Стиль гадюки 🐍

Может ли злоумышленник использовать всем известные инструменты и оставаться незамеченным более полутора лет? Наш ответ — да.

В середине октября 2024 года департамент киберразведки экспертного центра безопасности Positive Technologies (PT Expert Security Center) зафиксировал таргетированную рассылку Revenge RAT, нацеленную на сотрудников финансовых подразделений российских компаний.

Особое внимание привлекли необычные африканские названия управляющей инфраструктуры злоумышленников. Углубившись в исследование, мы выявили и отследили новую, ранее не описанную APT-группировку, атакующую российские компании как минимум с мая 2023 года.

В связи с использованием африканских названий, регулярными обновлениями семплов и приманок, «пятнистостью» названий вредоносных файлов и продолжительной скрытностью в киберпространстве мы назвали группировку DarkGaboon — в честь африканской габонской гадюки, которую можно встретить в окрестностях стратовулкана Килиманджаро.

😏 Подробнее о группировке и ее техниках вы можете прочитать в исследовании на нашем сайте.

#TI #APT #Malware
@ptescalator

🐈‍⬛ Встречайте новую версию динамического анализатора защищенности веб-приложений — PT BlackBox 3.0

Важное изменение: мы перевели сканер на контейнерную архитектуру под управлением Kubernetes. Это позволит эффективно внедрять продукт в компаниях любого размера и адаптировать его к различным типам нагрузки.

Новый тип архитектуры повысил стабильность и скорость сканирования, а также позволил расширить поддержку форматов OpenAPI за счет добавления возможности работы с удаленными ссылками в формате YAML.

«Одним из ключевых достижений PT BlackBox 3.0 стала поддержка HAR-файлов, которые необходимы для более глубокого анализа сложных веб-приложений, особенно одностраничных (SPA). С помощью таких файлов можно изучать сетевые запросы и ответы, динамически загружаемые ресурсы и взаимодействия, что делает сканирование более удобным и точным», — прокомментировал Сергей Синяков, руководитель продукта PT BlackBox.

В PT BlackBox появилась новая платформа аутентификации пользователей с поддержкой технологии единого входа (SSO) по протоколу OpenID, которая облегчает управление доступом. Кроме того, мы улучшили ряд функциональных возможностей сканирования: расширили области анализа до поддоменов, папок и путей и переработали тип проверки «Внедрение SQL-кода на основе ошибок».

❗️ Важно: переход на контейнеры изменил процесс установки, поэтому автоматически обновиться с версии 2.8 до 3.0 не получится. Необходимо установить сканер заново, а мы, если нужно, поможем с разработкой сценария миграции данных.

#PTBlackBox
@Positive_Technologies

🤟 Какие техники матрицы MITRE ATT&CK выявляют продукты Positive Technologies

Вы наверняка знаете про APT-атаки (advanced persistent threat) — тщательно спланированные кибернападения, нацеленные на определенную компанию или отрасль. Как правило, за ними стоят хорошо организованные группировки с солидными бюджетами и высокотехнологичными инструментами.

Техники APT-группировок описаны в матрице MITRE ATT&CK, которая регулярно пополняется новыми данными исследователей и специалистов по кибербезопасности.

😱 У нас есть бесплатный онлайн-сервис MAC — MITRE ATT&CK Coverage. Он представляет собой не просто перевод матрицы на русский язык, с его помощью вы можете:

• узнать, какие продукты Positive Technologies покрывают те или иные техники злоумышленников.

• собирать свои наборы техник (например, из бюллетеней threat intelligence, рассылаемых ГосСОПКА, ФинЦЕРТ, публикуемых PT Expert Security Center и другими компаниями) и быстро проверять, какие продукты Positive Technologies и в каком объеме могут обнаруживать и нейтрализовать интересующие вас наборы.

А еще мы связали MAC и несколько наших исследований, в которых приведены наборы техник, используемых, например, в атаках на страны СНГ или в рамках проводимых нами пентестов. Эти подборки уже есть на сайте, и их список мы будем расширять!

😏 Бесплатный онлайн-сервис ждет вас на нашем сайте.

@Positive_Technologies

🏭 Недавно мы представили PT ISIM 5 и рассказали о его функциональности

На вебинаре 30 января в 14:00 продолжим демонстрировать новые возможности продукта.

В прямом эфире эксперты Positive Technologies разберут цепочку атаки на реальную SCADA-систему. Цель этой атаки — внести изменения в параметры технологического процесса незаметно для оператора.

Специалисты покажут, как остановить злоумышленников, выполняя типовые операции и пользовательские сценарии в PT ISIM 5.

