📌 ИБ для гендира

От CISO ожидают, что он будет обучать свой совет директоров вопросам безопасности и при этом говорить на языке бизнеса — переводить ИБ в понятные метрики и ставить вопросы в привычном руководству ключе. Но к этому обсуждению можно подойти и с другой стороны. Как руководство должно общаться со своим CISO и о чём его спрашивать?

Нидерландский Cyber Security Council, состоящий из экспертов-практиков, научных работников и тех самых директоров, выпустил для руководителей и владельцев бизнеса полезную методичку, целиком посвященную высокоуровневым, вообще не техническим вопросам ИБ. Она охватывает вопросы от построения киберустойчивости и управления киберрисками до личной ответственности менеджмента и полезных, информативных для C-level метрик безопасности.

Небольшой спойлер из оглавления:
🟢почему это вообще важно (и как связано с общими бизнес-рисками);
🟢чем отличаются кибербезопасность и киберустойчивость, и почему нельзя ограничиваться вопросами комплаенса;
🟢какие вопросы должен задавать руководитель компании;
🟢как приоритизировать работы по снижению рисков;
🟢эффективная организация управления ИБ;
🟢юридические и регуляторные аспекты;
🟢киберриски за пределами вашей организации (подрядчики, клиенты, партнеры);
🟢особая программа ИБ-тренингов для высшего руководства.

Важные «но» — руководство есть только на английском и голландском, а весь регуляторный ландшафт описан для ЕС и Нидерландов. Тем не менее, все общие принципы полностью применимы и в России.

#советы #CISO @П2Т

🔥 NGFW против реальных киберугроз

Хактивисты и рансомварщики всё чаще вооружаются инструментами продвинутых red team и APT. Это резко повысило планку минимально необходимой защиты для большинства российских организаций. Многие возможности ИБ, которые пару лет назад можно было назвать nice to have, стали жизненно важны.

В новом посте детально разобрали реальные случаи, в которых защитникам нужны расшифровка и глубокая инспекция трафика, сопоставление трафика с учётными записями, от имени которых он инициирован, анализ трафика на лету при помощи IDS и антивируса и другие защитные технологии.

Отдельная тема — интеграция средств защиты. Только сопоставляя сетевую и endpoint-телеметрию, данные почтовой защиты и песочницы, можно составить целостную картину происходящего. О том, по каким правилам играет этот оркестр, написали подробную статью на Хабре — в ней разобраны интеграционные сценарии на примере Kaspersky OSMP, NGFW, EDR и других наших решений.

Кстати, на Хабре также опубликован подробный рассказ коллег из департамента ИБ о том, как они тестировали Kaspersky NGFW.

Полезного вам чтения!

#советы #NGFW @П2Т

Бэкапы Signal, Apple защищается от зиродеев, ИИ в каждом утюге браузере и другие важные новости конфиденциальности и личной ИБ

🍏 В тени анонса iPhone17 прошло важное архитектурное улучшение чипов Apple и iOS. Технология Memory Integrity Enforcement, основанная на доработанной спецификации ARM EMTE, значительно усложняет эксплуатацию уязвимостей, приводящих к повреждению памяти. Это означает, что всякие 0-click эксплойты для iOS станут гораздо сложнее и дороже в разработке (а они уже сейчас стоят миллионы долларов). Apple скромно называет это самым мощным апгрейдом защиты памяти в потребительских ОС. Мы с ними согласны.

📱 Впрочем, у атакующих всегда остаётся опция атаковать менее защищённого собеседника в интересном им чате — вот в Samsung тоже устранили зиродей, который обнаружила ИБ-команда WhatsApp.

😎 Signal анонсировал приватные зашифрованные бэкапы. Резервные копии чатов и переписок можно восстановить из облака при утере смартфона или переезде на новое устройство. Обещают, что копии хранятся без связи с аккаунтом Signal и платёжным средством. Бесплатно можно хранить тексты, а также картинки за 45 дней. Большее хранилище — 2$/мес.

👽 Roblox раскатывает проверку возраста на всех пользователей. Обещают комбинировать проверки документов с оценкой возраста по селфи и другим надёжным индикаторам.

