Phantomные боли 👻

В мае департамент Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC TI) обнаружил новую масштабную кампанию кибершпионажа APT-группировки PhantomCore в отношении критической инфраструктуры России.

Внешний периметр кибератаки и вредоносный арсенал были одновременно описаны российскими и зарубежными вендорами кибербезопасности. Однако группа киберразведки PT ESC TI сосредоточилась на более глубоком исследовании угрозы, в рамках которого удалось:

🖥 обнаружить ключевую инфраструктуру: взломанные российские сайты, фишинговые ресурсы с FakeCaptcha, payload-хабы, MeshCentral-серверы, SSH-туннели, панель управления Phantom;

👾 изучить и покрыть детектирующими правилами обновленный вредоносный арсенал: от популярных в киберпреступной среде opensource-утилит (RSocx, MeshAgent, RClone, XenArmor Password Recovery) и обновленных версий известных инструментов из личного арсенала (PhantomRAT) — до ранее не встречавшихся кастомных образцов: PhantomRShell, PhantomProxyLite, PhantomTaskShell, PhantomStealer;

🥷 изучить TTP и kill chain кибератак, подробно описать процедуры, выполняемые на зараженных хостах;

🌐 изучить географию, хронологию, характеристики и масштаб кибератак: более 180 заражений на территории России с мая по июль, 56% которых пришлись на 30 июня; 49 хостов до сих пор остаются под контролем группировки; среднее время нахождения хакеров в скомпрометированной сети — 24 дня, максимальное — 78 дней;

📞 идентифицировать и уведомить жертв из числа российских госорганов, научно-исследовательских институтов, предприятий оборонно-промышленного комплекса, судостроительной отрасли, химической, горнодобывающей и обрабатывающей промышленности, а также IT-компаний.

Кроме того, группе киберразведки PT ESC TI удалось обнаружить ответвление группировки, не входящее в основное звено. Оно состояло из низкоквалифицированных специалистов, подобранных в русскоязычных игровых Discord-сообществах, и было организовано в качестве собственного киберкриминального стартапа одним из членов основного костяка PhantomCore, имевшим доступ к исходникам кастомных инструментов.

🫱 Полный отчет — в нашем блоге.

#TI #APT
@ptescalator

🛡 Центр информационных технологий (ЦИТ) Рязанской области защищает свою ИТ-инфраструктуру при помощи ML-технологий в наших решениях

Организация выбрала наши продукты, работающие в синергии, после двухлетнего тестирования решений для обеспечения непрерывного мониторинга событий ИБ, повышения скорости обнаружения угроз и реагирования на них, а также снижения нагрузки на сотрудников. Важной была и возможность интегрировать их с другими инструментами для обеспечения комплексной киберзащиты.

Возможности ML-технологий в составе наших решений стали одним из ключевых преимуществ для специалистов по кибербезопасности. Они позволяют быстро собирать данные из источников на периметре и внутри инфраструктуры, обрабатывать их в режиме реального времени и сигнализировать команде SOC о самых критичных сработках. А также помогают быстро детектировать аномальную активность в инфраструктуре, предсказывать потенциальные угрозы и выявлять даже нестандартную активность злоумышленников.

«За прошлый год в региональной инфраструктуре было зафиксировано свыше семи тысяч событий информационной безопасности. Мы искали решения, которые соответствуют отечественным стандартам безопасности и позволяют выстраивать комплексную систему защиты. Интеграция самых современных и надежных программ помогла нам объединить мониторинг, управление уязвимостями и реагирование на киберинцидиенты в единую аналитическую модель. Мы видим конкретные результаты: увеличилось количество обнаруживаемых угроз, сократилось время реакции, выросла прозрачность процессов внутри региональной ИТ-инфраструктуры. Такие инструменты позволяют не просто фиксировать проблемы, а управлять ими проактивно и системно», — отметил министр цифрового развития Рязанской области Максим Соников.

➡️ Подробнее о защите ЦИТ Рязанской области при помощи наших продуктов рассказали в новости на сайте.

