🚇 Эксперт PT SWARM Егор Филатов помог разработчикам Tunnelblick устранить уязвимость высокого уровня опасности
Недостаток безопасности PT-2025-25226 (CVE-2025-43711) получил 8,1 балла по шкале CVSS 3.1 и затронул все версии Tunnelblick, начиная с 3.5beta06 и заканчивая 6.1beta2. Под угрозой могли оказаться владельцы компьютеров Apple, в том числе уже отправившие приложение в корзину. В случае атаки злоумышленник мог бы повысить привилегии в системе и закрепиться в сети организации, чтобы похитить данные, запустить программу-вымогатель или иначе навредить рабочим процессам.
Вендор, которому мы сообщили об ошибке, выпустил обновления безопасности: если вы пользуетесь Tunnelblick, обновите его до версии 7.0, 7.1beta01 или более поздней.
Кроме того, наши эксперты советуют пользователям интерфейса выбрать любой из двух способов защиты: не удалять Tunnelblick․app из папки
🗑 Если Tunnelblick вам больше не нужен, удалите приложение с помощью отдельного или встроенного в него деинсталлятора (окно «Детали VPN» → панель «Утилиты»). Если вы отправили приложение в корзину — удалите оттуда файл, путь к которому выглядит так: /Library/LaunchDaemons/net.tunnelblick.tunnelblick.tunnelblickd.plist.
#PositiveЭксперты
@Positive_Technologies
Tunnelblick — открытый графический интерфейс для OpenVPN (VPN-решения, занимающего второе место по популярности в мире). В июле Tunnelblick добавили в избранное 3,1 тыс. пользователей; в веб-сервисе GitHub имеется более 350 копий репозитория.
Недостаток безопасности PT-2025-25226 (CVE-2025-43711) получил 8,1 балла по шкале CVSS 3.1 и затронул все версии Tunnelblick, начиная с 3.5beta06 и заканчивая 6.1beta2. Под угрозой могли оказаться владельцы компьютеров Apple, в том числе уже отправившие приложение в корзину. В случае атаки злоумышленник мог бы повысить привилегии в системе и закрепиться в сети организации, чтобы похитить данные, запустить программу-вымогатель или иначе навредить рабочим процессам.
«Для успешной атаки нарушителю потребовалась бы учетная запись пользователя, имеющего возможность изменять параметры macOS. Так как права администрирования выдаются по умолчанию, стать жертвой мог практически кто угодно, — отметил Егор Филатов. — Еще одно условие: эксплуатация уязвимости была бы возможна только в том случае, если бы Tunnelblick был не полностью удален с компьютера, например просто отправлен в корзину. В таком случае на устройстве остался бы компонент, действующий с повышенными привилегиями. Им и мог бы воспользоваться злоумышленник».
Вендор, которому мы сообщили об ошибке, выпустил обновления безопасности: если вы пользуетесь Tunnelblick, обновите его до версии 7.0, 7.1beta01 или более поздней.
Кроме того, наши эксперты советуют пользователям интерфейса выбрать любой из двух способов защиты: не удалять Tunnelblick․app из папки
/Applications или входить в систему как стандартный пользователь без прав администрирования.#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥20❤7👍5😱1
Уже более девяти лет эта организация проводит благотворительные аукционы, главные лоты которых — встречи с медийными личностями из разных областей жизни: бизнеса, культуры, спорта, политики, искусства… Всего за это время было собрано свыше 457 млн рублей, направленных на благотворительность.
Алексей Лукацкий участвует в аукционе уже второй раз. Победитель сможет встретиться с ним и обсудить вопросы кибербезопасности. В прошлом году меценат, пожелавший остаться неизвестным, заплатил за аналогичный лот 250 тыс. рублей.
Торги продлятся до 25 августа, ставки принимаются от всех желающих
😉 Участвуйте и готовьте вопросы для встречи!
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤20❤🔥9🤔7🤨5🐳2
This media is not supported in your browser
VIEW IN TELEGRAM
Ежели любите вы традиционные русские забавы и игрушки, то аддон наш «Мужик и медведь» станет милым приветом из детства.
