Такого вы еще точно не видели! Пятидневный онлайн-марафон «PT NGFW: исповедь инженеров»
🗓 С 15 по 19 сентября в 11:00 команда нашего межсетевого экрана нового поколения будет выходить в прямой эфир, чтобы рассказать, как работает PT NGFW и почему все в нем устроено именно так.
Разбавим теоретические выкладки разборами реальных кейсов и живыми диалогами, обменяемся опытом и ответим на ваши вопросы, а также дадим практические советы, которые можно тут же применить в работе.
🎁 Приятный бонус — возможность выиграть маленький, но свой PT NGFW*, разгадывая головоломки от экспертов.
Регистрируйтесь на марафон и не забывайте подключаться ровно в 11:00!
* Правила проведения конкурса.
#PTNGFW
@Positive_Technologies
Разбавим теоретические выкладки разборами реальных кейсов и живыми диалогами, обменяемся опытом и ответим на ваши вопросы, а также дадим практические советы, которые можно тут же применить в работе.
Регистрируйтесь на марафон и не забывайте подключаться ровно в 11:00!
* Правила проведения конкурса.
#PTNGFW
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13❤6🐳4
Наши специалисты разработали и обучили ML-модель, отличающую чистый трафик от зловредного путем поиска особых признаков поведения ВПО. Благодаря этому возможно обнаружить неизвестные вредоносы до того, как на них будет написана сигнатура.
«Мы непрерывно совершенствуем механизмы обнаружения и развиваем встроенную в PT Sandbox экспертизу по поиску ВПО и защите от него. Одним из главных нововведений в этом году стало внедрение в песочницу еще одной ML-модели. Новый метод анализа на основе машинного обучения помогает еще качественнее определять ВПО и защищать инфраструктуру от угроз нулевого дня», — комментирует Шаих Галиев, руководитель отдела экспертизы PT Sandbox антивирусной лаборатории PT ESC.
Больше о том, как работает обновленный PT Sandbox, расскажем на примере реальных кейсов 16 сентября во время онлайн-митапа NetCase Day, присоединяйтесь!
#PTSandbox
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤17🔥12👌6🥰2
This media is not supported in your browser
VIEW IN TELEGRAM
🐟 А что попадается в ваших сетях: золотые рыбки мечты или аномалии? 👾
Если не получается определиться с уловом самостоятельно, доверьтесь PT NAD — системе поведенческого анализа трафика, которая умеет искать угрозы в инфраструктуре компаний.
🔍 Как она это делает на практике, расскажет наша команда, а также эксперты из HeadHunter, K2 Cloud и «Программного продукта» 16 сентября в 15:00 на онлайн-митапе NetCase Day.
Никакой теории, только реальные кейсы использования PT NAD — отдельно и в синергии с песочницей PT Sandbox(о преимуществах такого объединения тоже обязательно расскажем!) .
👉 Регистрируйтесь и присоединяйтесь к митапу уже в следующий вторник.
#PTSandbox #PTNAD
@Positive_Technologies
Если не получается определиться с уловом самостоятельно, доверьтесь PT NAD — системе поведенческого анализа трафика, которая умеет искать угрозы в инфраструктуре компаний.
Никакой теории, только реальные кейсы использования PT NAD — отдельно и в синергии с песочницей PT Sandbox
👉 Регистрируйтесь и присоединяйтесь к митапу уже в следующий вторник.
#PTSandbox #PTNAD
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13❤9👍5🐳4
CommuniGate Pro — это отечественная платформа для унифицированных коммуникаций, разрабатываемая компанией «СБК». Она включает серверные и клиентские компоненты, обеспечивающие безопасную работу почты, мессенджера, видеосвязи, контакт-центров и интеграцию с популярными клиентами, такими как Microsoft Outlook и Thunderbird. Решение используется крупными государственными организациями, корпорациями и телеком-операторами. По данным компании «СБК», CommuniGate Pro развернута в 53 странах и обслуживает свыше 135 млн учетных записей.
