🧐 Киберразведка, исследования ИБ или сетевая безопасность: что выберете вы?

Мы запустили онлайн-проект о профессиях в кибербезопасности. Это интерактивный помощник для всех, кто задумывается о работе в ИБ — он поможет выбрать подходящую специализацию и расскажет о навыках, необходимых для успешной карьеры.

Что внутри:
🟢карта «Кому полезно развитие в ИБ?». Спойлер: практически всем — от студентов до опытных ИТ-специалистов;
🟢тест с персональными рекомендациями по профессиональному пути в кибербезе;
🟢карточки профессий в ИБ – основные задачи и инструменты, возможные позиции, рекомендуемые курсы;
🟢знакомство с нашей командой кибергероев.

Подробности по ссылке.

🤯 Эксплуатация React4Shell, совместные атаки на российские компании и другие новости ИБ за неделю

🔥 Ситуация вокруг критической уязвимости React4Shell (CVE-2025-55182, CVSS 10) развивается ровно так, как мы все боялись. Эксплуатацию дефекта начали сразу несколько преступных групп, включая APT Earth Lamia и Jackpot Panda, а также UNC5174. В известных атаках злоумышленники используют PowerShell для проверки, что эксплуатация состоялась, а затем разворачивают маячки Cobalt Strike, ВПО VShell и Snowlight.

В Интернете задетектировано почти 80 тысяч хостов, уязвимых к React4Shell, из которых около 3000 — в РФ.

Vercel сообщает, что все, кто не обновился  4 декабря, должны полагать свои приложения скомпрометированными и провести ротацию секретов. Также они заблокировали установку новых приложений, основанных на уязвимых версиях Next.js.
Тем временем Cloudflare так заблокировали React4Shell, что прилегли второй раз за последние недели. Правда, сбой продлился менее получаса.

☠️ В атаках группировки 4BID на российские организации обнаружены следы BO Team и Red Likho — эти группировки всё чаще действуют совместно. Мы подробно описали инструментарий 4BID и другое известное ВПО, применяемое в свежих инцидентах.

🎁 Фишинговые атаки на российские компании приобрели отчётливый привкус конца года — в приманках фигурируют годовые премии. Немного нестандартное вложение в виде XLL-файла запускает простой скрипт-стилер, ворующий с компьютера документы.

🗿 Технический анализ сложного бэкдора BRICKSTORM, устанавливаемого на серверы vCenter и выполняющего шпионские функции. Всего обнаружено восемь образцов, отличающихся функциями и методами С2. Есть косвенные признаки существования Windows-версии.

🌚 Наш технический анализ самораспространяющегося npm-зловреда Shai Hulud 2.0. Больше всего жертв зафиксировано в России, Индии, Вьетнаме, Китае, Бразилии, Франции и Турции.

🍄 Анализ новых инструментов APT MuddyWater, применённых в атаках на египетские и израильские организации. Примечательны новый загрузчик Fooder и бэкдор MuddyViper, использующие пока экзотические криптографические API CNG.

😮 К нашему рассказу об опасности браузерных расширений для организаций подоспело новое масштабное доказательство. Группа ShadyPanda заразила более 4 млн браузеров вредоносными расширениями. ВПО на 300 тысячах из них способно выполнять произвольный код.

✈️ Разбор сложных фишинговых кампаний по угону учёток Google Workspace и рекламных аккаунтов в соцсетях. Целевой фишинг от имени реального сотрудника крупной компании развивается в фальшивое приглашение Calendly и последующую атаку AitM.

🤡 Microsoft втихую попытались устранить CVE-2025-9491, связанную с отображением Lnk-файлов, и используемую десятком шпионских и вымогательских группировок. Когда в марте стало известно об этой уязвимости (уже тогда она была 0day), Редмонд заявлял, что это не уязвимость вовсе, потому что от пользователя требуется подтверждение.

👻 Технический анализ мобильного банковского троянца RatOn. По сути он представляет собой комбинацию мобильного RAT и приложения NFCgate, позволяющего проводить два вида атак на бесконтактные платежи жертвы.

😐 В этом году мобильные угрозы в РФ просто лютуют — рост заражений одним только банкером Mamont в 36 (!) раз.

😵 Новая пачка фальшивых инструментов и фреймворков опубликована в VSCode Marketplace и OpenVSX. Более 30 пакетов заражены хорошо известным стилером Glassworm.

