Что в топе у топовых экспертов Positive Technologies
Наши ребята поделились своими «вершинами чартов», как в кибербезопасности, так и в обычной жизни, с корреспондентами Positive Research.
1️⃣ Например, в первой статье вы можете прочитать о самых актуальных трендах в ИБ и в международном сотрудничестве.
2️⃣ Во второй — найдете информацию о трендах в защите почты и в фишинговых атаках.
3️⃣ А в третьей наши эксперты расскажут не только про критические уязвимости и ошибки при обучении ИБ, но и про свои любимые кальянные сочетания и кибербезопасные коктейли.
Кто-то скажет «сборная солянка», а мы ответим: «повод посмотреть на нашу команду с разных сторон».
Читайте и делитесь в комментариях, в чем вы согласны с авторами, а в чем нет.Мы точно знаем, что почти все они читают этот канал и увидят вашу точку зрения.
#PositiveЭксперты #PositiveResearch
@Positive_Technologies
Наши ребята поделились своими «вершинами чартов», как в кибербезопасности, так и в обычной жизни, с корреспондентами Positive Research.
1️⃣ Например, в первой статье вы можете прочитать о самых актуальных трендах в ИБ и в международном сотрудничестве.
2️⃣ Во второй — найдете информацию о трендах в защите почты и в фишинговых атаках.
3️⃣ А в третьей наши эксперты расскажут не только про критические уязвимости и ошибки при обучении ИБ, но и про свои любимые кальянные сочетания и кибербезопасные коктейли.
Кто-то скажет «сборная солянка», а мы ответим: «повод посмотреть на нашу команду с разных сторон».
Читайте и делитесь в комментариях, в чем вы согласны с авторами, а в чем нет.
#PositiveЭксперты #PositiveResearch
@Positive_Technologies
❤🔥11👍8👏6❤3⚡1
Уже не первый год промышленность стабильно входит в тройку самых атакуемых отраслей по всему миру. Недостаточная защита от вредоносов, не найденные вовремя уязвимости и отсутствие мониторинга отдельных объектов инфраструктуры — основные риски, «благодаря» которым кибератака может оказаться успешной.
Фичи, которые появились в обновленном PT ISIM, позволяют системно работать с этими рисками, минимизировать опасность и смело говорить хакерам «ты не пройдешь»🧙♂️
На вебинаре 19 февраля в 14:00 поделимся подробностями и научим пользоваться новыми возможностями продукта, среди которых:
Все покажем, расскажем и ответим на ваши вопросы. Регистрируйтесь заранее и присоединяйтесь!
#PTISIM
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤14❤🔥7🔥5
Forwarded from ESCalator
UnsolicitedBooker: этот непрошеный боксер с 1 репорта ляжет 🥊
Осенью 2025 года команда Threat Intelligence экспертного центра кибербезопасности Positive Technologies обнаружила атаки на телекоммуникационные компании Кыргызстана. Злоумышленники рассылали тематические фишинговые письма, которые содержали вредоносные документы с макросом. Уже на этом этапе внимание привлекло использование необычных инструментов китайского происхождения в самих документах.
В качестве вредоносного ПО атакующие использовали два бэкдора. Первый — MarsSnake — ранее упоминался лишь в квартальном отчете ESET. Второй — LuciDoor, который мы назвали так из-за необычной особенности настройки шрифта Lucida Console 11x18 для корректного отображения текста в терминале.
👋 В 2026 году злоумышленники снова объявились, но в этот раз с атаками на телекоммуникационные компании Таджикистана. Саму активность мы атрибутируем восточноазиатской группировке UnsolicitedBooker. Ранее, по наблюдениям исследователей, группировка атаковала Саудовскую Аравию.
В нашей статье мы подробно рассказали об обнаруженных атаках, полностью разобрали функционал LuciDoor и MarsSnake и показали, какой общий инструмент используют UnsolicitedBooker и Mustang Panda🐼
#TI #APT #Malware
@ptescalator
💬 X 💬 Max
Осенью 2025 года команда Threat Intelligence экспертного центра кибербезопасности Positive Technologies обнаружила атаки на телекоммуникационные компании Кыргызстана. Злоумышленники рассылали тематические фишинговые письма, которые содержали вредоносные документы с макросом. Уже на этом этапе внимание привлекло использование необычных инструментов китайского происхождения в самих документах.
В качестве вредоносного ПО атакующие использовали два бэкдора. Первый — MarsSnake — ранее упоминался лишь в квартальном отчете ESET. Второй — LuciDoor, который мы назвали так из-за необычной особенности настройки шрифта Lucida Console 11x18 для корректного отображения текста в терминале.
