РТ-ИБ
1.25K subscribers
1.34K photos
50 videos
3 files
140 links
РТ-Информационная безопасность

Актуальные новости, советы и обзоры технологий для защиты данных. Будьте в курсе киберугроз и научитесь эффективно защищать свои цифровые ресурсы с нами!

Наш официальный сайт — https://rt-ib.ru
Download Telegram
Schtasks.exe — твой новый враг

Недавно исследователи безопасности обнаружили zero-day уязвимость в системной утилите Windows — планировщике задач (schtasks.exe), которая поэтапно позволяет злоумышленникам повысить привилегии до уровня системы, скрывать следы своей активности и запускать вредоносные процессы в рамках выполнения задач.

Как это работает:
1️⃣ Подготовка: для создания задачи, выполнение которой будет происходить с повышенным уровнем доверия, злоумышленник должен получить учетные данные локального администратора, в результате перехвата и последующего перебора пароля NTLMv2-хеша, который можно получить с помощью инициализации SMB-подключения к удаленному ресурсу злоумышленника, либо эксплуатируя уязвимость, например, CVE-2025-24071.

2️⃣ Инициализация вредоносной задачи: уязвимость позволяет злоумышленнику зарегистрировать задачу в системе с помощью системный утилиты schtasks.exe, которая запускается с параметрами /ru (для указания имени пользователя) и /rp (для передачи пароля пользователя), а также принимает значение параметра, указывающего на конфигурационный XML-файл с атрибутами вредоносной задачи.
Для этого создается промежуточная задача с помощью того же бинарного файла schtasks.exe с последующей передачей полезной нагрузки в виде подготовленного XML-файла с измененным значением тега <RunLevel>. В значения параметров /ru и /rp передаются ранее скомпрометированные учетные данные пользователя.

3️⃣ Сокрытие следов: злоумышленники могут скрыть факты вредоносных действий, используя отсутствие механизма проверки размера буфера при обработке метаданных для тега Author из XML-файла, дескриптор которого имеет ограничение примерно в 3500 байт. Это означает, что если автором задачи будет строка 'RT Protect', повторяющаяся 320 раз, то эти данные перезапишут остальные данные в событии.

Что можно сделать:
📎 Отслеживать активность запланированных задач.
📎 Внедрять дополнительные механизмы защиты и контроля доступа, чтобы минимизировать вероятность эксплуатации уязвимостей.
📎 Регулярно проверять логи на наличие исходящих подключений по протоколу SMB (это может быть первым признаком атаки).
📎 Настроить уведомления для EventID 4698 (событие создания задачи), чтобы отслеживать подозрительную активность. Несколько задач, созданных за короткий промежуток времени — тревожный сигнал!
📎 Установить RT Protect EDR, позволяющий своевременно выявлять продвинутые атаки.

#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
8👍64
Невидимые угрозы, которые могут скрываться в вашем компьютере

Руткит — это вредоносная программа, предназначенная для незаметного получения контроля над устройством. В отличие от обычных вирусов, руткиты не просто заражают файлы, а глубоко внедряются в операционную систему, делая себя практически невидимыми.

Главная опасность руткитов — это их способность скрывать присутствие других вредоносных программ. Пока вы работаете за компьютером, руткит может:
📎передавать злоумышленникам личные данные;
📎открывать доступ к устройству для хакеров;
📎превращать компьютер в часть ботнета;
📎отключать антивирусные программы, усложняя обнаружение угроз.

Как руткиты попадают на устройства?
Существует несколько способов их распространения:
1️⃣ Фишинговые атаки и социальная инженерия
Руткиты могут проникнуть на устройство, если вы откроете вредоносное вложение в письме, скачаете файл с неизвестного источника или установите сомнительный софт. Иногда они маскируются под легитимные программы и работают в фоновом режиме.
2️⃣ Использование уязвимостей в ПО
Если операционная система или программы не обновляются вовремя, злоумышленники могут использовать их слабые места для скрытой установки руткита.
3️⃣ Зараженные файлы
Пиратский софт, нелицензионные игры, модифицированные приложения — всё это потенциальные носители руткитов.

