские компании атакуют с помощью инфостилера Nova, переработанного из SnakeLogger.

🟣Новый класс side-channel-атак: в отличите от всех предыдущих, уязвимости с мультяшными именами SLAP и FLOP опираются на спекулятивное извлечение обрабатываемых данных, а не спекулятивное выполнение. Позволяют (в теории) утащить данные из, например, соседнего окна браузера. Работают только на устройствах Apple возрастом не старше 4 лет.

🔵За неделю ИИ-стартап DeepSeek успел прославиться аж тремя историями из сферы ИБ: полёг под DDoS (или оправдал этим перегрузку серверов любителями халявы), продемонстрировал вопиющее пренебрежение нормами безопасности, храня внутренние данные, включая чаты пользователей и токены в незащищённой БД, а также проявил очень низкую устойчивость R1 и V3 к джейлбрейкам.

🟢Google по примеру OpenAI выкатили отчёт о зловредном использовании LLM Gemini. Внутри не написано никаких чудес, главный вывод для служб ИБ — все поставщики облачных моделей с интересом следят за содержимым чатов, а там, возможно, уже лежат ваши API-ключи и непубличные финансовые показатели.

🟢Сложность Mac-угроз нарастает — разбираем особенности атак Banshee stealer на macOS.

⚪️Подробный анализ SparkRAT, кроссплатформенного ВПО с открытым кодом, которое тоже применяется на Mac-платформах, в том числе APT.

🟢Как выглядит бэкенд Lazarus для сбора данных со всех скомпрометированнных npm-пакетов, криптокошельков, и так далее? В этом посте можно посмотреть на картинки и оценить масштаб.

🟢Разбор инструмента для вишинга — редкий материал о том, как это работает с франкоязычными атакующими и жертвами.

🔴Новый год — новый коммерческий инфостилер, FleshStealer.

🟠Анализ активности банковского троянца Coyote, дело конечно происходит в Бразилии.

🔵Британская NCSC стряхнула пыль с концепции непростительных уязвимостей — тех, которые хорошо известны и дёшевы в предотвращении. Документ чисто технический, классифицирует типы дефектов по опасности и сложности устранения, но интересно, что будет дальше — штрафы тем, кого не простили?

#APT #дайджест @П2Т

🔎 Как перестать беспокоиться перерасти периметр и начать жить

Хотя концепцию периметра в ИБ хоронят уже много лет, а она всё сопротивляется, последние годы в ней живётся объективно труднее. Дистанционная работа, взломы пограничных устройств, злоупотребление VPN-доступами в инфраструктуру делают защиту на одном периметре организации почти невозможной. Нужно внедрять новые подходы к сетевой безопасности. Ведущие мировые регуляторы рекомендуют переходить к SASE и Zero trust, но на практике это достаточно сложный процесс.

Какие основные компоненты потребуются для «новой сетевой безопасности», с чем едят ZTNA и CASB, каковы организационные нюансы внедрения и почему SASE — это не только безопасно, но и экономически эффективно?
Собрали все ответы в одной статье.

#советы #SDWAN @П2Т