😶 Продолжаем рассказывать о плагинах PT Application Inspector для IDE, без которых не обойтись при безопасной разработке

Хотим сказать большое спасибо за обратную связь, благодаря которой мы улучшили расширения и для локального применения, и для использования в режиме интеграции с сервером PT Application Inspector. Рады, что можем делать наш продукт лучше вместе с вами — его пользователями ❤️

На вебинаре 6 февраля в 14:00 поговорим:

🔵про отправку локальных результатов сканирования на сервер PT Application Inspector;
🔵получение результатов анализа с сервера прямо в IDE;
🔵автоматическую синхронизацию результатов сканирования;
🔵запуск сканирования из IDE на сервере;
🔵обновление исходного кода проекта из плагинов на сервере.

Готовьте ваши вопросы, ждите инсайтов и не забудьте зарегистрироваться заранее.

#PTAI
@Positive_Technologies

😏 Не попробуете — не узнаете

Можно было бы сказать так о выходе на багбаунти, но к счастью, нам есть кого обо всем расспросить.

Доверили эту почетную миссию Алексею Лукацкому, который узнал у представителей компаний — пионеров на Standoff Bug Bounty, как они приняли решение разместить программы, что при этом учитывали, с какими новыми задачами столкнулись и как смогли их решить.

В гостях в нашей импровизированной студии побывали:

🔵Тимофей Черных, руководитель продуктовой безопасности Ozon
⚪️Александр Хамитов, руководитель продуктовой безопасности Wildberries
🔵Константин Ермаков, руководитель направлений проектной безопасности Rambler&Co
⚪️Станислав Громов, технический руководитель по ИБ hh․ru

Обсудили, почему программы багбаунти эффективнее аудитов и пентестов, поделились лайфхаками по работе с багхантерами (например, что делать с дублями и уязвимостями вне скоупа), подсчитали, какой бюджет нужен, и рассказали, из-за каких отчетов специалисты по кибербезопасности не спят по ночам.

Смотрите два получившихся интервью там, где вам удобно:

Ozon и Wildberries
📺 YouTube 📺 Rutube 📺 VK Видео

Rambler&Co и hh․ru
📺 YouTube 📺 Rutube 📺 VK Видео

#StandoffBugBounty
@Positive_Technologies

📂 Наш продукт для автоматического внутреннего тестирования на проникновение PT Dephaze внесен в единый реестр российского ПО

В соответствии с решением Минцифры России от 27 января PT Dephaze отнесен к классу средств для автоматизации процессов информационной безопасности.

Теперь контролируемый автоматический пентест с помощью нашего продукта доступен государственным организациям и компаниям, относящимся к объектам критической информационной инфраструктуры.

👾 Новые уязвимости и способы атак на компании появляются ежедневно. Проблема в том, что службам ИБ трудно определить, достаточны ли принятые ими меры для обеспечения безопасности. Поэтому не падает спрос на услуги пентеста.

Максим Долгинин, руководитель по развитию бизнеса PT Dephaze, отметил:

«PT Dephaze открывает новые возможности для оценки реальной защищенности инфраструктуры. Продукт позволяет оптимизировать и масштабировать пентест: проводить его чаще и охватывать сразу всю инфраструктуру. Это не отменяет пентесты, но позволяет приоритизировать реально возможные атаки, а не „теоретические“. Полученные в результате автоматических проверок данные помогут компаниям оценить, насколько рациональны их инвестиции в средства защиты и корректно ли реализованы меры безопасности».

😈 Больше подробностей о PT Dephaze расскажем на онлайн-запуске продукта уже 27 февраля — регистрируйтесь заранее на нашем сайте.

#PTDephaze
@Positive_Technologies

🧿 Мечтаете сделать часть проекта опенсорсной, но не хочется нарушать NDA?

Тогда, прежде чем выкладывать код на открытую платформу, нужно полностью исключить из него всю корпоративную информацию: названия репозиториев и проектов, имена и почту сотрудников, внутренние идентификаторы тикетов и любые формулировки, отражающие задачи продукта. При этом важно сохранить авторство и историю создания проекта.

Задачка выглядит непростой, особенно для новичков. Но все решаемо, если есть план, чтобы его придерживаться инструкция, которую написал для блога на Хабре наш коллега — бэкенд-разработчик и любитель языка Go Константин Соколов.

В ней он пошагово рассказывает, как переупаковать нужный вам пакет, отредактировав сообщения коммитов и другие корпоративные данные в коде, используя:

git grep, git filter-branch и git rebase --interactive

Следите за руками и повторяйте. Все подробности ищите в статье.

