🔎 Не вырубишь топором: применение AmCache в расследовании инцидентов

Злоумышленники и инсайдеры обычно стараются подчистить следы своей деятельности, поэтому любые артефакты в системе, не подверженные манипуляциям и доказывающие присутствие определённых файлов, очень ценны в расследованиях. При криминалистическом анализе Windows-систем таким артефактом является AmCache. Это кэш активности приложений, создаваемый средствами Windows, начиная с версии 7.

Разбирая его, можно, например, обнаружить сведения о шифровальщике, который автоматически удаляет себя. В записях AmCache аналитикам доступны имена файлов, пути к ним, хэши SHA-1, что позволяет экспертам DFIR искать совпадения с аналитическими данными об угрозах, пользуясь VirusTotal или OpenTIP, а затем блокировать подобные файлы на других хостах.

Важный нюанс при работе с AmCache — ограниченная применимость SHA-1. Хэш вычисляется только для первых 31 Мб файла, поэтому для очень больших файлов искать SHA-1 прямо на VT бесполезно. Другой нюанс — не все записи в AmCache однозначно указывают, что файл был запущен. Но точно можно сказать, что он присутствовал в системе.

Обо всех подробностях и нюансах использования AmCache в расследованиях, рекомендациях по совместному использованию с другими артефактами и логами (Prefetch, ShimCache, журналы событий Windows), читайте в новой статье наших экспертов на Securelist. Там же описано, как пользоваться open source утилитой AmCache-EvilHunter, которую мы разработали для удобного анализа этого артефакта — сама утилита уже на GitHub.

#IR #советы @П2Т

💡 Интересные исследования APT и новости ИБ за неделю

🔵 Масштабный разбор сложной шпионской APT Phantom Taurus, частично пересекающейся по инфраструктуре с Winnti/Starchy Taurus и APT27/Iron Taurus. Злоумышленники охотятся за секретной информацией стран Азии, Ближнего Востока и Африки. Кроме ходовых для всего кластера инструментов вроде шелла China chopper, эта APT применяет уникальные инструменты, включая ВПО Specter и NET-STAR. Последний является бесфайловым бэкдором, живущим в IIS. Основная тактика атакующих в последнее время — прямая кража записей из баз данных SQL.

🔎Интересное злоупотребление дефектами 4G-роутеров, включая используемые в промышленности — через них рассылают фишинговые SMS.

⌨️ Google/Mandiant разбирает недавние атаки на крупные организации финансово мотивированной группировкой UNC6040. Ключевой техникой атакующих являются голосовые звонки в техподдержку. Главное в посте — даже не разбор TTPs, а детальные рекомендации, как в хелпдеске обрабатывать запросы на смену паролей, 2FA, подключения приложений. Подробная верификация личности звонящего is a must.

🔄 Разбор недавних атак аффилиатов Akira. Атаки молниеносные — в сети проводят считанные часы: эксплуатация дефектов SonicWall, быстрая разведка и ограниченный захват серверв при помощи LotL, кража данных WinRar+rclone на VPS, шифрование.

🆔 APT SideWinder расширяет свою шпионскую географию и целится в организации пяти стран ЮВА, но 40% жертв — в Пакистане. Целью кампании является похищение учётных записей корпоративной почты (Zimbra, Outlook и т.п.)

🗂 Сербские организации, имеющие отношение к авиации, стали жертвами целевой фишинговой кампании, распространяющей бэкдоры PlugX/Sogu.

🐈‍⬛ Обширный слив документации, связанной с APT35/Charming Kitten. Происхождение и аутентичность документов как всегда в таких случаях под вопросом, но исследователи, знакомые с этой APT, оценивают данные как убедительные.

😎 Эволюция бэкдора WARMCOOKIE: он прочно вошёл в экосистему MaaS и сейчас распространяется как нагрузка второго этапа через загрузичк Castlebot.