👾 Тем временем учёные и исследователи из 36 стран Европы написали открытое письмо, протестующее против текущей версии законопроекта Chat Control. Ради защиты от CSAM (детского порно, проще говоря) законопроектом предлагается сканировать весь контент во всех чатах, включая защищённые сквозным шифрованием.

💲 Google избежал самых серьёзных антимонопольных санкций, компанию не разделят и не заберут у неё Chrome. Впрочем, на скорость появления браузеров со встроенным ИИ-ассистентом это не повлияет — они растут, как грибы после дождя.

💻 Впрочем, если вы отключите ИИ в браузере, его засунут вам на компьютер откуда-нибудь ещё: Microsoft анонсирует «ИИ-действия» прямо в Проводнике, а также обещает установить приложение CoPilot всем, у кого установлен MS Office 🗿

🪟 Те, кто всё ещё сидит на Windows 7 и 8 пока защищены от этих ИИ-радостей.
Мы не рекомендуем пользоваться устаревшими ОС из-за киберрисков, но если в этом есть какая-то производственная необходимость, Mozilla радует новостью о продолжении поддержки Firefox 115 ESR до марта 2026 года.

И, продолжая ретро-тему, Microsoft выложила в открытый доступ исходные коды языка BASIC для чипа 6502. 🖥

🟢Новые модели Google Pixel будут подписывать фотографии тегом C2PA. Мы писали об этой технологии — она позволяет убедиться в происхождении фото и отличать снятое камерой от сгенерированного ИИ или поправленного в Photoshop.

🟣Популярный медиасервер Plex не уберёг данные пользователей. Всем рекомендуется сменить пароль, сбросить активные сессии и наконец включить 2FA.

🔵Появляются первые атаки на сети 5G, пока их проводят исследователи, а не киберпреступники.

#дайджест @П2Т

🤨 Интересные исследования APT и много уязвимостей за неделю

🔵Новая волна атак на отельеров от группы RevengeHotels/TA558. Атаки усложнились, теперь в них используется VenomRAT. Мишенями являются отели в Бразилии и испаноязычных странах, но ранее эта группа также атаковала РФ, Беларусь, Турцию и многие другие страны.

🟢Развивается ситуация с npm-атакой Shai-Hulud. Как мы и предсказывали, полностью остановить распространения червя не удалось и счёт троянизированных репозиториев перевалил за 500. Правда, выяснилось, что под Windows ВПО всё же не может отработать целиком. Список компаний, разработчики которых могли быть поражены в этой атаке, есть у Upguard.

🟣24 вредоносных расширения VSCode обнаружены в OpenVSX Marketplace и  официальном VS Marketplace. Исследователи смогли добыть операционные документы группировки WhiteCobra, стоящей за атакой — познавательное чтение.

🟡APT41/TA415 использует туннели VSCode для управления ВПО в скомпрометированных организациях. Атаки отмечены преимущественно в США.

⚪️Новая вымогательская группировка Storm-2603/Gold Salem/Warlock group использует ToolShell для инфицирования организаций, а затем комбинирует вебшеллы, BYOVD и опять-таки туннели VSCode для захвата сети и шифрования жертв.

🟢APT Mustang Panda/Hive0154 продолжает атаковать организации в Азии — кроме новых версий бэкдора ToneShell, в свежих атаках обнаружено ВПО SnakeDisk, автоматически заражающее USB-носители для проникновения в изолированные подсети.

🟢Ландшафт ICS-угроз во втором квартале. В целом по миру замечено небольшое падение, но в Северной Европе и Австралии рост.

🔵Разбор целевых фишинговых кампаний группировки ComicForm, атакующей организации стран СНГ и разворачивающей стилер FormBook.

🟣Анализ загрузчика CountLoader, который является промежуточным шагом к вымогательским инфекциям  BlackBasta и Qilin.

🔵Неожиданное перерождение ботнета SystemBC, который отключили в новом году — теперь он захватывает VPS, а не Микротики. Скомпрометированные устройства становятся прокси для всех видов атак, включая целевые.

🟢Разбор вредоносного фреймворка Covenant и импланта Beardshell, используемых в атаках APT28. Вектором начального проникновения является вредоносный документ Office, присланный через Signal.

🟢Разбор инфостилера с открытым исходным кодом, написанного на Python — XillenStealer.