@Positive_Technologies

🚇 Эксперт PT SWARM Егор Филатов помог разработчикам Tunnelblick устранить уязвимость высокого уровня опасности

Tunnelblick — открытый графический интерфейс для OpenVPN (VPN-решения, занимающего второе место по популярности в мире). В июле Tunnelblick добавили в избранное 3,1 тыс. пользователей; в веб-сервисе GitHub имеется более 350 копий репозитория.

Недостаток безопасности PT-2025-25226 (CVE-2025-43711) получил 8,1 балла по шкале CVSS 3.1 и затронул все версии Tunnelblick, начиная с 3.5beta06 и заканчивая 6.1beta2. Под угрозой могли оказаться владельцы компьютеров Apple, в том числе уже отправившие приложение в корзину. В случае атаки злоумышленник мог бы повысить привилегии в системе и закрепиться в сети организации, чтобы похитить данные, запустить программу-вымогатель или иначе навредить рабочим процессам.

«Для успешной атаки нарушителю потребовалась бы учетная запись пользователя, имеющего возможность изменять параметры macOS. Так как права администрирования выдаются по умолчанию, стать жертвой мог практически кто угодно, — отметил Егор Филатов. — Еще одно условие: эксплуатация уязвимости была бы возможна только в том случае, если бы Tunnelblick был не полностью удален с компьютера, например просто отправлен в корзину. В таком случае на устройстве остался бы компонент, действующий с повышенными привилегиями. Им и мог бы воспользоваться злоумышленник».

Вендор, которому мы сообщили об ошибке, выпустил обновления безопасности: если вы пользуетесь Tunnelblick, обновите его до версии 7.0, 7.1beta01 или более поздней.

Кроме того, наши эксперты советуют пользователям интерфейса выбрать любой из двух способов защиты: не удалять Tunnelblick․app из папки /Applications или входить в систему как стандартный пользователь без прав администрирования.

🗑Если Tunnelblick вам больше не нужен, удалите приложение с помощью отдельного или встроенного в него деинсталлятора (окно «Детали VPN» → панель «Утилиты»). Если вы отправили приложение в корзину — удалите оттуда файл, путь к которому выглядит так: /Library/LaunchDaemons/net.tunnelblick.tunnelblick.tunnelblickd.plist.

#PositiveЭксперты
@Positive_Technologies

🔮 Каковы ваши шансы встретить Алексея Лукацкого? При обычных условиях — 50 на 50, при победе в аукционе от Meet For Charity — 100%.

Уже более девяти лет эта организация проводит благотворительные аукционы, главные лоты которых — встречи с медийными личностями из разных областей жизни: бизнеса, культуры, спорта, политики, искусства… Всего за это время было собрано свыше 457 млн рублей, направленных на благотворительность.

Алексей Лукацкий участвует в аукционе уже второй раз. Победитель сможет встретиться с ним и обсудить вопросы кибербезопасности. В прошлом году меценат, пожелавший остаться неизвестным, заплатил за аналогичный лот 250 тыс. рублей.

Торги продлятся до 25 августа, ставки принимаются от всех желающих (пока что следующий шаг аукциона — 50 тыс. рублей). Все собранные средства будут отправлены в благотворительный фонд «Провидение», помогающий детям с нарушениями зрения.

😉 Участвуйте и готовьте вопросы для встречи!

@Positive_Technologies

🐰🐰 Представляем дамамъ и господамъ, кои отправятся на ОФФЗОНЪ 2025, новомодный аддонъ от Позитивных Лабораторий

Ежели любите вы традиционные русские забавы и игрушки, то аддон наш «Мужик и медведь» станет милым приветом из детства.

Ежели нравится вам пробовать что-то новое и любопытное, тоже внакладе не останетесь — еще никто в истории OFFZONE-аддонов не задействовал в них сервопривод, а тем паче, в сочетании с обычной механикой.