#PositiveЭксперты
@Positive_Technologies

Какими утилитами пользуются красные команды, чтобы подобраться к инфраструктуре, которую должны атаковать?

В статьях на сайте Positive Research наши коллеги рассказывают сразу о двух таких инструментах:

Gobuster — помогает брутфорсить директории и файлы на веб-сайтах, DNS-субдомены, имена виртуальных хостов и много чего еще в зависимости от режима работы. Он компилируется на множестве платформ, действует быстрее интерпретируемых скриптов и не требует специальной среды выполнения.

Ligolo-ng — позволяет создавать туннели через обратные TCP- и TLS-соединения с помощью TUN-интерфейса. Он не использует SOCKS и TCP-, UDP-форвардеры, а создает пользовательский сетевой стек с помощью gVisor и позволяет запускать инструменты вроде Nmap проще и быстрее, без использования прокси-цепочек.

👽 Red team показываем стенд, на котором развернуты утилиты, рассказываем про особенности работы режимов Gobuster и моделируем атаки при помощи обоих инструментов.

👽 Blue team — все то же самое, плюс способы обнаружить и нейтрализовать воздействие на их инфраструктуру.

Читайте одну и вторую статью на сайте нашего медиа.

#PositiveResearch
@Positive_Technologies

Лох не мамонт, APK не видео 🦣

В конце 2024 — начале 2025 года в сети активно обсуждалась информация о распространении в Telegram вируса Mamont. Этот банковский троян, представляющий собой вредоносный .apk-файл, встречался нам с именами CBO-Information.apk, Фoтoгpaф.apk, Google Video.apk, Video.apk, Видео.apk, Фото.apk, Photo.apk, Докyмент <Количество штук>.apk и т. п.

При установке на телефон — запрашивает разрешение на установку в качестве приложения для СМС по умолчанию. При закрытии скрывает от пользователя свое присутствие в системе, убирая значок из меню на главном экране. При этом в фоновом режиме собирает информацию об установленных приложениях, о сим-картах, СМС-сообщениях, вызовах, а также другие пользовательские данные и отправляет их на управляющий сервер.

🔑 Пути проникновения на ваш Android

Неизвестный отправляет вам в мессенджере файл с расширением .apk и спрашивает, не вы ли изображены на фото или видео. Иногда требует срочно открыть архив с документами, который представляет собой .apk-файл.

Вирус также может попасть на устройство:

• через фишинговые сайты;
• через QR-коды для вступления в закрытые группы, каналы и т. п.;
• под видом легитимных приложений (.apk-файлы не с официальных магазинов);
• при наличии физического доступа у злоумышленника.

🔐 Как не попасться

1️⃣ Будьте более внимательными:
• не переходите по ссылкам из сообщений, не посмотрев, куда они ведут;
• не вводите данные учетной записи на подозрительных ресурсах;
• избегайте сканирования QR-кодов в общественных местах (они могут вести на фишинговые сайты);
• не открывайте файлы из недоверенных источников.

2️⃣ Настройте конфиденциальность в мессенджере. Вы можете запретить приглашать вас в группы и отключить получение СМС-сообщений от незнакомых пользователей («Настройки» → «Конфиденциальность»).

3️⃣ При получении от знакомого голосовых, СМС- и видеосообщений с необычными просьбами свяжитесь с ним через альтернативные каналы (злоумышленники часто используют дипфейки).

4️⃣ Не храните пароли и банковские реквизиты в избранных сообщениях и чатах.

5️⃣ Устанавливайте приложения только из официальных магазинов и с сайтов разработчиков. Проверяйте запрашиваемые разрешения: если приложение требует доступ к данным, не соответствующим его функциональности, это может указывать на вредоносное ПО.

6️⃣ Регулярно проверяйте список установленных приложений — раздел «Приложения» («Установленные файлы» и т. п.) в параметрах устройства. Некоторое вредоносное ПО скрывает себя от пользователя. Можно также использовать средства для мониторинга активности, которые уведомят о подозрительных действиях.

7️⃣ Обращайте внимание на уведомления и поведение устройства. Если приходит много нетипичных уведомлений или устройство сильно нагревается в неактивном состоянии, это может быть признаком того, что оно заражено.

8️⃣ Регулярно обновляйте ОС и приложения. В обновлениях часто содержатся исправления безопасности.