#APT #дайджест @П2Т

🤖 Декабрьский Patch Tuesday: один зиродей и щепотка ИИ

Microsoft завершает год относительно скромным по масштабу вторником патчей, устранив 56 уязвимостей. Общий счёт «основных» дефектов за год по данным ZDI достиг 1139, что делает 2025 вторым по «урожайности» годом после 2020. В будущем году число почти наверняка вырастет, благодаря росту портфолио и повсеместному впихиванию ИИ.

Возвращаясь к декабрю, одна уязвимость эксплуатировалась в атаках, а ещё две были разглашены до устранения. Всего два дефекта признаны критическими, остальные — важными. Уверенное лидерство держат баги с повышением привилегий (28), на втором месте RCE с 19 дефектами. Ещё 4 уязвимости приводят к разглашению информации, 3 — к DoS, 2 — spoofing.

0day — CVE-2025-62221
Эта уязвимость в Windows Cloud Files Mini Filter Driver приводит к повышению привилегий до SYSTEM.
Обнаружение дефекта приписывают собственным подразделениям MSTIC и MSRC, поэтому о том, в каких атаках использовалась эта уязвимость, неизвестно. Дефекту подвержены все актуальные версии Windows, поэтому приоритет устранения уязвимости максимальный.
В том же компоненте Windows устранены ещё две уязвимости, тоже EoP и тоже CVSS 7.8. Это CVE-2025-62454 и -62457, причём вероятность эксплуатации для первой выше.

AI RCE
Эта уязвимость интересна не сама по себе, а как первая ласточка в целом классе дефектов, которые наверняка зачастят в бюллетенях в следующем году. CVE-2025-64671 (CVSS 8.4), разглашённая до устранения, является инъекцией команд в GitHub Copilot for Jetbrains. Атакующий, манипулируя внешними недоверенными файлами или серверами MCP, может создать кросс-промпт инъекцию и добавить к выполняемому в терминале, заранее одобренному коду, дополнительные команды, которые тоже будут запущены без подтверждения.
Судя по всему, авторским названием дефекта является IDEsaster, и об этой интереснейшей теме мы ещё напишем отдельно.

PowerShell RCE
Начало описания CVE-2025-54100 (CVSS 7.8) звучит опасно, но на практике эксплуатация этого дефекта оценена Редмондом как маловероятная. Суть в том, что при использовании InvokeWebRequest в скриптах PowerShell могут отрабатывать JavaScript на веб-страницах и приводить к запуску локального кода.
После установки обновления потребуется перезагрузка, и PowerShell начнёт выводить особые предупреждения при использовании InvokeWebRequest, как описано в KB5074596.

Среди дефектов, не разглашённых до устранения, обратите внимание на:
CVE-2025-62554, -62557 — очередные критические RCE в Office, работающие из панели предварительного просмотра;
CVE-2025-62562 — RCE в Outlook, но требующая ответить на вредоносное письмо;
CVE-2025-62458 — EoP в Win32k.

#Microsoft #уязвимости @П2Т

❗️ Эксплуатация React2Shell набирает обороты

Первые попытки эксплуатации на наших ханипотах отмечены 5 декабря, а в понедельник 8 декабря количество таких попыток кратно увеличилось и продолжает расти.
Уязвимостью пользуются самые разные группы, включая операторов ботнета RondoDox, банд криптомайнеров и шпионских APT. Отмечаются попытки красть учётные данные, связанные с Git и облачными средами.

Мы описали наблюдаемую нами постэксплуатационную активность и IoC в посте на Securelist.
Тем, кто в четверг не обновил свою среду, включающую React Server Components, необходимо провести полное реагирование на инциденты, включая анализ подозрительной активности и ротацию секретов.

#уязвимости @П2Т

➡️ Покрытие ATT&CK защитными решениями: взгляд вглубь

В новом интервью порталу Anti-malware.ru Кирилл Митрофанов рассказал об одном важном для команд SOC нюансе, помогающем осмысленно планировать развитие средств защиты. В большинстве «матриц покрытия» любая техника либо детектируется защитным решением, либо нет. Но это не даёт чёткого понимания, что стоит за закрашенным квадратиком — это одно правило с детектирующей логикой, или 20? Какие разновидности и способы реализации техники покрывает конкретное решение? Улучшается ли детектирование техники и противодействие ей, если используется несколько СЗИ разного класса, например EDR и NDR?

