🌕 «Давайте сверимся»: как Fluffy Wolf использует акты сверки в атаках

Команда BI.ZONE Threat Intelligence обнаружила ранее неизвестный кластер, активный как минимум с 2022 года.

Группировка Fluffy Wolf действует просто, но эффективно: фишинговая рассылка для первоначального доступа, а в ней — исполняемый файл. Так в скомпрометированную систему попадают инструменты злоумышленников, например легитимное средство Remote Utilities, стилер Meta Stealer, WarZone RAT или майнер XMRig.

С их помощью атакующие получают удаленный доступ, крадут учетные данные или используют ресурсы взломанной инфраструктуры для майнинга.

Подробнее читайте в нашем новом исследовании.

😆 Митап? Не митап. Или все же митап? Запускаем BUGS ZONE!

Раньше наша команда проводила встречи «Клуба неанонимных багхантеров». А последний раз мы с вами собирались в офлайне аж летом, на OFFZONE 2023. Пора двигаться дальше!

Представляем вам BUGS ZONE. Это две недели хардкорного багхантинга и закрытый митап в Москве с ограниченным количеством мест. Нескольким счастливчикам уже отправились инвайты, а остальные могут побороться за приглашение: рейтинг при отборе учитываться не будет.

Вот какие этапы вас ждут:

🔵Первый этап (1–17 марта). Исследуйте любую из 58 публичных программ на BI.ZONE Bug Bounty и сдавайте баги, как обычно.

🔵Второй этап (18–28 марта). Отдохните, а мы возьмем время на триаж и подсчитаем очки за сданные отчеты.

🔵Третий этап (29 марта — 12 апреля). 15 лучших багхантеров получат приглашение на ивент и доступ к новому закрытому скоупу. Найти там баги не каждому по зубам, зато и баунти соответствующее!

🔵Очный митап (12 апреля). Лофт в Москве, личное общение, ламповая атмосфера, баунти, доклады и, конечно же, награждение лучших.

Будет жарко, не пропустите!

🥝 Как защищать веб-приложения, когда правила безопасности устаревают за считаные недели

По данным команды BI.ZONE WAF, в 2023 году не было месяца, когда специалистам не требовалось бы обновлять правила защиты из-за очередной критической уязвимости в популярных сервисах вроде «Битрикс24» или Confluence.

На этом фоне растет волна DDoS-атак на прикладной уровень (L7), которые становятся все более подготовленными. По данным Qrator Labs, за 4-й квартал 2023 года объем таких инцидентов вырос на 20%.

В таких условиях оптимальный подход к безопасности — это использовать комплекс из нескольких взаимодополняющих решений. Как правильно его выстроить и не допустить частых ошибок, мы расскажем в следующую среду, 6 марта, на бесплатном вебинаре по эшелонированной веб-защите.

Узнать подробности и зарегистрироваться

🍆 У BI.ZONE SSDLC появился модуль SCA для анализа безопасности подключенных зависимостей

Теперь стала шире область кода, которую сканирует наша платформа для непрерывного контроля безопасности разрабатываемых приложений.

Модуль SCA (software composition analysis) проверяет компоненты ПО, включая сторонние библиотеки и фреймворки. После он сравнивает зависимости с известными базами данных уязвимостей, которые постоянно пополняются. В результате формируется отчет об обнаруженных проблемах безопасности в коде.

Несмотря на расширение области сканирования кода, общее время анализа осталось прежним.

Узнать больше

🍒 Через неделю встретимся на вебинаре

Вы узнаете, как работают классические подходы к оценке внешнего периметра и на какие нюансы стоит обращать внимание при использовании методов управления поверхностью атаки.

Зарегистрироваться

💎Тренируйте навыки киберзащиты c BI.ZОNE Cyber Polygon Platform

Это платформа для индивидуальных тренировок и оценки навыков по форензике, анализу защищенности и мониторингу угроз.