Слушайте доклады мастеров умелых Позитивных Лабораторий, да аддон олдскульный, без лишних светодиодов и дисплеев, себе на бедж добывайте — выдавать за лучший вопрос будем. Удачи 🙂

#PositiveLabs
@Positive_Technologies

Гадание на Goffeeйной гуще: актуальные инструменты и особенности группировки Goffee в атаках на Россию ☕️

В течение 2024-2025 годов эксперты TI-департамента пристально следят за активностью группировки Goffee. За этот период, совместно с IR-командой, при расследовании инцидентов мы наблюдали обновление арсенала и использование новых векторов атаки.

🕵️ Нам удалось получить ранее неизвестные сэмплы — руткит, самописные инструменты для туннелирования трафика и другие. Изучение сетевой инфраструктуры позволило выявить паттерны, которые с высокой уверенностью позволяют атрибутировать новые семплы к активности группировки Goffee.

👽 О том, какие особенности в их инфраструктуре мы выделили, какой арсенал использует группировка на данный момент и почему исследование атак «гофи» — это поиск Goffeeйного зерна в инфраструктуре жертвы, вы можете узнать в нашей новой статье.

#TI #IR #APT #Malware
@ptescalator

Что для вас важно в NGFW? «Нормальный IPS, который не отъедает 80% аппаратных ресурсов», — ответит инженер по сетевой безопасности.

Что ж, вызов принят! Дорогой дневник дорогие сетевики, наш коллега Алексей Егоров, главный архитектор проектов, написал отличную статью на Хабр, в которой подробно рассказывает, как устроена система предотвращения вторжений (IPS) в нашем PT NGFW.

Работает она так: трафик проходит через NGFW, а IPS проверяет его своими сигнатурами, и если обнаружено совпадение, то выполняется действие, указанное в соответствующей сигнатуре.

Но из-за глубокого анализа с помощью сигнатур потребление аппаратных ресурсов NGFW значительно увеличивается. Снизить нагрузку может уменьшение глубины анализа (но это сведет весь эффект от работы NGFW к нулю) или тонкая настройка IPS.

В статье Алексей рассказывает, как понять и протестировать, что IPS работает эффективно, а также — как использовать IPS в NGFW, чтобы «не оглядываться назад в темном переулке».

Например, в PT NGFW трафик проверяется всеми сигнатурами вне зависимости от того, какой именно набор сигнатур подключен к правилу. При этом действия с трафиком и отображение событий выполняются только по сигнатурам, которые помещены в набор. Эта логика удобна для администраторов, потому что им не приходится волноваться насчет утилизации аппаратных ресурсов межсетевого экрана при формировании набора сигнатур.

👀 Больше подробностей — в материале на Хабре.

#PTNGFW
@Positive_Technologies

❣️ Управление уязвимостями всегда в тренде, если вы заботитесь о собственной кибербезопасности

А о ключевых трендах в самом управлении уязвимостями рассказывает в статье для Positive Research Павел Попов, руководитель группы инфраструктурной безопасности Positive Technologies.

Скорее открывайте и читайте:

🔴 Чем вызван кризис NVD (National Vulnerability Database, национальной базы уязвимостей) и как можно его преодолеть.

🔴 Как изменилась в последние годы регуляторика VM-отрасли в России и в мире и как она помогает формировать централизованные системы управления уязвимостями.

🔴 Почему VM-системы тяготеют к платформенности, автоматизации, интеграции, использованию ИИ и облачных решений.

🔴 Чего от таких платформ хотят пользователи и бизнес.

Подробности ищите на сайте нашего медиа.

#PositiveResearch
@Positive_Technologies

🍏 Эксперты Positive Technologies рекомендуют срочно обновить ОС на устройствах Apple до последней версии

В обновлениях компания Apple устранила уязвимость PT-2025-34177 (CVE-2025-43300), которая была обнаружена во фреймворке ImageIO. Он позволяет приложениям считывать и записывать файлы изображений в большинстве форматов, а также дает доступ к метаданным изображения.

🍏 Apple уточнила, что обработка файла вредоносного изображения может привести к повреждению памяти.

Вендор сообщил, что уязвимость была устранена за счет улучшения проверки границ памяти в версиях iOS 18.6.2, iPadOS 18.6.2, iPadOS 17.7.10, MacOS Sequoia 15.6.1, MacOS Sonoma 14.7.8, MacOS Ventura 13.7.8.