Такую детализированную, учитывающую нюансы картину теперь можно увидеть в анализе покрытия матрицы MITRE ATT&CK продуктами «Лаборатории Касперского». Это новая функциональность, бесплатно доступная на портале Kaspersky OpenTIP. Каждая техника ATT&CK закрашена одним из восьми оттенков синего, в зависимости от глубины покрытия техники продуктом или сочетанием продуктов. Нажав на неё, можно увидеть, какой вклад вносит каждое решение и как улучшится глубина покрытия с внедрением дополнительных СЗИ.

В интервью затронуты многие интересные вопросы, касающиеся ландшафта угроз и того, как важно важно получать его обновления в реальном времени, с учётом особенностей конкретной индустрии и организации. Также Кирилл поделился планами развития портала Kaspersky Threat Intelligence!

Читать

#SOC #советы @П2Т

🔎 Интересные исследования APT и новости ИБ за неделю

🪲 Неделя прошла под общим девизом «больше эксплуатации React2Shell». Десятки групп эксплуатируют дефект с целями шпионажа, кражи учётных данных, криптомайнинга и создания ботнетов. Примечательные моменты:
🟢 в ханипотах попадаются вредоносные нагрузки XMRig и RondoDox. Видны попытки кражи секретов Git и облачных сред;
🟢 после эксплуатации React4Shell детектирован сложный бэкдор EtherRAT, использующий аж 5 механизмов закрепления в Linux-системах и С2 на базе блокчейна Ethereum. Предполагается, что это шпионский имплант из арсенала Lazarus;
🟢 также обнаружены Linux-бэкдор Peerblight, используемый для майнинга, и ботнет Kaiji;
🟢 внимание исследователей к React привело к обнаружению и устранению ещё трёх уязвимостей, хоть и не RCE. Надо обновляться ещё раз.
Даже к концу недели число уязвимых хостов остаётся сильно выше 100 тысяч.

🟣Технический анализ бэкдора NANOREMOTE, использующего Google Drive API для С2 и для извлечения данных с хоста жертвы. Авторы исследования нашли пересечения кода с ВПО FINALDRAFT, используемого APT REF7707.

🟣Исследование активности киберподполья в Telegram показывает, что злоумышленники снижают свою активность на платформе по мере ужесточения модерации. Средний срок жизни канала с крадеными данными и нелегальными услугами значительно сократился в 2025 году.

🔵Подробнейший технический анализ модульного бэкдора ValleyRAT/Winos4.0 и его билдера. Наличие мощных плагинов вроде руткита уровня ядра и применение драйверов со всё ещё действительной цифровой подписью делают его весьма опасной угрозой. Билдер стал широко доступен в последние полгода, поэтому число образцов ValleyRAT на VT резко выросло, и в будущем активность Winos нельзя уверенно атрибутировать китаеязычным группировкам.

🟢ВПО BuhTrap, используемое в атаках на российские организации более 10 лет, снова пустили в дело. Заражённые файлы поджидают бухгалтеров на профильных форумах и на сайтах с шаблонами документов. ВПО занимается кейлоггингом и сбором данных о подключённых смарт-картах.

🟡Технический анализ бэкдора UDPGANGSTER, используемого APT MuddyWater в атаках на организации в Азербайджане, Израиле и Турции. Доставляют бэкдор топорным фишингом через Word-файлы с макросами.

🟠Функция ChatGPT «поделиться чатом» используется в атаках ClickFix для распространения инфостилера AMOS. Злоумышленники маскируют свой чат с ботом под инструкции по загрузке браузера OpenAI Atlas для macOS.

🟢Ещё одна интересная разновидность ClickFix — в атаке ConsentFix у пользователей угоняют OAuth-токены на сервисах Microsoft. На первом этапе фальшивая капча требует указать рабочий адрес, затем происходит нормальная аутентификация на легитимных доменах Microsoft, но в конце пользователя переадресуют на страницу, в адресе которой зашит искомый токен — этот адрес от жертвы и требуют ввести в псевдокапчу.

🟢Анализ ВПО VolkLocker, используемого относительно новой RaaS CyberVolk.

🔵Разбор TTPs группировки Gold Salem при вымогательских атаках с использованием шифровальщика Warlock.

🟣Анализ нового многоплатформенного шифровальщика 01flip, написанного на Rust.