Ежели нравится вам пробовать что-то новое и любопытное, тоже внакладе не останетесь — еще никто в истории OFFZONE-аддонов не задействовал в них сервопривод, а тем паче, в сочетании с обычной механикой.
Слушайте доклады мастеров умелых Позитивных Лабораторий, да аддон олдскульный, без лишних светодиодов и дисплеев, себе на бедж добывайте — выдавать за лучший вопрос будем. Удачи
#PositiveLabs
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
😁29❤🔥21👍13🔥6❤4
This media is not supported in your browser
VIEW IN TELEGRAM
Ну что, с днем рождения нас 🎉🎉🎉
Уже 23 года мы помогаем строить кибербезопасность и обыгрыватьв Тетрисе злоумышленников.
Полет результативный, собираемся продолжать в том же духе. Поздравления принимаем в комментариях 😎
@Positive_Technologies
Уже 23 года мы помогаем строить кибербезопасность и обыгрывать
Полет результативный, собираемся продолжать в том же духе. Поздравления принимаем в комментариях 😎
@Positive_Technologies
❤🔥88❤43🎉32👏14🔥10😁1🤨1
👾 Вредоносы еще не В С Ё
Аналитики Positive Technologies в новом исследовании рассказали о десяти самых распространенных семействах вредоносного ПО в России. Рейтинг основан на данных, полученных в результате анализа ВПО при помощи PT Sandbox в 2024 году и I квартале 2025 года. Подробнее — на карточках.
🎥 Ключевые выводы исследования (данные по всему миру):
• Доля атак с использованием ВПО продолжает расти год от года: в 2024 году и первой половине 2025 года такие атаки составили 65% по сравнению с 60% в 2023 году и 54% в 2022-м.
• Организации, наиболее часто атакуемые с помощью ВПО, — государственные учреждения (14%), промышленные (11%) и IT-компании (8%).
• В атаках на организации преобладало использование шифровальщиков, однако их доля заметно снизилась — с 57% в 2023 году до 44% в 2024 году.
• Доля атак на организации с использованием шпионского ПО увеличилась с 12% в 2022 году до 23% в 2023 году, а затем снизилась до 20%. Снижение может быть следствием возросшего интереса злоумышленников к ВПО для удаленного управления.
• В атаках на организации в качестве основного метода доставки ВПО по-прежнему доминирует электронная почта (47%), хотя ее доля снизилась по сравнению с 2023 годом (было 57%).
Больше подробностей — в полной версии исследования на нашем сайте.
🛡 О том, как компании защищаются от вредоносов в сетевом и почтовом трафике, вы сможете узнать на NetCase Day уже 16 сентября.
#PTSandbox
@Positive_Technologies
Аналитики Positive Technologies в новом исследовании рассказали о десяти самых распространенных семействах вредоносного ПО в России. Рейтинг основан на данных, полученных в результате анализа ВПО при помощи PT Sandbox в 2024 году и I квартале 2025 года. Подробнее — на карточках.
• Доля атак с использованием ВПО продолжает расти год от года: в 2024 году и первой половине 2025 года такие атаки составили 65% по сравнению с 60% в 2023 году и 54% в 2022-м.
• Организации, наиболее часто атакуемые с помощью ВПО, — государственные учреждения (14%), промышленные (11%) и IT-компании (8%).
• В атаках на организации преобладало использование шифровальщиков, однако их доля заметно снизилась — с 57% в 2023 году до 44% в 2024 году.
• Доля атак на организации с использованием шпионского ПО увеличилась с 12% в 2022 году до 23% в 2023 году, а затем снизилась до 20%. Снижение может быть следствием возросшего интереса злоумышленников к ВПО для удаленного управления.
• В атаках на организации в качестве основного метода доставки ВПО по-прежнему доминирует электронная почта (47%), хотя ее доля снизилась по сравнению с 2023 годом (было 57%).
Больше подробностей — в полной версии исследования на нашем сайте.
«В ближайшие пару лет использование ВПО сохранит свое лидерство в методах атакующих, поскольку с помощью вредоносов можно автоматизировать большинство этапов атаки. Особенно актуальными останутся программы-вымогатели, шпионское ПО и трояны удаленного доступа — как наиболее эффективные. При этом атаки будут более скрытными, персонализированными и технологичными, с акцентом на сбор конфиденциальной информации, манипуляцию сессиями и обход систем обнаружения», — отметил Федор Чунижеков, руководитель исследовательской группы Positive Technologies.