⤵️Авторы обнаруженной в августе вредоносной кампании TamperedChef, распространяющие фальшивый редактор PDF, не успокаиваются и продолжают паразитировать в нише «офисных приложений». Те же техники, но другие домены и другие названия приложений.

🚀 Пользователей десктопного WhatsApp поражает червь SORVEPOTEL, самостоятельно рассылающий ссылку на себя контактам жертвы.

⚙️Крупная атака с перебором паролей нацелена на устройства Cisco ASA и шлюзы AnyConnect. Ждём нового зиродея?

Почти одновременно в пять раз выросло число попыток сканирования админских интерфейсов Palo Alto.

🔔 Редкая в нашем дайджесте история про гейминг (ну почти). В Unity устранена уязвимость CVE-2025-59489 (CVSS 8.4), позволяющая подгрузить вредоносную библиотеку в контексте уязвимого приложения. Дефекту подвержены игры и приложения на платформах: Windows, Linux, MacOS, Android. Эксплуатация может производиться из низкопривилегированного вредоносного приложения, а в редких случаях и дистанционно. Unity выпустила патч, но с ним нужно перекомпилировать примерно все игры, выпущенные за последние 7-8 лет. Microsoft в своём бюллетене призывает временно деинсталлировать уязвимые игры до появления патча. Учитывая, что на Unity делают не только игры, но и некоторые обучающие и даже бизнес-приложения, этот дефект стоит держать на радаре.

#дайджест #APT @П2Т

🪲 Ловим DLL Hijacking

За два года число кибератак, в которых применяется техника DLL Hijacking, выросло более чем вдвое. Подменой DLL занимаются как простые инфостилеры вроде Lumma, так и импланты шпионских APT (APT41, Lazarus), поэтому надёжное детектирование этой техники в организации очень важно.

Но важно делать это без ущерба производительности систем! Детектирование DLL Hijacking требует пристально анализировать активность легитимных процессов, возможно вызывающих вредоносную DLL — это может понижать производительность защитных решений и плодить ложноположительные детекты. 

При помощи ML нам удалось многократно повысить качество обнаружения техники DLL Hijacking. Технология уже внедрена в нашу SIEM. В Kaspersky Unified Monitoring and Analysis Platform (KUMA) она может работать на уровне коррелятора или коллектора событий — в первом случае нагрузка на системы ниже, а скорость отклика модели ниже. Запуск в коллекторе может быть актуален при ретроспективном поиске угроз.

При тестировании в реальной инфраструктуре организаций, защищённых нашим сервисом MDR, технология выявила несколько попыток кибератак, в частности запуск APT ToddyCat импланта Cobal Strike после экспулатации уязвимости в Sharepoint, а также бэкдор, запускающийся из легитимной утилиты Avast на съёмном носителе.

Подробный рассказ об интеграции технологии в KUMA и примеры найденных атак, а также детали обучения ИИ-модели и параметры её качества описаны в двух статьях на Securelist.

#SIEM #AI #KUMA @П2Т

👻 Уязвимость в Redis потянула на CVSS 10

Все версии популярной БД Redis, поддерживающие скриптинг на Lua, подвержены уязвимости use-after-free, которая позволяет атакующему выполнить вредоносный код с помощью специально подготовленного скрипта Lua. CVE-2025-49844 продержалась в коде 13 лет, но была обнаружена исследователями Wiz и пока (!) не эксплуатируется в атаках.

Для устранения дефекта нужно обновиться на одну из исправленных версий: 6.2.20, 7.2.11, 7.4.6, 8.0.4, 8.2.2.
Альтернативой является отключение Lua для пользователей, это можно сделать через ACL, ограничив применение команд EVAL и EVALSHA.

Учитывая, что Redis используется в добрых трёх четвертях облачных сред, а дефекты в нём обожают банды криптомайнеров, стоит поторопиться с реагированием.

