🌐 Шире поддержка passkey, Apple защитит от ИИ, а Firefox — от отпечатков, и другие важные новости конфиденциальности и личной ИБ

🐩 Вышел Firefox 145 с усиленной защитой от сбора отпечатков браузера. Новые способы защиты от fingerprinting пока работают только в приватном режиме и при активации enhanced tracking protection. Но в будущем обещают включить их по умолчанию.

🍏 Apple обновила требования к разработчикам — нужно получать явное согласие пользователей на отправку любых данных из приложения в сторонние ИИ.

📱 Под давлением возмущённой общественности Google отказались от планов блокировать установку приложений «непроверенных» разработчиков. С некоторыми сложностями установить не одобренное в Маунтин-Вью ПО всё же будет можно.

✅ А также Google планирует отмечать в Google play приложения, которые избыточно тратят батарею в фоновом режиме. Следующая остановка — доска позора 🙈

🔑 Хорошие новости для любителей ключей доступа — начиная с ноябрьского обновления, Windows 11 поддерживает сторонние менеджеры паролей при работе с passkey.

🗑 Плохие новости для них же: если вы перешли на passkey для входа в X/Twitter, вероятно ваш аккаунт качественно заблокирован. Смелый Элон решил отключить домен twitter.com, и сделал в ноябре следующий шаг — на twitter.com более недоступна аутентификация. Поэтому попытки войти со старым ключом доступа приводят к ошибке.

📡 Если вы пользуетесь Интернетом в самолёте, весьма вероятно, что ваш трафик буквально вещают на полмира без всякого шифрования. Поэтому шифрование обязательно добавлять своими силами.

👀 Гигант доставки еды DoorDash сообщил о крупной утечке личных данных. Интересно сравнить PR-методичку с утечкой из Яндекс.Еды.

🕵️‍♂️ Европейские СМИ провели исследование практик брокеров данных, приводящих к сбору информации о европейцах, включая госслужащих и военных. Как мы прекрасно понимаем, ничего хорошего они не нашли — изобилие данных позволяет осуществлять целевой шпионаж и подрывать национальную безопасность. Борьба с ADINT (advertising based intelligence) только начинается.

❔ Чтение на выходные: сводные рейтинги приватности для мессенджеров и соцсетей. На диво неплохо выступили Linkedin и Telegram.

#дайджест @П2Т

⏭ В ботнетах тоже есть маркетплейсы, аэрокосмический шпионаж, кража данных из Signal, и другие интересные исследования APT за неделю

🈁Анализ примечательного ботнета Tsundere, заражающего Windows-компьютеры. Он получает адреса С2 из блокчейна Ethereum, выполняет присланные сервером произвольные нагрузки на Javascript, и позволяет любому «арендатору» ботнета не только написать свою вредоносную нагрузку, но и продать её другим злоумышленникам.

🐈‍⬛  Разбор обновлённого инструментария APT ToddyCat, преимущественно используемого для похищения почтовой переписки целевых компаний.  Примечателен инструмент TCSectorCopy, специально разработанный для похищения данных из открытых и заблокированных процессом Outlook файлов .ost.

🗿 Технический анализ загрузчика SNOWLIGHT, применяемого в атаках UNC5174 и ранее известного лишь в Linux-версии. Его Windows-вариант разворачивает бэкдор VShell.

🔵Разбор разновидностей и TTPs вымогателей, шифрующих корзины Amazon S3, БД RDS и другие хранилища жертвы в инфраструктуре AWS.

🟢Неизвестная ранее группировка NGC6061 проводит целевые фишинговые атаки на госорганы РФ. Документы-приманки имеют встроенный трекинг жертв, а конечной нагрузкой в атаке являются обратные шеллы.

🟢Анализ атак APT24 с применением загрузчика BADAUDIO. Атаки преимущественно нацелены на Windows-компьютеры тайваньских организаций,  векторы проникновения разнообразны: от целевого фишинга до атак на водопой (watering hole).