Больше не нужно ждать профильных тренингов, проходить предварительный отбор и собирать команду. Вы можете зарегистрироваться на платформе и попробовать свои силы прямо сейчас.

На платформе бесплатно доступен сценарий с тренинга Cyber Polygon 2021, в котором приняли участие 200 организаций из 48 стран. А по подписке вас ждут дополнительные сценарии, основанные на реальных киберинцидентах.

Решайте задания в удобное время и соревнуйтесь с другими участниками — уровень и достижения каждого пользователя отображаются в рейтинге.

Узнать подробнее о платформе

🥝 Завтра поговорим о практике эшелонированной защиты веб-приложений

Расскажем, как выстраивать безопасность на базе нескольких взаимодополняющих решений и на что обратить внимание при выборе их поставщика. 

Зарегистрироваться

🥝 Начался вебинар
«Эшелонированная защита веб-приложений на практике»

На примере наших проектов вы узнаете, как работает этот подход, и сможете задать вопросы спикерам. 

Подключайтесь!

🌝 Доступна запись первого эфира Threat Zone

На прошлой неделе Олег Скулкин поделился новостями нашей киберразведки за февраль. Видеозапись уже есть на сайте — посмотрите, в ней много интересного.

Выпуски будут выходить регулярно, и мы хотим выбрать удобное для всех время. Проголосуйте в опросе ниже, чтобы мы учли ваше мнение.

🐟 Группировка Sticky Werewolf возвращается с новым «коммерческим предложением»: под прицел попали белорусские организации

Недавно специалисты BI.ZONE Threat Intelligence зафиксировали фишинговую рассылку Sticky Werewolf.

Как и в прошлых атаках группировки, жертва получала электронное письмо, в теле письма находилась ссылка на исполняемый файл.

При запуске пользователь видит поддельный документ komercheskoe_predlozheniye_2024.pdf. В то же время происходит компрометация системы.

Исходный файл представляет собой самораспаковывающийся архив, который включает в себя отвлекающий файл komercheskoe_predlozheniye_2024.pdf и полезную нагрузку — исполняемый файл MicroWord.exe.

Основные этапы работы komercheskoe_predlozheniye_2024.pdf.exe:

— Создает и открывает отвлекающий файл:
AcroRd32.exe" "%APPDATA%\Local\Temp\komercheskoe_predlozheniye_2024.pdf.exe

— Создает и запускает полезную нагрузку:
%APPDATA%\Local\Temp\MicroWord.exe

— Закрепляется в системе:
explorer.exe "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\FlashUpdate.lnk"

— Собирает данные, устанавливает соединение с командным сервером и ждет ответа.

Полезная нагрузка MicroWord.exe — экземпляр трояна удаленного доступа Darktrack RAT. Вредонос защищен протектором Themida, чтобы усложнить специалистам анализ этого ВПО.

Darktrack RAT позволяет атакующим:
— получать данные буфера обмена, нажатия клавиш, видео экрана;
— удаленно выполнять команды;
— получать пароли популярных приложений;
— перехватывать TCP-трафик.

Подробнее о группировке читайте в нашем исследовании.

🍒 Уже завтра разберем методы непрерывного контроля внешней инфраструктуры

Приходите, чтобы узнать больше о том, как они работают и о каких деталях часто забывают компании. 

Регистрация все еще открыта.

🐂 Запустили совместный обучающий проект с НИУ МИЭТ

Студенты посетят мастер-классы от наших экспертов, где:

— узнают, как автоматизировать процессы выполнения обязательных требований в области защиты персональных данных (ПДн) и государственных информационных систем (ГИС);

— попробуют самостоятельно провести аудит информационных систем, развернутых на киберполигоне;

— научатся решать рабочие задачи, которые могут возникнуть в реальной жизни, с помощью BI.ZONE Compliance Platform. 