В нашей статье мы подробно рассказали об обнаруженных атаках, полностью разобрали функционал LuciDoor и MarsSnake и показали, какой общий инструмент используют UnsolicitedBooker и Mustang Panda
#TI #APT #Malware
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16🤯8🐳7👏5
⚡️ Сегодня на Уральском форуме «Кибербезопасность в финансах» наш стенд посетила глава ЦБ Эльвира Набиуллина
Эксперты Позитива рассказали о трендах кибератак в финансовой отрасли (кстати, наше совместное исследование с Ассоциацией ФинТех можно посмотреть на сайте), а также показали технологии для защиты, в том числе PT NGFW.
Ыыыффф!😎
@Positive_Technologies
Эксперты Позитива рассказали о трендах кибератак в финансовой отрасли (кстати, наше совместное исследование с Ассоциацией ФинТех можно посмотреть на сайте), а также показали технологии для защиты, в том числе PT NGFW.
Ыыыффф!
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤53🔥47👍11😁5👏4
Смарт-контракты можно взломать — поэтому их защищенность важно проверять 🪙
К нам обратилась компания «ШАРД» с задачей проверить безопасность их блокчейн-платформы «Пульсар». Через нее бизнес может хранить корпоративную криптовалюту и управлять ей — поэтому любая ошибка безопасности здесь может дорого стоить.
❕ В криптосфере рисков больше, чем кажется (и не только когда BTC резко падает) . Здесь сочетаются классические IT-угрозы и специфические риски блокчейн-технологий.
Большинство атак на системы распределенных реестров происходят не на уровне базовой технологии, а в точках ее применения: смарт-контрактах, бизнес-логике, интеграциях и интерфейсах взаимодействия с пользователями. Смарт-контракты — алгоритмы, автоматически управляющие сделками по условиям договора, — становятся мишенью через ошибки в бизнес-логике или некорректную генерацию случайных чисел. Такие атаки требуют высокой квалификации, однако по мере развития индустрии интерес злоумышленников к ним будет только расти.
Тема сейчас особенно актуальна: в прошлом году Банк России представил концепцию регулирования цифровых активов и направил усилия на создание безопасной и контролируемой экосистемы. В ее основе — надежные платформы для хранения и управления криптовалютой, которые защищают активы так же эффективно, как обычные банки. Одно из таких решений — «Пульсар», которое в будущем претендует на статус лицензированного цифрового депозитария.
🕵️♂️ Наши эксперты провели всесторонний анализ: проверили блокчейн-платформу и самый критичный ее элемент — основной смарт-контракт. Он гарантирует: операции с активами проходят только после коллективного подтверждения, и никто не сможет перевести деньги единолично.
Путем исследования критических сценариев и моделирования сложных кибератак специалисты проверили устойчивость этого процесса, а также то, как система обрабатывает транзакции при смене правил и защищается от несанкционированного изменения критически важных параметров. Цель — предотвратить две главные угрозы: исполнение транзакций без согласования и скрытый перехват контроля над системой.
💪 Результаты анализа помогли командам разработки и кибербезопасности платформы сосредоточиться на исправлении реально опасных уязвимостей — тех, что могли бы привести к финансовым или репутационным потерям. Компания планирует проводить такие проверки не реже одного раза в год. В следующем цикле проверка расширится за счет мобильного приложения и функциональности для международных платежей.
О совместном проекте мы рассказали сегодня на уральском форуме «Кибербезопасность в финансах», где также подписали соглашение о сотрудничестве 🤝
@Positive_Technologies
К нам обратилась компания «ШАРД» с задачей проверить безопасность их блокчейн-платформы «Пульсар». Через нее бизнес может хранить корпоративную криптовалюту и управлять ей — поэтому любая ошибка безопасности здесь может дорого стоить.
Большинство атак на системы распределенных реестров происходят не на уровне базовой технологии, а в точках ее применения: смарт-контрактах, бизнес-логике, интеграциях и интерфейсах взаимодействия с пользователями. Смарт-контракты — алгоритмы, автоматически управляющие сделками по условиям договора, — становятся мишенью через ошибки в бизнес-логике или некорректную генерацию случайных чисел. Такие атаки требуют высокой квалификации, однако по мере развития индустрии интерес злоумышленников к ним будет только расти.
Тема сейчас особенно актуальна: в прошлом году Банк России представил концепцию регулирования цифровых активов и направил усилия на создание безопасной и контролируемой экосистемы. В ее основе — надежные платформы для хранения и управления криптовалютой, которые защищают активы так же эффективно, как обычные банки. Одно из таких решений — «Пульсар», которое в будущем претендует на статус лицензированного цифрового депозитария.
🕵️♂️ Наши эксперты провели всесторонний анализ: проверили блокчейн-платформу и самый критичный ее элемент — основной смарт-контракт. Он гарантирует: операции с активами проходят только после коллективного подтверждения, и никто не сможет перевести деньги единолично.