🪲  Разбор обширного арсенала Windows- и Linux-имплантов APT UNC1549, компрометирующей ближневосточные организации в аэрокосмической отрасли с целью шпионажа. Группировка использует доступ в атакованные организации для рассылки целевого фишинга их контрагентам, повышая шансы успешной компрометации новых жертв.

😈 Детальный анализ кампании APT Dragon Breath/APT-Q-27, распространяющей модифицированную в версию gh0st RAT и нацеленную на китаеязычных пользователей и обход популярных в Китае СЗИ.

〰️ Статистика киберугроз в третьем квартале: десктопы и серверы, мобильные устройства. С атаками шифровальщиков столкнулись почти 85 тыс. пользователей, печальное лидерство принадлежит Qilin. На Android примечательно агрессивное распространение банковского троянца Coper, потеснившего с первого места Mamont по числу атакованных пользователей.

🟣Анализ кампании SpearSpecter, которую APT42/Mint Sandstorm/CharmingCypress проводят против конкретных высокопоставленных лиц в госструктурах и оборонной индустрии на Ближнем Востоке. Жертвам устанавливают бэкдор TAMECAT.

🟣В атаках вымогателей отмечено использование постэксплуатационного фреймворка Tuoni C2. (краткая версия, полный PDF)

🟣Обзор ВПО и TTPs появившейся летом вымогательской группировки The Gentlemen.

🟢В фишките Sneaky2FA появилась новая уловка, упрощающая перехват паролей и кодов 2FA —  browser-in-the-browser.

🟣Немного устаревшие роутеры Asus WRT таргетирует WrtHug — операция по превращению устройств в домашние прокси для сдачи в субаренду злоумышленникам. Поражённые устройства находятся в США, России, ЮВА и Европе.

🟣Технический анализ Android-банкера Sturnus, способного в числе прочего извлекать переписку из приватных мессенджеров, после того как она расшифрована самим мессенджером.

🙄 Cloudflare выложили разбор вторничного инцидента, который не был кибератакой, а был сбоем нового антибот-модуля в прокси-сервисе FL2, написанного на Rust  (но Rust не при чём, мы просто разжигаем).

✔️ В будущих релизах Windows 11 из коробки будет Sysmon.

#APT #дайджест @П2Т

🟢 Kaspersky Security Bulletin: финансовый сектор

Эксперты «Лаборатории Касперского» начали подводить итоги года — в этом году ключевые тенденции, значимые события и прогнозы на 2026 сгруппированы по отраслям.

Начнём с финансовой отрасли.

▶️За год 8,15% пользователей в финансовом секторе столкнулись с онлайн-угрозами;
▶️12,8% финансовых организаций повстречались с вымогателями;
▶️зафиксировано 1 338 357 атак банковских троянцев.

Злоумышленники освоили атаки на цепочку поставок, где компрометация подрядчиков иногда приводила к последствиям даже для национальных платёжных систем (злоупотребление системой PIX в Бразилии).

Преступные группы всё чаще совмещают физические и цифровые методы для повышения эффективности мошенничества, например подкупают инсайдеров в атакуемой компании. В целом киберпреступность и традиционная организованная преступность постепенно сливаются.

📌 Больше статистики, подробностей, а главное — предсказаний, к чему готовиться защитникам финансовой индустрии, ищите на специальном сайте Kaspersky Security Bulletin.

#статистика @П2Т

🗣 Чего ждать от XDR в 2025-2026 году

Решения XDR продолжают развиваться, следуя требованиям практиков ИБ, изменению ландшафта киберугроз и развитию законодательства. Эволюционирует всё: от более широкого применения автоматизации и LLM и обработки новых видов телеметрии до популяризации открытой архитектуры и уточнения места XDR в общей архитектуре ИБ.

Как это происходит в России, какие возможности появляются у отечественного бизнеса и что предлагает Kaspersky Symphony XDR — расскажем на онлайн-стриме в ближайший четверг! Обсудим:

▶️ эволюцию XDR в мире, в России и в «Лаборатории Касперского»;
▶️ XDR vs набор продуктов. Вечный вопрос о ценности для бизнеса;
▶️ жизнь — лучший сценарист: обзор возможностей по плейбукам;
▶️ подробные ответы на ваши вопросы!