Проект разработан специально для обучающихся по направлению подготовки 10.04.01 «Информационная безопасность» в рамках дисциплины «Аудит информационной безопасности автоматизированных систем (деловая игра)»

Подробнее

🍒 Через час расскажем все о практике управления поверхностью атаки

Подключайтесь по ссылке в 11:00.

🥥 BI.ZONE WAF защищает от уязвимостей в JetBrains TeamCity

На прошлой неделе стало известно о двух уязвимостях в популярном инструменте для автоматизации процессов CI/CD и совместной разработки ПО JetBrains TeamCity. Они связаны с веб-компонентом TeamCity On-Premises CI/CD и затрагивают все версии продукта до 2023.11.3 включительно.

Рассказываем об этих уязвимостях подробнее:
🔵CVE-2024-27198 (BDU:2024-01792) — 9,8 из 10 баллов по шкале CVSS
Критическая уязвимость, которая позволяет злоумышленнику создавать нового пользователя с правами администратора без аутентификации и авторизации. Благодаря этому атакующий может получить полный контроль над средой.

🔵CVE-2024-27199 — 7,3 из 10 баллов по шкале CVSS
С помощью этой уязвимости атакующий может использовать технику path traversal, чтобы без аутентификации получить несанкционированный доступ к определенным файлам конфигурации TeamCity. Так можно узнать о проектах в разработке и их статусах, а также получить другую критически важную информацию.

Как защититься
Разработчики JetBrains TeamCity уже устранили уязвимости в обновлении 2023.11.4. Чтобы избежать риска компрометации, необходимо как можно скорее установить это обновление.

Также защититься поможет BI.ZONE WAF. Наши эксперты оперативно разработали правила защиты, которые уже активны для всех клиентов и не требуют никаких дополнительных действий.

Кроме того, наши специалисты по анализу защищенности разработали правила для сервиса BI.ZONE CPT. Новые правила позволяют сканеру определять уязвимые версии TeamCity.

Подробнее

🥝 Выложили запись вебинара «Эшелонированная защита веб-приложений на практике»

Эксперты BI.ZONE и Qrator Labs рассказали, как собрать из анти-DDoS, антибота и WAF эффективную защиту. Вот что разобрали на вебинаре:

🟦За что отвечает каждое из решений, а за что — нет.
🟦Достаточно ли анти-DDoS от операторов связи.
🟦Как бороться с медленными ботами.
🟦Почему именно единая команда управления — ключ к успеху эшелонированной защиты.

Смотреть

🐗 Мы на Magnet Virtual Summit

Руководитель BI.ZONE Threat Intelligence Олег Скулкин выступил на международной конференции Magnet Virtual Summit с докладом о том, как повысить эффективность реагирования на инциденты благодаря данным киберразведки.

На примере практических кейсов он рассказал, как узнать все об атакующих на первых этапах реагирования и значительно его ускорить.

Запись выступления смотрите по ссылке.

🍌 Защита КИИ: как следовать законодательству с минимумом затрат

Требования к защите КИИ постоянно меняются, и на соответствие им уходит много ресурсов. Как автоматизация процессов поможет сэкономить время и средства, расскажем на бесплатном вебинаре.

Приходите, чтобы узнать:
🟦Что входит в законодательство сейчас и каких изменений ждать в 2024-м.
🟦Какие требования выполнять в первую очередь, если на все не хватает ресурсов.
🟦Как BI.ZONE Compliance Platform помогает субъектам КИИ автоматизировать процессы.

Спикеры:
🟦Алексей Авдеев, ведущий консультант по кибербезопасности, BI.ZONE Consulting.
🟦Лидия Ищенко, старший консультант по кибербезопасности, BI.ZONE Consulting.

Кому будет полезно:
🟦CISO,
🟦руководителям профильных отделов,
🟦старшим техническим специалистам,
🟦сотрудникам отделов кибербезопасности,
🟦всем, кто ответственен за кибербезопасность в субъектах КИИ.