Неделя богата на серьёзные уязвимости и срочные патчи:
1️⃣ Confluence и Jira
2️⃣ Chrome
3️⃣ Gitlab
4️⃣  Jenkins
5️⃣ Watchguard Firebox

🟢У SonicWall не уязвимость, но тоже хорошо — хакеры утащили резервные копии  пользовательских настроек межсетевого экрана из сервиса MySonicWall, поэтому нужно сбросить все учётные данные от файрвола. Производитель заявляет, что это затрагивает менее 5% клиентов.

🔴Кстати, во взломанных ранее устройствах Ivanti выловили ещё один бэкдор, о нём пишет CISA.

#APT #дайджест @П2Т

🔎 В вашей компании есть «теневой ИИ» с вероятностью 90%

Нашумевшее исследование MIT показало, что «теневой ИИ» уверенно побеждает ИИ официальный. Всего 40% компаний оплачивают корпоративные подписки на чатботы, но в 90% фирм сотрудники отправляют рабочие задачи в чатбота, не спрашивая ни совета, ни разрешения. Победить эту «низовую революцию» проблематично, поэтому её нужно возглавить как-то сбалансировать.

Для этого придётся разделить все данные компании по категориям и разработать политики, позволяющие применять личных ИИ-чатботов для несекретных данных, внедрить какой-то прокси для данных чуть более важных, а потом объяснить коллегам, какие категории данных можно обрабатывать только в доверенной среде.

О трёх подходах к регулированию ИИ в компании и инструментах, помогающих ввести сбалансированные ограничения, подробно написали в руководстве на Kaspersky Daily.

#AI #советы @П2Т

🥹 Управимся с «человеческим фактором»?

В прошлом году количество переходов по фишинговым ссылкам утроилось, несмотря на инвестиции в security awareness и удлинение курсов LMS.
ИИ-дипфейки, вишинг и атаки, персонализованные при помощи LLM убедят кого угодно — на крючок иногда попадаются даже специалисты по ИБ. Группы вроде Scattered Spider наглядно доказывают, что одних тренингов ИБ-осведомлённости недостаточно для эффективной защиты.
Компаниям нужно использовать security awareness как фундамент, и внедрять на нём управление человеческими рисками (Human Risk Management, HRM) — когда человека за клавиатурой защищают так же, как ценные ИТ-активы: с мониторингом событий ИБ, и оценкой уязвимости сотрудника в реальном времени.

Из чего HRM состоит на практике:
🟢телеметрия, а не опросы. Оценка рисков должна основываться на реальных данных: частота отклонения push-уведомлений MFA, результаты фишинговых симуляций, обнаруженные через DLP/NGFW нарушения, паттерны взаимодействия с ИИ-чатботами. Плюс исторические данные и TI об активных кампаниях, нацеленных на роль сотрудника в организации. На основании всего этого каждый сотрудник получает динамически пересчитываемую оценку «рискованности»;
🟢адаптивные меры контроля. Сотрудникам из группы повышенного риска придётся проходить более строгие процессы аутентификации, ждать писем из полноценного карантина и, возможно, иметь ограниченные доступы к ИТ-активам (например, только из офиса). Сотрудникам из низкорисковых групп в случае единичных ошибок сразу прилетают короткие обучающие модули или применяются другие точечные меры сразу после инцидента;
🟢персонализированное обучение. Здесь ИИ особенно полезен службам ИБ и HR: он адаптирует обучение под ошибки и когнитивные особенности каждого сотрудника.

Как измерять эффективность HRM? Процент прошедших обучение не волнует руководство. Зато их могут заинтересовать: медианный риск пользователей, доля сотрудников с высоким риском и динамика показателей за 90 дней.

Подробнее об эволюции решений HRM пишет Forrester.

#CISO #советы @П2Т

🍏 Безопасность macOS и её обход злоумышленниками

Как популярные инфостилеры вроде AMOS и прочие инструменты атак на macOS обходят встроенную защиту операционной системы? Ведь в Купертино не поскупились на слои защиты:

🟢Keychain — штатный менеджер паролей с поддержкой стойкого шифрования;
🟢TCC (transparency, consent, control) — механизм управления разрешениями приложений;
🟢SIP (system integrity protection) — технология защиты информации в специальных директориях и процессах;
🟢File Quarantine — защита от запуска подозрительных (скачанных) файлов;
🟢Gatekeeper — защита от запуска неподписанных приложений;
🟢XProtect — базовая сигнатурная защита от ВПО;
🟢Xprotect Remediator — автоматическое реагирование на выявленные XProtect угрозы.