Уязвимости обнаружены в версии 6.5.1 и более ранних версиях предыдущего правообладателя.
«До устранения эти пробелы в защите потенциально позволяли захватить полный контроль над почтовым сервером, — отметил Максим Суслов. — Если бы атакующим удалось этим воспользоваться, могли бы возникнуть инциденты, связанные с масштабными утечками конфиденциальной информации и компрометацией части корпоративной IT-инфраструктуры».
Мы своевременно сообщили вендору о найденных пробелах в безопасности, и он выпустил обновление. Чтобы не рисковать, обновите ПО до версии не ниже 6.5.1hotfix1, доступной для свободного скачивания на сайте компании-производителя. Если такой возможности нет, наши эксперты рекомендуют ограничить доступ к CommuniGate Pro из недоверенных сетей.
👾 Больше об этих и других актуальных уязвимостях с рекомендациями вендоров по их устранению мы рассказываем на портале dbugs.
#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥18👏9🔥5❤2
Уже второй год мы выступаем партнером этих соревнований для школьников 8–11 классов, которые организует НИЯУ «МИФИ».
Участвуйте сами
Решая задания от топовых экспертов по кибербезопасности, можно:
«В условиях нехватки квалифицированных специалистов по кибербезопасности важно использовать любые возможности для поиска талантов. Поэтому считаю важным поддерживать такие активности. Совместно с коллегами из «МИФИ» и партнерами соревнований мы уже не первый год вкладываем свои время и силы в их подготовку и проведение. И, кажется, не зря. Этим летом ребята, которые уже не первый год участвуют в олимпиаде НТО, взяли семь из восьми медалей на международной олимпиаде по кибербезопасности», — говорит Иван Булавин, архитектор олимпиады и директор по продуктам Standoff.
Читайте подробнее об олимпиаде НТО и становитесь теми, кто уже завтра будет обеспечивать цифровую безопасность бизнеса, страны и целого мира.
#PositiveEducation
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥21❤12🥰4👍3🤩2👏1
Наши эксперты в исследовании актуальных киберугроз объясняют это способностью ВПО быстро проникать в целевые системы, длительное время оставаться незамеченным и обеспечивать киберпреступникам устойчивый контроль над захваченными ресурсами.
По данным PT ESC, в тройку самых распространенных типов зловредов вошли шифровальщики (вымогатели), программы для удаленного управления и шпионское ПО.
Кроме того, злоумышленники стали в три раза чаще использовать загрузчики, которые помогают скрытно развертывать на финальной стадии многоэтапной атаки другие вредоносные программы: трояны удаленного доступа, инфостилеры и шифровальщики.
Новый загрузчик ModiLoader (DBatLoader) распространялся через фишинговые письма с вложениями, выдаваемыми за официальные банковские документы. На завершающем этапе атаки в систему загружалось шпионское ПО Snake Keylogger, способное перехватывать нажатия клавиш, собирать данные из буфера обмена и сохраненные учетные записи.
Наши исследователи также фиксируют рост на 11% использования в кибератаках легальных программ, которые регулярно пополняют арсенал киберпреступников.
В одной из недавних атак группировки вымогателей Fog исследователи из Symantec обнаружили крайне нетипичный для этих злоумышленников набор инструментов, включавший и легальные программы, и малоизвестные опенсорсные утилиты.
По нашим прогнозам, в ближайшем будущем станет больше сложных атак, комбинирующих несколько видов ВПО, а также точечных и скрытых атак программ-вымогателей, цель которых не столько шифрование данных, сколько их кража и последующее вымогательство. Злоумышленники будут еще активнее использовать легитимные инструменты, облачные сервисы и в целом подход living off the land для маскировки вредоносных действий, что может значительно усложнить обнаружение угроз.
Вредоносное ПО продолжает эволюционировать, становясь сложнее и опаснее. В таких условиях критически важно внедрять многоуровневую систему безопасности, которая также будет адаптироваться к появляющимся вызовам, в том числе к активности новых вредоносных программ.
