😲 Да кто такие эти ваши PhaseShifters?

В начале июня 2024 года специалисты департамента Threat Intelligence выявили новую цепочку атаки PhaseShifters.

✍️ PhaseShifters (Sticky Werewolf, UAC-0050 ❓) — хакерская группировка, занимающаяся шпионажем, атаки которой направлены на различные отрасли стран Восточной Европы, в том числе на государственные учреждения, сферу экономики и промышленности.

В своих атаках группировка использует фишинг: злоумышленники отправляют письма якобы от официальных лиц с просьбой ознакомиться с документом и подписать его. Документ находится во вложении внутри защищенного паролем архива. В качестве ВПО злоумышленники используют Rhadamanthys, DarkTrack RAT, Meta Stealer и другие.

🔍 Мы наблюдаем высокую активность группировки с весны 2023 года и уже тогда заметили одну странную деталь. Дело в том, что атаки группировки PhaseShifters по техникам идентичны атакам другой группировки — UAC-0050. Более того, атаки проходят с небольшим временным промежутком, то есть группировки одинаково атакуют с разницей в несколько недель — месяц.

На данный момент мы склоняемся к тому, что UAC-0050 и PhaseShifters — это одна и та же группировка, но убедиться в этом можно будет только после более длительного наблюдения.

⚠️ И это случилось снова....

Летом этого года обе группировки начали использовать идентичные паттерны в своих атаках. Дошло даже до того, что ВПО группировок располагалось в одном и том же репозитории BitBucket. Это заставило нас углубиться в эту тему.

📰 Какая атака обнаружена, какие сходства мы увидели, кого атаковали, а также при чем здесь TA558 и бразильские обфускаторы и криптеры — все это вы можете узнать в нашей статье.

#TI #Hunt #Malware #APT
@ptescalator

✋🤚 Как вывести свое решение на новый уровень? Рассказываем на примере MaxPatrol SIEM.

Шаг за шагом наш продукт обретал новую технологичность. Иван Прохоров и Роман Сергеев из команды развития MaxPatrol SIEM вели летопись важных изменений в продукте и опубликовали ее в нашем блоге на Хабре.

Коллеги достаточно подробно, а главное — интересно, рассказали:

⚪️ как мы ушли от кроссплатформенности и поставили решение на линуксовые рельсы;

⚪️ почему мы отказались от сторонних СУБД для хранения данных и сшили на заказ разработали собственную;

⚪️ как система научилась видеть инфраструктуру, разбросанную во многих часовых поясах;

⚪️ почему мы пишем детекты сами с чистого листа, а не используем общедоступные;

⚪️ каким образом получается снижать требования MaxPatrol SIEM к «железу», не теряя экспертизы;

⚪️ за что в продукте отвечают ML-модули;

⚪️ зачем поддерживать облачные источники.

👉 Больше подробностей ищите в статье

#MaxPatrolSIEM
@Positive_Technologies

😨 Каждый день думаете о безопасности контейнерных сред?

Тогда присоединяйтесь к завтрашнему эфиру AM Live, где Никита Ладошкин, руководитель разработки PT Container Security, и другие эксперты расскажут, какие риски и угрозы нужно учитывать при внедрении контейнерной инфраструктуры, и обсудят отечественные инструменты для ее защиты.

Вы узнаете:

〰️ о стандартах и лучших практиках безопасности контейнерной виртуализации;

〰️ сложностях в журналировании и мониторинге действий внутри контейнеров со стороны SOC и способах с ними справиться;

〰️ реальных инцидентах, связанных с нарушениями безопасности контейнеров;

〰️ комплексных решениях для управления безопасностью контейнерной виртуализации.

Встречаемся в прямом эфире завтра (6 ноября) в 11:00. Не забудьте зарегистрироваться заранее!

#PositiveЭксперты
@Positive_Technologies

На SOC-форуме наши коллеги из отдела реагирования на угрозы ИБ экспертного центра безопасности Positive Technologies (PT ESC IR) рассказали о результатах порядка 1️⃣0️⃣0️⃣ проектов по расследованию инцидентов и ретроспективному анализу за последние четыре квартала.

Читайте полный отчет по ссылке, а здесь коротко, как мы любим, поделимся цифрами и фактами.

3️⃣ типа организаций оказывались под прицелом хакеров чаще остальных: промышленные предприятия, госучреждения и IT-компании.