Для обхода всего этого разработаны вредоносные инструменты или трюки на основе легитимного ПО. Например, File Quarantine обходят, скачивая нужные файлы при помощи curl, пароли извлекают утилитой chainbreaker, а для TCC придумали обход, напоминающий веб-технологию clickjacking.

Все механизмы, их особенности и типовые способы обхода мы подробно разобрали в статье на Securelist. Для каждой технологии обхода сразу даны рекомендации — какую телеметрию EDR и какие Sigma-правила можно использовать, чтобы обнаружить действия атакующих.

#советы #Apple @П2Т

👾 Интересные исследования APT и новости ИБ за неделю

👻 Масштабное обновление арсенала группировки BO Team, атакующей российские организации: злоумышленники переписали свой бэкдор BrockenDoor на C# и обновили ВПО ZeronetKit.

🟢Шпионская кампания, нацеленная на юридические фирмы и разработчиков ПО в США:  APT UNC5221 использует бэкдор Brickstorm, написанный на Go, устанавливая его на устройства без EDR-агента, например vCenter/ESXi. Начальное проникновение вероятно осуществляется через уязвимые пограничные устройства, а целью операции является кража email-переписки.

🟢Три серьёзные уязвимости в Cisco ASA и FTD эксплуатируются атакующими: CVE-2025-20333 позволяет аутентифицированному атакующему выполнять произвольный код, а CVE-2025-20362 даёт доступ без аутентификации к некоторым служебным URL. Днём ранее был выпущен бюллетень на CVE-2025-20352, приводящей к DoS или RCE на устройствах под управлением Cisco IOS и IOS XE с включённой поддержкой SNMP.  В России дефекту подвержено почти 2 тыс. устройств.

🔴Технический анализ фишинговой инфраструктуры APT35/Charming Kitten, используемой в атаках на организации США, Европы и Ближнего Востока.

🔵Подробный технический анализ npm-червя Shai-Hulud и рекомендации по защите.

🟡Разбор нового ВПО Olymp loader, распространяемого по модели MaaS. Авторы ВПО рекламируют «полную недетектируемость», а функции зловреда быстро эволюционируют от простого загрузчика к инфостилеру и шифровальщику.

🟣В новых атаках Cavalry Werewolf на российские госструктуры и крупные организации используются фишинговые письма от имени госслужащих дружественных государств, в которые вложено ВПО FoalShell и StallionRAT.

🟣Новая версия стилера XCSSET, нацеленного на разработчиков софта для Apple и инфицирующего проекты Xcode.

🔵Эволюция инфостилера DarkCloud: в новой версии улучшены обфускация и защита от обнаружения.

🔴Всего за неделю масштабная атака, кратковременно парализовавшая несколько европейских аэропортов дошла до фазы ареста виновных. Причиной инцидента стало развертывание шифровальщика в компании Collins Aerospace, дочерней организации RTX (в девичестве Raytheon), что привело к недоступности системы MUSE, используемой при регистрации пассажиров в аэропорту и обработке багажа.

#дайджест #APT @П2Т

📌 Управление киберрисками: статистика страховщиков

Allianz опубликовали отчёт под захватывающим названием «Cyber security resilience 2025: Claims and risk management trends».
В нём разобрана динамика киберрисков и киберугроз на основании страховых случаев, то есть ситуаций, когда атака привела к ущербу и жертва обратилась за возмещением.