Какие бывают руткиты?
Руткиты бывают разными по механизму действия и уровню опасности:
👾 Аппаратные руткиты — внедряются в прошивку устройств (BIOS, роутеры, жесткие диски), работают на самом глубоком уровне.
👾 Загрузочные руткиты — заменяют загрузчик операционной системы, активируясь до её запуска.
👾 Руткиты в оперативной памяти — находятся в ОЗУ, исчезают при перезагрузке, но могут быть повторно установлены.
👾 Руткиты приложений — заражают программы, такие как браузеры, офисные приложения, блокноты.
👾 Модульные руткиты ядра — воздействуют на ядро системы, меняют работу ОС, делая себя практически неуязвимыми.
👾 Виртуальные руткиты — создают виртуальную среду, перехватывая запросы и маскируясь от антивирусов.

Как понять, что устройство заражено?
Руткиты сложно обнаружить, но есть несколько признаков, которые могут насторожить:
📎Компьютер часто зависает, работает медленнее обычного.
📎Появляются неожиданные ошибки и «синий экран смерти».
📎В браузере открываются странные сайты, изменяются настройки.
📎Антивирусное ПО отключается без причины.
📎Настройки системы меняются без вашего участия.

Как защититься?
Полностью исключить риск заражения руткитом сложно, но можно значительно снизить вероятность атаки:
⚫️ Обновляйте операционную систему и программы — это поможет закрывать уязвимости, которые могут использовать хакеры.
⚫️ Используйте антивирусное ПО с функцией обнаружения руткитов.
⚫️ Будьте осторожны при скачивании файлов — проверяйте источники, избегайте пиратских программ и подозрительных вложений.
⚫️ Ограничьте права доступа для программ — не давайте приложениям больше разрешений, чем им необходимо.
⚫️ Следите за поведением системы — если заметили необычную активность, проведите проверку из «чистой» среды, например, загрузившись с безопасного USB-носителя.

#Техноразбор
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8861
Команда РТ-ИБ немного разгулялась на креативе и представила, как могли бы выглядеть самые опасные киберпреступные группировки, если бы они были… куклами.

Что всё это значит?
Мы привыкли говорить об угрозах языком аналитики, отчётов и CVE. Но за каждым названием вроде "APT28" или "SEA" — люди, характеры, стили.

Хотите продолжения?
А если пойти дальше — представить, как выглядели бы известные компании из мира ИБ? Пишите свои образы. Если идея зайдёт — сделаем вторую часть!
16116
Старые баги — новые беды

Северокорейская группировка Kimsuky вернулась в заголовки — на этот раз с новой волной атак, в которой задействованы уязвимости, о существовании которых вы могли забыть.

Что уязвимости используют злоумышленники?
📎CVE-2019-0708 (BlueKeep) — уязвимость в протоколе RDP, в результате эксплуатации которой злоумышленник может удаленно выполнять произвольный код (RCE). Данная уязвимость была обнаружена и устранена ещё в 2019 году.
📎CVE-2017-11882 — уязвимость в редакторе уравнений из пакета Microsoft Office, связанная с ошибкой обращения с объектами в оперативной памяти. Данная уязвимость также позволяет злоумышленнику удаленно выполнять произвольный код (RCE) и до сих пор актуальна в системах без обновлений.

Как это работает
Атака строится по простой, но эффективной схеме:
🟡 Обнаружение уязвимых систем с открытым RDP.
🟡 Получение первоначального доступа в результате эксплуатации уязвимости CVE-2019-0708. Если уязвимые системы не были обнаружены, злоумышленники устраивают фишинговую кампанию на организацию с целью эксплуатации уязвимости CVE-2017-11882.
🟡 После получения первоначального доступа устанавливаются вредоносное ПО MySpy и утилита RDPWrap, а также модифицируются настройки для последующего доступа по RDP.
🟡 Получив полный контроль над зараженной машиной, злоумышленники устанавливают кейлогерры KimaLogger или RandomQuery для сбора вводимых пользователем данных.

Кто под прицелом?
Южная Корея — в эпицентре. Под ударом компании из сфер энергетики, финансов и IT.
Также зафиксированы атаки в Японии, США, Китае и Германии.

