⚙️ Встречаемся на КИБЕРТЕХ 2024!
Команда РТ-Информационная безопасность готовится к участию в масштабном мероприятии этой осени — форуму по кибербезопасности государства КИБЕРТЕХ.
Что такое КИБЕРТЕХ?
Это уникальная платформа, где соберутся 1500+ участников: эксперты в области информационной безопасности, представители госструктур и крупнейших российских и международных компаний.
🔥 Такое нельзя пропустить:
• Узнайте, как защищать данные в новой цифровой экономике
• Откройте пути к технологической независимости
• Погрузитесь в стратегии по безопасности критической инфраструктуры
• Узнайте последние тенденции по защите персональных данных
Подробную программу и регистрацию на форум вы найдете — на официальном сайте.
👀 Ищите нас на стенде!
Мы будем рады лично встретиться с вами, ответить на все ваши вопросы и обсудить решения, которые помогут обеспечить безопасность вашей организации. На нашем стенде мы также представим обновленные версии RT Protect EDR и RT Protect TI.
📅 Дата: 7-8 октября 2024
📍 Место: Москва, Кластер «Ломоносов»
Команда РТ-Информационная безопасность готовится к участию в масштабном мероприятии этой осени — форуму по кибербезопасности государства КИБЕРТЕХ.
Что такое КИБЕРТЕХ?
Это уникальная платформа, где соберутся 1500+ участников: эксперты в области информационной безопасности, представители госструктур и крупнейших российских и международных компаний.
🔥 Такое нельзя пропустить:
• Узнайте, как защищать данные в новой цифровой экономике
• Откройте пути к технологической независимости
• Погрузитесь в стратегии по безопасности критической инфраструктуры
• Узнайте последние тенденции по защите персональных данных
Подробную программу и регистрацию на форум вы найдете — на официальном сайте.
Мы будем рады лично встретиться с вами, ответить на все ваши вопросы и обсудить решения, которые помогут обеспечить безопасность вашей организации. На нашем стенде мы также представим обновленные версии RT Protect EDR и RT Protect TI.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8❤7👍4🎉3
⚠️🐍 Протокол анализа угрозы: Lazarus (APT38, Lazer Werewolf, Diamond Sleet, Labyrinth Chollima, Hidden Cobra)
Lazarus — хакерская группировка, предположительно связанная с правительством Северной Кореи, активна с 2009 года. Объектом ее атак становились критические инфраструктуры и компании по всему миру, включая Российскую Федерацию.
💸 Ущерб:
По данным Совета Безопасности ООН, с 2017 по 2024 год группировке удалось похитить криптовалюту на сумму порядка 3,6 млрд долларов США.
🌎 География атак:
Атаки охватывают все континенты и затрагивают широкий спектр отраслей:
· Авиационно-космическая промышленность,
· Военно-промышленный комплекс,
· Государственный сектор,
· Криптовалютные биржи,
· Сфера здравоохранения и финансов
· Компании, осуществляющие исследования в области кибербезопасности.
⚒️ Методы и инструменты:
Группировка Lazarus активно использует широкий спектр вредоносных инструментов, таких как Gh0st RAT, MATA, Mimikatz, WannaCry, ProcDump, Responder. Кроме того, для взломов применяются легитимные программы, известные как LolBins, и потенциально нежелательные программы (PUP), например, TightVNC и KillDisk.
Основной метод проникновения на устройства — фишинговые письма с вредоносными вложениями.
⛓️💥 Значимые эпизоды:
· Компрометация серверов Sony Pictures (2014 г.) — одна из самых громких атак группировки.
· Эксплуатация уязвимости CVE-2024-7971 — актуальная угроза, задокументированная в недавнем отчете Microsoft.
Специалисты RT Protect SOC неоднократно проводили расследования инцидентов, связанных с деятельностью Lazarus, и готовы к своевременному реагированию на любые потенциальные угрозы.
#ПрофильПреступника
Lazarus — хакерская группировка, предположительно связанная с правительством Северной Кореи, активна с 2009 года. Объектом ее атак становились критические инфраструктуры и компании по всему миру, включая Российскую Федерацию.
По данным Совета Безопасности ООН, с 2017 по 2024 год группировке удалось похитить криптовалюту на сумму порядка 3,6 млрд долларов США.
Атаки охватывают все континенты и затрагивают широкий спектр отраслей:
· Авиационно-космическая промышленность,
· Военно-промышленный комплекс,
· Государственный сектор,
· Криптовалютные биржи,
· Сфера здравоохранения и финансов
· Компании, осуществляющие исследования в области кибербезопасности.
⚒️ Методы и инструменты:
Группировка Lazarus активно использует широкий спектр вредоносных инструментов, таких как Gh0st RAT, MATA, Mimikatz, WannaCry, ProcDump, Responder. Кроме того, для взломов применяются легитимные программы, известные как LolBins, и потенциально нежелательные программы (PUP), например, TightVNC и KillDisk.