9️⃣ Используйте проверенные антивирусы.

1️⃣0️⃣ Для защиты от физического доступа к устройству используйте надежный пароль.

1️⃣1️⃣ Регулярно создавайте резервные копии данных и храните их в безопасном месте.

1️⃣2️⃣ Для оценки ущерба при заражении мобильного устройства проведите его исследование.

1️⃣3️⃣ Постоянно обучайтесь и будьте в курсе новых угроз. Для общей осведомленности можете пройти бесплатные курсы Positive Technologies — «Личная кибербезопасность» и «Базовая кибербезопасность: первое погружение».

💡 Помните, что APK (Android Package Kit) — это формат, используемый в контексте приложений, но никак не для фото- и видеофайлов.

🎁 Бонус: опубликовали IoCs за 2025 год в Telegraph.

#news #tips #malware
@ptescalator

😍 Для нас День всех влюбленных — еще один повод порадовать близких людей, а для мошенников — запустить очередную схему обмана. Мы разные 😡

Из года в год «валентинки» от злоумышленников почти не меняются, разве что совершенствуются технически: фишинговые письма пишут не люди, а искусственный интеллект, фейковые сайты становятся все больше похожими на настоящие. Список потенциальных жертв тоже остается достаточно широким: в него входит все платежеспособное население разных возрастов.

Чтобы праздник не оказался испорченным, читайте советы Ирины Зиновкиной, руководителя направления аналитических исследований в Positive Technologies.

🐠 Как не попасться на удочку злоумышленников

«Удочка» в подзаголовке не просто так: фишинг — самая популярная схема «праздничного» обмана. Чаще всего ссылки в таких сообщениях ведут на фейковые сайты магазинов, где якобы можно купить цветы, украшения, технику и другие подарки по цене намного ниже рыночной. Покупая онлайн такой «товар», вы вводите свои личные и платежные данные, а в итоге лишаетесь денег и делитесь с злоумышленниками конфиденциальной информацией.

➡️ Чтобы застраховаться от этого, не переходите по сомнительным ссылкам и всегда проверяйте названия сайтов магазинов в адресной строке, а также не обращайте внимание на предложения в духе «iPhone за полцены» (никто не будет торговать себе в убыток).

💕 Как спасти праздничный вечер

Романтическое путешествие, поход в театр или на концерт любимого исполнителя тоже могут быть испорчены, если купленные билеты окажутся фейковыми. Причем обнаружиться это может уже в аэропорту или на входе в зал.

Перед 14 февраля мошенники могут также создавать фейковые сайты гостиниц, обещая дешевую бронь, что также может закончиться потерей денег и кражей данных.

➡️ Здесь совет простой: пользуйтесь проверенными сервисами (или официальными ресурсами поставщиков услуг) для покупки и бронирования, чтобы не получить вместо билета бесполезную бумажку и сорванное свидание.

💩 Как не влюбиться в того, кого не существует

Если перед праздником вы встретили на сайте знакомств или в каком-то тематическом канале ЕГО или ЕЕ — свой идеал — это тоже могут оказаться мошенники.

Информацию о том, какой человек будет для вас привлекательным, они могут найти в открытых источниках или, например, взломав аккаунты в соцсетях и прочитав переписку. А дальше — дело техники: создание симпатичного дипфейкового образа и поддержание коммуникации (возможно, при помощи специально обученного бота), чтобы жертва начала доверять «партнеру», с которым они ни разу не виделись вживую. Здесь тревожным звоночком может стать просьба о дорогом подарке или займе серьезной суммы денег.

➡️ Думаете, с вами такого не случится? Недавно французская дама развелась с мужем и отдала полученные при разводе более 800 000 евро фейковому Брэду Питту. Так что соблюдайте «принцип нулевого доверия», осторожнее общаясь с людьми, знакомыми вам только в онлайне.

😍 Даже когда в глазах сердечки, осторожность не помешает. Пусть ваш праздник пройдет романтично и безопасно!

@Positive_Technologies

8️⃣ В новом дайджесте эксперты Positive Technologies отнесли к трендовым восемь уязвимостей.

Среди них недостатки безопасности в продуктах Microsoft, операционных системах FortiOS и прокси-сервисе FortiProxy, а также в программе для архивирования файлов 7-Zip.

Впрочем, пользователи MaxPatrol VM уже в курсе: в нашу систему управления уязвимостями нового поколения информация об угрозах поступает в течение 12 часов после их появления.