Она может включать современные песочницы, такие как PT Sandbox, которые умеют анализировать подозрительные объекты и предотвращать попадание зловредов в контур организации, а также средства глубокого анализа сетевого трафика, например PT Network Attack Discovery (PT NAD), умеющие обнаруживать и подсвечивать для аналитика SOC активность ВПО в трафике.
«В новом релизе PT NAD появились модули для обнаружения аномальных запросов к Telegram API. Это наш ответ на использование вредоносными программами инфраструктуры Telegram в качестве канала управления», — рассказывает Кирилл Шипулин, руководитель экспертизы PT NAD.
Для комплексной защиты от кибератак организациям также следует использовать антивирусы, почтовые шлюзы, межсетевые экраны нового поколения, SIEM-системы и продукты класса WAF.
#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11🔥11😁4👏3
Наши эксперты расскажут, как меняется рынок, поделятся информацией об актуальных атаках и угрозах и о том, как продукты Positive Technologies помогают сделать кибербезопасность результативной. Вы сможете задать любые вопросы и продуктивно пообщаться с коллегами.
Когда: 18 сентября с 9:30
Где: отель Grand Autograph, ул. Орджоникидзе, 31
Как попасть: заранее зарегистрироваться на сайте
Вас ждут:
• Рассказ об успехах на рынке, новых функциях и планах развития PT NGFW.
• Лекция Алексея Лукацкого о том, как начать предсказывать киберзло и поставить это на поток.
• Подробная информация о наших продуктах и сервисах, помогающих проверить защищенность вашей компании снаружи: пентест и Standoff Bug Bounty, анализ защищенности приложений и PT MAZE.
• Два разговора о важном: как проводить безопасный внутренний автопентест с PT Dephaze и для чего вам переходить на PT Application Firewall PRO.
Когда: 25 сентября с 10:00
Где: Loft Hall, Арсенальная набережная, 1
Как попасть: заранее зарегистрироваться на сайте
Вас ждут:
• Два крутых тест-драйва. На одном покажем, как настроить PT NGFW, дадим возможность протестировать устойчивость настроек и пройтись по сложным сетевым сценариям. На втором вы узнаете, как на практике работает PT Boost — решение, помогающее в минимальные сроки вывести киберустойчивость компании на новый уровень. Внимание: на оба тест-драйва требуется отдельная регистрация!
• Самые актуальные обновления PT NAD, MaxPatrol SIEM, PT Sandbox и MaxPatrol EDR.
• История о PT NGFW в Петербурге: любовь, производственная драма, а также самая актуальная информация о продукте.
• Лекция Алексея Лукацкого «Семь когнитивных искажений и их влияние на повседневную деятельность ибэшника».
• Разговор с юристом о том, что вам стоит учесть в работе в ближайшее время: от изменений в антимонопольном законодательстве до нюансов работы с персональными данными.
• Много интересного о хакерах, расследованиях и платформе Standoff, которая помогает оттачивать навыки и командам защиты, и атакующим.
📆 Бронируйте дни в календарях, увидимся на Positive Tech Day!
#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15👍6💯4❤2🐳2
Уязвимость PT-2025-368801 (CVE-2025-54916, BDU:2025-06402) высокого уровня опасности (7,8 балла по шкале CVSS 3.1) была обнаружена в драйвере файловой системы Microsoft и затрагивала ряд ОС, среди которых Windows 10, Windows 11 и Windows Server 2025.
В ходе мониторинга актуальных угроз наши эксперты установили, что потенциально по всему миру уязвимо не менее 1,5 млн устройств с одной только Windows 11 (по данным платформы StatCounter, в июле 2025 года ее использовали 54% клиентов вендора). Большинство из них находятся в США (28%), Китае (13%), Японии (8%), Германии и Южной Корее (по 4%), а также в России (3%).