Основной метод проникновения на устройства — фишинговые письма с вредоносными вложениями.
⛓️💥 Значимые эпизоды:
· Компрометация серверов Sony Pictures (2014 г.) — одна из самых громких атак группировки.
· Эксплуатация уязвимости CVE-2024-7971 — актуальная угроза, задокументированная в недавнем отчете Microsoft.
Специалисты RT Protect SOC неоднократно проводили расследования инцидентов, связанных с деятельностью Lazarus, и готовы к своевременному реагированию на любые потенциальные угрозы.
#ПрофильПреступника
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11❤4🔥2👏1
🌱🎩 Green Hat: неопытность и отвага
Green Hat — это хакеры, которые только начинают погружение в мир кибербезопасности. Их знания об уязвимостях и сетях ограничены, однако это не мешает им пытаться проявить себя. И порой — это опаснее, чем кажется.
Чем они занимаются?
Green Hat активно исследуют новые технологии и учатся у более опытных хакеров. Они используют доступные инструменты для взлома, тестируют системы и ищут уязвимости, зачастую без полного понимания последствий своих действий.
В чем опасность?
Неопытность этих хакеров делает их действия непредсказуемыми. Не всегда осознавая риски, они могут случайно нарушить работу систем или скомпрометировать данные, что создает угрозу для безопасности.
Что следует учитывать?
Green Hat не представляют собой организованную преступную группу, но их активность в киберпространстве требует внимания. Предотвращение инцидентов, связанных с их действиями, может существенно снизить риски для систем и данных.
#РазрушительницаМифов
Green Hat — это хакеры, которые только начинают погружение в мир кибербезопасности. Их знания об уязвимостях и сетях ограничены, однако это не мешает им пытаться проявить себя. И порой — это опаснее, чем кажется.
Чем они занимаются?
Green Hat активно исследуют новые технологии и учатся у более опытных хакеров. Они используют доступные инструменты для взлома, тестируют системы и ищут уязвимости, зачастую без полного понимания последствий своих действий.
В чем опасность?
Неопытность этих хакеров делает их действия непредсказуемыми. Не всегда осознавая риски, они могут случайно нарушить работу систем или скомпрометировать данные, что создает угрозу для безопасности.
Что следует учитывать?
Green Hat не представляют собой организованную преступную группу, но их активность в киберпространстве требует внимания. Предотвращение инцидентов, связанных с их действиями, может существенно снизить риски для систем и данных.
#РазрушительницаМифов
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10❤4🔥4
This media is not supported in your browser
VIEW IN TELEGRAM
РТ-Информационная безопасность на «ИТОПК-2024»
Ахмедов Самир, руководитель направления коммуникационных технологий РТ-Информационная безопасность, выступил на тринадцатом форуме «ИТОПК-2024» — ключевом событии по цифровизации оборонно-промышленного комплекса, которое проходит с 1 по 3 октября 2024 года в Архангельской области.
В своем выступлении Самир рассказал о платформе корпоративных коммуникаций RT Link, а также детально разобрал современные вызовы в сфере корпоративных коммуникаций, обсудил важность интеграции инновационных решений и обозначил цели данного проекта.
Ахмедов Самир, руководитель направления коммуникационных технологий РТ-Информационная безопасность, выступил на тринадцатом форуме «ИТОПК-2024» — ключевом событии по цифровизации оборонно-промышленного комплекса, которое проходит с 1 по 3 октября 2024 года в Архангельской области.
В своем выступлении Самир рассказал о платформе корпоративных коммуникаций RT Link, а также детально разобрал современные вызовы в сфере корпоративных коммуникаций, обсудил важность интеграции инновационных решений и обозначил цели данного проекта.
👍13🔥10❤6👏3
🔐 Безопасность в публичных Wi-Fi
Мы все когда-нибудь пользовались публичным Wi-Fi в кафе, на вокзалах или в торговых центрах. Но задумывались ли вы, насколько это безопасно?
🔍 Основные угрозы
• Сниффинг: злоумышленники могут перехватить трафик и получить доступ к вашим логинам, паролям и другой конфиденциальной информации.
• Подмена сайтов: мошенники могут создать фальшивые сайты, визуально неотличимые от настоящих, чтобы украсть ваши учетные данные.
• Фальшивые точки доступа: подключение к поддельной сети, созданной злоумышленником, может привести к утечке личных данных.
🛡️ Как защитить себя?
Пройдите наш чек-лист и пользуйтесь Сетью где и когда угодно:
1. Избегайте использования Wi-Fi сетей без пароля
Такие сети не обеспечивают достаточной защиты, и любые данные, передаваемые через них, могут быть перехвачены.
2. Тщательно проверяйте название сети
Фальшивые точки доступа могут иметь названия, схожие с официальными. Внимательно проверяйте, к какой сети подключаетесь.