#уязвимости @П2Т

💾 Съёмные носители в АСУ ТП

NIST опубликовал рекомендации по безопасному использованию съёмных носителей в ОТ. Всего две странички, всё продиктовано здравым смыслом, но как же часто не выполняется на практике и приводит к неприятным инцидентам с нарушением изоляции ОТ-сети.

Рекомендации охватывают все основные аспекты:
🟢процедуры и регламенты;
🟢рекомендации по закупкам;
🟢журналирование;
🟢тренинги;
🟢меры при транспортировке;
🟢физические средства контроля;
🟢технические меры контроля (allowlists, отключения лишних портов, детекты, форматирование).

Полезно изучить.

#советы #OT #ICS @П2Т

🧭 Глобальный регуляторный ландшафт: наступательные операции и ужесточение требований

В очередном выпуске Global Cyber Policy Radar эксперты NCC Group обращают внимание на несколько глобальных тенденций, которые подкреплены новым законодательством и денежными вливаниями. Это постепенно изменит как ландшафт угроз, так и подходы к ИБ в организациях. Итак, чего ждём:

«Нападение как защита». Правительства нормализуют offensive в качестве инструмента отражения киберугроз и выделяют бюджеты на соответствующие подразделения. Приведены примеры США, Великобритании и Южной Кореи. В бюджетах Евросоюза, Тайваня и некоторых других регионов выделены существенные суммы на повышение ИБ, но конкретная доля offensive не указана. Большой открытый вопрос — где для решения подобных задач будут использоваться только госслужбы, а где — лицензируемый частый бизнес.

Государственное финансирование растёт, но ответственность бизнеса тоже. Несмотря на крупные госинвестиции в ИБ критической инфраструктуры, от компаний ожидается больший денежный и организационный вклад. Требования NIS2 и DORA включают личную ответственность руководителей за их неисполнение и игнорирование обязанностей по управлению киберрисками. Авторы призывают готовиться к повышению регуляторного давления на крупные организации во всём мире.

Контроль цепочек поставок и суверенитет. ЕС, Великобритания, Сингапур и другие страны расширяют обязательства компаний в области защиты критической инфраструктуры и работы с третьими сторонами. Усиливается акцент на суверенные облачные и ИИ-решения, активизируется переход на ПО с открытым исходным кодом. В Европе планируют значительно повысить требования ко всем поставщикам ПО и умных устройств при помощи Cyber Resilience Act и Product Liability Directive.

Особое место в отчёте занимает обзор перехода к постквантовому шифрованию. Проблема очень остра из-за огромного масштаба требуемых изменений, необходимости инвентаризировать все устройства, приложения и сервисы, требующие обновления, а также продолжающейся стандартизации и разных подходов к ПКШ, что создаёт потенциал для снижения интероперабельности систем в будущем.

Полная версия отчёта во вложении ⬆️

#CISO @П2Т

Атаки в AWS, новые инструменты вымогателей и другие исследования APT за неделю

🟣Технический анализ атак на среды AWS, проводимых вымогательской группировкой Crimson Collective. Самой известной жертвой на сегодня является Red Hat.

🟣В атаках ransomware замечено использование Velociraptor — предназначенного для цифровой криминалистики ПО с открытым исходным кодом. Группа Storm-2603, ассоциирующая с шифровальщиками Warlock, LockBit и Babuk, использовала старую версию ПО, уязвимую к повышению привилегий, для захвата сети  и установки VSCode, в которой им, конечно, нужны были только туннели.

🔴А в атаках, компрометирующих веб-сервисы при помощи шелла China Chopper, на следующих этапах вторжения стали использовать китайский open source инструмент Nezha, в норме предназначенный для мониторинга серверов администраторами. 