Путем исследования критических сценариев и моделирования сложных кибератак специалисты проверили устойчивость этого процесса, а также то, как система обрабатывает транзакции при смене правил и защищается от несанкционированного изменения критически важных параметров. Цель — предотвратить две главные угрозы: исполнение транзакций без согласования и скрытый перехват контроля над системой.
О совместном проекте мы рассказали сегодня на уральском форуме «Кибербезопасность в финансах», где также подписали соглашение о сотрудничестве 🤝
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16👏8❤4👍4🤯2
🥇 Взяли золото: МТС Банк выбрал MaxPatrol SIEM из трех российских решений
В 2024 году МТС Банк решил отказаться от зарубежной SIEM-системы и найти отечественную альтернативу с современными технологиями. Протестировали три решения — устроили пилотные испытания — и в итоге выбрали MaxPatrol SIEM для полномасштабного внедрения 💪
У МТС Банка собственный SOC — команда из 20+ аналитиков, которые круглосуточно следят за безопасностью всей инфраструктуры компании. Они выявляют аномалии и предотвращают попытки кибератак, используя разные средства защиты. SIEM для них — один из ключевых инструментов в работе.
Команде было важно, чтобы система имела простой и понятный интерфейс, легко масштабировалась, быстро подключала новые источники и давала полный контроль над сбором событий ИБ, их нормализацией и корреляцией.
MaxPatrol SIEM идеально подошел под эти требования: он обрабатывает до 500 000 событий в секунду и помогает держать под контролем все — от сайтов и мобильных приложений до всей корпоративной инфраструктуры. Отдельно команда отметила расширенную техническую поддержку, наши наработки по детектированию ранее неизвестных атак, а также возможность вовремя им противодействовать.
🔥 И результат не заставил себя ждать: по итогам 2025 года МТС Банк в три раза повысил эффективность работы своего SOC, в частности благодаря эффективному внедрению отечественных технологических решений, одним из которых стал MaxPatrol SIEM.
Если вдохновились и хотите попробовать сами — оставьте заявку на тест-драйв продукта на нашем сайте.
#MaxPatrolSIEM
@Positive_Technologies
В 2024 году МТС Банк решил отказаться от зарубежной SIEM-системы и найти отечественную альтернативу с современными технологиями. Протестировали три решения — устроили пилотные испытания — и в итоге выбрали MaxPatrol SIEM для полномасштабного внедрения 💪
У МТС Банка собственный SOC — команда из 20+ аналитиков, которые круглосуточно следят за безопасностью всей инфраструктуры компании. Они выявляют аномалии и предотвращают попытки кибератак, используя разные средства защиты. SIEM для них — один из ключевых инструментов в работе.
Команде было важно, чтобы система имела простой и понятный интерфейс, легко масштабировалась, быстро подключала новые источники и давала полный контроль над сбором событий ИБ, их нормализацией и корреляцией.
MaxPatrol SIEM идеально подошел под эти требования: он обрабатывает до 500 000 событий в секунду и помогает держать под контролем все — от сайтов и мобильных приложений до всей корпоративной инфраструктуры. Отдельно команда отметила расширенную техническую поддержку, наши наработки по детектированию ранее неизвестных атак, а также возможность вовремя им противодействовать.
🔥 И результат не заставил себя ждать: по итогам 2025 года МТС Банк в три раза повысил эффективность работы своего SOC, в частности благодаря эффективному внедрению отечественных технологических решений, одним из которых стал MaxPatrol SIEM.
Если вдохновились и хотите попробовать сами — оставьте заявку на тест-драйв продукта на нашем сайте.
#MaxPatrolSIEM
@Positive_Technologies
😁59👍45🔥35🎉16❤11❤🔥7👏7💯6🐳2
Media is too big
VIEW IN TELEGRAM
😨 ДА ЧТО ТАКОЕ ЭТИ ВАШИ НЕДОПУСТИМЫЕ СОБЫТИЯ?!
Спокойно, мы все подробно разобрали и объяснили на примерах фараонов, майя, чумы и Лжедмитриев — в новом видео.
Если здесь не грузится, смотрите в «VK Видео».
@Positive_Technologies
Спокойно, мы все подробно разобрали и объяснили на примерах фараонов, майя, чумы и Лжедмитриев — в новом видео.
Если здесь не грузится, смотрите в «VK Видео».
@Positive_Technologies
🔥38❤33⚡13🤔6👍5💯4🎉3👏2🐳2🤯1
В PT NAD для этого есть плейбуки, где собрана вся нужная экспертиза и алгоритмы проверки для оповещений системы.
О том, как правильно пользоваться этими плейбуками, а также о новых фичах PT NAD 12.4 расскажем на вебинаре 26 февраля в 14:00 (мск).