2️⃣3️⃣ дня — средняя продолжительность киберинцидента.

3️⃣ года и 1️⃣день — длительности самой долгой и самой короткой вредоносных активностей.

1️⃣7️⃣ дней — среднее время от начала атаки до обнаружения активности злоумышленников.

3️⃣ дня нужно команде PT ESC IR, чтобы свести инцидент к контролируемой фазе.

1️⃣7️⃣ известных АРТ-группировок оставили следы присутствия в 39% компаний. Среди них наши эксперты выделили три: Hellhounds — как одну из самых продвинутых в своих техниках, ExCobalt — как самую активную, а XDSpy — как ту, что живет дольше остальных (она атакует организации в России с 2011 года).

Среди методов, которые используют злоумышленники, чтобы замести следы своего присутствия — шифровальщики, легитимное ПО для шифрования информации и вайперы для удаления данных.

«Количество атак через подрядчиков за год увеличилось до 15%, многие из этих компаний предоставляют услуги десяткам клиентов. Несмотря на то, что доля таких атак пока небольшая, реальный и потенциальный ущерб от взлома доверенных, но незащищенных партнеров приобретает лавинообразный характер, — прокомментировал Денис Гойденко, руководитель PT ESC IR. — Если говорить о способах получения первоначального доступа, самым распространенным остается эксплуатация уязвимостей в веб-приложениях. За последний год на первое место вышли сайты под управлением CMS „1C-Битрикс“: 33% от всех атак, в которых в качестве исходного вектора проникновения использовались уязвимые веб-приложения. Доля исходных векторов, связанных с почтовым сервером Microsoft Exchange, снизилась с 50 до 17%».

Какими были цели атакующих, и на что это влияло, читайте в исследовании на нашем сайте.

@Positive_Technologies

☁️ Более четверти компаний не защищают свои веб-приложения, а остальные все чаще пользуются для этого облачными решениями ☁️

Об этом говорят данные опроса, который мы провели недавно вместе с K2 Cloud. В нем участвовали более ста ИТ-директоров компаний из следующих сфер: телеком, промышленность, ритейл, банки и финансы, образование и ИТ.

Организации, которые защищают веб-приложения, в 20% случаев используют только WAF, 12% компаний выбирают антибот-решения, а 52% совмещают систему Anti-DDoS и WAF.

Такая статистика позволяет сделать выводы, что «классические» решения с точеным использованием одного продукта постепенно уйдут в прошлое, а на лидерских позициях вскоре окажутся комплексные платформы типа application security platform.

«От продукта класса WAF многие ожидают 100-процентной защиты от хакерских атак, однако одна из главных задач решения — сделать веб-ресурс неинтересным для киберпреступника еще на этапе разведки. Осознав, что веб-приложение имеет защиту, хакер переведет свой фокус на более легкие и незащищенные цели. В случае если компания все-таки стала мишенью злоумышленника, WAF сделает попытку взлома неоправданно трудозатратой и без гарантии успешного финала. В результате, используя решения класса WAF, бизнес значительно повышает защищенность своего веба, что поможет избежать множества финансовых, репутационных рисков и иных последствий хакерских атак», — комментирует Денис Прохорчик, директор направления по развитию бизнеса облачных продуктов Positive Technologies.

☁️ Кроме того, в тренде переход на облачные решения: 10% уже используют такие инструменты для ИБ, 15% — гибридную модель, еще 30% планируют в течение года мигрировать с собственных серверов в «облака».

Больше интересного ищите в новости на нашем сайте.

#PositiveЭксперты
@Positive_Technologies

📞 Сменили телефонный номер? Теперь мошенники могут попробовать авторизоваться в ваших учетных записях со старой сим-карты

Наши коллеги исследовали 38 популярных приложений: личные кабинеты на сайтах компаний, интернет-магазинов и аптек, сервисы доставки еды и продуктов, маркетплейсы и соцсети.

Эксперты попробовали авторизоваться в каждом из них, используя сим-карты пяти крупных операторов: 30 купили в салонах сотовой связи («белые»), еще 50 — в телеграм-каналах («серые»), а 15 арендовали через онлайн-сервисы (виртуальные).

Что им удалось выяснить

Вообще, мы сняли об этом отдельный выпуск в рубрике «Сегодня ломаем» Positive Hack Media, но некоторыми фактами поделимся и здесь.