🟢Разбор шпионских атак, проводимых группировкой UTA0388 на организации Европы, Азии и США. Целевой фишинг готовят предположительно с помощью LLM, поскольку письма рассылали на пяти языках. При этом в них есть странности, присущие ИИ-агентам, такие как спорадическая смена языка или попытки отправить письмо на явно несуществующий адрес. В случае успешного фишинга  у жертвы разворачивают ВПО GOVERSHELL.

🔵У МСБ выманивают деньги в качестве «залога», предлагая стать поставщиком крупных авиакомпаний. Схема целиком социоинженерная, ВПО не используется.

🟣Разбор обновлённого ботнета RondoDox, который теперь эксплуатирует почти 60 уязвимостей в 50 разных устройствах (в основном роутеры, веб-серверы, NAS и IP-камеры) для целей DDoS и майнинга.

🟠Новая интересная разновидность ClickFix — вредоносная веб-страница содержит ВПО под видом картинки,  а скрипт PowerShell активизирует его, сначала разыскав в кэше браузера. 

🔵Кстати, атаки ClickFix теперь интегрируют прямо в фишинг-киты.

🟢Технический анализ инфостилера Shuyal, который умеет красть данные из 19 браузеров.

🟠Крупная утечка паспортных данных пользователей Discord. Злоумышленники утащили из Zendesk не то 70 тысяч (версия Discord), не то 5,5 миллионов (версия хакеров) фото документов. Если вход на сайты по паспорту будет продолжать своё победное шествие по планете, таких инцидентов станет больше. 

🟢По оценкам Elliptic, кластер Lazarus в этом году украл более $2 млрд. крипты.

🟣Docker сделал свою программу Docker Hardened Images (DHI) доступной по подписке для МСБ. В DHI входят оперативно обновляемые образы с разумно ограниченным набором сервисов и прав, и конечно минимумом известных уязвимостей. 
Стоимость публично не называют, но она affordable, то есть доступная.

#дайджест #APT @П2Т

🔥 Обновили Kaspersky NGFW до версии 1.1

Уже завтра расскажем о расширении функциональности и модельного ряда железа — узнайте все подробности на нашем стриме.

Всего за пару месяцев после релиза 1.0 мы добавили много важных функций по запросам клиентов: RBAC, расширенные сценарии интеграции, политики на базе Geo-IP, синхронизация сессий и маршрутов в кластере, антивирусная проверка архивов и миграция политик с популярных зарубежных NGFW.

Приходите задать свои вопросы, посмотреть демо интерфейса в прямом эфире и узнать про новые аппаратные платформы KX-1000 и KX-100-KB1.

Начинаем в 11:00 завтра, 14 октября.

Зарегистрироваться

#события @П2Т

🗣Реальное применение Offensive Security

Когда: 15 октября 2025 в 11:00 (МСК)

Наступательная безопасность, которая когда-то интересовала лишь крупные ИТ-компании, сегодня востребована любым бизнесом со зрелой ИБ. Но pentest, red team и bug bounty эффективны только тогда, когда они разумно интегрированы в общую стратегию ИБ и проведены правильно. Где такие практики помогли предотвратить инциденты, а где — не сработали? Обсудим примеры и дадим советы на онлайн-конференции AM-Live! Поговорим:

▶️ что лучше — закупка сервиса или собственная команда;
▶️ когда оправдано проведение red team, а когда достаточно пентестов и автоматизированного сканирования;
▶️ как вовлечь бизнес, ИТ и ИБ в один проект;
▶️ что госведомства и КИИ обязаны проверять по закону, что проверяют в реальности;
▶️ кейсы, в которых offensive security помогла предотвратить инцидент;
▶️ как результаты Red Team помогают строить культуру безопасности, а не искать виноватых.

👤От «Лаборатории Касперского» выступит Вячеслав Васин, руководитель центра компетенции по анализу защищенности.

Встречаемся в среду — 15 октября 2025
Нужна предварительная регистрация.

