«Разделение труда характерно практически всех видов человеческой деятельности, и было бы странно, если бы в деле киберпреступлений было иначе. На самом деле, ПО SocGholish существует с 2018 года, и его услугами воспользовались уже десятки APT-групп. В каком-то смысле это просто самый известный случай подобной бизнес-модели. Кроме этого, ведь существуют многочисленные конструкторы вредоносного ПО или магазины по организации DDoS-атак», — отметил руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин.

«Интересно тут другое: если софт существует так давно, и все ведущие вендоры ИБ о нем знают, то почему же сотни пользователей регулярно загружают себе этот вредоносный код? Ответов несколько, можно выбрать любой, наиболее приятный. Во-первых, для эффективной борьбы с такой комплексной угрозой нужно не просто поставить антивирус, но и соблюдать цифровую гигиену, а это, как показала практика, доступно не каждому. Или второй вариант – вы крупная компания, а у вас просто может не быть ресурсов для того, чтобы быть в курсе актуальных угроз и поставить задачу инженерам что-то с этим сделать. Да, вы можете подключиться к SOC, но это тоже требует усилий, а мотивация зачастую появляется после потери первых миллионов от взлома. С цифровой гигиеной мы ничего сделать не можем, а вот услуги SOC, таких как GSOC, сегодня доступны даже малому бизнесу, и это повод задуматься, стоят ли риски этой экономии», — заключил эксперт.

Если говорить о поведении наблюдаемого объекта в контексте обнаружения zero-day, то наиболее корректным будет использовать подход на основе профилирования. В основе данного подхода находится банальный анализ величины отклонения наблюдаемого поведения от эталонного профиля нормального поведения. Сравнивая эту величину с заданным пределом, становится возможным обнаружить отклонения в поведении, что может свидетельствовать как о простой аномалии, так и о деструктивном воздействии.

«Злоумышленники, эксплуатирующие FireWood, отталкиваются от первоначальных веб-шеллов на конечные устройства. Соответственно, вредоносное ПО позволяет расширить возможности на скомпрометированных устройствах и проводить разведку, сбор данных и наносить ущерб целостности информации системы».

«FireWood представляет собой значимую угрозу для Linux-инфраструктур из-за своей скрытности и функциональности. Для построения проактивной защиты требуется слаженная работа ряда компонентов системы защиты информации, включая EDR-системы с поведенческим анализом, HIDS, NGFW/IPS с SSL-инспекцией, WAF и строгий контроль привилегий IDM-систем. Эффективным решением с точки зрения мониторинга несанкционированного влияния на сетевую инфраструктуру может стать NAC (Network Access Control), который заметит нелегитимные действия и отразит соответствующую информацию. Именное такое решение может предложить компания "Газинформсервис" в составе комплекса Efros DefOps.

Кроме того, стоит отметить важность роли SOC-аналитиков в настройке детектирования потенциальных угроз и выстраивания процессов реагирования на инциденты, а также интеграции разведки киберугроз для постоянного развития защитных мер. Здесь "Газинформсервис" может оказать поддержку — специалисты GSOC готовы прийти на помощь с оперативным реагированием 24/7 в согласованные SLA», — заключает Дмитриева.

Подробнее о том, почему подобные устройства — самые настоящие троянские кони, как игровая приставка может стать оружием хакера и что к этому привело, — читайте в нашей новой статье на Хабр.

«В этом выпуске мы готовим сицилийскую классику — пасту алла норма. Дело это тонкое, но куда более тонкие материи мы обсудили с нашем гостем, Иваном Головковым. Мы поговорили о подготовке молодых специалистов, о том, как общаться с заказчиком, и что делать, чтобы технические решения по информационной безопасности действительно приносили пользу и надёжно защищали бизнес от кибермошенников», — рассказывает Сергей Полунин.

«В первую очередь, уязвимость BDU:2025-09637 касается тех организаций, которые активно используют платформы Microsoft для облачной инфраструктуры и приложений, особенно в рамках корпоративных решений и сервисов на базе ИИ, – предупредила читателей TAdviser Екатерина Едемская, инженер-аналитик компании «Газинформсервис». – К таким компаниям могут относиться крупные банки, государственные учреждения, операторы телекоммуникационных услуг, а также организации, работающие в области финансовых технологий и электронной коммерции. В случае успешной эксплуатации уязвимости злоумышленники могут получить несанкционированный доступ к критическим данным, а также повысить свои привилегии, что приведет к компрометации безопасности систем и потенциальной утечке информации».