#PTSandbox
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥17❤10👏8💯2😁1🤨1
Forwarded from ESCalator
Гадание на Goffeeйной гуще: актуальные инструменты и особенности группировки Goffee в атаках на Россию ☕️
В течение 2024-2025 годов эксперты TI-департамента пристально следят за активностью группировки Goffee. За этот период, совместно с IR-командой, при расследовании инцидентов мы наблюдали обновление арсенала и использование новых векторов атаки.
🕵️ Нам удалось получить ранее неизвестные сэмплы — руткит, самописные инструменты для туннелирования трафика и другие. Изучение сетевой инфраструктуры позволило выявить паттерны, которые с высокой уверенностью позволяют атрибутировать новые семплы к активности группировки Goffee.
👽 О том, какие особенности в их инфраструктуре мы выделили, какой арсенал использует группировка на данный момент и почему исследование атак «гофи» — это поиск Goffeeйного зерна в инфраструктуре жертвы, вы можете узнать в нашей новой статье.
#TI #IR #APT #Malware
@ptescalator
В течение 2024-2025 годов эксперты TI-департамента пристально следят за активностью группировки Goffee. За этот период, совместно с IR-командой, при расследовании инцидентов мы наблюдали обновление арсенала и использование новых векторов атаки.
#TI #IR #APT #Malware
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16👍10👌6❤3😱1🤨1
Что для вас важно в NGFW? «Нормальный IPS, который не отъедает 80% аппаратных ресурсов», — ответит инженер по сетевой безопасности.
Что ж, вызов принят!Дорогой дневник дорогие сетевики, наш коллега Алексей Егоров, главный архитектор проектов, написал отличную статью на Хабр, в которой подробно рассказывает, как устроена система предотвращения вторжений (IPS) в нашем PT NGFW.
Работает она так: трафик проходит через NGFW, а IPS проверяет его своими сигнатурами, и если обнаружено совпадение, то выполняется действие, указанное в соответствующей сигнатуре.
Но из-за глубокого анализа с помощью сигнатур потребление аппаратных ресурсов NGFW значительно увеличивается. Снизить нагрузку может уменьшение глубины анализа(но это сведет весь эффект от работы NGFW к нулю) или тонкая настройка IPS.
В статье Алексей рассказывает, как понять и протестировать, что IPS работает эффективно, а также — как использовать IPS в NGFW, чтобы «не оглядываться назад в темном переулке».
👀 Больше подробностей — в материале на Хабре.
#PTNGFW
@Positive_Technologies
Что ж, вызов принят!
Работает она так: трафик проходит через NGFW, а IPS проверяет его своими сигнатурами, и если обнаружено совпадение, то выполняется действие, указанное в соответствующей сигнатуре.
Но из-за глубокого анализа с помощью сигнатур потребление аппаратных ресурсов NGFW значительно увеличивается. Снизить нагрузку может уменьшение глубины анализа
В статье Алексей рассказывает, как понять и протестировать, что IPS работает эффективно, а также — как использовать IPS в NGFW, чтобы «не оглядываться назад в темном переулке».
Например, в PT NGFW трафик проверяется всеми сигнатурами вне зависимости от того, какой именно набор сигнатур подключен к правилу. При этом действия с трафиком и отображение событий выполняются только по сигнатурам, которые помещены в набор. Эта логика удобна для администраторов, потому что им не приходится волноваться насчет утилизации аппаратных ресурсов межсетевого экрана при формировании набора сигнатур.
#PTNGFW
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥18❤11👍7🔥4🤨2
А о ключевых трендах в самом управлении уязвимостями рассказывает в статье для Positive Research Павел Попов, руководитель группы инфраструктурной безопасности Positive Technologies.
Скорее открывайте и читайте:
Подробности ищите на сайте нашего медиа.