Когда: 28 марта, в четверг, с 11:00 до 12:30 (мск).

Зарегистрироваться

🍋 BI.ZONE Secure SD-WAN: еще безопаснее, еще надежнее, еще эффективнее

Чтобы обеспечить непрерывность бизнеса, компаниям нужно выстроить единую сеть, которая позволит безопасно передавать данные между центром и филиалами. Автоматизировать эти процессы помогут специальные решения, например BI.ZONE Secure SD-WAN.

На совместном вебинаре с «Инфосистемы Джет» расскажем о релизе BI.ZONЕ Secure SD-WAN 1.5 и его технических новинках, а также о предстоящих обновлениях и планах развития платформы.

А также покажем:

🟦Как разворачивать систему управления (контроллер).
🟦Что представляет собой новый тип CPE — stub spoke и чем отличается от обычного spoke.
🟦Как подключить СPE на новой площадке c использованием ZTP.
🟦Как балансировать трафик с помощью создания правил поканального управления трафиком и распределения трафика между каналами.
🟦Как создавать шаблоны политик межсетевого экрана и одновременно распространить их на несколько CPE.

От нас выступит Иван Сафонов, специалист направления сетевой и инфраструктурной безопасности.

Кому будет полезно: сетевым инженерам, архитекторам, руководителям IT-подразделений.

Когда: 19 марта, вторник, 11:00 (мск). 

Зарегистрироваться бесплатно

🐟 Мошенники подделывают сайты большинства крупных российских компаний

Эксперты BI.ZONE Brand Protection выяснили, что от 70 до 90% крупных российских брендов используются в фишинговых кампаниях. За месяц под одним брендом может появиться до нескольких сотен фальшивых сайтов.

Злоумышленники создают поддельные ресурсы с применением узнаваемых названий и фирменного стиля. Чаще всего прикрытием для фишинговых ресурсов становятся бренды крупных финансовых организаций: мошеннические клоны обнаружились у 90% банков — лидеров клиентского рейтинга.

Кроме сайтов компаний, мошенники часто подделывают развлекательные ресурсы, как это было недавно в случае с сериалом «Слово пацана».

Большая часть фишинговых сайтов нацелена на сбор Ф. И. О. пользователей, их телефонных номеров, электронных адресов, платежной информации, паролей к онлайн-банкам и прочих личных данных. Злоумышленники предлагают пройти опросы, например для повышения качества обслуживания или участия в акции, а также копируют страницы авторизации.

Защититься самим компаниям и обезопасить клиентов от фишинговых атак поможет платформа BI.ZONE Brand Protection. Она автоматически сканирует интернет-домены, выявляет мошеннические клоны ресурсов и помогает их заблокировать.

Читать подробнее

🌚 Продолжаем серию эфиров Threat Zone

Во втором выпуске мы поговорим о ландшафте киберугроз за 2023 год и обсудим примеры реальных атак, актуальных для России и СНГ.

Эта информация позволит командам кибербезопасности понять, какие угрозы наиболее критичны для конкретной отрасли, и укрепить защиту своих компаний.

На эфире разберем:

🟦нашу таксономию кибергруппировок;
🟦атаки, которым противодействовал центр мониторинга BI.ZONE TDR;
🟦инциденты, с которыми столкнулась наша команда по реагированию;
🟦взаимодействие продуктов и сервисов BI.ZONE c платформой BI.ZONE Threat Intelligence на примере конкретного кейса.

Ведущий: Олег Скулкин, руководитель BI.ZONE Threat Intelligence.

Будет полезно:

🟦CISO и руководителям отделов кибербезопасности;
🟦командам по реагированию на инциденты;
🟦сотрудникам и руководителям SOC;
🟦специалистам по управлению уязвимостями;
🟦всем, кто интересуется ландшафтом киберугроз.

Когда: 28 марта 2024 г., четверг, 19:00–20:30 (мск).

Зарегистрироваться