🥷 Используя недостаток безопасности, для обнаружения которого наш эксперт провел целое расследование, атакующий мог бы похитить учетные данные пользователя и начать продвижение по корпоративной сети, что теоретически могло привести к нарушениям бизнес-процессов, утечке информации и нанесению организации финансового ущерба.
«Для успешной эксплуатации уязвимости нарушителю было бы достаточно запуска жертвой на своем устройстве зловредного виртуального диска. Для этого злоумышленник мог бы направить его по электронной почте, сопроводив убедительным фишинговым письмом. В результате атакующий смог бы удаленно выполнить произвольный код и получить полный контроль над операционной системой для дальнейшего развития атаки», — делится подробностями Сергей Тарасов, руководитель группы анализа уязвимостей, PT ESC.
Мы вовремя уведомили разработчика об угрозе, и он уже выпустил обновление безопасности, которое необходимо установить как можно скорее.
#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥25❤10👌3💯1
😶🌫️ Кажется, сама погода намекает...
Что сегодня в 15:00 нужно подключиться к NetCase Day и узнать реальные кейсы использования PT Sandbox и PT NAD.
#PTNAD #PTSandbox
@Positive_Technologies
Что сегодня в 15:00 нужно подключиться к NetCase Day и узнать реальные кейсы использования PT Sandbox и PT NAD.
#PTNAD #PTSandbox
@Positive_Technologies
😁22🔥12🤩8❤2
Привет! У тебя отличный ник @etoyaudachnozashel, хочу купить его у тебя для своего бизнеса за 3000 $. Сделку проведем официально, готов продать?
Все чаще пользователи Telegram получают подобные сообщения. И, как правило, они от мошенников. Отметим, что схема не новая, но только за последние пару недель с такими «выгодными» предложениями столкнулись несколько наших коллег. Рассказываем, как все устроено.
1️⃣ Вы получаете «письмо счастья» от якобы заинтересованного покупателя (пример на скриншотах). Которому на самом деле все равно, какой у вас никнейм (короткий, длинный, красивый, брендовый). Его цель — предложить интересную цену и убедить вас, что все будет сделано «официально», чтобы притупить вашу бдительность.
2️⃣ «Покупатель» предлагает провести сделку через Fragment. Это платформа, где действительно можно легально приобрести никнейм в Telegram за криптовалюту. С одним важным «но» — никнеймы продаются в формате аукциона.
3️⃣ Мошенник сообщает, что создаст «прямой запрос», чтобы сделка состоялась без аукциона. Таким образом вы якобы получите деньги сразу, а «покупателю» никто не сможет перебить ставку. На этом шаге злоумышленник генерирует для вас фишинговую ссылку.
4️⃣ Депозит. Вам приходит сообщение от бота или «покупателя», по ссылке из которого вы переходите в мини-приложение, по интерфейсу очень схожее с платформой Fragment. И здесь вам предлагается внести депозит или заплатить комиссию от сделки в 5%, чтобы завершить ее и получить всю сумму. Стоит отметить, что Fragment действительно берет 5% комиссии от суммы продажи никнейма, но в данном случае страница поддельная, и эти 5% улетают в кошелек мошенникам.
5️⃣ Вы с никнеймом, но на 150 $ беднее (если вам изначально предлагали 3000 $).
Это только один путь, которым может завершиться начальное предложение. В других вариантах мошенники могут прислать фишинговые ссылки для передачи аккаунта иным путем, где от вас потребуется ввести логин и пароль или вас могут попросить прислать код из сообщения. В таком случае вы можете потерять доступ к своему аккаунту, за возвращение которого с вас могут потребовать выкуп.
«Чтобы вернуть доступ к аккаунту или никнейм, следует обратиться в поддержку мессенджера. Telegram может вернуть доступ или ник при наличии убедительных доказательств владения. Однако Telegram не проводит финансовых расследований и обычно не участвует в возврате денег — его роль состоит преимущественно в восстановлении аккаунта или ника.