Что можно сделать?
🔐Закройте доступ в инфраструктуру из внешней сети по протоколу RDP
🔐Используйте VPN с многофакторной аутентификацией
🔐Установите обновления безопасности, закрывающие данные уязвимости
🔐Не открывайте файлы и письма от подозрительных отправителей
🔐Установите RT Protect EDR, который позволит своевременно обнаружить данную кампанию

Известные IOC

md5:
1177fecd07e3ad608c745c81225e4544
14caab369a364f4dd5f58a7bbca34da6
184a4f3f00ca40d10790270a20019bb4
30bcac6815ba2375bef3daf22ff28698
46cd19c3dac997bfa1a90028a28b5045

URL:
http[:]//star7[.]kro[.]kr/login/help/show[.]php?_Dom=991
http[:]//star7[.]kro[.]kr/login/img/show[.]php?uDt=177
http[:]//www[.]sign[.]in[.]mogovernts[.]kro[.]kr/rebin/include[.]php?_sys=7

Domain:
access-apollo-page[.]r-e[.]kr
access-apollo-star7[.]kro[.]kr
access-mogovernts[.]kro[.]kr
apollo-page[.]r-e[.]kr
apollo-star7[.]kro[.]kr


#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
863👍2
[АРХИВНАЯ ЗАПИСЬ: ДЕЛО FACEBOOK]
КЛАССИФИКАЦИЯ: Утечка данных крупнейшей социальной сети

ДАТА РАСКРЫТИЯ ИНЦИДЕНТА: 3 апреля 2021 года
ПРЕДПОЛАГАЕМАЯ ДАТА АТАКИ: 2019 год
ЧИСЛО ПОСТРАДАВШИХ: 533 млн пользователей из 106 стран

ВЫПИСКА ИЗ ОТЧЕТА
В апреле 2021 года в открытом доступе на хакерском форуме обнаружены личные данные 533 миллионов пользователей Facebook из 106 стран. Среди пострадавших — 32 миллиона пользователей из США, 28 миллионов из Саудовской Аравии и почти 10 миллионов из России.

Утекшие данные включают:
📎Полные имена пользователей
📎Номера телефонов
📎Даты рождения
📎Адреса электронной почты
📎Города проживания
📎Идентификаторы Facebook
📎Геолокация пользователей (если был включен трекинг)
📎Данные создания учетной записи
📎Статус отношений

Facebook заявил, что уязвимость, позволившая собрать эти данные, была устранена в 2019 году, и подчеркнул, что информация была получена путем скрейпинга, а не хакерского взлома систем компании.

📢 Важно: Facebook признал утечки, но не уведомил о них пользователей своей платформы, чтобы предупредить о возможных попытках эксплуатации скомпрометированных данных или для оперативной смены или удаления чувствительной информации.

ЦЕЛИ АТАКИ
Эксперты по кибербезопасности предупреждают, что такие масштабные утечки могут привести к росту случаев мошенничества, атак социальной инженерии и попыток взлома аккаунтов.

РЕКОМЕНДАЦИИ
1️⃣ Проверьте, не попали ли ваши данные в утечку, используя специализированные сервисы
2️⃣ Ограничьте возможность поиска вашего профиля по номеру телефона в настройках конфиденциальности
3️⃣ Используйте сложные пароли и включите двухфакторную аутентификацию для защиты аккаунта

Документ закрыт. Доступ ограничен.

#Архив
Please open Telegram to view this post
VIEW IN TELEGRAM
21053👍1
Бессмертный полк онлайн

Наши деды и прадеды 80 лет назад остановили нацизм и подарили нам мир. И в этом году мы снова пройдем вместе с ними — в онлайн-шествии «Бессмертного полка».

С 23 апреля по 6 мая ты можешь загрузить фотографию своего героя, рассказать его историю и даже сделать снимок ярче — реставрация и колоризация доступны бесплатно!

Как участвовать?
Зайди на 2025.polkrf.ru или в мини-приложения:
🟡 ВКонтакте
🟡 Одноклассники

9 мая фото твоего героя пройдет в онлайн-шествии.

Россия помнит. Герои с нами.
Please open Telegram to view this post
VIEW IN TELEGRAM
11👍6611
Готовность — ключ к выживанию

Современному бизнесу важно знать, как действовать, если защита дала сбой.