🔴Технический анализ ВПО Droidlock, блокирующего Android-устройства и способного воровать и удалять данные на смартфоне.

🟢Не срочная, но важная для ИБ новость. Рабочая группа CA/Browser объявила о постепенном отключении устаревших способов подтверждения владения доменом при выдаче сертификатов. К марту 2028 года перестанут работать аж 11 проверенных способов типа факса на контактный телефон в DNS-записи.

#APT #дайджест @П2Т

🗣 Как расследовать инциденты в ИБ

Когда: 17 декабря 2025 в 11:00 (МСК)

Успешное расследование зависит не только от инструментов и логов, но и от слаженности команды, грамотной фиксации событий, способности быстро выдвигать и проверять гипотезы. Как действовать в первые часы? Что делать, если журналы удалены и следы стёрты? Какие выводы сделать из атаки, чтобы не наступить на те же грабли снова?

О реальных случаях в практике DFIR, полезных инструментах, приёмах цифровой криминалистики и будущем расследований в мире ИИ поговорят эксперты на онлайн-конференции AM-Live! Обсудим:

▶️ кто должен быть вовлечён в расследование;
▶️ чем отличается анализ «живого» инцидента от постфактум-расследования;
▶️ как формализовать и задокументировать расследование;
▶️ какие и где брать журналы, и как быть если их стёрли;
▶️ как понять, что инцидент требует вовлечения топ-менеджмента или антикризисного штаба;
▶️ какие системные ошибки чаще всего выявляются в результате расследования;
▶️ кто должен готовить итоговое резюме и как его правильно презентовать.

👤 От «Лаборатории Касперского» выступит Константин Сапронов, руководитель глобальной команды реагирования на инциденты ИБ.

Встречаемся в среду: 17 декабря 2025
Нужна предварительная регистрация.

Узнать о конференции и зарегистрироваться ⟶

#события @П2Т

⏳ Забытая инфраструктура: найти и обезвредить

Забытые ИТ-активы — почти как теневые, только ещё хуже. Организация исправно платит за неиспользуемые серверы или хранилища, а потом через них происходят утечки или проникают злоумышленники. И приходится писать в отчётах перлы вроде знаменитого «устаревший и неиспользуемый тестовый аккаунт».

Что забывают чаще всего, и как с этим бороться? Провели краткую инвентаризацию и оценили риски:

🟢 физических и виртуальных серверов;
🟢 неактивных учётных записей;
🟢 хранилищ данных;
🟢 запущенных, но неиспользуемых приложений и служб;
🟢 устаревших API;
🟢 давно не обновлённых зависимостей;
🟢 брошенных сайтов;
🟢 и даже неиспользуемых роутеров.

Для каждого вида актива порекомендовали методы обнаружения, реагирования и систематические меры по борьбе с забвением.

📌 Почитайте и поделитесь с коллегами в ИТ

#советы @П2Т

Время подводить итоги года! 18 декабря в 11:00 мы проведём стрим «Киберитоги 2025: события, тренды, прогнозы».

В программе — самое важное из мира угроз, продуктов и технологий:

🟢главное о киберугрозах 2025 года — статистика, неожиданные находки, самые яркие кейсы и тенденции, которые определяли ландшафт атак;
🟢продукты и технологии — что мы сделали в 2025 и в каком направлении движемся дальше;
🟢что нас ждет в 2026 году — куда будет развиваться кибербезопасность? Роль ИИ, эволюция NGFW, новое в SIEM, а также стратегические приоритеты, которые мы закладываем уже сегодня.

В студии — ведущие исследователи «Лаборатории Касперского», которые знают, что скрывается за громкими заголовками и сухими цифрами.

Регистрируйтесь на стрим по ссылке!

🔥 Атака в МСБ: реагирование по шагам

Что делать, если ИТ-инфраструктуру взломали, зашифровали или удалили? В компаниях малого и среднего бизнеса редко есть проработанный план действий на такой случай. Обычно службы ИТ и ИБ имеют очень широкий круг задач и порой недостаточно опытны в процедурах реагирования.

Для них появилось готовое пошаговое руководство, позволяющее грамотно реагировать на инцидент с привлечением сторонних экспертов. Внутри:

🟢первые, срочные шаги при инциденте;
🟢к кому обратиться за помощью, как её получить и в чём она может заключаться;
🟢что можно (и нужно!) сделать заранее;
🟢как происходит реагирование на инциденты (DFIR);
🟢шифрование — это лишь часть проблемы. Оценка последствий утечки данных;
🟢что делать, если подозреваете взлом, но не уверены;
🟢инструкции по сбору и сохранению технических данных, правильному оформлению сопроводительных документов.