📱 Почти половину (43%) номеров владельцы использовали для регистрации в сервисах из составленного списка, и более чем в трети случаев (37%) эти аккаунты все еще были активны.

5️⃣7️⃣ Всего исследователи подтвердили возможность доступа к 57 учетным записям прежних владельцев сим-карт: к четырем из них — на маркетплейсах, но ни разу — к банковским аккаунтам.

👥 Специалисты отметили интересную закономерность: если номер не использовался для регистрации в соцсетях, то и в других сервисах аккаунтов с ним не было.

❌ Заметив активность экспериментаторов, только один из пяти операторов заблокировал симки.

🙅‍♂️ А вот связи между тем, успешной ли была авторизация, и тем, с какой сим-карты она произошла («белой», «серой» или виртуальной), коллеги не обнаружили.

«Как показал наш эксперимент, злоумышленники могут начать использовать ваш прежний номер в атаках, как только он вновь поступит в продажу. Поэтому разработчикам приложений не стоит использовать SMS-сообщения как единственный второй фактор аутентификации и как замену паролям при однофакторной аутентификации. В случае изменения номера телефона владельцы должны иметь возможность безопасно восстановить доступ к своим аккаунтам», — сказал Николай Анисеня, руководитель отдела перспективных технологий Positive Technologies.

Как обезопасить свои учетные записи

Эксперты поделились несколькими простыми советами, которые позволят избежать неприятных ситуаций с вашими бывшими прежними номерами.

1️⃣ Сохраняйте доступ к своим сим-картам, а если он утрачен, не забудьте привязать аккаунты к другому номеру.

2️⃣ Для критически важных приложений (мессенджеров, соцсетей, онлайн-банков) пользуйтесь альтернативным способом авторизации — например, через электронную почту.

3️⃣ По возможности откажитесь от входа через SMS-сообщения и настройте двухфакторную аутентификацию, используя генераторы одноразовых паролей.

4️⃣ Не выдавайте мобильным приложениям разрешение на чтение SMS-сообщений, никому не сообщайте одноразовые пароли, а в случае подозрительной активности — обращайтесь в службу поддержки приложения или оператора сотовой связи.

Больше интересных фактов и полезных рекомендаций — в шоу «Сегодня ломаем» от Positive Hack Media.

@Positive_Technologies

🦸‍♂️ Как прокачать свои навыки супергероя киберзащитника?

Например, попробовать расследовать самые интересные инциденты с кибербитвы Standoff на нашем онлайн-симуляторе Standoff Cyberbones.

А чтобы вам было проще, Ильдар Садыков, руководитель отдела развития экспертизы киберучений и менторства Positive Technologies, который занимается подготовкой синих команд, написал подробную инструкцию.

🗣 В статье он рассказал:

🔵как устроен онлайн-симулятор;
🔵какого типа задания там бывают;
🔵как расследовать некоторые из собранных на Standoff Cyberbones атомарных инцидентов и критических событий.

Вооружайтесь предложенными шпаргалками и пробуйте самостоятельно разобрать встроенные в симулятор задания: фишинговую атаку или добавление вредоносной нагрузки в виде файла wtf.exe.

Уверены, вы справитесь 😉

@Positive_Technologies

🙂 Чипы GigaDevice GD32 в зоне риска: исследователи из Positive Labs обнаружили уязвимости в технологии защиты их прошивки от считывания.

Ими могут воспользоваться потенциальные злоумышленники, чтобы извлечь прошивку, найти в ней слабые места для атаки, модифицировать или украсть внутреннее ПО и выпустить устройство под другой маркой.

🤔 Как так вышло

Наши исследователи обнаружили баг в одном из микроконтроллеров, а после для независимой проверки купили и протестировали еще 11 разных чипов GigaDevice из серии GD32, предварительно активировав в них технологию защиты.

В результате эксперты смогли извлечь прошивку в незашифрованном виде и найти несколько уязвимостей, позволяющих полностью нарушить работу конечных устройств без возможности восстановления.

😨 Чем это опасно

Вендоры из многих стран, включая Россию, используют микроконтроллеры GigaDevice GD32 во множестве сложных устройств: от автомобильных двигателей и аккумуляторов до систем доступа в помещение.