Узнать о конференции и зарегистрироваться ⟶

#события @П2Т

⏰ Y2K38 — это не баг, а рекордно масштабная уязвимость

Описание проблемы Epochalypse звучит очень знакомо для тех, кто достаточно стар, чтобы помнить проблему-2000. Переполнение 32-битных знаковых целых чисел, в которых *nix-системы хранят число секунд, прошедших с начала «юникс-эпохи» 1 января 1970 года, наступит 19 января 2038 года. Все не обновлённые системы окажутся в 1970 году, что непредсказуемо повлияет на их работу.

Ключевое отличие от 2000 года — масштаб. Число систем, которые надо обновить, на несколько порядков выше числа компьютеров в ХХ веке. Кажется, что запас времени огромен, больше 12 лет. Но этого скорее всего недостаточно, особенно с учётом того, что никаких правительственных и международных групп, централизованно решающих эту проблему, пока вроде бы нет.

Исследователи ИБ отмечают, что для эксплуатации эффектов переполнения не обязательно ждать 2038 года. Системы, временем в которых можно манипулировать либо напрямую, либо через подмену данных протокола NTP, либо GPS-спуфингом, будут уязвимы. Уже есть живые примеры в АСУ ТП: CVE-2025-55068 (CVSS4-B 8.8) в системах дистанционного управления заправкой топлива Dover ProGauge MagLink приводит к отказу в обслуживании. Ждём в ближайшие годы гораздо больше похожих CVE.

В том, чтобы думать о проблеме-2038, как об уязвимости, есть практическая польза — можно применять методологии, созданные для приоритизации и устранения уязвимостей. Это очень полезно, поскольку устранить Y2K38 вообще везде вряд ли получится. Начинаем с начала: инвентаризация активов с указанием версий *nix и ПО. Не забываем IoT и IIoT 🤗

Бонус-трек: аналогичная проблема-2036 основана на переполнении в ряде реализаций NTP. Y2K36 наступит 7 января 2036 г.

#угрозы @П2Т

😱 У F5 утащили исходники

F5 повинилась в отчётности для SEC и опубликовала информацию об инциденте, обнаруженном ещё в августе. Злоумышленники получили доступ к среде разработки и платформе управления знаниями, и извлекли оттуда части исходного кода систем BIG-IP. А заодно и информацию об уязвимостях, которые находились в процессе устранения и ещё не были опубликованы.

Дальше F5 делает много успокоительных заявлений: среди этих дефектов не было критических уязвимостей и RCE, две внешние IR-команды не обнаружили несанкционированных модификаций исходного кода, нет признаков доступа к исходным кодам NGINX, нет признаков эксплуатации украденных дефектов.

Это всё конечно успокаивает, но не очень. Учитывая профиль предыдущих атак на устройства F5, вполне вероятно что новые CVE в их исходниках хорошо обеспеченные ресурсами атакующие ищут прямо сейчас. Судя по тону директивы CISA, там тоже не очень спокойны.

F5 выпустила обновления для BIG-IP, F5OS, BIG-IP Next for Kubernetes и BIG-IQ, чтобы закрыть все уязвимости, бывшие в работе на момент инцидента. Кроме очень срочной их установки, рекомендуют стримить события с BIG-IP в SIEM, вести проактивную охоту на угрозы и сильно бояться заниматься харденингом.

#уязвимости @П2Т

🤖🔃🎃  Что появляется быстрее вайбкода? Только ошибки в вайбкоде

Этот пост в блоге пришлось дописывать три раза, потому что всё время появлялись новые материалы по теме. Уж очень она горячая — уязвимости и ошибки в программном коде, сгенерированном с помощью ИИ-ассистентов, а также риски для разработчиков, применяющих ИИ-инструменты.