📢 На CISOCLUB вышла полезная статья Константина Васильева для малого и среднего бизнеса — о том, как грамотно реагировать на киберинциденты.

Три ключевых этапа реагирования
Независимо от выбранного фреймворка (NIST, SANS, ФСТЭК) все подходы к реагированию на инциденты строятся вокруг трёх универсальных этапов:
1️⃣ Подготовка
2️⃣ Обнаружение и анализ
3️⃣ Реагирование и восстановление

Пошаговый гайд и полезные материалы — по ссылке:
📎 Читать статью на CISOCLUB
Please open Telegram to view this post
VIEW IN TELEGRAM
874👍2
Бета-доступ как приманка

В 2025 году киберпреступники всё чаще используют социальную инженерию и игровые платформы для атак. Новый инфостилер AgeoStealer распространяется, используя интерес геймеров к бета-доступу и неофициальным релизам.

Злоумышленники используют методы социальной инженерии для распространения ВПО как в крупных тематических каналах, посвященных играм, так и в личных сообщениях на соответствующих платформах.


📢 Что произошло?
Специалисты по информационной безопасности выявили активное распространение нового вредоносного ПО — AgeoStealer, ориентированного на игровое сообщество. Распространяется стилер через прямые сообщения в Discord* — социальную сеть с одним из крупнейших охватов среди любителей мультиплатформенных игр (запрещена на территории РФ), где жертвам предлагают протестировать «новую видеоигру в раннем доступе».

Пользователю отправляют архив, защищённый паролем, якобы с инсталлятором на базе движка Unity. На самом деле — это модифицированный инсталлятор, собранный на базе NSIS (Nullsoft Scriptable Install System), в который встроен вредоносный JavaScript-код. Код AgeoStealer использует комбинированные методы обфускации JavaScript-кода, что существенно усложняет его статический анализ.

Как работает AgeoStealer
После запуска вредонос:
📎определяет параметры среды запуска для отслеживания использования технологий виртуализации/песочниц (T1497)
📎выполняет PowerShell-код для отключения системных процессов мониторинга безопасности, а также процессов для работы отладчиков
📎выполняет закрепление в системе с помощью добавления в автозагрузку
📎производит действия по Process Discovery (T1057) в системе и отслеживает запущенные процессы Web-браузеров, которые хранят или передают пользовательские данные
📎переходит к сбору данных с устройства, сканируя содержимое файловой системы (T1547)

Для файлов большого объема или файлов проприетарного формата используется отдельная функция сканирования "scanDirectoriesForLargeFiles()"

Цель — извлечение учётных данных из браузеров:
🟡 Chrome
🟡 Firefox
🟡 Edge
🟡 Opera

Инфостилер ищет:
🟡 Cookies
🟡 Сохранённые пароли
🟡 Сессионные токены
🟡 Данные автозаполнения
🟡 Информацию об установленных расширениях/плагинах
🟡 Файлы из стандартных пользовательских папок, включая рабочий стол и загрузки

После сбора данные сжимаются и загружаются на файловый сервис GoFile.io, позволяя злоумышленнику удалённо получить их без необходимости взаимодействия с системой напрямую.

Почему это важно
По данным Flashpoint, инфостилеры обеспечили до 75% всех случаев компрометации учётных данных в 2024 году — это около 2,4 млрд логинов.

РТ-Информационная безопасность рекомендует:
1️⃣ Не скачивать файлы из непроверенных источников, даже если их отправляют «знакомые»
2️⃣ Игнорировать предложения протестировать игры без официальных анонсов
3️⃣ Получать доступ к beta-тестированию или ключи от игр только с официальных ресурсов разработчика или на онлайн-сервисах цифрового распространения игр и программ
4️⃣ Использовать антивирусное ПО с поведенческим анализом
5️⃣ Хранить пароли в менеджерах, а не в браузерах
6️⃣ Включить двухфакторную аутентификацию на всех платформах

#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
12👍641
Вспомни своего героя

До конца подачи заявок остаётся неделя.
Наши деды и прадеды воевали за страну, за будущее, за нас. Сейчас наша очередь — сохранить память о них.