🔗 Присоединяйтесь, чтобы узнать, как защитить систему своего предприятия от реальных атак (и не забудьте зарегистрироваться заранее).

#PTISIM
@Positive_Technologies

🤠 Алексей Лукацкий — автор не менее пяти книг и бессчетного количества статей и телеграм-постов в собственном канале.

Кажется, что писательство дается ему легко и просто — буквы сами собираются в слова и предложения, стоит только задуматься ненадолго над чистым листом.

Однако и для такого опытного автора (первая книга Алексея вышла почти 25 лет назад) писать хоть понемногу, но каждый день — тоже челлендж, особенно когда дел много, а в сутках по-прежнему всего 24 часа.

💬 В своем интервью Алексей делится лайфхаками, рассказывает, как у него рождаются идеи для текстов, вспоминает о первом писательском опыте и о том, как он хотел стать Дарьей Донцовой в мире технической литературы.

Статью целиком читайте в нашем блоге на Хабре. А ниже мы собрали несколько полюбившихся нам цитат (на самом деле их больше, все просто не поместились в пост).

«Некоторые считают, что у меня есть когорта литературных негров, писательских призраков, которые пишут за меня, а я только ставлю на финальных текстах свою фамилию. Разочарую любителей конспирологии: нет, я все пишу сам».

«Сложно написать первый пост в Telegram, первую статью на Хабре, первую книгу. Потом рука набивается, и вы можете писать уже не глядя».

«Для тех, кто думает, что на книге можно серьезно заработать, — увы и ах, если вы не Донцова, а предмет ваших творческих устремлений не беллетристика, зарабатывать на техническом книгописательстве в России невозможно. И скорее это про порадовать родителей, про строчку в резюме, придание себе статусности. Для молодежи это возможность стать кумиром для других».

#PositiveЭксперты
@Positive_Technologies

Чтобы «вырастить» собственную blue team, нужны две вещи: теоретические знания и практика.

🤔 И если с первым компонентом все плюс-минус ясно (есть интернет, специальная литература и старшие коллеги), то где новичку-киберзащитнику практиковаться — понятно не всегда. Участвовать в киберучениях — хороший вариант, но и здесь с нулевым опытом будет сложно.

Чтобы решить эту задачу, мы создали Standoff Cyberbones — онлайн-симулятор для практической подготовки специалистов по ИБ.

Внутри — практические задания на основе реальных кейсов, собранных по итогам кибербитв Standoff. Можно расследовать отдельные инциденты или целые их цепочки, из которых состоят реализованные недопустимые события. Если не вышло с первого или даже с пятого раза — не страшно, количество попыток не ограничено.

В статье Positive Research Ильдар Садыков, руководитель отдела развития экспертизы киберучений и менторства Positive Technologies, подробнее рассказывает о симуляторе и разбирает несколько заданий, рассказывая, как их можно решить при помощи наших продуктов (да, ими можно пользоваться прямо внутри симулятора!).

😎 Читайте и приступайте к практике. Удачи!

@Positive_Technologies
#PositiveResearch

🗓 Остался месяц до завершения приема заявок на выступления на международном киберфестивале Positive Hack Days

Всегда мечтали собрать «Лужники» и интересно рассказать о кибербезопасности? Не упустите свой шанс и станьте спикером на PHDays Fest, который пройдет с 22 по 24 мая!

🫰 Мы ждем экспертов, готовых выступить на следующие темы:

• Отражение атак (defensive security)
• Защита через нападение (offensive security)
• Разработка
• ИИ в кибербезопасности
• Девайсы и технологии
• Научпоп
• Web3

Приветствуются интересные доклады, посвященные и другим вопросам кибербезопасности.

🤵 Кроме того, вы можете подать заявку на бизнес-трек, где обсудим основополагающие вопросы, например архитектуру защищенного предприятия и результативную кибербезопасность, поговорим о том, что надо знать CISO для успешного общения с топ-менеджерами, как устроен рынок ИБ, и о многом другом.

Наш фестиваль открыт как для признанных профессионалов, так и для начинающих исследователей. Главное — свежий взгляд на проблемы защиты информации и оригинальный подход к их решению.

🔣 Заявки принимаются на нашем сайте до 28 февраля включительно — успейте подать!

@Positive_Technologies
#PHDays

😳 В декабре 2024 года эксперты Positive Technologies отнесли к трендовым четыре уязвимости

Среди них — недостатки безопасности в продуктах Microsoft, плагине Hunk Companion для WordPress CMS, который предназначен для дополнения и расширения функциональности визуальных шаблонов (тем), и во фреймворке для создания веб-приложений Apache Struts.