По этой теме уже есть всё: реальные (увы, успешные) атаки, PoC уязвимостей,  даже научные работы с систематическим анализом.  И разработчикам, и командам ИБ нужно ознакомиться с темой подробно, но несколько моментов для затравки дадим здесь:

😱 ИИ-код всё чаще успешно компилируется, но уязвимостей в нём столько же, сколько и два года назад — 45% кода с CVE;
😱 в вайбкоде опасны не только уязвимый код, но и мисконфигурации приложения. Самая типичная на сегодня — внутреннее приложение организации на самом деле доступно любым посторонним;
😱 при итеративной доработке число критических уязвимостей растёт на 37% после пяти раундов промптинга. А в жизни их бывает гораздо больше;
😱 через ИИ-ассистентов уже проводят и эксфильтрацию данных, и запуск вредоносного кода;
😱 уязвимости в MCP-серверах + промпт-инъекции — запомните этот рецепт. Очень вероятно, что это один из будущих фаворитов злоумышленников.

Читать

#советы #AI @П2Т

🫠 Принуждение к ИИ в Chrome и Windows, фундаментальная уязвимость в Android и и другие важные новости конфиденциальности и личной ИБ

🔄 Как мы и предсказывали, насильственное внедрение ИИ в популярные приложения и сервисы всё ускоряется. Google объявили о включении ассистента Gemini в Chrome на всех основных платформах, включая iOS. В будущем обещают агентские функции и вообще райские кущи, но уже сейчас собирают при веб-браузинге вдвое больше данных пользователя, чем даже другие браузеры с ИИ-функциями.

💻 Microsoft не отстаёт, планируя принудительно установить приложение Copilot всем пользователям, у которых есть десктопные приложения Office, или вернее Microsoft 365 desktop client apps, как теперь это называет Редмонд.

👀 Кроме рисков конфиденциальности, поспешная интеграция LLM в массовые приложения создаёт новые возможности мошенникам и киберпреступникам — как насчёт вредоносных инструкций ИИ-ассистенту прямо в календарном приглашении? Таких сценариев атак уже десятки.

🛡 Есть в Chrome и полезные новшества — у редко посещаемых сайтов будут автоматически отзывать разрешение на отправку уведомлений на десктоп. Схема обкатана на разрешениях приложений в Android, она вполне рабочая и удобная большинству пользователей.

🌐 Евросоюз остановил продвижение спорной инициативы о принудительном массовом сканировании переписки в мессенджерах, которую обычно называют Chatcontrol. Против высказались несколько крупных стран, включая Германию, поэтому инициативу можно считать мёртвой. Пишут, что такой волны гневных писем парламентариям не было уже давно.

🍏 Тем временем парижская прокуратура расследует деятельность Apple — поступила информация, что многочисленные записи разговоров с Siri прослушивали подрядчики Купертино в рамках программы улучшения качества ассистента.

👮‍♀️ Сюжет с утечкой паспортных данных пользователей Discord развивается — хакеры утверждают, что у них есть данные 5,5 млн. пользователей.

🆔 Google запустили-таки сквозное шифрование в Gmail. Правда, только для корпоративных пользователей. Если у получателя нет Gmail, ему предложат создать «гостевой» аккаунт, чтобы прочитать сообщение.

📱 Крупная кампания по распространению шпионского ПО ClayRAT для Android имитирует магазины приложений и предлагает установить популярное ПО наподобие TikTok. Одной из приоритетных целей является Россия, вредоносные ссылки распространяются в Telegram.

🐥 Не успели фанаты Windows 10 отгоревать о прекращении поддержки этой ОС 14 октября, как Microsoft напомнила, что Windows 11 23H2 тоже перестанет получать обновления 11 ноября. Ей богу, они всех пересадят на Linux.

⚠️ Новая уязвимость под названием Pixnapping позволяет Android-приложениям попиксельно считывать содержимое экрана, вообще не требуя особых разрешений. Google пыталась устранить дефект CVE-2025-48561 в сентябрьских патчах, но исследователи сразу же нашли обходной путь — следующая попытка патчинга ожидается в декабре.