Рекомендации разработаны Константином Титковым, руководителем центра ИБ ДЗО Газпромбанка, в соавторстве с экспертами отрасли ИБ: Сергеем Головановым, Ильёй Зуевым, Антоном Величко.

📌 Скачать руководство без регистрации и СМС.

#советы @П2Т

🔥 Эксплуатация 0day в Cisco и SonicWall

В среду Cisco и SonicWall одновременно разразились бюллетенями об активной эксплуатации зиродеев в своих продуктах — но в обоих случаях речь не идёт про межсетевые экраны.

У Cisco атаке подверглись Secure Email Gateway и Secure Email and Web Manager (в девичестве известные как Email Security Appliance и Content Security Management Appliance). Ещё не закрытая уязвимость CVE-2025-20393 (CVSS 10) в Cisco AsyncOS позволяет атакующим выполнять произвольный код с правами root на устройстве. Этим уже пользуется APT UAT-9686, активность которой пересекается с APT41и UNC5174. На поражённых устройствах разворачивают бэкдор AquaShell, а также вспомогательные инструменты AquaTunnel, AquaPurge и Chisel.

Первичное расследование показывает, что дефекту подвержены только устройства с активированной функцией Spam Quarantine, управляющий порт которой доступен через Интернет. Но, как говорится, в программе возможны изменения, следите за нашими объявлениями. Патчей пока нет, поэтому рекомендуют изолировать устройство от Интернета, следить за трафиком, а в случае компрометации — полностью переустанавливать устройство с чистого листа.

У SonicWall атакована консоль управления (AMC) в устройствах удалённого доступа SonicWall SMA1000. Злоумышленники комбинируют новую CVE-2025-40602 (CVSS 6.6, повышение привилегий) с ранее известной CVE-2025-23006 (CVSS 9.8, RCE) чтобы также запускать свой код на устройстве с правами root. В SonicWall подчёркивают, что функция SSL-VPN на их межсетевых экранах не подвержена этой уязвимости. Патчи уже доступны.

В какой вредоносной активности использовалась цепочка дефектов — не сообщается, но за обнаружение благодарят Google Threat Intelligence Group.

#уязвимости @П2Т

👾 IDEsaster: уязвимы все ИИ-среды разработки

«Просто добавь воды ИИ» — рецепт, которому следуют 100% крупных производителей IDE, то есть сред разработки ПО. Все "AI IDE" построены на базе давно существующих и развитых IDE с миллионами пользователей. На основе VSCode созданы ИИ-среды Cursor, Windsurf, Roo Code, GitHub CoPilot и Kiro.dev, из JetBrains развились Junnie и Cline, к Zed dev легко подключить Claude Code CLI и Gemini CLI. Все они уязвимы к новому классу дефектов IDEsaster, позволяющему извлекать из атакуемой системы данные или запускать на ней произвольный код.

Исследователь, работающий над этой проблемой, уже обнаружил 30 дефектов в перечисленных IDE и добился назначения 24 CVE. 100% протестированных сред оказались уязвимы. Суть проблемы в том, что IDE располагает развитыми средствами автоматизации, которые теперь порой запускает и настраивает ИИ-агент. Далеко не всегда он воспринимает изменения в скриптах и настройках как опасные и требующие подтверждения от человека. Выстроенные вокруг ИИ-агента фильтры тоже не учитывают опасные функции IDE, в результате одни и те же атаки с минимальными модификациями надёжно воспроизводятся на разных IDE.

Пример утечки данных: с помощью промпт-инъекции ИИ-агента просят записать JSON-файл на основе схемы JSON, сохранённой на внешнем сервере. Функция поддерживается во всех IDE на базе Visual Studio Code, JetBrains и Zed dev. При обращении к внешней схеме JSON данные, воруемые с компьютера, передаются в параметрах GET-обращения к серверу атакующего.

Запуск произвольного кода отличается в реализации для разных IDE, но сводится к тому, что настройки IDE (php.validate.executablePath или Git.Settings — PATH_TO_GIT) модифицируются, чтобы вызывать код атакующего при открытии или валидации любого файла исходников.