Хорошие и плохие новости идут в отчёте по очереди:

1️⃣ число страховых случаев почти не изменилось за год, но на треть уменьшилось число крупных инцидентов с ущербом более миллиона евро;
2️⃣ атаки ransomware по-прежнему составляют более 60% страховых случаев, но злодеи чаще вымогают у среднего и малого бизнеса;
3️⃣ участились атаки, проводимые без шифрования данных (40%) и вообще без ВПО (80%). Одна только кража информации;
4️⃣ разнообразие страховых рисков растёт. В 15% случаев кибератаке подвергся не застрахованный, а его поставщик или сервис-провайдер, что привело к остановке бизнеса застрахованного. Рекордные 28% страховых случаев были вызваны не кибератаками, а серьёзными техническими сбоями (кто сказал Crowdstrike) или нарушениями правил хранения ПД;
5️⃣ детектирование и реагирование на инцидент на его ранних стадиях снижают ущерб в 1000 раз. Allianz не говорит в лоб «покупайте сервис MDR», но скромно прогнозирует его четырёхкратный рост в следующие десять лет;
6️⃣ деловые игры (tabletop exercise) и прочие учения на случай инцидента позволяют принимать правильные решения во время реального инцидента, минимизируя простои бизнеса. А на простои приходится половина всего ущерба.

В полной версии отчёта ещё много интересного — самые пострадавшие индустрии, тенденции социальной инженерии, новости регулирования и конечно применение ИИ 😅. Стоит полистать.

#статистика @П2Т

☝️ ИБ для гендиректора, NGFW против реальных угроз, советы DevSecOps и другие полезные посты сентября

Сентябрь был богат на новости ИБ, поэтому среди них могли затеряться материалы, полезные долгосрочно. Мы собрали самое ценное за месяц — эти статьи помогут выстроить эффективные процессы и системы в ИБ.
Если что-то пропустили, можно наверстать упущенное!

🔵систематический обзор гибридных APT/ransomware/хактивистских угроз российским организациям.
🔵ИБ для гендиректора — чего добиваться в организации и что спрашивать с CISO?
🔵Практические сценарии применения NGFW против реальных угроз;
🔵полезные советы DevSecOps по защите контейнеров;
🔵в вашей компании точно есть теневой ИИ. Вот три способа с ним сладить;
🔵советы по детектированию обфусцированных скриптов;
🔵учёт уязвимостей улучшается, с устранением дело похуже;
🔵подробный разбор технологии cookie, их видов и способов злоупотребления в кибератаках;
🔵встроенные средства безопасности macOS и как злоумышленники их обходят;
🔵типовые уязвимости WordPress и что с ними делать.

#дайджест @П2Т

🤖 Новые классы атак на ИИ-ассистентов

Пока Microsoft шумно презентует vibe working (OMG), ИБ-специалисты демонстрируют широчайшее поле деятельности по эксплуатации ИИ-ассистентов. На пересечении врождённой уязвимости LLM к инъекциям и традиционных программных уязвимостей возникают целые классы перспективных атак.

Несколько свежих примеров:

1️⃣ Copilot от той же Microsoft можно заставить извлечь из внутренних чатов конфиденциальную информацию, замаскировав инструкции во входящей почте. Борьба со спамом и фишингом на глазах приобретает новое измерение.
2️⃣ Ассистент Gemini уязвим к вредоносным приглашениям на встречи. В них можно припрятать, например, форсированный запуск созвонов Zoom или открытие любых вредоносных сайтов.
3️⃣ Недостаточное ограничение прав на уровне MCP-сервера Anthropic плюс промпт-инъекция приводят к утечке файлов или даже запуску на системе произвольного кода.

Систематический разбор свежих уязвимостей и рекомендации по безопасному внедрению ИИ в организации читайте в статье Kaspersky Daily. Но сразу небольшой спойлер — в числе прочих мер, обращению с ИИ придётся учить всех сотрудников, которые хотя бы изредка прикасаются к компьютеру.

#угрозы #советы @П2Т

🔎 Не вырубишь топором: применение AmCache в расследовании инцидентов

Злоумышленники и инсайдеры обычно стараются подчистить следы своей деятельности, поэтому любые артефакты в системе, не подверженные манипуляциям и доказывающие присутствие определённых файлов, очень ценны в расследованиях. При криминалистическом анализе Windows-систем таким артефактом является AmCache. Это кэш активности приложений, создаваемый средствами Windows, начиная с версии 7.

Разбирая его, можно, например, обнаружить сведения о шифровальщике, который автоматически удаляет себя. В записях AmCache аналитикам доступны имена файлов, пути к ним, хэши SHA-1, что позволяет экспертам DFIR искать совпадения с аналитическими данными об угрозах, пользуясь VirusTotal или OpenTIP, а затем блокировать подобные файлы на других хостах.