#PositiveResearch
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤13🔥5👍4
В обновлениях компания Apple устранила уязвимость PT-2025-34177 (CVE-2025-43300), которая была обнаружена во фреймворке ImageIO. Он позволяет приложениям считывать и записывать файлы изображений в большинстве форматов, а также дает доступ к метаданным изображения.
🍏 Apple уточнила, что обработка файла вредоносного изображения может привести к повреждению памяти.
Вендор сообщил, что уязвимость была устранена за счет улучшения проверки границ памяти в версиях iOS 18.6.2, iPadOS 18.6.2, iPadOS 17.7.10, MacOS Sequoia 15.6.1, MacOS Sonoma 14.7.8, MacOS Ventura 13.7.8.
«Такие уязвимости потенциально могут приводить к сбоям, повреждению данных или даже удаленному выполнению кода. Выполнив произвольный код, злоумышленник потенциально может повысить права в системе, получить данные с устройства и зашифровать его. Кроме того, атакующий мог бы использовать устройство как точку входа для дальнейшего развития атаки на инфраструктуру компании», — уточняет Александр Леонов, ведущий эксперт PT Expert Security Center.
Под угрозой — iPhone XS и более поздние модели, iPad разных поколений, а также устройства на macOS.
«Подобные уязвимости являются основой для zero- или 1-click-атак, когда не требуется вообще никаких действий пользователя (картинка открывается автоматически при получении сообщения в мессенджере) или необходимо минимальное простое действие (например, открыть картинку). Конкретно эта уязвимость — в системном компоненте, и в теории злоумышленник может проэксплуатировать ее через любое приложение, в котором этот компонент используется», — отмечает Николай Анисеня, руководитель разработки PT Maze в Positive Technologies.
Похожие недостатки безопасности могут встречаться и в приложениях, которые обновляются чаще, чем системные компоненты. В таких случаях необходима защита от реверс-инжиниринга — обязательного этапа любой атаки на мобильное приложение. Это позволит выиграть время для самостоятельного обнаружения и исправления уязвимости, а также повысить стоимость атаки для злоумышленника и, как итог, спасти пользователей от взлома. Защитить приложения можно с помощью PT Maze.
#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥17❤14🤩8😱2
Дефект безопасности PT-2025-28938 (BDU:2025-08181) содержался сразу в двух линейках UserGate NGFW — в версиях до 6.1.9.12193R и 7.3.1.153682R включительно. Он возник из-за недостаточной фильтрации данных на служебной странице блокировки, на которую перенаправляются пользователи после отказа в доступе к тому или иному URL-адресу.
Успешная эксплуатация уязвимости позволяла нарушить работу UserGate NGFW, похитить персональные данные сотрудников либо развить атаку в локальной сети.
«Совершив успешную атаку, злоумышленник гипотетически смог бы отправлять запросы от имени жертвы к внутренним сервисам компании, таким как корпоративная почта и база знаний. Это могло бы обернуться утечкой информации, содержащей коммерческую тайну, — рассказал Владимир Власов, старший специалист отдела исследований безопасности банковских систем Positive Technologies. — Если бы нарушитель сумел закрепиться во внутренней сети организации, под угрозой могли бы оказаться ее бизнес-процессы».
«Positive Technologies уведомила нас об уязвимости, и специалисты центра мониторинга и реагирования UserGate uFactor оперативно выпустили обновление и произвели оповещение клиентов компании. При этом, учитывая особенности найденной уязвимости и трудность ее реализации, вероятность эксплуатации вне лабораторных условий равна нулю. Это подтверждается информацией, размещенной на ресурсе БДУ ФСТЭК. Согласно БДУ ФСТЭК уязвимость была сразу устранена, фактов ее использования не обнаружено», — рассказали в пресс-службе UserGate.
Для устранения ошибки необходимо загрузить исправленную версию UserGate NGFW (начиная с 6.1.9.12198R или 7.3.2.183745R). Если обновить ПО невозможно, наш эксперт рекомендует отключить страницу блокировки или вывести ее на отдельный домен, не связанный с основным.
#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥19👏9❤4😁3👌2
👾 Освойте полный цикл управления уязвимостями с экспертами кибербезопасности за 4 недели
Количество уязвимостей в ИТ-системах растет, но хаотичное их устранение тормозит бизнес и создает напряжение между ИТ и ИБ. Пора выстроить систему.