Проблема с IDEsaster в том, что функций и методов автоматизации в каждой IDE очень много, и их можно творчески комбинировать, превращая устранение дефектов в бесконечные кошки-мышки. Та же RCE в GitHub Copilot (CVE-2025-53773) была устранена в августе, чтобы возродиться с небольшой модификацией в ноябре (CVE-2025-64660).

Как снизить риски атак на AI IDE?

1️⃣ использовать агентов и IDE только с доверенными проектами и файлами. Нужно учитывать, что промпт-инъекция может содержаться в любых обрабатываемых ИИ файлах, включая всякие readme, тест-кейсы и даже в самих именах файлов;
2️⃣ подключаться только к доверенным серверам MCP, предварительно проведя детальный анализ потоков данных, с которыми работает MCP-сервер. Детально отслеживать и журналировать работу MCP-серверов, чтобы оперативно обнаруживать аномалии;
3️⃣ настраивать ИИ-агенты на режим human-in-the-loop, чтобы подтверждать вручную максимум выполняемых ими действий.

Более детальный разбор модели угроз, конкретных уязвимостей и рекомендаций по защите — в посте автора исследования.

#AI @П2Т

🌐 Новый tor, расшифровка ИИ-чатов и другие важные новости конфиденциальности и личной ИБ

🫶 Google и Apple сделали радикальный шаг навстречу пользователям (и друг другу). Начиная со свежих моделей Pixel и iPhone, функции AirDrop и QuckShare получают кросс-совместимость — наконец можно посылать друг другу файлы на высокой скорости. Google отдельно хвастается, как там всё безопасно, приватно, и ходит напрямую между телефонами без всяких серверов.

👀 Узнать общую тему вашей беседы с чатботом можно, даже не расшифровывая HTTPS-трафик. Правда, только для конкретных тем, на которых детектирующая система заранее обучена. Как это работает и какие ИИ-ассистенты наиболее уязвимы — объяснили в отдельном посте.

🧅 Разработчики Tor представили значительно обновлённую схему «луковичного» шифрования, CGO. Она призвана заменить текущую схему tor1, которая недостаточно устойчива к некоторым современным атакам, например «разметке» трафика. Новая схема пока тестируется и уже есть код для узлов сети tor. После полномасштабного запуска CGO у клиентов всё заработает автоматически.

🤖 Поскольку агентские функции в браузерах небезопасны, Google после внедрения агентских функций в Chrome пытается подстелить соломки при помощи отдельной модели, которая следит, чтобы агент не натворил чудес.

📌 У Greynoise вышел сервис проверки — можно просто зайти на сайт из домашней сети и узнать, не является ли ваш IP участником ботнета. Если вдруг является, дальше предстоит разбираться, кто во всём виноват — телевизор, роутер или пылесос.

💾 Плохие новости для тех, кто архивирует данные на SSD. Подолгу отключённые накопители теряют данные.

🕵️‍♂️ Интересный разбор пути украденных данных, которые удалось выманить у жертвы фишингом.

😎 Больше приватности: третий по величине оператор круизов MSC полностью запретил смарт-очки на борту.

😱 Меньше приватности: при взломе провайдера веб-аналитики MixPanel злоумышленники похитили историю просмотров премиум-пользователей PornHub. Запасаемся попкорном и размышляем о том, к чему приводит бесконтрольное накопление аналитики и поведенческих данных.

#дайджест @П2Т

Интересные исследования APT и новости ИБ за неделю

⚡️ Технический анализ и TTPs новых атак «Форумный тролль». Целевой фишинг и детально подготовленная инфраструктура на сей раз предназначены для конкретных физлиц: российских учёных в области политологии, международных отношений и мировой экономики. В отличие от предыдущей документированной нами волны атак, где финальной нагрузкой были ВПО Dante и LeetAgent, на сей раз используется маячок редтим-фреймворка Tuoni.

🪲 Продолжает атаки на восточноевропейские и азиатские организации и APT Cloud Atlas. Хотя группировка работает с 2014 года и не меняет общего подхода к заражению жертв, благодаря небольшим модификациям TTPs они сохраняют высокую эффективность. На сегодня в арсенале группы четыре импланта с сильно пересекающимся набором функций: PowerShower, VBShower, VBCloud и собственно CloudAtlas. В последнее время мишенями атак становились госучреждения и организации в телекоме, строительстве и промышленности.