👾 Пользователи MaxPatrol VM уже в курсе трендовых уязвимостей декабря (информация о них поступает в продукт в течение 12 часов с момента появления). А еще мы ежемесячно делимся дайджестом, чтобы как можно больше организаций было в курсе происходящего и могло защититься от злоумышленников.

Уязвимости Windows, описанные ниже, согласно данным The Verge, потенциально затрагивают около миллиарда устройств, использующих устаревшие версии ОС (например, Windows 10 и 11).

1️⃣ Уязвимость в драйвере ksthunk.sys, связанная с повышением привилегий при помощи переполнения буфера в Windows
CVE-2024-38144 (CVSS — 8,8)

Локальный злоумышленник, запустивший специально разработанное приложение в целевой системе, может получить привилегии уровня SYSTEM (максимальные в операционной системе). Это дает ему полный контроль над системой, позволяя выполнять любые операции, в том числе устанавливать вредоносное ПО, похищать данные и изменять системные параметры.

2️⃣ Уязвимость в драйвере подсистемы журналирования Common Log File System (CLFS), связанная с повышением привилегий при помощи переполнения буфера в Windows
CVE-2024-49138 (CVSS — 7,8)

Эксплуатация уязвимости может позволить злоумышленнику, действующему локально, повысить свои привилегии до уровня SYSTEM и получить полный контроль над операционной системой. Атакующий может устанавливать вредоносное ПО, похищать данные и изменять системные параметры.

3️⃣ Уязвимость, связанная с установкой уязвимых плагинов через плагин Hunk Companion для WordPress CMS
CVE-2024-11972 (CVSS — 9,8)

По данным WordPress, уязвимая версия может быть установлена более чем у 6800 пользователей.

Уязвимость связана с неправильной обработкой привилегий в вызове application programming interface (API), что позволяет злоумышленнику удаленно выполнять неаутентифицированные запросы, которые могут быть использованы для несанкционированной установки устаревших плагинов, содержащих уязвимости. Так злоумышленник может обойти параметры безопасности, изменить записи в базах данных, выполнить вредоносный код или получить несанкционированный доступ с правами администратора к сайту.

4️⃣ Уязвимость, связанная с атакой обхода каталога загружаемых файлов во фреймворке для создания веб-приложений Apache Struts
CVE-2024-53677 (CVSS — 9,5)

По данным Maven Central, уязвимую версию фреймворка установили около 40 000 раз. Для успешной эксплуатации уязвимости злоумышленнику необходимо отправить специально сформированный HTTP-запрос к веб-приложению, работающему на Apache Struts. Этот запрос позволяет преступнику выполнить загрузку произвольного файла на сервер, что может привести к выполнению вредоносного кода на стороне сервера.

В результате все приложения, использующие уязвимые версии фреймворка, окажутся под угрозой массовых атак, потенциальные последствия которых варьируются от потери данных до прекращения функционирования всех сервисов.

⚡️ Как предотвратить эксплуатацию этих уязвимостей — узнайте на нашем сайте.

#втрендеVM
@Positive_Technologies

🔥 Сто компаний проверят возможность реализации недопустимых событий в рамках программ кибериспытаний на Standoff Bug Bounty

С помощью таких программ компании могут подтвердить надежность системы защиты организации и получить объективную оценку уровня этой защиты, выраженную в деньгах. Такой подход помогает понять, как могут действовать реальные злоумышленники, а также выявлять наиболее уязвимые места в ИТ-инфраструктуре и быстро их устранять.

Алексей Новиков, управляющий директор Positive Technologies, отметил:

«Наша цель — дать инструменты, которые помогут оценить защищенность компаний, эффективность трат на ИБ и качественно повысить реальную безопасность. В условиях постоянно растущих рисков формат кибериспытаний становится незаменимым элементом стратегии информационной безопасности для организаций всех отраслей».

Сто компаний запустят свои программы в экспресс-формате в рамках сотрудничества с АО «Кибериспытание», которое выделило грантовый фонд в размере 100 млн рублей для повышения киберустойчивости российских организаций и для развития индустрии белых хакеров. Компании могут получить из фонда 1 млн рублей и потратить его на вознаграждение багхантерам, у которых первыми получится реализовать недопустимые события.

🕺 Такой возможностью уже воспользовались 28 организаций из разных сфер: образования, науки, финансов, медицины, транспорта, информационных технологий и безопасности.

