Хотя Security Analyst Summit открылся докладом о сложной шпионской APT, многие другие доклады конференции посвящены не менее изощрённым атакам с финансовой мотивацией.
Эксперты GReAT Омар Амин и Соджун Риу рассказали о неизвестных ранее подробностях атак группировки BlueNoroff/APT38/Stardust Chollima/TA444. В кампании GhostCall, где разработчиков и участников рынка криптовалюты и Web3 заражают вредоносным ПО под прикрытием конференц-звонков, документированы 8 (!) цепочек заражения. В них используется совершенно разное ВПО — от уже известного CosmicDoor до ранее не замеченного набора скриптов SilentSiphon. Примечательно, что в арсенале атакующих есть ВПО для всех основных платформ, но доминируют вредоносы для MacOS, поскольку жертвы обычно предпочитают именно эту ОС. В посте на Securelist также документирована менее известная кампания GhostHire, новая фаза которой вероятно началась в апреле. Здесь к разработчикам через Telegram приходят приходят фейковые рекрутёры и выдают им "тестовое задание" с сюрпризом, хранящееся на GitHub. Жертвы этих атак обнаружены в Индии, Турции, Австралии и других странах Европы и Азии.
Исследователь Та Данг Вин из VNPT Cyber immunity описал сложную атаку на вьетнамские компании финансового сектора. Две разные цепочки заражения, основанные на применении LOLBAS и COM Hijacking, приводят к развёртыванию ВПО SPECTRALVIPER. В нём применены несколько необычных способов обфускации и шифрования. Например коммуникации с С2 зашифрованы ключом на основе уникального пути, в котором хранится ВПО на компьютере конкретной жертвы.
Афанасиос Гиатсос дал практические рекомендации защитникам по анализу и мерам ИБ против набирающей обороты угрозы — троянизированных расширений Chrome. Кража данных расширениями весьма эффективна, учитывая изобилие SaaS-приложений, работающих в браузере. При этом автоматические обновления расширений и практика перепродажи и кражи популярных расширений усложняют применение обычных защитных мер вроде "белых списков".
Пол Паджарес из Интерпола поделился интересными фактами о прошедшей недавно Operation Serengeti 2.0 и практическими нюансами взаимодействия ИБ-фирм и правоохранительных органов при борьбе с международной киберпреступностью.
#theSAS2025 #APT @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6👍5❤2🤯2
🚖 Почти GTA
В этом году на Security Analyst Summit особое внимание уделяют автомобильной тематике. Целую сессию на конференции открыл Сергей Ложкин, которого привёз на сцену сам Янн Марденборо, прошедший карьерный путь от sim-racing до подиума Ле-Ман. Старенький Мерседес, который на протяжении всей сессии постепенно превращался в арт-объект, был единственной невзламываемой машиной в этот день. Почти все автомобили на дорогах уже очень цифровые, и от цифровых компонентов в них зависит почти всё. Евгений Касперский поделился историей из практики — в одной из поездок автомобиль пришлось бросить посреди Сибири, потому что на него неудачно установили обновление прошивки, и машина превратилась в дорогостоящий кирпич.
Злоумышленники могут сделать нечто подобное в большом масштабе, и это отнюдь не теория. Артём Зиненко из Kaspersky ICS CERT представил историю одного пентеста, в котором команда прошла путь от незакрытого сервиса Wiki у суб-субподрядчика крупного автопроизводителя до возможности централизованно разослать обновление прошивки десяткам тысяч автомобилей. Особенности головного модуля этих машин позволяют такому обновлению взаимодействовать через CAN-шину с основными механизмами авто — двигателем и тормозной системой.
Примечательна и работа команды сингапурских исследователей Джорджа Чена, Чи Пэня и Алины Тан. Изучив особенности нескольких популярных видеорегистраторов, они научились компрометировать эти устройства на лету, пользуясь дефектами в аутентификации Wi-Fi и системных сервисов видеорегистратора. Вредоносный код может автоматически инфицировать другие устройства поблизости, поэтому название "ботнет на колесах" действительно подходит этому проекту. Учитывая широкий доступ видеорегистраторов к таким данным, как геолокация в реальном времени, запись изображения и звука снаружи и внутри автомобиля, возможности для злоумышленников открываются гигантские.
Хотя автомобильная индустрия уделяет значительное внимание вопросам безопасности, устранить дефекты в ПО пока получается не всегда. Сергей Ануфриенко из Kaspersky ICS CERT завершил сессию обзором найденных его командой уязвимостей в различных ECU автомобиля, среди которых есть такие жемчужины как RCE в подсистеме телематики, срабатывающие при получении SIM-картой автомобиля специально сформированного SMS.
Системный обзор темы и советы автопроизводителям (и их поставщикам) есть на сайте ICS CERT.
#TheSAS2025 @П2Т
В этом году на Security Analyst Summit особое внимание уделяют автомобильной тематике. Целую сессию на конференции открыл Сергей Ложкин, которого привёз на сцену сам Янн Марденборо, прошедший карьерный путь от sim-racing до подиума Ле-Ман. Старенький Мерседес, который на протяжении всей сессии постепенно превращался в арт-объект, был единственной невзламываемой машиной в этот день. Почти все автомобили на дорогах уже очень цифровые, и от цифровых компонентов в них зависит почти всё. Евгений Касперский поделился историей из практики — в одной из поездок автомобиль пришлось бросить посреди Сибири, потому что на него неудачно установили обновление прошивки, и машина превратилась в дорогостоящий кирпич.
Злоумышленники могут сделать нечто подобное в большом масштабе, и это отнюдь не теория. Артём Зиненко из Kaspersky ICS CERT представил историю одного пентеста, в котором команда прошла путь от незакрытого сервиса Wiki у суб-субподрядчика крупного автопроизводителя до возможности централизованно разослать обновление прошивки десяткам тысяч автомобилей. Особенности головного модуля этих машин позволяют такому обновлению взаимодействовать через CAN-шину с основными механизмами авто — двигателем и тормозной системой.