Встречаемся в этот четверг: 27 ноября 2025 в 11:00 (МСК).
Нужна предварительная регистрация.

Зарезервировать место на вебинаре ⟶
#события @П2Т

🌪 Cloud Threat Modelling 2025

Cloud Security Alliance обновили своё руководство по моделированию облачных угроз, впервые выпущенное в 2021 году. Документ не является готовым фреймворком. Он даёт рекомендации по выбору подхода к моделированию, содержит обзор имеющихся фреймворков, а главное — подчёркивает аспекты, которые должны быть учтены в выбранном фреймворке и наборе инструментов, чтобы адекватно отразить реалии облачной инфраструктуры. Ведь не каждый инструмент моделирования позволяет адекватно учесть serverless-нагрузки, гибридные облака и одновременное использование нескольких облачных провайдеров, разделение ответственности за ИБ; далеко не все адекватно интегрированы с CSMP и IAM, или способны проанализировать конфигурацию инфраструктуры на базе данных IaC.

Обновления руководства по сравнению с версией 2021 года значительны. Самое крупное — отражены реалии проникновения ИИ в организации и влияние ИИ на безопасность облаков. Также предложены современные инструменты для автоматизации моделирования.

Документ не теоретический — почти по всем темам предложены пошаговые меры и даже метрики, позволяющие итеративно улучшать модель по мере развития организации.
В первую очередь руководство предназначено для архитекторов облачных систем, аналитиков угроз, разработчиков и DevSecOps, а также специалистов по оценке рисков.

#советы @П2Т

☝️ ИБ-бюджет в 2026, харденинг Exchange, консолидация ИБ-инструментов, и другие полезные посты ноября

В ноябре был Cloudflare и много разных новостей ИБ, поэтому среди них могли затеряться материалы, полезные долгосрочно. Мы собрали самое ценное за месяц — эти статьи помогут выстроить эффективные процессы и системы в ИБ.
Если что-то пропустили, на выходных как раз можно наверстать упущенное!

🔵руководство по харденингу Exchange on-premises;
🔵словарь ИИ-терминов с пояснениями по безопасности;
🔵как CISO верстают бюджет 2026 года;
🔵злоупотребление Finger в атаках ClickFix;
🔵подборка видео докладов с недавних ИБ-конференций;
🔵самые эффективные приманки в фишинг-симуляции;
🔵статистика киберугроз в финансовом секторе и прогнозы на 2026;
🔵внедрение ПКШ: обзор и статистика от Cloudflare;
🔵зачем ваш сайт злодеям чёрного SEO и как вовремя обнаружить атаку;
🔵больше инструментов ИБ — меньше безопасность?!

#дайджест @П2Т

🗣 Экосистема ИБ — эффективность или зависимость?

Когда: 3 декабря 2025 в 11:00 (МСК)

Повышение требований к ИБ, дефицит кадров и бюджетные ограничения побуждают бизнес переходить от закупки «набора коробок» к внедрению платформ и экосистем. Экосистемный подход обещает меньше проблем с интеграцией, единые плейбуки и измеримый эффект (MTTD/MTTR, доступность, простои), но усиливает опасения избыточной зависимости от одного производителя, venor lock-in.

Есть ли тут золотая середина? Можно ли извлечь выгоды экосистемности, при этом снизив риски зависимости? Как внедрять экосистемные решения, оценивать результат, как планировать сценарий возможной смены поставщика?
Об этом эксперты разных секторов ИБ-индустрии поговорят на онлайн-конференции AM-Live! Обсудим:

▶️ реальные изменения в экосистемах в 2025 году, что удалось улучшить по сравнению с 2024;
▶️ где экосистема даёт ощутимый ROI за счёт консолидации стека и автоматизации, какие ещё метрики фиксировать;
▶️ как сформулировать «техзадание на результат»;
▶️ как выстроить 90-дневный план пилота экосистемы;
▶️ механики выхода (exit strategy), совместимость и стандарты обмена данными.