«Скаченная прошивка в открытом виде облегчает для атакующего поиск уязвимостей в оборудовании — а данные микроконтроллеры в последние полтора года нередко используются в российской продукции для замены популярных 32-битных микросхем производства STMicroelectronics», — рассказывает Алексей Усанов, руководитель направления исследований безопасности аппаратных решений Positive Technologies.

🧐 Что с этим делать

Мы уведомили производителя об угрозе в рамках политики ответственного разглашения. Однако, учитывая, как трудно устранять угрозы, связанные с аппаратными уязвимостями, наши эксперты рекомендует производителям при проектировании конечных устройств использовать микроконтроллеры, в которых технология защиты от скачивания прошивки протестирована независимыми исследователями.

Пользователи могут запросить наименования микроконтроллеров у производителя конечного устройства или посмотреть маркировку чипа, разобрав его самостоятельно.

Пользуйтесь проверенными чипами и оставайтесь в безопасности!

@Positive_Technologies
#PositiveЭксперты

✉️ Здравствуйте, хотите послушать историю о харденинге почтового сервера Microsoft Exchange?

Однажды темной-темной ночью гендиректор организации-контрагента получил от руководителя компании N письмо с просьбой поделиться конфиденциальными данными. Гендиректор насторожился и решил уточнить информацию. «Фишинг!» — предположили специалисты по кибербезопасности из N.

😱 Но оказалось, что все гораздо серьезнее: злоумышленники получили доступ к почтовому серверу Microsoft Exchange и уже некоторое время не только читали всю переписку сотрудников компании, но и могли отправлять письма от их имени.

Как так вышло и чем все закончилось, рассказал в статье на Хабре Павел Маслов, архитектор дирекции инфраструктурных проектов Positive Technologies.

🤘 А главное — поделился пошаговой инструкцией, как прокачать и перенастроить почту, чтобы максимально усложнить задачу хакерам, решившим ее взломать.

Читайте и пересылайте всем, кому она тоже может пригодиться! И пусть ваши киберистории всегда завершаются хеппи-эндом!

#PositiveЭксперты
@Positive_Technologies

Вторая жизнь ваших SIM-карт 📱

Помните ли вы свой первый номер мобильного телефона? А что с ним сейчас? Может ли он попасть в руки хакеров? Получат ли они тогда доступ к вашим аккаунтам, к которым был привязан номер?

Вопросов — много. Разбирается в них в новом выпуске шоу «Сегодня ломаем» белый хакер Николай Анисеня (@xyuriti) с помощью 100 (!) новых SIM-карт.

Проверим, существуют ли привязанные аккаунты их старых владельцев на самых популярных платформах (спойлер: да). А потом расскажем, что делать, чтобы не стать жертвой такого взлома!

🔥 Смотрите выпуск на нашем YouTube-канале:

https://youtu.be/Wa3eiwC-CVU
https://youtu.be/Wa3eiwC-CVU
https://youtu.be/Wa3eiwC-CVU

На других платформах опубликуем видео в ближайшие дни.

🎁 Бонус: исследование в текстовом формате с графиками и рекомендациями вы можете найти на нашем сайте.

@PositiveHackMedia

♟ В шахматной партии «Хакеры против SOC» выигрывает тот, кто понимает, как думает противник, и видит его ошибки.

В новом материале Positive Research рассказали, как сыграть красивый гамбит и завершить игру эффектным эндшпилем с помощью MaxPatrol SIEM.

Итак, короткий пересказ стратегии от наших коллег Кирилла Кирьянова, руководителя группы обнаружения атак на конечных устройствах, и Екатерины Никулиной, старшего специалиста отдела мониторинга информационной безопасности PT ESC.

1️⃣ Первый шаг: пешка на е2 научиться управлять своими активами так, чтобы хакер не мог «ослепить» SIEM-систему.

2️⃣ Второй: научиться правильно комбинировать сигнатурные и поведенческие правила, чтобы система обнаружения работала как часы.

3️⃣ Третий: предусмотреть разные способы обхода детектов и маскировки инструментов хакеров.

4️⃣ Четвертый: подключить к поиску аномалий ИИ.

5️⃣ Пятый: собрать команду сильных игроков аналитиков SOC, которые даже в «серой» зоне сумеют разобраться, ложный алерт или нет.

Готово: партия завершена блестяще. Подробный разбор ищите в статье.

#PositiveResearch #MaxPatrolSIEM
@Positive_Technologies