3. Отключите автоматическое подключение
Настройки устройства могут автоматически подключить вас к опасной сети. Рекомендуется отключить эту функцию и подключаться вручную.
4. Используйте мобильный интернет
При необходимости входа в аккаунты с конфиденциальной информацией предпочтительнее использовать мобильный интернет, а не публичный Wi-Fi.
5. Настройте автоматическое включение VPN
Обеспечьте дополнительную защиту, настроив автоматическое включение VPN при подключении к любым публичным сетям.
Публичные Wi-Fi сети могут быть удобными, но их использование несет в себе определенные риски. Соблюдая простые меры предосторожности, вы сможете защитить свои данные и пользоваться Интернетом без опасений.
#Советы
Мы все когда-нибудь пользовались публичным Wi-Fi в кафе, на вокзалах или в торговых центрах. Но задумывались ли вы, насколько это безопасно?
🔍 Основные угрозы
• Сниффинг: злоумышленники могут перехватить трафик и получить доступ к вашим логинам, паролям и другой конфиденциальной информации.
• Подмена сайтов: мошенники могут создать фальшивые сайты, визуально неотличимые от настоящих, чтобы украсть ваши учетные данные.
• Фальшивые точки доступа: подключение к поддельной сети, созданной злоумышленником, может привести к утечке личных данных.
🛡️ Как защитить себя?
Пройдите наш чек-лист и пользуйтесь Сетью где и когда угодно:
1. Избегайте использования Wi-Fi сетей без пароля
Такие сети не обеспечивают достаточной защиты, и любые данные, передаваемые через них, могут быть перехвачены.
2. Тщательно проверяйте название сети
Фальшивые точки доступа могут иметь названия, схожие с официальными. Внимательно проверяйте, к какой сети подключаетесь.
3. Отключите автоматическое подключение
Настройки устройства могут автоматически подключить вас к опасной сети. Рекомендуется отключить эту функцию и подключаться вручную.
4. Используйте мобильный интернет
При необходимости входа в аккаунты с конфиденциальной информацией предпочтительнее использовать мобильный интернет, а не публичный Wi-Fi.
5. Настройте автоматическое включение VPN
Обеспечьте дополнительную защиту, настроив автоматическое включение VPN при подключении к любым публичным сетям.
Публичные Wi-Fi сети могут быть удобными, но их использование несет в себе определенные риски. Соблюдая простые меры предосторожности, вы сможете защитить свои данные и пользоваться Интернетом без опасений.
#Советы
✍4👍4❤3🔥1
⚠️ Rare Wolf атакует: будьте начеку!
Кибератаки группировки Rare Wolf приняли промышленные масштабы. В течение нескольких недель фишинговые рассылки группировки занимают значительную часть анализируемых аналитиками экземпляров ВПО.
Как мы уже упоминали ранее, рассылка ведется с домена hostingforme[.]nl.
Цель атак — внедрение программы удаленного управления Mipko Employee Monitor на компьютеры жертв.
Настоятельно рекомендуем быть внимательными при открытии подозрительных писем, ведь в число жертв злоумышленников уже попали десятки организаций, входящие в контур Госкорпорации «Ростех».
⚙️ Меры предосторожности
• Проверяйте каждый полученный файл.
• Избегайте открытия вложений от неизвестных отправителей.
• Будьте внимательны к подозрительным ссылкам и доменам.
📎 Индикаторы компрометации
#КиберХроника
Кибератаки группировки Rare Wolf приняли промышленные масштабы. В течение нескольких недель фишинговые рассылки группировки занимают значительную часть анализируемых аналитиками экземпляров ВПО.
Как мы уже упоминали ранее, рассылка ведется с домена hostingforme[.]nl.
Цель атак — внедрение программы удаленного управления Mipko Employee Monitor на компьютеры жертв.
Настоятельно рекомендуем быть внимательными при открытии подозрительных писем, ведь в число жертв злоумышленников уже попали десятки организаций, входящие в контур Госкорпорации «Ростех».
⚙️ Меры предосторожности
• Проверяйте каждый полученный файл.
• Избегайте открытия вложений от неизвестных отправителей.
• Будьте внимательны к подозрительным ссылкам и доменам.
📎 Индикаторы компрометации
IOCs:
SHA256: 86928e654a0323a77a9777e94d1bd1b2d25f8a4ed47c1ee7fe1f052710c0d73f (Файл Пневмокатапульта с самолётом.Step.scr)
SHA256: dd4942ae103f4a19eed46f8c073301b9fc162a32262cc0205a65a057c8db0868 (О ведении Каталога Российской ЭКБ (6-3223 от 25.09.2024).scr)
SHA256: 1fcb6ab9725cee064d4cf2f1f8b2041d08aa9be15c364d62de4497e388cb8b7e
SHA256: c176ccdddd3477fe2379cd796326793e300e41af7c681b84b9cb17d15d52a298
SHA256: d97c39008cb90f1323a09d6649cbeea8008e63c540c2ba2fe7827f26d7074461
SHA256: 32206fab84e2dff38c5c736268fa176f32c9d705e10808d6403ee65ca13cc8ae
SHA256: 6c1d5fb4c93344d4c44f5f6a76fd06d4457b5bac9cb93098de4ec157336b7f6f
DOMAIN: redaction-voenmeh[.]info
IP: 107.180.112[.]239
#КиберХроника
👍6🔥4❤2
🔥 Мы на КИБЕРТЕХ 2024!