👤 От «Лаборатории Касперского» выступит Евгения Лагутина, эксперт по системам мониторинга ИБ и SOC-сервиса.

Встречаемся в среду: 3 декабря 2025
Нужна предварительная регистрация.

Узнать о конференции и зарегистрироваться ⟶

#события @П2Т

🐍 Возвращение Tomiris и Shai Hulud, шпионы против вымогателей и другие интересные исследования APT за неделю

❕ APT Tomiris, отслеживаемая нами с 2021 года и проводящая шпионские атаки на государственные и межправительственные организации в среднеазиатских государствах, значительно обновила инструментарий. В новых атаках применяются фреймворки Adaptix C2 и Havoc, а также добрый десяток имплантов первого этапа, написанных на Rust, Go, C#, PowerShell, и др.

🟢Также в регионе зарегистрированы новые атаки APT Bloody Wolf, на сей раз фишинговые PDF приводят к установке NetSupport RAT.

⚪️Новая версия «офисной» атаки с угоном аккаунта Госуслуг — жертв приглашают в Telegram-чат, якобы принадлежащий их компании, где HR просит всех сотрудников прислать ФИО и дату рождения для актуализации баз данных по пенсии. Все «коллеги» в многолюдном чате — фальшивые. Схема любопытная, предупредите коллег.

🟣Shai Hulud v2 снова навёл шороху в npm, а затем и в Maven. «Нулевым пациентом» стали популярные пакеты PostHog, а затем червь заразил более 500 различных пакетов. Модифицированная версия ВПО успешно работает в Windows и Linux, глубоко компрометирует среду CI/CD и извлекает из неё все возможные секреты, снова выкладывая их репозиторий GitHub от имени жертвы. Если атака не удалась из-за отсутствия токенов с правами на публикацию, червь уничтожает все доступные файлы в папке пользователя.

🟣Интересный случай столкновения интересов: в одном инциденте были обнаружены артефакты присутствия шпионской APT QuietCrabs/UNC5221/APT27 и вымогательской группировки Thor, причём последние ненароком демаскировали первых. Атакующие эксплуатировали свежие CVE в SharePoint и Ivanti EMM, разворачивая у жертвы ВПО KrystyLoader, Silver, а также инструменты Tactical RMM и MeshAgent.

🔵Детальный разбор атак APT PlushDaemon, в которых для заражения жертв хорошо известным ВПО SlowStepper сначала компрометируется сетевое устройство, которым хотя бы иногда пользуется жертва. На роутеры устанавливают ВПО EdgeStepper, которое манипулирует DNS и проводит AiTM-атаки, подсовывая вредоносные файлы в момент, когда легитимное ПО на компьютере жертвы пытается установить обновления.

🟣Статистика атак, связанных с шоппингом — аккурат к пятнице известного цвета и киберпонедельнику. В этом сезоне, например, было отмечено более миллиона атак банковских троянцев.

🟣Разбор атак APT31, нацеленных на промышленный шпионаж и кражу интеллектуальной собственности в российских ИТ-компаниях. Атакующие используют целевой фишинг для разворачивания целой батареи вредоносного ПО, включая COFFProxy YaLeak CloudyLoader и OneDrivedoor.

🔵Очередное усложнение атак ClickFix — установка ВПО идёт аж в четыре этапа, и код последнего этапа достают из картинки, где он смешан с пикселями — полноценная стеганография.

🟢У OpenAI утекли имена, емейлы и некоторые другие данные части пользователей API. Утечка произошла у поставщика веб-аналитики, MixPanel. Основной угрозой жертвам утечки является убедительный фишинг.

⚪️Серьёзный недостаток сервисов и опасная ошибка пользователей. Сайты для онлайн-оформления кода и данных JSONFormatter и CodeBeautify позволяют легко скачать недавно прошедший через них код других пользователей — а в нём зачастую оставляют ключи API, учётные данные и многое другое.