Команда продукта познакомит вас с шестью самыми коварными алертами, которые могут ввести в заблуждение даже эксперта, научит отличать фолзы от настоящих срабатываний и проводить вайтлистинг.
🍒 Вишенкой на торте станет разбор частых вопросов в техподдержку про сканирование внешнего периметра, алерты на активность вредоносного ПО, срабатывание репутационных списков и модулей ленты активностей.
Регистрируйтесь и приходите нас послушать, если хотите справляться с алертами
#PTNAD
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤10👍7🔥5🎉3
Как завод «Солид» перестал бояться вредоносных писем 📨
Прочный фундамент держит здание, надежная песочница — корпоративную почту, останавливая вредоносное ПО и сложные угрозы до того, как они проникнут в сеть компании.
Для торгово-промышленной группы «Солид», крупнейшего российского производителя отделочных материалов из полистирола и пенополистирола, это не просто метафора. Здесь работают 500 специалистов, а бизнес-процессы группы зависят от бесперебойной работы ключевых ИТ-систем и сервисов: «1С», CRM, корпоративной почты, файловых хранилищ и сервисов доступа. Любая их остановка из-за кибератаки грозит простоями и серьезными денежными потерями.
Долгое время корпоративная почта оставалась уязвимой: подозрительные вложения проверялись вручную по запросу пользователей. Это было долго и рискованно — письмо с шифровальщиком могло пройти незамеченным. Дополнительно риски усиливались требованиями закона № 152-ФЗ и рекомендациями ФСТЭК. Успешная атака могла обернуться штрафами и репутационными потерями.
Чтобы автоматизировать процесс анализа входящих писем, группа искала российское решение и обратила внимание на PT Sandbox 👀
Во время пилотного проекта система проверила около 40 тысяч объектов: входящие письма и файлы из хранилищ. Наиболее частые находки — загрузчики, трояны, вспомогательные инструменты для установки вредоносов, стилеры, эксплойты и потенциально нежелательные программы.
По итогам испытаний PT Sandbox была успешно внедрена в ИТ-инфраструктуру группы «Солид». Песочница работает в режиме мониторинга и реагирования — выявляет подозрительные письма, блокирует их и сообщает об этом администратору. PT Sandbox помогла повысить киберустойчивость завода и стала критически важным звеном в системе ИБ группы.
[👾 👾 👾 ]🔫 ⌛️
#PTSandbox
@Positive_Technologies
Прочный фундамент держит здание, надежная песочница — корпоративную почту, останавливая вредоносное ПО и сложные угрозы до того, как они проникнут в сеть компании.
Для торгово-промышленной группы «Солид», крупнейшего российского производителя отделочных материалов из полистирола и пенополистирола, это не просто метафора. Здесь работают 500 специалистов, а бизнес-процессы группы зависят от бесперебойной работы ключевых ИТ-систем и сервисов: «1С», CRM, корпоративной почты, файловых хранилищ и сервисов доступа. Любая их остановка из-за кибератаки грозит простоями и серьезными денежными потерями.
Долгое время корпоративная почта оставалась уязвимой: подозрительные вложения проверялись вручную по запросу пользователей. Это было долго и рискованно — письмо с шифровальщиком могло пройти незамеченным. Дополнительно риски усиливались требованиями закона № 152-ФЗ и рекомендациями ФСТЭК. Успешная атака могла обернуться штрафами и репутационными потерями.
Чтобы автоматизировать процесс анализа входящих писем, группа искала российское решение и обратила внимание на PT Sandbox 👀
Во время пилотного проекта система проверила около 40 тысяч объектов: входящие письма и файлы из хранилищ. Наиболее частые находки — загрузчики, трояны, вспомогательные инструменты для установки вредоносов, стилеры, эксплойты и потенциально нежелательные программы.
По итогам испытаний PT Sandbox была успешно внедрена в ИТ-инфраструктуру группы «Солид». Песочница работает в режиме мониторинга и реагирования — выявляет подозрительные письма, блокирует их и сообщает об этом администратору. PT Sandbox помогла повысить киберустойчивость завода и стала критически важным звеном в системе ИБ группы.
[
#PTSandbox
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥28❤15👏13👍1😁1🤔1
Знакомьтесь, PT NGFW 3050 — наш межсетевой экран нового поколения для крупных, очень крупных и даже гигантских дата-центров.
Мы сделали его по запросу тех, кто хотел получить производительное и надежное решение без выстраивания сложной многокомпонентной архитектуры. Всего два PT NGFW 3050 способны создать производительный, надежный и отказоустойчивый кластер active–standby.
Модель обрабатывает трафик со скоростью до 400 Гбит/с в режиме L4 firewall с контролем приложений, а с включенной системой предотвращения вторжений (IPS) — до 100 Гбит/с. PT NGFW 3050 поддерживает до 40 млн соединений одновременно и обрабатывает 3 млн новых сессий в секунду.