Важный нюанс при работе с AmCache — ограниченная применимость SHA-1. Хэш вычисляется только для первых 31 Мб файла, поэтому для очень больших файлов искать SHA-1 прямо на VT бесполезно. Другой нюанс — не все записи в AmCache однозначно указывают, что файл был запущен. Но точно можно сказать, что он присутствовал в системе.

Обо всех подробностях и нюансах использования AmCache в расследованиях, рекомендациях по совместному использованию с другими артефактами и логами (Prefetch, ShimCache, журналы событий Windows), читайте в новой статье наших экспертов на Securelist. Там же описано, как пользоваться open source утилитой AmCache-EvilHunter, которую мы разработали для удобного анализа этого артефакта — сама утилита уже на GitHub.

#IR #советы @П2Т

💡 Интересные исследования APT и новости ИБ за неделю

🔵 Масштабный разбор сложной шпионской APT Phantom Taurus, частично пересекающейся по инфраструктуре с Winnti/Starchy Taurus и APT27/Iron Taurus. Злоумышленники охотятся за секретной информацией стран Азии, Ближнего Востока и Африки. Кроме ходовых для всего кластера инструментов вроде шелла China chopper, эта APT применяет уникальные инструменты, включая ВПО Specter и NET-STAR. Последний является бесфайловым бэкдором, живущим в IIS. Основная тактика атакующих в последнее время — прямая кража записей из баз данных SQL.

🔎Интересное злоупотребление дефектами 4G-роутеров, включая используемые в промышленности — через них рассылают фишинговые SMS.

⌨️ Google/Mandiant разбирает недавние атаки на крупные организации финансово мотивированной группировкой UNC6040. Ключевой техникой атакующих являются голосовые звонки в техподдержку. Главное в посте — даже не разбор TTPs, а детальные рекомендации, как в хелпдеске обрабатывать запросы на смену паролей, 2FA, подключения приложений. Подробная верификация личности звонящего is a must.

🔄 Разбор недавних атак аффилиатов Akira. Атаки молниеносные — в сети проводят считанные часы: эксплуатация дефектов SonicWall, быстрая разведка и ограниченный захват серверв при помощи LotL, кража данных WinRar+rclone на VPS, шифрование.

🆔 APT SideWinder расширяет свою шпионскую географию и целится в организации пяти стран ЮВА, но 40% жертв — в Пакистане. Целью кампании является похищение учётных записей корпоративной почты (Zimbra, Outlook и т.п.)

🗂 Сербские организации, имеющие отношение к авиации, стали жертвами целевой фишинговой кампании, распространяющей бэкдоры PlugX/Sogu.

🐈‍⬛ Обширный слив документации, связанной с APT35/Charming Kitten. Происхождение и аутентичность документов как всегда в таких случаях под вопросом, но исследователи, знакомые с этой APT, оценивают данные как убедительные.

😎 Эволюция бэкдора WARMCOOKIE: он прочно вошёл в экосистему MaaS и сейчас распространяется как нагрузка второго этапа через загрузичк Castlebot.

⤵️Авторы обнаруженной в августе вредоносной кампании TamperedChef, распространяющие фальшивый редактор PDF, не успокаиваются и продолжают паразитировать в нише «офисных приложений». Те же техники, но другие домены и другие названия приложений.

🚀 Пользователей десктопного WhatsApp поражает червь SORVEPOTEL, самостоятельно рассылающий ссылку на себя контактам жертвы.

⚙️Крупная атака с перебором паролей нацелена на устройства Cisco ASA и шлюзы AnyConnect. Ждём нового зиродея?

Почти одновременно в пять раз выросло число попыток сканирования админских интерфейсов Palo Alto.

🔔 Редкая в нашем дайджесте история про гейминг (ну почти). В Unity устранена уязвимость CVE-2025-59489 (CVSS 8.4), позволяющая подгрузить вредоносную библиотеку в контексте уязвимого приложения. Дефекту подвержены игры и приложения на платформах: Windows, Linux, MacOS, Android. Эксплуатация может производиться из низкопривилегированного вредоносного приложения, а в редких случаях и дистанционно. Unity выпустила патч, но с ним нужно перекомпилировать примерно все игры, выпущенные за последние 7-8 лет. Microsoft в своём бюллетене призывает временно деинсталлировать уязвимые игры до появления патча. Учитывая, что на Unity делают не только игры, но и некоторые обучающие и даже бизнес-приложения, этот дефект стоит держать на радаре.