🔵Длинный список файлов, в которых можно словить ВПО, пополнили 3D-модели Blender. Через маркетплейсы моделей реально распространяют стилер StealC v2.

🟢Microsoft назвала фишкит Tycon2FA/Storm-1747 самым активным в этом году — в этой инфраструктуре только в октябре провели 13 млн атак, и 25% всех атак с применением QR-кодов.

🟣Greynoise выкатили сервис, на котором можно проверить, не сидят ли ваши роутер или холодильник в ботнете.

#APT #дайджест П2Т

🔥 NGFW против уязвимости WSUS

Закрытый в рамках октябрьского Patch Tuesday дефект CVE-2025-59287 (CVSS 9.8) в Windows Server Update Service, приводящий к выполнению произвольного кода, надолго запомнится чередой неэффективных патчей, которые к тому же нарушали нормальный цикл обновлений на уязвимых серверах. Уязвимостью уже вооружились злоумышленники, поэтому её устранение критически важно.

Грамотная архитектура ИБ позволяет организациям защититься от эксплуатации этого и подобных дефектов. В новой статье разобрали, как обнаруживают уязвимость и предотвращают её эксплуатацию различные наши решения: EPP, EDR, KATA/NDR и NGFW. Тем, кто предпочитает один раз увидеть — короткое видео с участием NGFW. Межсетевой экран предотвращает отправку эксплойта на уязвимый сервер и фиксирует факт атаки.

#видео #NGFW #Microsoft @П2Т

🚀 Инфостилеры на марше

В адвент-календаре Kaspersky Security Bulletin пополнение — эксперты «Лаборатории Касперского» поделились общей статистикой обнаруженных за год киберугроз. Число задетектированных вредоносных файлов выросло на умеренные 7%, но вот инфостилеры показали значительный рост — их стало на 59% больше, чем годом ранее.

Эта категория угроз росла опережающими темпами во всех регионах, но рекорд принадлежит АТР. В Азии детектировали на 132% (!) больше стилеров, чем годом ранее. Второе место у стран СНГ с тоже впечатляющим ростом 67%.

Украденные учётные данные остаются вторым по эффективности способом проникновения в организации. Поэтому операторы ransomware охотно платят операторам инфостилеров за эту информацию.

📌Рекомендации по защите от этой угрозы и более подробная статистика доступны на сайте Kaspersky Security Bulletin.

#статистика @П2Т

🧐 Киберразведка, исследования ИБ или сетевая безопасность: что выберете вы?

Мы запустили онлайн-проект о профессиях в кибербезопасности. Это интерактивный помощник для всех, кто задумывается о работе в ИБ — он поможет выбрать подходящую специализацию и расскажет о навыках, необходимых для успешной карьеры.

Что внутри:
🟢карта «Кому полезно развитие в ИБ?». Спойлер: практически всем — от студентов до опытных ИТ-специалистов;
🟢тест с персональными рекомендациями по профессиональному пути в кибербезе;
🟢карточки профессий в ИБ – основные задачи и инструменты, возможные позиции, рекомендуемые курсы;
🟢знакомство с нашей командой кибергероев.

Подробности по ссылке.

🤯 Эксплуатация React4Shell, совместные атаки на российские компании и другие новости ИБ за неделю

🔥 Ситуация вокруг критической уязвимости React4Shell (CVE-2025-55182, CVSS 10) развивается ровно так, как мы все боялись. Эксплуатацию дефекта начали сразу несколько преступных групп, включая APT Earth Lamia и Jackpot Panda, а также UNC5174. В известных атаках злоумышленники используют PowerShell для проверки, что эксплуатация состоялась, а затем разворачивают маячки Cobalt Strike, ВПО VShell и Snowlight.

В Интернете задетектировано почти 80 тысяч хостов, уязвимых к React4Shell, из которых около 3000 — в РФ.