Кроме того, есть ряд действий, которые жертва может предпринять самостоятельно: завершить все чужие сессии, включить двухэтапную верификацию и сменить пароль, обратиться в банк с запросом о блокировке платежа мошенникам», — рассказала Ирина Зиновкина, руководитель направления аналитических исследований Positive Technologies.
Отметим, что любая сделка, где вас в спешке просят сообщить код, перейти в сторонний бот или сделать предоплату, почти наверняка является мошеннической. Обращайте внимание на названия ботов, написание URL в ссылках и сравнивайте их с официальными.
@Positive_Technologies
🔥25❤15🤔10😁3👍1
Как поменялись требования к сертификации средств защиты конечных устройств ✍️
Мы запускаем серию материалов, в которой Александр Коробко, руководитель направления продуктового маркетинга по безопасности инфраструктуры в Positive Technologies, и Алена Караваева, руководитель MaxPatrol EDR, подробно разберут, как устроена сертификация средств защиты конечных устройств по новым правилам, в частности СОР — систем обнаружения и реагирования.
Наша продуктовая команда и специалисты отдела сертификации вместе с регулятором участвовали в рабочей группе по формированию требований к СОР. Сейчас эти требования активно разрабатываются ФСТЭК России с привлечением производителей СЗИ.
❣️ Один из пунктов сертификации, о котором мы расскажем сегодня, — это методы обнаружения кибератак на узлах.
Изначально перед ФСТЭК стояла сложная задача —сохранить границы и контекст в рамках конкретного узла, что само себе крайне сложно в сфере кибербезопасности. Дело в том, что уже существуют требования к антивирусу (САВЗ), которые важно было сохранить независимыми, а EDR как решение может взаимодействовать с множеством других СЗИ. Важно было не приписать их функции EDR, а показать, что такая взаимосвязь — базовое требование для этого класса решений. Например, отправка в SIEM-системы, песочницу, работа с TI и антивирусами.
В финальной версии требований мы увидели большой объем исправлений, который появился благодаря диалогу с вендорами. Это говорит о том, что к представителям индустрии прислушиваются и на выходе появляется документ, который отражает суть именно этого класса решений.
👀 В одном из требований нормативного документа есть предписание, что механизмы обнаружения должны позволять находить на узле признаки:
Этот список подтверждается на практике, а в нашем MaxPatrol EDR такие признаки полностью закрываются работой коррелятора. Кроме того, наши пользователи могут связать отдельные события обнаружения с этими признаками, используя разметку по MITRE ATT&CK Framework.
💡 Как правило, путь злоумышленника состоит из разведки, анализа в контексте узла и сетевого окружения, закрепления на узлах, дампа административных учетных записей, перемещения между узлами, эксфильтрации данных. Время нахождения злоумышленника в инфраструктуре может достигать 90 дней, и нужно уметь собирать все его шаги в цепочки. Так пользователь получит не множество отдельных событий, а комплексное понимание о тактиках и техниках атаки. За счет этого сертифицируемые решения становятся по-настоящему прикладными.
💡 Среди критериев оценки есть указание на типы данных мониторинга, которые должны собирать такие решения (посмотреть их можно здесь).
Для обнаружения угроз в MaxPatrol EDR поддерживаются не только эти типы данных наряду со стандартными для отрасли методами сбора, но и расширенные возможности, которые помогают нашим клиентам снижать количество ложноположительных срабатываний и оперативно обнаруживать киберугрозы на конечных устройствах. Все эти параметры можно увидеть в карточках активов, в событиях, они используются в правилах коррелятора и YARA.
В следующих публикациях подробнее расскажем о требованиях к реагированию в СОР и кастомной экспертизе. Stay tuned!
#MaxPatrolEDR
@Positive_Technologies
Мы запускаем серию материалов, в которой Александр Коробко, руководитель направления продуктового маркетинга по безопасности инфраструктуры в Positive Technologies, и Алена Караваева, руководитель MaxPatrol EDR, подробно разберут, как устроена сертификация средств защиты конечных устройств по новым правилам, в частности СОР — систем обнаружения и реагирования.