Уязвимости Windows

По данным The Verge, они потенциально затрагивают около миллиарда устройств с устаревшими версиями Windows (в том числе Windows 11 и Windows 10).

🔵Уязвимость, приводящая к удаленному выполнению кода, в механизме поиска и обнаружения серверов в сети Windows Lightweight Directory Access Protocol (LDAP Nightmare)

CVE-2024-49112 (CVSS — 9,8)

Эксплуатация уязвимости приводит к сбою службы управления аутентификацией (LSASS). Это, в свою очередь, может привести к простоям, утечкам данных, выполнению произвольного кода, что особенно опасно для тех, кто использует службу каталогов Active Directory.

🔵Уязвимости, связанные с повышением привилегий в компоненте для связи между хостовой ОС и виртуальными машинами контейнерного типа Hyper-V NT Kernel Integration VSP

CVE-2025-21333, CVE-2025-21334, CVE-2025-21335 (CVSS — 7,8)

Все они были обнаружены в компоненте Hyper-V NT Kernel Integration, который используется для связи между хостовой ОС и виртуальными машинами контейнерного типа (Windows Sandbox и Microsoft Defender Application Guard). Эксплуатируя уязвимости, атакующий может получить привилегии уровня SYSTEM — максимальные в системе, что позволит ему распространяться по сети, заражать устройства вредоносным ПО, получить полный контроль над системой.

🔵 Уязвимость, приводящая к выполнению удаленного кода, в технологии связывания и внедрения объектов в другие документы и объекты OLE

CVE-2025-21298 (CVSS — 9,8)

Для эксплуатации злоумышленнику необходимо направить жертве специальным образом созданный RTF-файл. При открытии файла или письма в Microsoft Outlook запускается обработка вредоносного кода, которая может привести к утечке конфиденциальной информации и потере контроля над оборудованием.

🔵Уязвимость, позволяющая выполнить вредоносный код (RCE) в Microsoft Configuration Manager

CVE-2024-43468 (CVSS — 9,8)

Эксплуатируя уязвимость, злоумышленник, будучи неаутентифицированным пользователем, может получить полный контроль над системой, выполнив код на узле жертвы. Затем на устройство может быть загружено вредоносное ПО с целью кражи, шифрования или распространения данных.

Уязвимость в модуле WebSocket Node.js в операционных системах FortiOS и прокси FortiProxy

CVE-2024-55591 (CVSS — 9,6)

Используя ее, атакующий получает возможность отправить специальный запрос для получения привилегий уровня super-admin. Результатом эксплуатации уязвимости может стать компрометация учетных данных, подмена сертификатов управления устройством.

Исследователи CloudSEK сообщают, что эта уязвимость затронула 15 000 устройств по всему миру: пользователей FortiOS 7.0.0–7.0.16, FortiProxy 7.0.0–7.0.19, 7.2.0–7.2.12.

Уязвимость, приводящая к обходу механизма безопасности Mark of the Web в программе для архивации файлов 7-Zip

CVE-2025- 0411 (CVSS — 7,0)

Эксплуатация уязвимости может привести к удаленному выполнению вредоносного кода, что повлечет установку ВПО и утечку конфиденциальных данных.

Потенциально уязвимыми могут быть около 430 миллионов копий программы с устаревшей версией 7-Zip.

Больше информации — в полной версии дайджеста на нашем сайте.

#втрендеVM
@Positive_Technologies

🐧 Помните, мы обещали махнуть, когда пора будет готовиться к новой кибербитве? Машем изо всех сил.

Standoff 15 пройдет 21–24 мая на киберфестивале Positive Hack Days.

👽 Мы ждем заявок от команд защитников, каждой из которых поможем подготовиться: поделимся экспертизой, покажем, как использовать наши продукты и решения, с которыми вы сможете обнаруживать и останавливать атаки.

За четыре дня битвы специалисты по кибербезопасности прокачаются до 80 lvl получат бесценный опыт расследования инцидентов и отражения реальных атак, смогут на практике разобраться, какими техниками и инструментами пользуются современные хакеры.

👽 С 12 февраля стартовал и прием заявок для атакующих. Пять команд, которые лучше всех покажут себя на отборочных, присоединятся в финале к двадцатке лидеров по результатам предыдущих битв.

Вас ждет изменившееся, но знакомое Государство F, новые отрасли и критические события. Обо всем этом будем рассказывать ближе к старту битвы здесь и на сайте Standoff 15.

#Standoff15 #PHDays
@Positive_Technologies