Команда РТ-Информационная безопасность стала участником форума КИБЕРТЕХ 2024, где главная повестка — совершенствование защиты критической инфраструктуры и обеспечение технологической независимости экономики России.
На нашем стенде мы делились свежими решениями и продуктами для защиты вашего бизнеса. Рассказываем о ключевых моментах!
На стенде были представлены:
Актуальные решения для безопасности вашей организации и обновленные версии продуктов, входящих в экосистему RT Protect:
• RT Protect EDR
• RT Protect TI
• RT Protect EASM
Панельные дискуссии с нашими спикерами:
• Сегодня Алексей Жуков, руководитель департамента сервисов и продуктов, поделился экспертным мнением по вопросу «Атаки Trusted Relationships — Кто виноват и что делать?».
• Завтра, в 12:15, в зале «Атом» в панельной дискуссии на тему «Искусственный интеллект в ИБ / ИБ в искусственном интеллекте» примет участие Артем Сычев, первый заместитель генерального директора.
Спасибо каждому, кто был с нами на КИБЕРТЕХ 2024! До встречи на следующих мероприятиях — впереди много интересного!
Команда РТ-Информационная безопасность стала участником форума КИБЕРТЕХ 2024, где главная повестка — совершенствование защиты критической инфраструктуры и обеспечение технологической независимости экономики России.
На нашем стенде мы делились свежими решениями и продуктами для защиты вашего бизнеса. Рассказываем о ключевых моментах!
На стенде были представлены:
Актуальные решения для безопасности вашей организации и обновленные версии продуктов, входящих в экосистему RT Protect:
• RT Protect EDR
• RT Protect TI
• RT Protect EASM
Панельные дискуссии с нашими спикерами:
• Сегодня Алексей Жуков, руководитель департамента сервисов и продуктов, поделился экспертным мнением по вопросу «Атаки Trusted Relationships — Кто виноват и что делать?».
• Завтра, в 12:15, в зале «Атом» в панельной дискуссии на тему «Искусственный интеллект в ИБ / ИБ в искусственном интеллекте» примет участие Артем Сычев, первый заместитель генерального директора.
Спасибо каждому, кто был с нами на КИБЕРТЕХ 2024! До встречи на следующих мероприятиях — впереди много интересного!
🔥13👍11❤7🤝1
— Могут ли хакеры взломать мою камеру?
Если кратко — да, могут.
Один из самых простых способов взлома — установка приложения из непроверенного источника.
Представьте, что вы скачали игру или приложение с форума вместо Google Play или App Store. Дали необходимые разрешения, и среди них — доступ к камере. Вот и всё, вы сами открыли дверь в свое личное пространство хакерам.
На компьютерах это может быть ещё проще. Многие привыкли скачивать программы с первых попавшихся ссылок, не задумываясь о последствиях. Если в настройках конфиденциальности не ограничен доступ к камере, работа хакеров сильно упрощается.
Что могут сделать хакеры, получив доступ к камере?
Получив доступ к камере, хакер может делать многое, например:
⏺ Слежка в реальном времени — фото, видео, запись звука.
⏺ Сбор компрометирующего материала.
⏺ Кража личных данных — например, биометрических данных (лица, голоса).
🛡 Как предотвратить взлом камеры?
Чтобы не стать жертвой хакеров, достаточно следовать нескольким простым, но очень эффективным рекомендациям:
1. Устанавливайте приложения только из доверенных источников.
Не рискуйте своей безопасностью, скачивая приложения с сомнительных сайтов. Пользуйтесь только официальными магазинами приложений.
2. Проверяйте разрешения приложений.
Прежде чем установить приложение, посмотрите, какие разрешения оно запрашивает.
3. Регулярно проверяйте доступность камеры для приложений.
На каждом устройстве можно настроить, какие приложения могут пользоваться камерой. Убедитесь, что доступ к камере имеют только проверенные приложения.
4. Не отключайте встроенные системы безопасности.
Антивирусы, брандмауэры и другие системы безопасности существуют не просто так. Они защищают вас от вредоносного ПО, которое может быть установлено случайно.
#ВопросОтвет
Если кратко — да, могут.
Один из самых простых способов взлома — установка приложения из непроверенного источника.