🚀 Практикум «Управление уязвимостями: от теории к практике» стартует 8 сентября, она станет вашим ключом к организованной и эффективной стратегии управления уязвимостями.
Программу разработали Павел Попов и Михаил Козлов — профессионалы кибербезопасности с глубоким многолетним практическим опытом в области управления уязвимостями. Практикум можно проходить не только индивидуально, но и командой!
👉 Больше подробностей — на странице практикума.
#PositiveEducation
@Positive_Technologies
Количество уязвимостей в ИТ-системах растет, но хаотичное их устранение тормозит бизнес и создает напряжение между ИТ и ИБ. Пора выстроить систему.
🚀 Практикум «Управление уязвимостями: от теории к практике» стартует 8 сентября, она станет вашим ключом к организованной и эффективной стратегии управления уязвимостями.
Чему вы научитесь:
• Строить систему управления уязвимостями.
• Проводить инвентаризацию активов и оценивать риски.
• Настраивать MaxPatrol VM: сканеры, теги, фильтры, автоматизация.
• Приоритизировать и устранять уязвимости системно.
• Анализировать отчеты и выделять критические уязвимости.
• Обеспечивать слаженную работу ИТ и ИБ.
Программу разработали Павел Попов и Михаил Козлов — профессионалы кибербезопасности с глубоким многолетним практическим опытом в области управления уязвимостями. Практикум можно проходить не только индивидуально, но и командой!
👉 Больше подробностей — на странице практикума.
#PositiveEducation
@Positive_Technologies
👍15🔥9❤8
Наше исследование актуальных киберугроз за первое полугодие 2025 года показало, что использование вредоносного ПО — по-прежнему самый популярный метод успешных атак (63% случаев). При этом злоумышленники в два раза чаще, чем год назад, распространяют ВПО через сайты. По данным наших аналитиков, это связано с ростом популярности схем, нацеленных на разработчиков.
Киберпреступники размещают на популярных платформах GitHub и GitLab фиктивные проекты. А потом обманом заставляют пользователей запускать вредоносную полезную нагрузку, отвечающую за извлечение дополнительных компонентов из контролируемого злоумышленником репозитория и их выполнение. В результате на устройства жертв загружаются трояны удаленного доступа и шпионское ПО.
Например, в России, Бразилии и Турции от такой вредоносной кампании пострадали геймеры и криптовалютные инвесторы. На их устройства загружался инфостилер, крадущий адреса криптокошельков, личные и банковские данные. В США, Европе и Азии обнаружено не менее 233 жертв кампании группировки Lazarus: она внедряла JavaScript-имплант, предназначенный для сбора системной информации.
Также с начала года злоумышленники активно использовали в экосистемах с открытым исходным кодом технику тайпсквоттинга (создания вредоносных пакетов с названиями, похожими на легальные), рассчитывая на ошибки и опечатки пользователей при вводе этих названий.
Специалисты PT ESC выявили в репозитории PyPI вредоносную кампанию, нацеленную на разработчиков, ML-специалистов и энтузиастов, заинтересованных в интеграции DeepSeek в свои системы. Вредоносные пакеты deepseeek и deepseekai могли собирать данные о пользователе и его компьютере, а также похищать переменные окружения.
«Внедряя вредоносное ПО в процессы разработки, злоумышленники наносят двойной удар: поражают не только саму жертву, но и проекты, с которыми она связана. Мы прогнозируем, что этот тренд будет набирать обороты: атаки на ИТ-компании и разработчиков с целью подрыва цепочек поставок будут происходить чаще», — поделилась Анастасия Осипова, младший аналитик исследовательской группы Positive Technologies.
Эксперты рекомендуют вендорам, производящим ПО, выстроить процессы безопасной разработки и обеспечить защиту цепочки поставок. А именно — внедрить инструменты, позволяющие выявлять уязвимости в коде и тестировать безопасность приложений, а также решения для динамического анализа кода и анализаторы пакетов. Ну и конечно, нужно своевременно обновлять системы управления исходным кодом, которые используются в процессе разработки.
#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👏14🔥8❤5❤🔥5