Наша продуктовая команда и специалисты отдела сертификации вместе с регулятором участвовали в рабочей группе по формированию требований к СОР. Сейчас эти требования активно разрабатываются ФСТЭК России с привлечением производителей СЗИ.
Изначально перед ФСТЭК стояла сложная задача —сохранить границы и контекст в рамках конкретного узла, что само себе крайне сложно в сфере кибербезопасности. Дело в том, что уже существуют требования к антивирусу (САВЗ), которые важно было сохранить независимыми, а EDR как решение может взаимодействовать с множеством других СЗИ. Важно было не приписать их функции EDR, а показать, что такая взаимосвязь — базовое требование для этого класса решений. Например, отправка в SIEM-системы, песочницу, работа с TI и антивирусами.
В финальной версии требований мы увидели большой объем исправлений, который появился благодаря диалогу с вендорами. Это говорит о том, что к представителям индустрии прислушиваются и на выходе появляется документ, который отражает суть именно этого класса решений.
👀 В одном из требований нормативного документа есть предписание, что механизмы обнаружения должны позволять находить на узле признаки:
• получения первоначального доступа;
• внедрения и исполнения вредоносного программного обеспечения;
• закрепления (сохранения доступа) с возможностью получения повторного доступа;
• управления вредоносным программным обеспечением и его компонентами;
• повышения привилегий доступа;
• сокрытия действий;
• сбора и вывода информации;
• неправомерного доступа или воздействия.
Этот список подтверждается на практике, а в нашем MaxPatrol EDR такие признаки полностью закрываются работой коррелятора. Кроме того, наши пользователи могут связать отдельные события обнаружения с этими признаками, используя разметку по MITRE ATT&CK Framework.
💡 Как правило, путь злоумышленника состоит из разведки, анализа в контексте узла и сетевого окружения, закрепления на узлах, дампа административных учетных записей, перемещения между узлами, эксфильтрации данных. Время нахождения злоумышленника в инфраструктуре может достигать 90 дней, и нужно уметь собирать все его шаги в цепочки. Так пользователь получит не множество отдельных событий, а комплексное понимание о тактиках и техниках атаки. За счет этого сертифицируемые решения становятся по-настоящему прикладными.
Для обнаружения угроз в MaxPatrol EDR поддерживаются не только эти типы данных наряду со стандартными для отрасли методами сбора, но и расширенные возможности, которые помогают нашим клиентам снижать количество ложноположительных срабатываний и оперативно обнаруживать киберугрозы на конечных устройствах. Все эти параметры можно увидеть в карточках активов, в событиях, они используются в правилах коррелятора и YARA.
В следующих публикациях подробнее расскажем о требованиях к реагированию в СОР и кастомной экспертизе. Stay tuned!
#MaxPatrolEDR
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥12👍10👌7🤯1
🎱 Эксперты Positive Technologies отнесли к трендовым еще восемь уязвимостей
Среди них недостатки безопасности в архиваторах файлов WinRAR и 7-Zip, сервисе для проведения видеоконференций TrueConf Server и платформе SAP NetWeaver. Эти уязвимости требуют оперативного устранения или принятия компенсирующих мер.
Пользователи MaxPatrol VM уже в курсе этих недостатков: информация о трендовых уязвимостях поступает в систему в течение 12 часов с момента их появления.
🗄 Уязвимости, связанные с удаленным выполнением кода, в архиваторе файлов WinRAR
PT-2025-26225 (CVE-2025-6218, оценка по CVSS — 7,8) и PT-2025-32352 (CVE-2025-8088, оценка по CVSS — 8,8)
Потенциально уязвимы все устройства под управлением Windows с версиями WinRAR до 7.13. Чтобы защититься, рекомендуется вручную установить исправленную версию, поскольку WinRAR (загруженный более 500 миллионов раз по всему миру) не имеет функции автоматического обновления.