#дайджест #APT @П2Т

🪲 Ловим DLL Hijacking

За два года число кибератак, в которых применяется техника DLL Hijacking, выросло более чем вдвое. Подменой DLL занимаются как простые инфостилеры вроде Lumma, так и импланты шпионских APT (APT41, Lazarus), поэтому надёжное детектирование этой техники в организации очень важно.

Но важно делать это без ущерба производительности систем! Детектирование DLL Hijacking требует пристально анализировать активность легитимных процессов, возможно вызывающих вредоносную DLL — это может понижать производительность защитных решений и плодить ложноположительные детекты. 

При помощи ML нам удалось многократно повысить качество обнаружения техники DLL Hijacking. Технология уже внедрена в нашу SIEM. В Kaspersky Unified Monitoring and Analysis Platform (KUMA) она может работать на уровне коррелятора или коллектора событий — в первом случае нагрузка на системы ниже, а скорость отклика модели ниже. Запуск в коллекторе может быть актуален при ретроспективном поиске угроз.

При тестировании в реальной инфраструктуре организаций, защищённых нашим сервисом MDR, технология выявила несколько попыток кибератак, в частности запуск APT ToddyCat импланта Cobal Strike после экспулатации уязвимости в Sharepoint, а также бэкдор, запускающийся из легитимной утилиты Avast на съёмном носителе.

Подробный рассказ об интеграции технологии в KUMA и примеры найденных атак, а также детали обучения ИИ-модели и параметры её качества описаны в двух статьях на Securelist.

#SIEM #AI #KUMA @П2Т

👻 Уязвимость в Redis потянула на CVSS 10

Все версии популярной БД Redis, поддерживающие скриптинг на Lua, подвержены уязвимости use-after-free, которая позволяет атакующему выполнить вредоносный код с помощью специально подготовленного скрипта Lua. CVE-2025-49844 продержалась в коде 13 лет, но была обнаружена исследователями Wiz и пока (!) не эксплуатируется в атаках.

Для устранения дефекта нужно обновиться на одну из исправленных версий: 6.2.20, 7.2.11, 7.4.6, 8.0.4, 8.2.2.
Альтернативой является отключение Lua для пользователей, это можно сделать через ACL, ограничив применение команд EVAL и EVALSHA.

Учитывая, что Redis используется в добрых трёх четвертях облачных сред, а дефекты в нём обожают банды криптомайнеров, стоит поторопиться с реагированием.

#уязвимости @П2Т

💾 Съёмные носители в АСУ ТП

NIST опубликовал рекомендации по безопасному использованию съёмных носителей в ОТ. Всего две странички, всё продиктовано здравым смыслом, но как же часто не выполняется на практике и приводит к неприятным инцидентам с нарушением изоляции ОТ-сети.

Рекомендации охватывают все основные аспекты:
🟢процедуры и регламенты;
🟢рекомендации по закупкам;
🟢журналирование;
🟢тренинги;
🟢меры при транспортировке;
🟢физические средства контроля;
🟢технические меры контроля (allowlists, отключения лишних портов, детекты, форматирование).

Полезно изучить.

#советы #OT #ICS @П2Т

🧭 Глобальный регуляторный ландшафт: наступательные операции и ужесточение требований

В очередном выпуске Global Cyber Policy Radar эксперты NCC Group обращают внимание на несколько глобальных тенденций, которые подкреплены новым законодательством и денежными вливаниями. Это постепенно изменит как ландшафт угроз, так и подходы к ИБ в организациях. Итак, чего ждём:

«Нападение как защита». Правительства нормализуют offensive в качестве инструмента отражения киберугроз и выделяют бюджеты на соответствующие подразделения. Приведены примеры США, Великобритании и Южной Кореи. В бюджетах Евросоюза, Тайваня и некоторых других регионов выделены существенные суммы на повышение ИБ, но конкретная доля offensive не указана. Большой открытый вопрос — где для решения подобных задач будут использоваться только госслужбы, а где — лицензируемый частый бизнес.