Vercel сообщает, что все, кто не обновился  4 декабря, должны полагать свои приложения скомпрометированными и провести ротацию секретов. Также они заблокировали установку новых приложений, основанных на уязвимых версиях Next.js.
Тем временем Cloudflare так заблокировали React4Shell, что прилегли второй раз за последние недели. Правда, сбой продлился менее получаса.

☠️ В атаках группировки 4BID на российские организации обнаружены следы BO Team и Red Likho — эти группировки всё чаще действуют совместно. Мы подробно описали инструментарий 4BID и другое известное ВПО, применяемое в свежих инцидентах.

🎁 Фишинговые атаки на российские компании приобрели отчётливый привкус конца года — в приманках фигурируют годовые премии. Немного нестандартное вложение в виде XLL-файла запускает простой скрипт-стилер, ворующий с компьютера документы.

🗿 Технический анализ сложного бэкдора BRICKSTORM, устанавливаемого на серверы vCenter и выполняющего шпионские функции. Всего обнаружено восемь образцов, отличающихся функциями и методами С2. Есть косвенные признаки существования Windows-версии.

🌚 Наш технический анализ самораспространяющегося npm-зловреда Shai Hulud 2.0. Больше всего жертв зафиксировано в России, Индии, Вьетнаме, Китае, Бразилии, Франции и Турции.

🍄 Анализ новых инструментов APT MuddyWater, применённых в атаках на египетские и израильские организации. Примечательны новый загрузчик Fooder и бэкдор MuddyViper, использующие пока экзотические криптографические API CNG.

😮 К нашему рассказу об опасности браузерных расширений для организаций подоспело новое масштабное доказательство. Группа ShadyPanda заразила более 4 млн браузеров вредоносными расширениями. ВПО на 300 тысячах из них способно выполнять произвольный код.

✈️ Разбор сложных фишинговых кампаний по угону учёток Google Workspace и рекламных аккаунтов в соцсетях. Целевой фишинг от имени реального сотрудника крупной компании развивается в фальшивое приглашение Calendly и последующую атаку AitM.

🤡 Microsoft втихую попытались устранить CVE-2025-9491, связанную с отображением Lnk-файлов, и используемую десятком шпионских и вымогательских группировок. Когда в марте стало известно об этой уязвимости (уже тогда она была 0day), Редмонд заявлял, что это не уязвимость вовсе, потому что от пользователя требуется подтверждение.

👻 Технический анализ мобильного банковского троянца RatOn. По сути он представляет собой комбинацию мобильного RAT и приложения NFCgate, позволяющего проводить два вида атак на бесконтактные платежи жертвы.

😐 В этом году мобильные угрозы в РФ просто лютуют — рост заражений одним только банкером Mamont в 36 (!) раз.

😵 Новая пачка фальшивых инструментов и фреймворков опубликована в VSCode Marketplace и OpenVSX. Более 30 пакетов заражены хорошо известным стилером Glassworm.

#APT #дайджест @П2Т

🤖 Декабрьский Patch Tuesday: один зиродей и щепотка ИИ

Microsoft завершает год относительно скромным по масштабу вторником патчей, устранив 56 уязвимостей. Общий счёт «основных» дефектов за год по данным ZDI достиг 1139, что делает 2025 вторым по «урожайности» годом после 2020. В будущем году число почти наверняка вырастет, благодаря росту портфолио и повсеместному впихиванию ИИ.

Возвращаясь к декабрю, одна уязвимость эксплуатировалась в атаках, а ещё две были разглашены до устранения. Всего два дефекта признаны критическими, остальные — важными. Уверенное лидерство держат баги с повышением привилегий (28), на втором месте RCE с 19 дефектами. Ещё 4 уязвимости приводят к разглашению информации, 3 — к DoS, 2 — spoofing.

0day — CVE-2025-62221
Эта уязвимость в Windows Cloud Files Mini Filter Driver приводит к повышению привилегий до SYSTEM.
Обнаружение дефекта приписывают собственным подразделениям MSTIC и MSRC, поэтому о том, в каких атаках использовалась эта уязвимость, неизвестно. Дефекту подвержены все актуальные версии Windows, поэтому приоритет устранения уязвимости максимальный.
В том же компоненте Windows устранены ещё две уязвимости, тоже EoP и тоже CVSS 7.8. Это CVE-2025-62454 и -62457, причём вероятность эксплуатации для первой выше.