Представьте, что вы скачали игру или приложение с форума вместо Google Play или App Store. Дали необходимые разрешения, и среди них — доступ к камере. Вот и всё, вы сами открыли дверь в свое личное пространство хакерам.
На компьютерах это может быть ещё проще. Многие привыкли скачивать программы с первых попавшихся ссылок, не задумываясь о последствиях. Если в настройках конфиденциальности не ограничен доступ к камере, работа хакеров сильно упрощается.
Что могут сделать хакеры, получив доступ к камере?
Получив доступ к камере, хакер может делать многое, например:
Чтобы не стать жертвой хакеров, достаточно следовать нескольким простым, но очень эффективным рекомендациям:
1. Устанавливайте приложения только из доверенных источников.
Не рискуйте своей безопасностью, скачивая приложения с сомнительных сайтов. Пользуйтесь только официальными магазинами приложений.
2. Проверяйте разрешения приложений.
Прежде чем установить приложение, посмотрите, какие разрешения оно запрашивает.
3. Регулярно проверяйте доступность камеры для приложений.
На каждом устройстве можно настроить, какие приложения могут пользоваться камерой. Убедитесь, что доступ к камере имеют только проверенные приложения.
4. Не отключайте встроенные системы безопасности.
Антивирусы, брандмауэры и другие системы безопасности существуют не просто так. Они защищают вас от вредоносного ПО, которое может быть установлено случайно.
#ВопросОтвет
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6❤3✍3👍1
👥 Социальная инженерия: не дайте себя обмануть!
Задумывались ли вы, что злоумышленники могут получить доступ к вашим данным не только через вирусы и хакерские атаки, но и через простое общение?
Это называется социальной инженерией — методом манипуляции, с помощью которого киберпреступники убеждают людей добровольно делиться конфиденциальной информацией.
Социальные инженеры — настоящие мастера обмана. Их цель — сделать так, чтобы вы сами передали им данные или открыли доступ к важным ресурсам, зачастую даже не подозревая о том, что что-то не так.
Как это работает?
Обычно атака проходит по следующему сценарию:
1. Подготовка — сбор информации о вас или вашем окружении.
2. Установление контакта — выход на связь и завоевание доверия.
3. Эксплуатация — достижение злоумышленниками своих целей.
4. Исчезновение — прекращение общения после достижения цели.
Это может быть как одно сообщение, так и месяцы общения. Как только вы выполняете нужное действие — преступники исчезают.
Как защититься?
⏺ Будьте внимательны к подозрительным сообщениям, письмам и звонкам.
⏺ Не переходите по ссылкам и не открывайте вложения из незнакомых источников.
⏺ Используйте надежные антивирусы и своевременно обновляйте свои устройства.
⏺ Никогда не передавайте пароли и личную информацию без тщательной проверки.
Помните: ваша безопасность в цифровом мире зависит только от вас.
#СловарьИБ
Задумывались ли вы, что злоумышленники могут получить доступ к вашим данным не только через вирусы и хакерские атаки, но и через простое общение?
Это называется социальной инженерией — методом манипуляции, с помощью которого киберпреступники убеждают людей добровольно делиться конфиденциальной информацией.
Социальные инженеры — настоящие мастера обмана. Их цель — сделать так, чтобы вы сами передали им данные или открыли доступ к важным ресурсам, зачастую даже не подозревая о том, что что-то не так.
Как это работает?
Обычно атака проходит по следующему сценарию:
1. Подготовка — сбор информации о вас или вашем окружении.
2. Установление контакта — выход на связь и завоевание доверия.
3. Эксплуатация — достижение злоумышленниками своих целей.
4. Исчезновение — прекращение общения после достижения цели.
Это может быть как одно сообщение, так и месяцы общения. Как только вы выполняете нужное действие — преступники исчезают.
Как защититься?
Помните: ваша безопасность в цифровом мире зависит только от вас.
#СловарьИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
✍4👍4❤1
7-8 октября на форуме КИБЕРТЕХ 2024 в Москве встретились ключевые фигуры цифровой безопасности.
Среди них — Шадаев Максут Игоревич, министр цифрового развития РФ, и Максимов Юрий Владимирович, сооснователь Positive Technologies. Специалисты посетили стенд РТ-Информационная безопасность, где смогли обсудить перспективы и новые направления в защите данных.
На стенде обсуждались самые важные вызовы кибербезопасности и значимость отечественных разработок в этой сфере. Особое внимание уделили развитию экосистемы RT Protect — комплекса решений для защиты данных в условиях быстрорастущих киберугроз.
Для каждого из нас кибербезопасность — это не просто вопрос конфиденциальности личной информации, но и вклад в развитие сильного, защищенного цифрового будущего!
Подписывайтесь, чтобы не упустить возможность узнать больше о RT Protect и других российских разработках, которые делают киберпространство безопаснее для всех.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12🔥6❤4
⚠️ Sticky Werewolf снова в деле
Злоумышленники группировки используют новый способ доставки ВПО, копируя начальные стадии у другой группировки — TA558. Для загрузки вредоносных экземпляров ВПО используются Github и Bitbucket.