Подать заявку можно до 6 мая на 2025.polkrf.ru, а также через мини-приложения:
🟡 ВКонтакте
🟡 Одноклассники

Фотографии будут показаны 9 мая — в День Победы.

Это больше, чем память.
Please open Telegram to view this post
VIEW IN TELEGRAM
13
Луки-луки-луки Новый способ борьбы с cookie

📢 Brave выпустила инструмент с открытым исходным кодом для борьбы с уведомлениями о согласии на использование cookie — Cookiecrumbler.

Ранее Brave уже блокировал баннеры с cookie автоматически, но это иногда вызывало сбои в работе сайтов. Новый подход позволяет решать проблему, не влияя на их функциональность.

Особенности инструмента:
📎Применяет большие языковые модели (LLM) для поиска и блокировки cookie-уведомлений.
📎Работает только на сервере Brave — без доступа к пользовательским данным.
📎Использует прокси и сканеры вместо реальных сессий, чтобы имитировать просмотры.
📎Открыт для использования разработчиками через GitHub.
📎Используется как внутренний инструмент анализа.

Как работает Cookiecrumbler:
1️⃣ Сканирует сайты через региональные прокси.
2️⃣ Использует Puppeteer для загрузки страниц и обнаружения cookie-уведомлений.
3️⃣ Передаёт найденные элементы в ИИ для классификации и предложений по исправлению.
4️⃣ Публикует результаты на GitHub для обсуждения и проверки сообществом.

Его интеграция в браузер возможна только после завершения полной проверки безопасности и соблюдения стандартов конфиденциальности.

#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
129👍72
Досье: ГРУППА «LAZARUS»

Объект исследования:
Государственная кибергруппировка, предположительно спонсируемая Северной Кореей.

Группа Lazarus известна своими масштабными и разрушительными кибератаками по всему миру. Ее арсенал включает сложное вредоносное ПО, методы социальной инженерии и изощренные техники обхода защитных механизмов.

Основные факты:
Происхождение и мотивация:
группа связывается с государственными структурами Северной Кореи. Ее цели варьируются от финансового ущерба до стратегического кибершпионажа.

Знаковые атаки:
📎Атака на Sony Pictures (2014)
📎Кража средств из центрального банка в Бангладеш (2016)
📎Массовая атака WannaCry (2017)

Методы работы:
🟡 Использование фишинговых кампаний и целевых рассылок
🟡 Применение эксплойтов для заражения систем через уязвимости
🟡 Распространение сложного вредоносного ПО, способного обходить традиционные антивирусные решения

Технические детали:
Группа применяет многоступенчатые схемы проникновения:
1️⃣ Первичный вектор — социальная инженерия, направленная на заманивание жертв в ловушку
2️⃣ Второй этап — использование эксплойтов и модификация системных настроек для закрепления доступа
3️⃣ Третий этап — организация удаленного управления зараженными устройствами посредством скрытых командных серверов

Рекомендации по защите:
📎Обучение персонала: объясните сотрудникам правила безопасного поведения в сети и методы распознавания фишинговых атак.
📎Системы защиты: используйте современные EDR-решения (например, RT Protect EDR) и регулярно обновляйте антивирусное ПО.
📎Мониторинг сети: настройте системы обнаружения аномалий для своевременного выявления подозрительной активности.
📎Обновление ПО: следите за выходом и процессом своевременной установки патчей безопасности для всех используемых информационных систем.

#ПрофильПреступника
Please open Telegram to view this post
VIEW IN TELEGRAM
👍752
Мир, труд, кибербезопасность!

🎉 Товарищи, поднимем знамя цифровой защиты!
Пусть наши данные будут неприступной крепостью, а киберугрозы — лишь отголоском прошлого.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
1366
Внимание на экран

То, на что мы закрываем глаза каждый день, может нести реальные риски. Рабочий стол — не исключение. Он может стать точкой входа для угроз или отражением цифровой гигиены.

А теперь — честно:
Как выглядит ваш рабочий стол прямо сейчас?

💛 — 1 вариант
🔥 — 2 вариант

#ВиртуальныеДуэли
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
117😐6👀3👍1🎉1