AI RCE
Эта уязвимость интересна не сама по себе, а как первая ласточка в целом классе дефектов, которые наверняка зачастят в бюллетенях в следующем году. CVE-2025-64671 (CVSS 8.4), разглашённая до устранения, является инъекцией команд в GitHub Copilot for Jetbrains. Атакующий, манипулируя внешними недоверенными файлами или серверами MCP, может создать кросс-промпт инъекцию и добавить к выполняемому в терминале, заранее одобренному коду, дополнительные команды, которые тоже будут запущены без подтверждения.
Судя по всему, авторским названием дефекта является IDEsaster, и об этой интереснейшей теме мы ещё напишем отдельно.

PowerShell RCE
Начало описания CVE-2025-54100 (CVSS 7.8) звучит опасно, но на практике эксплуатация этого дефекта оценена Редмондом как маловероятная. Суть в том, что при использовании InvokeWebRequest в скриптах PowerShell могут отрабатывать JavaScript на веб-страницах и приводить к запуску локального кода.
После установки обновления потребуется перезагрузка, и PowerShell начнёт выводить особые предупреждения при использовании InvokeWebRequest, как описано в KB5074596.

Среди дефектов, не разглашённых до устранения, обратите внимание на:
CVE-2025-62554, -62557 — очередные критические RCE в Office, работающие из панели предварительного просмотра;
CVE-2025-62562 — RCE в Outlook, но требующая ответить на вредоносное письмо;
CVE-2025-62458 — EoP в Win32k.

#Microsoft #уязвимости @П2Т

❗️ Эксплуатация React2Shell набирает обороты

Первые попытки эксплуатации на наших ханипотах отмечены 5 декабря, а в понедельник 8 декабря количество таких попыток кратно увеличилось и продолжает расти.
Уязвимостью пользуются самые разные группы, включая операторов ботнета RondoDox, банд криптомайнеров и шпионских APT. Отмечаются попытки красть учётные данные, связанные с Git и облачными средами.

Мы описали наблюдаемую нами постэксплуатационную активность и IoC в посте на Securelist.
Тем, кто в четверг не обновил свою среду, включающую React Server Components, необходимо провести полное реагирование на инциденты, включая анализ подозрительной активности и ротацию секретов.

#уязвимости @П2Т

➡️ Покрытие ATT&CK защитными решениями: взгляд вглубь

В новом интервью порталу Anti-malware.ru Кирилл Митрофанов рассказал об одном важном для команд SOC нюансе, помогающем осмысленно планировать развитие средств защиты. В большинстве «матриц покрытия» любая техника либо детектируется защитным решением, либо нет. Но это не даёт чёткого понимания, что стоит за закрашенным квадратиком — это одно правило с детектирующей логикой, или 20? Какие разновидности и способы реализации техники покрывает конкретное решение? Улучшается ли детектирование техники и противодействие ей, если используется несколько СЗИ разного класса, например EDR и NDR?

Такую детализированную, учитывающую нюансы картину теперь можно увидеть в анализе покрытия матрицы MITRE ATT&CK продуктами «Лаборатории Касперского». Это новая функциональность, бесплатно доступная на портале Kaspersky OpenTIP. Каждая техника ATT&CK закрашена одним из восьми оттенков синего, в зависимости от глубины покрытия техники продуктом или сочетанием продуктов. Нажав на неё, можно увидеть, какой вклад вносит каждое решение и как улучшится глубина покрытия с внедрением дополнительных СЗИ.

В интервью затронуты многие интересные вопросы, касающиеся ландшафта угроз и того, как важно важно получать его обновления в реальном времени, с учётом особенностей конкретной индустрии и организации. Также Кирилл поделился планами развития портала Kaspersky Threat Intelligence!

Читать

#SOC #советы @П2Т