Уязвимости связаны с недостаточно тщательной проверкой путей к файлам внутри архивов и позволяют при разархивировании записывать их за пределы указанной папки. Это может позволить злоумышленнику обойти стандартные ограничения и внедрять вредоносный код в папку автозагрузки Windows. Вредоносный файл, помещенный в нее, автоматически запустится при следующем входе пользователя в систему, выполнившись с его привилегиями.
В случае успеха атакующий cможет перехватывать и модифицировать локальные файлы, повышать привилегии для получения доступа к другим системам в сети, а также использовать скомпрометированное устройство для дальнейшего распространения атаки внутри инфраструктуры.
📁 Уязвимость, связанная с удаленным выполнением кода, в архиваторе 7-Zip
PT-2025-32410 (CVE-2025-55188, оценка по CVSS — 3,6)
В мире скачано около 430 миллионов копий программы. Потенциально уязвимы все устройства, на которых установлены версии 7-Zip до 25.01 (чтобы защититься, рекомендуется обновить программу до актуальной версии).
Уязвимость связана с некорректной обработкой символических ссылок при распаковке архивов и позволяет злоумышленнику перезаписывать произвольные файлы в целевой системе. В первую очередь недостаток затрагивает ОС семейства Linux, но эксплуатация возможна и на устройствах на базе Windows.
💻 Уязвимости, связанные с удаленным выполнением кода, в сервере разработки Visual Composer, SAP NetWeaver
PT-2025-20812 (CVE-2025-42999, оценка по CVSS — 9,1) и PT-2025-17845 (CVE-2025-31324, оценка по CVSS — 10,0)
Visual Composer в SAP NetWeaver позволяет создавать компоненты приложений без программирования. По оценкам «Т1 Интеграции», около 2000 российских организаций продолжают использовать программные продукты SAP.
Уязвимость CVE-2025-42999 обусловлена ошибкой в механизме десериализации, при которой отправка специально сформированных HTTP-запросов приводит к выполнению произвольного кода на уровне сервера. Уязвимость CVE-2025-31324 связана с отсутствием надлежащих проверок при загрузке файлов на сервер.
Как сообщают исследователи из Onapsis, совместная эксплуатация этих уязвимостей позволяет не только развертывать веб-шеллы, но и напрямую выполнять команды ОС с правами администратора, что приводит к полной компрометации системы. Чтобы защититься, рекомендуется установить обновления безопасности на уязвимые устройства.
🎦 Уязвимости в платформе для проведения видеоконференций TrueConf Server
PT-2025-36231 (BDU:2025-10114, оценка по CVSS — 7,5), PT-2025-36232 (BDU:2025-10115, оценка по CVSS — 7,5), PT-2025-36233 (BDU:2025-10116, оценка по CVSS — 9,8)
Все три уязвимости обнаружил эксперт PT SWARM Никита Петров. Эксплуатируя цепочку из этих уязвимостей, потенциальный злоумышленник может полностью скомпрометировать уязвимые серверы и получить доступ к сети организации. Подробнее о них мы рассказали ранее в нашей публикации.
📖 Детальнее о перечисленных уязвимостях, случаях их эксплуатации и способах устранения читайте в сентябрьском дайджесте.
Узнавать об актуальных недостатках безопасности можно на нашей странице трендовых уязвимостей и на портале dbugs.
#втрендеVM
@Positive_Technologies
Среди них недостатки безопасности в архиваторах файлов WinRAR и 7-Zip, сервисе для проведения видеоконференций TrueConf Server и платформе SAP NetWeaver. Эти уязвимости требуют оперативного устранения или принятия компенсирующих мер.
Пользователи MaxPatrol VM уже в курсе этих недостатков: информация о трендовых уязвимостях поступает в систему в течение 12 часов с момента их появления.