⏺ Основные моменты расследования:
Аналитики центра мониторинга фиксируют фишинговую рассылку под видом документов формата PDF, но с двойным расширением. Исследуемые экземпляры ВПО относятся к многофазным.
Многофазный процесс атаки:
Этап 1 — доставка полезной нагрузки:
Использование загрузчика GuLoader, который не сохраняет копии на диске и загружает вредоносное ПО непосредственно в память рабочей станции.
Этап 2 — установка RAT:
В текущих атаках применяется DarkTrack RAT, ранее использовались AgentTesla и Remcos.
Злоумышленники загружают вредоносные файлы в виде строк base64, ограниченных тегами <<BASE64_START>> и <<BASE64_END>>.
Данные строки декодируются в .NET сборку, которая выгружается процессом powershell в память устройства через метод Assembly::Load.
Скачанное вредоносное ПО регистрируется через утилиту RegAsm.exe и выгружается в память процесса cmd.exe.
Примечательно, что репозитории, используемые для загрузки стадий, содержат и другие экземпляры ВПО, среди которых Lumma, Stealc, Doubleback. На момент анализа доступны следующие репозитории:
• https://bitbucket.org/rulmerurk/ertertqw/downloads/
• https://github.com/santomalo/audit
• https://github.com/santomalo/dowload
⚙️ Индикаторы компрометации
#КиберХроника
Злоумышленники группировки используют новый способ доставки ВПО, копируя начальные стадии у другой группировки — TA558. Для загрузки вредоносных экземпляров ВПО используются Github и Bitbucket.
Аналитики центра мониторинга фиксируют фишинговую рассылку под видом документов формата PDF, но с двойным расширением. Исследуемые экземпляры ВПО относятся к многофазным.
Многофазный процесс атаки:
Этап 1 — доставка полезной нагрузки:
Использование загрузчика GuLoader, который не сохраняет копии на диске и загружает вредоносное ПО непосредственно в память рабочей станции.
Этап 2 — установка RAT:
В текущих атаках применяется DarkTrack RAT, ранее использовались AgentTesla и Remcos.
Злоумышленники загружают вредоносные файлы в виде строк base64, ограниченных тегами <<BASE64_START>> и <<BASE64_END>>.
Данные строки декодируются в .NET сборку, которая выгружается процессом powershell в память устройства через метод Assembly::Load.
Скачанное вредоносное ПО регистрируется через утилиту RegAsm.exe и выгружается в память процесса cmd.exe.
Примечательно, что репозитории, используемые для загрузки стадий, содержат и другие экземпляры ВПО, среди которых Lumma, Stealc, Doubleback. На момент анализа доступны следующие репозитории:
• https://bitbucket.org/rulmerurk/ertertqw/downloads/
• https://github.com/santomalo/audit
• https://github.com/santomalo/dowload
IoC's:
SHA256: 8eadd27519eb9a97959c7417696f906ce4de01e49e1321a466a2748e888db2a5
SHA256: f75d1d3c22ad03094098e20f73b01ea1d112b76ca52c3d0946f24d5c5d272951 (Договор АО-НПФ-МИКРАН-№-12904ДО.pdf.exe)
SHA256: 998b564aea4c6a60da1df9b66e05a7d15fa12421433f9fa712f3d65ace4cee6a (Morti.exe)
SHA256: a195b64eaae8353c3de14d8e02849a0f30593859bdc2fb443ad5f9db9a803168 (testpowershell)
SHA256: c6ab3f142b6c70146102748002eaad2b5b8279588f61a19c153cb48a5266769d (se16.txt)
SHA256: 02be347bd34ba0a7ad2c5e50d1f74e88e0222eaa96ae3255c2eaa7e162c48d88 (img_test.jpg?14441723)
SHA256: d56692b1b665f5bbda97a2b6545abbc3b1a58859bd4fb545227ba0cd7012d2e5 (img_test.jpg?11811735)
SHA256: 1f5e2e15e2d09dd85380f2bd361d27f6dbd4c8c7f6fe270a54df1bfe3ba853c3 (Elsa.exe)
SHA256: 30ff2c0ee3eb088c9a1152b1f69c24b03837a11b9bbd8c1b65c6b2ad2162fea0
Ключи реестра: CurrentVersion\\Run\\*.vbs
Ключи реестра: CurrentVersion\\RunOnce\\*.vbs
Email-sender: dir@mikron-rzn[.]ru
Email-sender: info@varmenii[.]ru
#КиберХроника
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8👀5❤3🔥3
🎁 Команда РТ-Информационная безопасность вручает призы!
Чтобы поучаствовать в нашем розыгрыше необходимо выполнить 3 простых, но обязательных условия:
1. Быть подписанным на наш Telegram-канал.