Примечательна и работа команды сингапурских исследователей Джорджа Чена, Чи Пэня и Алины Тан. Изучив особенности нескольких популярных видеорегистраторов, они научились компрометировать эти устройства на лету, пользуясь дефектами в аутентификации Wi-Fi и системных сервисов видеорегистратора. Вредоносный код может автоматически инфицировать другие устройства поблизости, поэтому название "ботнет на колесах" действительно подходит этому проекту. Учитывая широкий доступ видеорегистраторов к таким данным, как геолокация в реальном времени, запись изображения и звука снаружи и внутри автомобиля, возможности для злоумышленников открываются гигантские.
Хотя автомобильная индустрия уделяет значительное внимание вопросам безопасности, устранить дефекты в ПО пока получается не всегда. Сергей Ануфриенко из Kaspersky ICS CERT завершил сессию обзором найденных его командой уязвимостей в различных ECU автомобиля, среди которых есть такие жемчужины как RCE в подсистеме телематики, срабатывающие при получении SIM-картой автомобиля специально сформированного SMS.
Системный обзор темы и советы автопроизводителям (и их поставщикам) есть на сайте ICS CERT.
#TheSAS2025 @П2Т
🔥10🤩3👍1👏1
Forwarded from Евгений Касперский
Дайджест SAS-2025.
По результатам голосования экспертов на конфе вот такие доклады первого дня получили наивысшую оценку:
1️⃣ Питер Гейсслер (независимый исследователь) об атаке на принтеры, а следом – и дальше на корпоративную сеть с помощью специального шрифта (точнее файла в формате TTF).
2️⃣ Наш Боря Ларин из команды GReAT про наследников Hacking Team – уже репостил.
3️⃣ Паоло Кавалия (компания Shielder) с докладом под названием «Влажная мечта банд-шифровальщиках» о 13 уязвимостях в менеджере привилегированного доступа (PAM-платформы) от Broadcom.
Вообще в первый день было 23 выступления, много было интересного. По традиции выступающие после доклада у нас выпивают на сцене, всего было выпито 59 рюмок (спикеров бывает больше одного + ведущий помогает).
На конференцию приехали 210 человек из 25 стран, включая ИБ-специалистов разнообразной специализации (реверс-инженеры, пентестеры, исследователи безопасности автомобилей, промышленных и бытовых умных устройств и т.д.), правоохранители, в том числе из Интерпола, представители бизнеса, а также журналисты. И один автогонщик, с которым я и Володя Дащенко на сцене обсудили вопросы автокибербеза. И выпили с капота старого мерседеса, да.
Мы делаем SAS всегда с элементом хулиганства, в этот раз оформлена конференция в стиле игры GTA: Vice City, которая, оказывается, вышла в свет ровно 23 года назад (29.10.2002). Я не играл, но оформление игры и нашей конференции оцениваю положительно:-).
Мерседес S-класса 1998 года купили тут, в Таиланде, если что. Завтра попробуем на нём тут проехать по округе, надеюсь, не подведёт, будут фото и видео:-)
По результатам голосования экспертов на конфе вот такие доклады первого дня получили наивысшую оценку:
Вообще в первый день было 23 выступления, много было интересного. По традиции выступающие после доклада у нас выпивают на сцене, всего было выпито 59 рюмок (спикеров бывает больше одного + ведущий помогает).
На конференцию приехали 210 человек из 25 стран, включая ИБ-специалистов разнообразной специализации (реверс-инженеры, пентестеры, исследователи безопасности автомобилей, промышленных и бытовых умных устройств и т.д.), правоохранители, в том числе из Интерпола, представители бизнеса, а также журналисты. И один автогонщик, с которым я и Володя Дащенко на сцене обсудили вопросы автокибербеза. И выпили с капота старого мерседеса, да.
Мы делаем SAS всегда с элементом хулиганства, в этот раз оформлена конференция в стиле игры GTA: Vice City, которая, оказывается, вышла в свет ровно 23 года назад (29.10.2002). Я не играл, но оформление игры и нашей конференции оцениваю положительно:-).
Мерседес S-класса 1998 года купили тут, в Таиланде, если что. Завтра попробуем на нём тут проехать по округе, надеюсь, не подведёт, будут фото и видео:-)
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8👍3🤩2
Cloudflare опубликовали монструозный обзор (
Основная новость в статье — более половины трафика живых людей, который проходит через Cloudflare, защищено постквантовыми алгоритмами согласования ключа. Среди серверов на топ-100k доменов, уже 39% поддерживают ПКШ, хотя всего полгода назад было 28%.
А заканчивается обзор достаточно простой рекомендацией — постквантовое согласование ключей в инфраструктуре надо внедрять уже сейчас, а вот сертификаты на базе ПКШ пока к внедрению не готовы из-за зоопарка стандартов и высоких вычислительных расходов. Тем не менее, нужно готовить инфраструктуру к их внедрению, используя актуальные версии ПО, автоматизируя управление сертификатами и поддерживая конфигурации серверов, которые способны работать одновременно как с доквантовыми, так и постквантовыми сертификатами в зависимости от поддержки на стороне клиента.
#CISO @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4👍2👏1💯1
Октябрь был богат на новости ИБ, поэтому среди них могли затеряться материалы, полезные долгосрочно. Мы собрали самое ценное за месяц — эти статьи помогут выстроить эффективные процессы и системы в ИБ.
Если что-то пропустили, на длинных выходных как раз можно наверстать упущенное!
#дайджест @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2🔥2👏1🤯1