Не будет никаких скучных презентаций, только инженерный хардкор.
🤟 Вскроем архитектуру, чтобы показать, за счет чего сохраняются устойчивость (elephant flows) и скорость (UDP 64b).
🤟 В прямом эфире разгоним 3050 до экстремального максимума в 100 Гбит/с.
🤟 Покажем новую долгожданную функцию remote access VPN и проведем обзор ключевых возможностей свежих релизов 1.10 и 1.11.
🤟 Поделимся кулстори: расскажем, зачем при разработке платформы был нужен 3D-принтер.
Вот вам ссылка для регистрации, что делать дальше, вы знаете. Увидимся в марте 😉
#PTNGFW
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥35⚡11❤6😁3🥰2🤨2👍1👏1
А мы предупреждали 😐
Специалисты департамента киберразведки PT ESC зафиксировали первую фишинговую атаку с использованием уязвимости CVE-2026-21509 (PT-2026-4775) в Microsoft Office, направленную на российские организации.
1️⃣ В феврале злоумышленники отправили фишинговые письма, содержащие файлы формата RTF, российским организациям. Письма были оформлены под служебную переписку.
2️⃣ Внутри документов находился OLE-объект с встроенным компонентом для отображения веб-страниц и работы с браузерными движками внутри программ. OLE — это технология Microsoft, позволяющая внедрять или связывать данные из одного приложения в другое.
3️⃣ Пользователи открывали вложение через Microsoft Office, а уязвимость позволяла обходить встроенную защиту софта при обработке OLE-компонентов.
Наши эксперты отнесли эту уязвимость к трендовой еще в январе, первая фишинговая атака на российские организации с ее использованием была зафиксирована 25 февраля. Для устранения уязвимости необходимо обновить Microsoft Office.
Если оперативное обновление невозможно — временные меры и подробности фишинговой кампании ищите в канале ESCalator.
@Positive_Technologies
Специалисты департамента киберразведки PT ESC зафиксировали первую фишинговую атаку с использованием уязвимости CVE-2026-21509 (PT-2026-4775) в Microsoft Office, направленную на российские организации.
1️⃣ В феврале злоумышленники отправили фишинговые письма, содержащие файлы формата RTF, российским организациям. Письма были оформлены под служебную переписку.
2️⃣ Внутри документов находился OLE-объект с встроенным компонентом для отображения веб-страниц и работы с браузерными движками внутри программ. OLE — это технология Microsoft, позволяющая внедрять или связывать данные из одного приложения в другое.
3️⃣ Пользователи открывали вложение через Microsoft Office, а уязвимость позволяла обходить встроенную защиту софта при обработке OLE-компонентов.
Наши эксперты отнесли эту уязвимость к трендовой еще в январе, первая фишинговая атака на российские организации с ее использованием была зафиксирована 25 февраля. Для устранения уязвимости необходимо обновить Microsoft Office.
Если оперативное обновление невозможно — временные меры и подробности фишинговой кампании ищите в канале ESCalator.
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
Positive Technologies
Уже обновили Windows? Самое время обновить и Office 🔄
Microsoft выпустила экстренные обновления для устранения опасной уязвимости PT-2026-4775 (CVE-2026-21509, оценка 7,8 по CVSS 3.1). Она позволяет обойти механизм безопасности Object Linking and Embedding…
Microsoft выпустила экстренные обновления для устранения опасной уязвимости PT-2026-4775 (CVE-2026-21509, оценка 7,8 по CVSS 3.1). Она позволяет обойти механизм безопасности Object Linking and Embedding…
🔥23❤9🤯4👍1🐳1
This media is not supported in your browser
VIEW IN TELEGRAM
Это краткий пересказ реакций зрителей на наш фильм о реверс-инжиниринге.
Он уже доступен для бесплатного просмотра в онлайн-кинотеатре PREMIER, в «Иви» и на Rutube
Его премьера прошла накануне в Кибердоме. Первыми на просмотр мы позвали ребят из индустрии, журналистов и блогеров. Как видите, им понравилась документалка, в которой исследователи, ученые и сами реверсеры очень интересно, с большим уважением и любовью рассказывают об истории и развитии профессии, ее настоящем и будущем.
Уверены, что интересно будет всем: каждый из нас немного реверс-инженер. Не верите? Тогда вспомните, как в детстве разбирали игрушки, чтобы понять, как они устроены. Или начинали пользоваться техникой, даже не открыв инструкцию.
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥60👍29❤23❤🔥6🥰2😁1🤯1🐳1
⚡ Более 21 тысячи устройств с установленной XWiki — под угрозой
Эксперты PT SWARM Алексей Соловьев и Евгений Копытин обнаружили и помогли устранить три уязвимости в open-source-платформе XWiki, которую компании используют для создания корпоративных вики-сайтов. При успешной эксплуатации недостатков злоумышленник мог похитить данные сотрудников или нарушить доступность ресурса.