2. Присутствовать на мероприятии «SOC Tech 2024» по адресу: Москва, LOFT HALL.
3. Успеть заполнить форму до 16:00 — форма. 👈🏻
🎉 Среди вас мы выберем 3 счастливчиков-победителей и вручим подарки на нашем стенде!
Результаты розыгрыша будут объявлены в 17:00 на стенде команды.
Чтобы поучаствовать в нашем розыгрыше необходимо выполнить 3 простых, но обязательных условия:
1. Быть подписанным на наш Telegram-канал.
2. Присутствовать на мероприятии «SOC Tech 2024» по адресу: Москва, LOFT HALL.
3. Успеть заполнить форму до 16:00 — форма. 👈🏻
🎉 Среди вас мы выберем 3 счастливчиков-победителей и вручим подарки на нашем стенде!
Результаты розыгрыша будут объявлены в 17:00 на стенде команды.
🎉6🔥3❤1🥰1
🎉 Итоги розыгрыша
Пришло время подвести итоги нашего розыгрыша. Мы ценим вашу активность и интерес к теме информационной безопасности! Ниже — список победителей, которым достанутся призы:
🏆 Победители:
1. Ксения — @KsSheChka
2. Дмитрий — @Safety1st
3. Ярослав — @Mialora
Поздравляем и ждем вас на нашем стенде для вручения призов!
Что дальше?
Это только начало! Мы продолжаем делиться актуальными советами по защите данных, новостями из мира кибербезопасности и анонсами предстоящих мероприятий.
А для тех, кто не выиграл в этот раз — не расстраивайтесь, впереди вас ждет еще больше масштабных розыгрышей и крутых призов!
Пришло время подвести итоги нашего розыгрыша. Мы ценим вашу активность и интерес к теме информационной безопасности! Ниже — список победителей, которым достанутся призы:
🏆 Победители:
1. Ксения — @KsSheChka
2. Дмитрий — @Safety1st
3. Ярослав — @Mialora
Поздравляем и ждем вас на нашем стенде для вручения призов!
Что дальше?
Это только начало! Мы продолжаем делиться актуальными советами по защите данных, новостями из мира кибербезопасности и анонсами предстоящих мероприятий.
А для тех, кто не выиграл в этот раз — не расстраивайтесь, впереди вас ждет еще больше масштабных розыгрышей и крутых призов!
🔥8👏5❤3👍1
🛡️ Антивирус: как работает и какой выбрать
Сегодня невозможно представить безопасную работу в интернете без антивирусной программы. Давайте разберемся, что такое антивирус, как он работает и почему без него не обойтись?
Что такое антивирус?
Антивирус — программа, предназначенная для защиты устройства от вредоносных программ.
Его основная задача — предотвратить попадание вирусов на устройство и устранить уже существующие угрозы.
Вредоносные программы могут попасть на компьютер или смартфон через скачанные файлы, подозрительные ссылки или зараженные носители. Они могут:
⏺ нарушить работу устройства;
⏺ украсть или повредить данные;
⏺ следить за пользователем через камеру или микрофон;
⏺ заблокировать файлы и требовать выкуп за их разблокировку.
Как работает антивирус?
Антивирусная программа защищает устройство двумя основными способами:
1. Обнаружение угроз
Антивирус сканирует файлы, программы и интернет-трафик. Это происходит либо автоматически, либо вручную, когда пользователь запускает проверку. При обнаружении угрозы программа немедленно предупреждает об этом.
2. Обезвреживание вирусов
В зависимости от типа угрозы, антивирус может:
⏺ «Вылечить» зараженный файл, удалив из него вредоносный код;
⏺ Поместить файл в карантин для его последующего анализа и «лечения»;
⏺ Удалить файл, если его восстановление невозможно;
⏺ Добавить файл в список исключений, если он ошибочно определен как угроза (по запросу пользователя).
⚙️ Антивирусная программа — это неотъемлемая часть современной цифровой безопасности. Независимо от того, работаете ли вы в интернете, совершаете покупки онлайн или просто просматриваете сайты, антивирус поможет сохранить ваши данные и устройство в безопасности.
#СловарьИБ
Сегодня невозможно представить безопасную работу в интернете без антивирусной программы. Давайте разберемся, что такое антивирус, как он работает и почему без него не обойтись?
Что такое антивирус?
Антивирус — программа, предназначенная для защиты устройства от вредоносных программ.
Его основная задача — предотвратить попадание вирусов на устройство и устранить уже существующие угрозы.
Вредоносные программы могут попасть на компьютер или смартфон через скачанные файлы, подозрительные ссылки или зараженные носители. Они могут:
Как работает антивирус?
Антивирусная программа защищает устройство двумя основными способами:
1. Обнаружение угроз
Антивирус сканирует файлы, программы и интернет-трафик. Это происходит либо автоматически, либо вручную, когда пользователь запускает проверку. При обнаружении угрозы программа немедленно предупреждает об этом.