👍 Чтение на выходные: подробное руководство по удалению лишней цифровой информации о себе в сети.

#дайджест @П2Т

▶️ Кражи из WhatsApp, новые Linux-руткиты и другие интересные исследования APT за неделю

🐘 Эволюция APT Mysterious Elephant, систематически проводящей шпионские атаки на дипломатические структуры и госорганы в АТР. Группа обновила свой арсенал, перейдя от известного ВПО к комбинации PowerShell-скриптов и модифицированных инструментов open source, чтобы извлекать документы с компьютеров жертв. Особое внимание уделяется похищению файлов и переписки из WhatsApp desktop и Chrome (в том числе WhatsApp web). Для этого применяются инструменты UpIo exfiltrator, Storm exfiltrator и ChromeStealer.  Прослеживается активный обмен ресурсами и кодом с группами Origami Elephant, Confucius и SideWinder.

👾 Досталось десктопному WhatsApp и в Латинской Америке — там эксперты GReAT обнаружили банковский троянец Maverick, использующий open source код WPPConnect для массовой рассылки WhatsApp-контактам жертвы. Ограничения в коде узко нацеливают найденную версию на жертв в Бразилии, но дальше вероятен экспорт угрозы злоумышленникам в других странах.

🔥 Новые подробности про мощный взлом F5 продолжают поступать, повышая уровень кортизола в крови ИБ-специалистов. Атакующие провели в сети F5 не менее года, поэтому клиентам компании нужно искать угрозы за довольно продолжительный период. Рекомендации по threat hunting нацелены на известное ВПО Brickstorm, о котором Google/Mandiant писали в сентябре.  Тем временем GreyNoise отмечает резкий всплеск попыток сканирования устройств F5.

🔵 APT Jewelbug/REF7707/Earth Alux расширяет географию своих атак, теперь под прицелом и российские организации. Согласно отчету, после компрометации крупного поставщика ИТ-услуг злоумышленники пытаются атаковать его клиентов. Эксфильтрация данных ведётся в облако Яндекса. Среди других примечательных жертв — госорганы в Южной Америке и тайваньские производители ПО.

🟢Постэксплуатационный фреймворк AdaptixC2 появился только в начале года, но уже весной он использовался злоумышленниками. А в октябре обнаружен поддельный пакет в реестре npm, доставляющий агента AdaptixC2 жертвам.

🟢 Технический анализ сложного ВПО LinkPro, использующего два модуля eBPF для скрытия своего присутствия в Linux-системах и активации при получении «волшебного» пакета по сети. Среди функций ВПО — прямой и обратный шелл и доступ к файлам. Руткит был обнаружен при расследовании инцидента и жил в инфраструктуре жертвы в Amazon EKS. В цепочке заражения используется загрузчик vShell, указывая на возможную причастность APT UNC5174 к инциденту.

🔎 Подробный отчёт о деятельности хактивистских группировок на Ближнем Востоке и в Северной Африке, которые впрочем атакуют жертв по всему земному шару. Отчёт основан на анализе их общения на различных онлайн-площадках. Основным профилем хактивистов остаётся DDoS, а львиная доля угроз, хвастовства и попыток координировать действия происходит в Telegram, а не в даркнете.

👽 Детальный технический анализ мультиплатформенного бэкдора StealthServer, используемого группировкой APT36/Transparent Tribe.

🤦‍♂️Пользователям VSCode приготовиться: более 500 расширений VSCode с 150000 загрузок содержали в файлах конфигурации токены доступа Open VSX/VS  marketplace, с помощью которых посторонние могут публиковать троянизированные обновления этих расширений.

👻 Новые инструменты APT Librarian Likho/Librarian ghouls. Группа отошла от 100% ориентации на LotL и написала себе ВПО на С#, вероятно с помощью ИИ.

🔵Разбор нового фишкита Whisper 2FA, нацеленного на сервисы MS 365.