🌎 По данным наших экспертов, потенциально по всему миру уязвимы более 21 тысячи устройств с XWiki. Больше всего таких устройств — в Германии, США, Франции, Гонконге и России. Чтобы оставаться защищенными, необходимо как можно скорее обновить XWiki до последних версий (17.3.0-rc-1, 16.10.6, 16.4.8).
Делимся подробностями.
1️⃣ PT-2025-30704: риск отказа в обслуживании
Эксплуатация уязвимости могла привести к сбою в работе XWiki. Это обернулось бы остановкой процессов, зависящих от платформы, и возможной негативной реакцией со стороны клиентов и партнеров. Восстановление доступа к размещенной информации потребовало бы дополнительных ресурсов.
Проблема заключалась в том, что при получении специального HTTP-запроса от лица неаутентифицированного пользователя платформа некорректно очищала входные данные. Это позволяло злоумышленнику внедрить SQL-инъекцию (HQL-инъекцию) — то есть изменить логику запроса к базе данных и заставить ее выполнять дополнительные команды.
При этом уязвимость нельзя назвать стандартной, так как возможности ее использования были ограничены особенностями работы XWiki. Злоумышленник мог бы использовать недостаток для перегрузки системы — например, отправить большое количество запросов с командой sleep к базе данных. Это могло привести к отказу в обслуживании и к недоступности ресурса
2️⃣ PT-2025-31942: повышение привилегий и выполнение административных действий
Ошибки позволяли провести социотехническую атаку, при которой злоумышленник манипулировал действиями пользователя, чтобы выполнить операции от имени администратора.
Для эксплуатации требовалось, чтобы пользователь перешел по специальной ссылке. После этого в его браузере выполнялся вредоносный JavaScript-код (атака типа XSS). Если жертвой становился обычный пользователь, злоумышленник мог повысить свои привилегии в XWiki. Если же по ссылке переходил администратор, атакующий получал возможность читать и изменять конфиденциальные данные.
Злоумышленник также мог выполнить произвольный код на сервере, что позволило бы ему, например, заменить адреса корпоративных страниц ссылками на фишинговые ресурсы и похитить учетные записи сотрудников. Если бы сервер с XWiki находился в локальной сети организации, то нарушитель мог бы развить атаку на других устройствах.
#PTSWARM
@Positive_Technologies
Эксперты PT SWARM Алексей Соловьев и Евгений Копытин обнаружили и помогли устранить три уязвимости в open-source-платформе XWiki, которую компании используют для создания корпоративных вики-сайтов. При успешной эксплуатации недостатков злоумышленник мог похитить данные сотрудников или нарушить доступность ресурса.
Уязвимость PT-2025-30704 (CVE-2025-32429, BDU:2025-09129) получила 9,3 балла из 10 по шкале CVSS 4.0 — это критический уровень опасности. Два других недостатка объединены идентификатором PT-2025-31942 (CVE-2025-32430, BDU:2025-06941) и оценены в 6,5 балла.
🌎 По данным наших экспертов, потенциально по всему миру уязвимы более 21 тысячи устройств с XWiki. Больше всего таких устройств — в Германии, США, Франции, Гонконге и России. Чтобы оставаться защищенными, необходимо как можно скорее обновить XWiki до последних версий (17.3.0-rc-1, 16.10.6, 16.4.8).
Делимся подробностями.
1️⃣ PT-2025-30704: риск отказа в обслуживании
Эксплуатация уязвимости могла привести к сбою в работе XWiki. Это обернулось бы остановкой процессов, зависящих от платформы, и возможной негативной реакцией со стороны клиентов и партнеров. Восстановление доступа к размещенной информации потребовало бы дополнительных ресурсов.
Проблема заключалась в том, что при получении специального HTTP-запроса от лица неаутентифицированного пользователя платформа некорректно очищала входные данные. Это позволяло злоумышленнику внедрить SQL-инъекцию (HQL-инъекцию) — то есть изменить логику запроса к базе данных и заставить ее выполнять дополнительные команды.
При этом уязвимость нельзя назвать стандартной, так как возможности ее использования были ограничены особенностями работы XWiki. Злоумышленник мог бы использовать недостаток для перегрузки системы — например, отправить большое количество запросов с командой sleep к базе данных. Это могло привести к отказу в обслуживании и к недоступности ресурса
2️⃣ PT-2025-31942: повышение привилегий и выполнение административных действий
Ошибки позволяли провести социотехническую атаку, при которой злоумышленник манипулировал действиями пользователя, чтобы выполнить операции от имени администратора.