2. Обезвреживание вирусов
В зависимости от типа угрозы, антивирус может:
⚙️ Антивирусная программа — это неотъемлемая часть современной цифровой безопасности. Независимо от того, работаете ли вы в интернете, совершаете покупки онлайн или просто просматриваете сайты, антивирус поможет сохранить ваши данные и устройство в безопасности.
#СловарьИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
✍6❤3🔥3
⚙️ Максимум защиты: новая версия RT Protect TI
Встречайте новую версию RT Protect TI — мощное обновление, которое делает ваши инструменты еще более гибкими и надежными.
Что ждет вас в обновлении?
⏺ Настройка формата данных для распространяемой аналитики: JSON, CSV, PlainTXT. Поддержка добавления в ZIP, GZIP;
⏺ Добавлено время актуальности заключения аналитика для артефакта — 1 год;
⏺ Добавлено дополнительное логирование действий в комментариях Артефакта при работе с тегами и графом артефакта;
⏺ Переработан механизм синхронизации Yara-наборов, добавлена дополнительная проверка на корректность компиляции yara-правил;
⏺ Массовые операции с заключением аналитика на странице отчета по списку артефактов;
⏺ Актуализированы разделы аналитики EDR в соответствии с актуальной версией RT Protect EDR.
Не ждите — обновляйтесь и держите киберугрозы под полным контролем!
#RT_Protect_TI
Встречайте новую версию RT Protect TI — мощное обновление, которое делает ваши инструменты еще более гибкими и надежными.
Что ждет вас в обновлении?
Не ждите — обновляйтесь и держите киберугрозы под полным контролем!
#RT_Protect_TI
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥18👍9💯3🏆2
🔥 РТ-Информационная безопасность ✕ SOC Tech 2024
В Москве прошло масштабное событие в сфере информационной безопасности — SOC Tech 2024, собравшее более 1000 профессионалов из всех уголков России.
На стенде мероприятия команда РТ-Информационная безопасность представила свои последние разработки и инновационные решения в сфере защиты данных и мониторинга угроз.
На стенде компании были представлены:
Актуальные решения для безопасности вашей организации и обновленные версии продуктов, входящих в экосистему RT Protect:
⏺ RT Protect EDR
⏺ RT Protect TI
⏺ RT Protect EASM
Выступления наших экспертов:
🗣 Андрей Фёдоров, аналитик Центра мониторинга и реагирования, рассказал о том, как с помощью CI/CD организовать процессы разработки, автоматизированного тестирования и доставки аналитических пакетов SOC до конечных систем мониторинга и реагирования.
🗣 Олег Слепушенко, ведущий аналитик Центра мониторинга и реагирования, представил доклад «Реально ли идеальное расследование: быстро, качественно, автоматизированно», продемонстрировав возможности современных технологий для эффективного анализа и реагирования на инциденты.
🗣 Иван Бобков, ведущий аналитик Центра мониторинга и реагирования, в своем выступлении «DFIR, о котором не рассказывают» поделился наиболее показательными расследованиями команды с точки зрения уроков, ошибок и "подводных камней".
Штабные учения
В рамках форума команда RT Protect SOC приняла участие в штабных учениях и заняла 2 место.
Штабные учения — это сверхполезный опыт для участников команд и каждого зрителя. В условиях, максимально приближенным к реальным, стало ясно, как строить работу отдела ИБ для предотвращения инцидентов и устранения выявленных проблем.
Спасибо, что были с нами на SOC Tech 2024!
Мы благодарим всех, кто посетил стенд РТ-Информационная безопасность, принял участие в наших выступлениях и проявил интерес к нашим решениям.
До скорых встреч на новых мероприятиях в мире кибербезопасности!
В Москве прошло масштабное событие в сфере информационной безопасности — SOC Tech 2024, собравшее более 1000 профессионалов из всех уголков России.
На стенде мероприятия команда РТ-Информационная безопасность представила свои последние разработки и инновационные решения в сфере защиты данных и мониторинга угроз.
На стенде компании были представлены:
Актуальные решения для безопасности вашей организации и обновленные версии продуктов, входящих в экосистему RT Protect:
Выступления наших экспертов:
Штабные учения
В рамках форума команда RT Protect SOC приняла участие в штабных учениях и заняла 2 место.
Штабные учения — это сверхполезный опыт для участников команд и каждого зрителя. В условиях, максимально приближенным к реальным, стало ясно, как строить работу отдела ИБ для предотвращения инцидентов и устранения выявленных проблем.
Спасибо, что были с нами на SOC Tech 2024!
Мы благодарим всех, кто посетил стенд РТ-Информационная безопасность, принял участие в наших выступлениях и проявил интерес к нашим решениям.
До скорых встреч на новых мероприятиях в мире кибербезопасности!
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12👍6❤2💘1