Наталья Воеводина, генеральный директор проекта «Кибериспытание», рассказала:

«Первые 100 компаний, вышедшие на кибериспытания, создают новый стандарт оценки защищенности, где исследователи проверяют не просто уязвимости, а целые цепочки атак, ведущие к критически серьезным последствиям. Запрос на такую оценку приходит не только от директоров по ИБ, но и от „непрофильных“ подразделений бизнеса. В нашем случае ключевым заказчиком исследования стали собственники и руководители компаний, а также департаменты операционных рисков или внутреннего аудита. Это доказывает, что кибербезопасность становится стратегическим приоритетом для развития компаний».

Узнать условия новых программ и попробовать реализовать недопустимые события для организаций можно на Standoff Bug Bounty.

💡 Кибериспытания — важная часть процесса построения результативной кибербезопасности. Например, такие программы с призовым фондом в 60 и 10 млн рублей соответственно есть у Positive Technologies (да, это мы) и Innostage.

@Positive_Technologies

⚡️Обнаружена новая хакерская схема

Подробности — на нашем сайте.

😈 @Positive_Technologies

🎮 Что вы будете делать, если у вас появится свободное время и Xbox 360?

Уверены, что 99,9% ответов будут в духе «поиграю в GTA V». Наши коллеги из Positive Labs от поездок по Лос-Сантосу тоже не откажутся, но сначала разберут исследуют консоль и посмотрят, что в ней можно перепаять и перепрошить.

Казалось бы, все, можно садиться и играть, но сначала нужно написать статью на Хабр о том, как появился RGH3 — самый популярный метод модификации Xbox 360 в наши дни.

В тексте — понятное объяснение того, что такое Reset Glitch Hack (RGH), подробное пошаговое описание принципа работы и результаты тестирования.

Мы восхитились масштабами, но поняли не все. Пойдем зададим пару вопросам коллегам. Вы тоже можете — в комментариях к статье, где уже завязалось оживленное обсуждение.

#PositiveЭксперты
@Positive_Technologies

✋🤚 MaxPatrol SIEM и платформа для безопасного управления средой виртуализации zVirt успешно прошли тестирование на совместимость

❗️ Такая интеграция даст пользователям возможность реализовать работу систем в полностью импортозамещенной виртуальной среде, поскольку оба продукта входят в реестр отечественного ПО.

Платформа zVirt занимает почти 50% рынка реестровой виртуализации в России, она установлена более чем в 430 организациях. Наша статистика показывает, что в возможности использовать MaxPatrol SIEM в виртуальной среде zVirt прежде всего заинтересованы предприятия топливно-энергетического и нефтегазового комплексов, организации государственного, кредитно-финансового секторов и другие компании, относящиеся к критической информационной инфраструктуре.

Проверка проводилась в рамках расширения технологического партнерства с Orion soft. В ходе испытаний специалисты Positive Technologies проверили корректность совместной работы систем. Результаты показали, что производительность продукта MaxPatrol SIEM, развернутого на платформе zVirt, сопоставима с производительностью решения в иностранных средах виртуализации, поддержку которых мы реализовали ранее.

«Мы добавили возможность установки и быстрого старта работы MaxPatrol SIEM в виртуальных инфраструктурах в ответ на острую потребность клиентов, начав с самой популярной системы на российском рынке — zVirt. Объединенное решение Positive Technologies и Orion soft позволит компаниям оптимизировать расходы на оборудование за счет использования виртуальных вычислительных ресурсов», — отмечает Иван Прохоров, руководитель продукта MaxPatrol SIEM, Positive Technologies.

🧬 Сейчас мы проводим тестирования на совместимость MaxPatrol SIEM с другими отечественными средствами виртуализации.

#MaxPatrolSIEM
@Positive_Technologies

😈 Разгрузим пентестеров уже 27 февраля

Много лет эксперты Positive Technologies помогают компаниям проверять защищенность и находить слабые места в системах безопасности.

Мы решили объединить экспертизу PT Expert Security Center (PT ESC) и опыт пентестов, чтобы создать PT Dephaze — инструмент для автоматической проверки возможности захвата критичных систем.

Продукт заберет на себя рутину 😮‍💨 в пентестах и освободит руки специалистов на более креативные задачи 👍

Регистрация на онлайн-запуск уже открыта на нашем сайте.

Обещаем обойтись без скучных обзоров продукта — мы расскажем о том, что вы действительно хотите знать.

А еще пригласим в прямой эфир белого хакера, который будет комментировать все действия PT Dephaze с точки зрения проникновения в инфраструктуру и расскажет, как бы на его месте действовал пентестер.

Ждем вас 27 февраля в 14:00! 👽

#PTDephaze
@Positive_Technologies