Для эксплуатации требовалось, чтобы пользователь перешел по специальной ссылке. После этого в его браузере выполнялся вредоносный JavaScript-код (атака типа XSS). Если жертвой становился обычный пользователь, злоумышленник мог повысить свои привилегии в XWiki. Если же по ссылке переходил администратор, атакующий получал возможность читать и изменять конфиденциальные данные.
Злоумышленник также мог выполнить произвольный код на сервере, что позволило бы ему, например, заменить адреса корпоративных страниц ссылками на фишинговые ресурсы и похитить учетные записи сотрудников. Если бы сервер с XWiki находился в локальной сети организации, то нарушитель мог бы развить атаку на других устройствах.
#PTSWARM
@Positive_Technologies
🔥18👍6🐳4🎉1
Forwarded from Positive Hack Days Media
This media is not supported in your browser
VIEW IN TELEGRAM
Неделя реверс-инжиниринга в Кибердоме — В С Ё
Девять показов. Сотни первых зрителей. Десятки часов обсуждений фильма с разными ребятами: от профи до тех, кто знал реверс только как заднюю передачу в авто.
Как это было — смотрите на видосе. И спасибо всем, кто пришел🙏
Для научпоп-фильма «Как получить доступ ко всему: реверс-инжиниринг» это только начало.
Смотрите его бесплатно в PREMIER, «Иви» и на Rutube.
Будем ждать ваши отзывы!
@PHDays
Девять показов. Сотни первых зрителей. Десятки часов обсуждений фильма с разными ребятами: от профи до тех, кто знал реверс только как заднюю передачу в авто.
Как это было — смотрите на видосе. И спасибо всем, кто пришел
Для научпоп-фильма «Как получить доступ ко всему: реверс-инжиниринг» это только начало.
Смотрите его бесплатно в PREMIER, «Иви» и на Rutube.
Будем ждать ваши отзывы!
@PHDays
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥40❤🔥18👏11❤5🐳4👍1😁1🤨1
Forwarded from ESCalator
Держим руку на Pulse: кибератаки группировки Mythic Likho на КИИ России 🔮
Департамент Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC) провел исследование кибератак Mythic Likho на критическую инфраструктуру России, объединив данные киберразведки, результаты расследований инцидентов и публично вскрытые следы активности группировки.
Цель исследования — сформировать в индустрии исчерпывающее понимание тактик, техник и средств нападения группировки.
Ключевые характеристики кибератак Mythic Likho:
📨 Использование взломанных сайтов и электронной почты российских учреждений и организаций для хранения и доставки вредоносных инструментов.
🧛🏾♂️ Сопровождение кибератак продуманной социальной инженерией: мимикрия под скомпрометированные организации и их сотрудников, переписка с жертвами по заранее проработанной легенде.
🧬 Внушительный арсенал постоянно эволюционирующих инструментов собственной разработки: загрузчики HuLoader и ReflectPulse, бэкдор Loki.
🤛🏼 Коллаборация с группировкой (Ex)Cobalt.
Подробнее — в нашем блоге 📖
#TI #APT #Malware
@ptescalator
Департамент Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC) провел исследование кибератак Mythic Likho на критическую инфраструктуру России, объединив данные киберразведки, результаты расследований инцидентов и публично вскрытые следы активности группировки.
Цель исследования — сформировать в индустрии исчерпывающее понимание тактик, техник и средств нападения группировки.
Ключевые характеристики кибератак Mythic Likho:
🧛🏾♂️ Сопровождение кибератак продуманной социальной инженерией: мимикрия под скомпрометированные организации и их сотрудников, переписка с жертвами по заранее проработанной легенде.
🧬 Внушительный арсенал постоянно эволюционирующих инструментов собственной разработки: загрузчики HuLoader и ReflectPulse, бэкдор Loki.
Подробнее — в нашем блоге 📖
#TI #APT #Malware
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥17❤🔥9❤5👏4🐳3
Весенние практикумы от Positive Education 👩🎓👨🎓
Есть два типа кибербезопасников — те, кто уже встретился с атакой, и те, кому это еще только предстоит. И даже если вы отбились от хакеров, это не значит, что следующий инцидент не застанет врасплох.
Угрозы меняются, инфраструктура усложняется, а инструменты атакующих эволюционируют быстрее, чем успевают обновляться ваши регламенты ИБ. В таких условиях одной теории мало — нужна практика на реальных кейсах.
Именно для этого наш центр обучения команд по кибербезопасности запускает новые потоки практикумов для инженеров и руководителей. Вас ждут разборы реальных атак, расследования, архитектурные решения — вместе с экспертами Positive Technologies и заданиями, максимально приближенными к настоящим задачам команд ИБ.
📅 Ближайшие потоки
10 марта — «Мониторинг и реагирование на инциденты»
Для аналитиков SOC и инженеров ИБ. Разбираем реальные сценарии атак — от детекта до закрытия инцидента.