Государственное финансирование растёт, но ответственность бизнеса тоже. Несмотря на крупные госинвестиции в ИБ критической инфраструктуры, от компаний ожидается больший денежный и организационный вклад. Требования NIS2 и DORA включают личную ответственность руководителей за их неисполнение и игнорирование обязанностей по управлению киберрисками. Авторы призывают готовиться к повышению регуляторного давления на крупные организации во всём мире.

Контроль цепочек поставок и суверенитет. ЕС, Великобритания, Сингапур и другие страны расширяют обязательства компаний в области защиты критической инфраструктуры и работы с третьими сторонами. Усиливается акцент на суверенные облачные и ИИ-решения, активизируется переход на ПО с открытым исходным кодом. В Европе планируют значительно повысить требования ко всем поставщикам ПО и умных устройств при помощи Cyber Resilience Act и Product Liability Directive.

Особое место в отчёте занимает обзор перехода к постквантовому шифрованию. Проблема очень остра из-за огромного масштаба требуемых изменений, необходимости инвентаризировать все устройства, приложения и сервисы, требующие обновления, а также продолжающейся стандартизации и разных подходов к ПКШ, что создаёт потенциал для снижения интероперабельности систем в будущем.

Полная версия отчёта во вложении ⬆️

#CISO @П2Т

Атаки в AWS, новые инструменты вымогателей и другие исследования APT за неделю

🟣Технический анализ атак на среды AWS, проводимых вымогательской группировкой Crimson Collective. Самой известной жертвой на сегодня является Red Hat.

🟣В атаках ransomware замечено использование Velociraptor — предназначенного для цифровой криминалистики ПО с открытым исходным кодом. Группа Storm-2603, ассоциирующая с шифровальщиками Warlock, LockBit и Babuk, использовала старую версию ПО, уязвимую к повышению привилегий, для захвата сети  и установки VSCode, в которой им, конечно, нужны были только туннели.

🔴А в атаках, компрометирующих веб-сервисы при помощи шелла China Chopper, на следующих этапах вторжения стали использовать китайский open source инструмент Nezha, в норме предназначенный для мониторинга серверов администраторами. 

🟢Разбор шпионских атак, проводимых группировкой UTA0388 на организации Европы, Азии и США. Целевой фишинг готовят предположительно с помощью LLM, поскольку письма рассылали на пяти языках. При этом в них есть странности, присущие ИИ-агентам, такие как спорадическая смена языка или попытки отправить письмо на явно несуществующий адрес. В случае успешного фишинга  у жертвы разворачивают ВПО GOVERSHELL.

🔵У МСБ выманивают деньги в качестве «залога», предлагая стать поставщиком крупных авиакомпаний. Схема целиком социоинженерная, ВПО не используется.

🟣Разбор обновлённого ботнета RondoDox, который теперь эксплуатирует почти 60 уязвимостей в 50 разных устройствах (в основном роутеры, веб-серверы, NAS и IP-камеры) для целей DDoS и майнинга.

🟠Новая интересная разновидность ClickFix — вредоносная веб-страница содержит ВПО под видом картинки,  а скрипт PowerShell активизирует его, сначала разыскав в кэше браузера. 

🔵Кстати, атаки ClickFix теперь интегрируют прямо в фишинг-киты.

🟢Технический анализ инфостилера Shuyal, который умеет красть данные из 19 браузеров.

🟠Крупная утечка паспортных данных пользователей Discord. Злоумышленники утащили из Zendesk не то 70 тысяч (версия Discord), не то 5,5 миллионов (версия хакеров) фото документов. Если вход на сайты по паспорту будет продолжать своё победное шествие по планете, таких инцидентов станет больше. 

🟢По оценкам Elliptic, кластер Lazarus в этом году украл более $2 млрд. крипты.

🟣Docker сделал свою программу Docker Hardened Images (DHI) доступной по подписке для МСБ. В DHI входят оперативно обновляемые образы с разумно ограниченным набором сервисов и прав, и конечно минимумом известных уязвимостей. 
Стоимость публично не называют, но она affordable, то есть доступная.

#дайджест #APT @П2Т