🟢Промышленные и государственные организации в Европе и Саудовской Аравии атакуют при помощи сложного многоцелевого загрузчика, впоследствии устанавливая разнообразное ВПО: Remcos, DC Rat, XWorm и др. Эту инфраструктуру явно используют многочисленные группировки. Атака начинается с фишинговых писем, замаскированных под документы на заказ товара.

🔵Обзор свежих атак и текущей инфраструктуры APT Lazarus/Kimsuky.

🟣Незаметная с 2022 года APT Infy/Prince of Persia на самом деле продолжает деятельность и активно разивает обе линейки фирменного ВПО, Foudre и Tonnerre.

🔵Новая версия шифровальщика RansomHouse усилила и одновременно ускорила алгоритмы шифрования.

🔵Разбор свежих атак на пользователей Microsoft 365 — различные группы начали использовать сценарий OAuth 2.0 device authorization grant для проникновения в учётные записи. Техникой пользуются и денежно мотивированные, и шпионские APT.

⚪️Атакам, в которых под тем или иным предлогом к аккаунту WhatsApp жертвы привязывают левое устройство, придумали название GhostPairing.

🟢Подробный анализ нового банковского троянца для Android, пока атакующего пользователей из Турции. ВПО Frogblight эксплуатирует возможность войти на турецкий портал государственных услуг через аутентификацию в онлайн-банкинге. Перехватывая этот процесс, ВПО получает доступ в банк жертвы. Кроме того, Frogblight имеет обычные шпионские функции. Вероятно, ВПО распространяется по модели MaaS и в будущем будет адаптировано для других стран.

🟢Приятный новогодний подарок от Docker: более 1000 образов Docker Hardened Images перешли в open source по лицензии Apache 2.0. Это чуть улучшит ситуацию со взломом контейнерных инфраструктур.

🟣Кстати, в Amazon рассказали об активной кампании криптомайнинга, в которой инфраструктуру ECS (Elastic Container Service) и EC2, арендуемую жертвой, компрометировали при помощи вредоносного образа Docker.

🔵Разбор нового инфостилера Stealka, преимущественно распространяемого под видом модов и кряков для популярных приложений и игр.

🟠Технический анализ Aura Stealer, примечательного многослойной обфускацией.

🟣Тема вредоносых дополнений браузера теперь затронула и Firefox — с сентября обнаружено 17 дополнений с 50k загрузок.

#APT #дайджест @П2Т

🚗 Готовим себе каникулы без инцидентов

Пока ваша ИБ-команда будет отдыхать на новогодних каникулах, некоторые хакеры планируют работать сверхурочно.
Преступники пользуются тем, что обычные сотрудники расслаблены, часть SOC на больничных и в отпусках, поэтому проникнуть в компанию проще, а усилия по реагированию на инцидент скорее всего будут недостаточны и хуже скоординированы.

Чтобы не пришлось экстренно прерывать отдых с семьёй, примите несколько мер заблаговременно: от назначения ответственных и временной деактивации части аккаунтов до привлечения сервиса MDR.
Полный список для предпраздничной ИБ-подготовки читайте в блоге.

Торопитесь, осталась всего неделя!
#советы @П2Т

🗿 Хит-парад CWE

MITRE традиционно подводит итоги года горячим хит-парадом самых опасных CWE, который составляет, систематизируя данные о заведённых за год CVE. Уязвимостей для анализа набралось 39080. Приятно, что уже для 67% из них при заведении дефекта сразу указывают тип программного дефекта, собственно CWE. Это позволяет эффективней планировать защитные меры и приоритизировать обновления.

Первое место в хит-параде удержала CWE-79, межсайтовый скриптинг (CSS). За ней следуют SQL-инъекции и CSRF, каждая из которых поднялась на одну ступеньку.

На четвёртом месте резко набравшая обороты и поднявшаяся на пять мест CWE-862, отсутствующая авторизация, за которой следуют потерявшие пару позиций обход пути и запись за границу буфера.

Интересно, что в топ вошли сразу три разновидности переполнения буфера, которых раньше в рейтинге не было. В основном это связано с коррекцией методики рейтинга, теперь MITRE не «нормализует» данные по CWE, чтобы учитывать более точную и нюансированную картину по первопричинам уязвимостей. Подробней об этом написано в методологии исследования.

#статистика #уязвимости @П2Т