🟡Предположительно северокорейская APT UNC5342 (Contagious interview) взяла на вооружение технику EtherHiding — фрагменты вредоносных нагрузок хранятся в смарт-контрактах Ethereum и BNB smart chain.

📱 На русскоговорящих форумах начали продавать доступ к новому Android-бэкдору HyperRat.

🚀 Впервые в нашем дайджесте (и возможно в истории TI): анализ эмодзи-паков Telegram! Это не шутка — коллекции логотипов компаний используются злоумышленниками при общении, чтобы не писать названия текстом, а также возможно в рамках фишинговых кампаний.

#APT #дайджест @П2Т

Про кибербезопасность из первых рук

Как справляются с современными проблемами ИБ в крупнейших компаниях, и чему можно научиться у их CISO? Чтобы ответить на эти вопросы, руководители различных подразделений «Лаборатории Касперского» примерили необычную роль телеведущих канала «ПРО БИЗНЕС» и побеседовали с лидерами ИБ, работающими в компаниях, наверняка вам известных — от Северстали и ВымпелКома до ОТП Банка и Газпром-медиа.

🎬 Проект «Уютные разговоры про кибербез» насчитывает уже два сезона, записи которых можно посмотреть на наших видеоплатформах:

1. О DDoS-атаках и трендах в кибербезопасности. Алексей Жуков, Газпром-Медиа Холдинг.
2. Про обучение ИБ для сотрудников и тренды ИИ. Дмитрий Балдин, РусГидро; Сергей Гусев, Северсталь Менеджмент.
3. О цифровой трансформации, ИИ в IT-найме. Всеслав Соленик, Сбербанк-Технологии.
4. О вызовах безопасности в банковском секторе и отечественных технологиях. Вячеслав Касимов, Московский Кредитный Банк.
5. О социальной инженерии и защите телефонов. Алексей Волков, ВымпелКом.
6. О совместной работе клиентов и вендоров и программе «Киберкультура». Алексей Мартынцев, Норникель.
7. О киберугрозах в образовании и атаках на цепочку поставок. Илья Яблоков, РАНХиГС.
8. О компетенциях ИБ-специалистов и реагировании на инциденты. Антон Замараев, ОТП Банк.
9. О динамике цифровой среды и подборе кадров. Александр Ковалевский, ИКС Холдинг.
10. О совмещении удобства и безопасности, внедрении ИИ и дефиците кадров. Андрей Заикин, К2 Кибербезопасность.

Ведущие проекта:
🔵Анна Кулашова, вице-президент «Лаборатории Касперского» по развитию бизнеса в России и странах СНГ;
🔵Марина Усова, директор по корпоративным продажам в России;
🔵Джабраил Матиев, директор по маркетингу в России и странах СНГ.

Смотрите все выпуски на любой удобной платформе!

Первый сезон: VK Видео | RuTube
Второй сезон: VK Видео | RuTube

🔎 Windows 11: что нового для DFIR?

Доля Windows 11 в корпоративных парках компьютеров всё ещё мала, но с прекращением поддержки W10 наверняка начнёт расти. Это повлияет на работу специалистов по реагированию — некоторые привычные криминалистические артефакты претерпели изменения, и появились совершенно новые источники информации.

🔵Блокнот, Проводник и Командная строка обзавелись вкладками, причём Блокнот сохраняет данные между перезагрузками.
🟣Поиск Windows переехал на SQLite, и БД из одного файла превратилась в три.
🟣Помощник совместимости приложений (PCA) создаёт больше файлов, по которым можно изучить историю запуска программ.
🟣Спорная функция Recall по умолчанию отключена на корпоративных компьютерах, но нужно быть готовым к тому, что злоумышленники включат её для сбора данных в своих интересах, и знать, как эти данные хранятся.

Подробный обзор изменений с описанием всех новых и изменённых структур данных читайте в обзоре на Securelist.

#советы @П2Т