«Такие уязвимости потенциально могут приводить к сбоям, повреждению данных или даже удаленному выполнению кода. Выполнив произвольный код, злоумышленник потенциально может повысить права в системе, получить данные с устройства и зашифровать его. Кроме того, атакующий мог бы использовать устройство как точку входа для дальнейшего развития атаки на инфраструктуру компании», — уточняет Александр Леонов, ведущий эксперт PT Expert Security Center.

Под угрозой — iPhone XS и более поздние модели, iPad разных поколений, а также устройства на macOS.

«Подобные уязвимости являются основой для zero- или 1-click-атак, когда не требуется вообще никаких действий пользователя (картинка открывается автоматически при получении сообщения в мессенджере) или необходимо минимальное простое действие (например, открыть картинку). Конкретно эта уязвимость — в системном компоненте, и в теории злоумышленник может проэксплуатировать ее через любое приложение, в котором этот компонент используется», — отмечает Николай Анисеня, руководитель разработки PT Maze в Positive Technologies.

❗️ Для защиты наши эксперты рекомендуют как можно быстрее установить обновления, а в случае корпоративного использования устройств — подключить решения класса EDR.

Похожие недостатки безопасности могут встречаться и в приложениях, которые обновляются чаще, чем системные компоненты. В таких случаях необходима защита от реверс-инжиниринга — обязательного этапа любой атаки на мобильное приложение. Это позволит выиграть время для самостоятельного обнаружения и исправления уязвимости, а также повысить стоимость атаки для злоумышленника и, как итог, спасти пользователей от взлома. Защитить приложения можно с помощью PT Maze.

#PositiveЭксперты
@Positive_Technologies

👾 Эксперт PT SWARM Владимир Власов обнаружил уязвимость в UserGate NGFW

Дефект безопасности PT-2025-28938 (BDU:2025-08181) содержался сразу в двух линейках UserGate NGFW — в версиях до 6.1.9.12193R и 7.3.1.153682R включительно. Он возник из-за недостаточной фильтрации данных на служебной странице блокировки, на которую перенаправляются пользователи после отказа в доступе к тому или иному URL-адресу.

Успешная эксплуатация уязвимости позволяла нарушить работу UserGate NGFW, похитить персональные данные сотрудников либо развить атаку в локальной сети.

«Совершив успешную атаку, злоумышленник гипотетически смог бы отправлять запросы от имени жертвы к внутренним сервисам компании, таким как корпоративная почта и база знаний. Это могло бы обернуться утечкой информации, содержащей коммерческую тайну, — рассказал Владимир Власов, старший специалист отдела исследований безопасности банковских систем Positive Technologies. — Если бы нарушитель сумел закрепиться во внутренней сети организации, под угрозой могли бы оказаться ее бизнес-процессы».

✉️ Вероятнее всего, кибератака началась бы с письма или сообщения с фишинговой ссылкой, отправленного якобы от коллеги жертвы. Перейдя по ссылке, пользователь с правами администратора UserGate NGFW, авторизованный на уязвимом устройстве, автоматически выполнил бы вредоносный код, дав атакующему изменить параметры межсетевого экрана.

«Positive Technologies уведомила нас об уязвимости, и специалисты центра мониторинга и реагирования UserGate uFactor оперативно выпустили обновление и произвели оповещение клиентов компании. При этом, учитывая особенности найденной уязвимости и трудность ее реализации, вероятность эксплуатации вне лабораторных условий равна нулю. Это подтверждается информацией, размещенной на ресурсе БДУ ФСТЭК. Согласно БДУ ФСТЭК уязвимость была сразу устранена, фактов ее использования не обнаружено», — рассказали в пресс-службе UserGate.

Для устранения ошибки необходимо загрузить исправленную версию UserGate NGFW (начиная с 6.1.9.12198R или 7.3.2.183745R). Если обновить ПО невозможно, наш эксперт рекомендует отключить страницу блокировки или вывести ее на отдельный домен, не связанный с основным.

#PositiveЭксперты
@Positive_Technologies