16 марта — «Архитектура сетевой безопасности предприятия»
Для сетевых архитекторов и senior-инженеров. Проектируем защиту, которая выдержит реальную нагрузку.
23 марта — «Безопасность приложений: практикум для инженеров»
Для AppSec-инженеров и разработчиков с опытом. Учимся находить и закрывать уязвимости до того, как это сделают другие.
6 апреля — «Построение SOC 2.0: от концепции до реализации»
Для CISO и руководителей ИБ. Строим SOC, который закрывает реальные задачи компании.
20 апреля — «Предотвращение атак на АСУ ТП»
Для специалистов по промышленной безопасности. Разбираем векторы атак и методы защиты производственных систем.
Посмотреть программу и выбрать поток можно на сайте Positive Education.
Атака — вопрос времени. Готовность к ней — результат практики😏
#PositiveEducation
@Positive_Technologies
Есть два типа кибербезопасников — те, кто уже встретился с атакой, и те, кому это еще только предстоит. И даже если вы отбились от хакеров, это не значит, что следующий инцидент не застанет врасплох.
Угрозы меняются, инфраструктура усложняется, а инструменты атакующих эволюционируют быстрее, чем успевают обновляться ваши регламенты ИБ. В таких условиях одной теории мало — нужна практика на реальных кейсах.
Именно для этого наш центр обучения команд по кибербезопасности запускает новые потоки практикумов для инженеров и руководителей. Вас ждут разборы реальных атак, расследования, архитектурные решения — вместе с экспертами Positive Technologies и заданиями, максимально приближенными к настоящим задачам команд ИБ.
10 марта — «Мониторинг и реагирование на инциденты»
Для аналитиков SOC и инженеров ИБ. Разбираем реальные сценарии атак — от детекта до закрытия инцидента.
16 марта — «Архитектура сетевой безопасности предприятия»
Для сетевых архитекторов и senior-инженеров. Проектируем защиту, которая выдержит реальную нагрузку.
23 марта — «Безопасность приложений: практикум для инженеров»
Для AppSec-инженеров и разработчиков с опытом. Учимся находить и закрывать уязвимости до того, как это сделают другие.
6 апреля — «Построение SOC 2.0: от концепции до реализации»
Для CISO и руководителей ИБ. Строим SOC, который закрывает реальные задачи компании.
20 апреля — «Предотвращение атак на АСУ ТП»
Для специалистов по промышленной безопасности. Разбираем векторы атак и методы защиты производственных систем.
Посмотреть программу и выбрать поток можно на сайте Positive Education.
Атака — вопрос времени. Готовность к ней — результат практики
#PositiveEducation
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥13👍6🤩4👏1👌1
Всем привет!
Следующий Positive Hack Days Fest пройдет в 2027 году, в этом году киберфестиваля не будет.
Почему мы приняли такое решение
Каждый новый PHDays — это вызов для всей нашей команды: сделать его круче, чем он был годом ранее.
Этот PHDays должен был стать 15-м по счету — юбилейным, и поэтому он особенно важен для нас.
Во время подготовки возникли сложности с местом его проведения — в связи с реконструкцией «Лужников» и всех крупных парков, которые могли бы нас принять. Это не позволило бы нам построить все те тематические зоны и полноценно воплотить идеи, которые мы для вас подготовили.
Мы изучили все возможности, но поняли, что в этих условиях сделать великолепно не получится, а на меньшее мы не готовы. Поэтому мы решили взять перерыв и провести юбилейный PHDays в 2027 году — на новой площадке, независимо от внешних факторов. И сделать его таким, каким мы и задумываем.
Спасибо за понимание, ваша команда @PHDays.
@Positive_Technologies
Следующий Positive Hack Days Fest пройдет в 2027 году, в этом году киберфестиваля не будет.
Почему мы приняли такое решение
Каждый новый PHDays — это вызов для всей нашей команды: сделать его круче, чем он был годом ранее.
Этот PHDays должен был стать 15-м по счету — юбилейным, и поэтому он особенно важен для нас.
Во время подготовки возникли сложности с местом его проведения — в связи с реконструкцией «Лужников» и всех крупных парков, которые могли бы нас принять. Это не позволило бы нам построить все те тематические зоны и полноценно воплотить идеи, которые мы для вас подготовили.
Мы изучили все возможности, но поняли, что в этих условиях сделать великолепно не получится, а на меньшее мы не готовы. Поэтому мы решили взять перерыв и провести юбилейный PHDays в 2027 году — на новой площадке, независимо от внешних факторов. И сделать его таким, каким мы и задумываем.
Спасибо за понимание, ваша команда @PHDays.
@Positive_Technologies
🤯138❤49🤨15❤🔥13🤔13😁9🐳9👏5🎉5🥰2👌2