🗄 Уязвимости, связанные с удаленным выполнением кода, в архиваторе файлов WinRAR
PT-2025-26225 (CVE-2025-6218, оценка по CVSS — 7,8) и PT-2025-32352 (CVE-2025-8088, оценка по CVSS — 8,8)
Потенциально уязвимы все устройства под управлением Windows с версиями WinRAR до 7.13. Чтобы защититься, рекомендуется вручную установить исправленную версию, поскольку WinRAR (загруженный более 500 миллионов раз по всему миру) не имеет функции автоматического обновления.
Уязвимости связаны с недостаточно тщательной проверкой путей к файлам внутри архивов и позволяют при разархивировании записывать их за пределы указанной папки. Это может позволить злоумышленнику обойти стандартные ограничения и внедрять вредоносный код в папку автозагрузки Windows. Вредоносный файл, помещенный в нее, автоматически запустится при следующем входе пользователя в систему, выполнившись с его привилегиями.
В случае успеха атакующий cможет перехватывать и модифицировать локальные файлы, повышать привилегии для получения доступа к другим системам в сети, а также использовать скомпрометированное устройство для дальнейшего распространения атаки внутри инфраструктуры.
📁 Уязвимость, связанная с удаленным выполнением кода, в архиваторе 7-Zip
PT-2025-32410 (CVE-2025-55188, оценка по CVSS — 3,6)
В мире скачано около 430 миллионов копий программы. Потенциально уязвимы все устройства, на которых установлены версии 7-Zip до 25.01 (чтобы защититься, рекомендуется обновить программу до актуальной версии).
Уязвимость связана с некорректной обработкой символических ссылок при распаковке архивов и позволяет злоумышленнику перезаписывать произвольные файлы в целевой системе. В первую очередь недостаток затрагивает ОС семейства Linux, но эксплуатация возможна и на устройствах на базе Windows.
💻 Уязвимости, связанные с удаленным выполнением кода, в сервере разработки Visual Composer, SAP NetWeaver
PT-2025-20812 (CVE-2025-42999, оценка по CVSS — 9,1) и PT-2025-17845 (CVE-2025-31324, оценка по CVSS — 10,0)
Visual Composer в SAP NetWeaver позволяет создавать компоненты приложений без программирования. По оценкам «Т1 Интеграции», около 2000 российских организаций продолжают использовать программные продукты SAP.
Уязвимость CVE-2025-42999 обусловлена ошибкой в механизме десериализации, при которой отправка специально сформированных HTTP-запросов приводит к выполнению произвольного кода на уровне сервера. Уязвимость CVE-2025-31324 связана с отсутствием надлежащих проверок при загрузке файлов на сервер.
Как сообщают исследователи из Onapsis, совместная эксплуатация этих уязвимостей позволяет не только развертывать веб-шеллы, но и напрямую выполнять команды ОС с правами администратора, что приводит к полной компрометации системы. Чтобы защититься, рекомендуется установить обновления безопасности на уязвимые устройства.
🎦 Уязвимости в платформе для проведения видеоконференций TrueConf Server
PT-2025-36231 (BDU:2025-10114, оценка по CVSS — 7,5), PT-2025-36232 (BDU:2025-10115, оценка по CVSS — 7,5), PT-2025-36233 (BDU:2025-10116, оценка по CVSS — 9,8)
Все три уязвимости обнаружил эксперт PT SWARM Никита Петров. Эксплуатируя цепочку из этих уязвимостей, потенциальный злоумышленник может полностью скомпрометировать уязвимые серверы и получить доступ к сети организации. Подробнее о них мы рассказали ранее в нашей публикации.
📖 Детальнее о перечисленных уязвимостях, случаях их эксплуатации и способах устранения читайте в сентябрьском дайджесте.
Узнавать об актуальных недостатках безопасности можно на нашей странице трендовых уязвимостей и на портале dbugs.
#втрендеVM
@Positive_Technologies
❤11👍8👏3🔥2
Для этого нужно не только разбираться в технологиях и продуктах, но и понимать, как должна работать целостная устойчивая система: архитектура, процессы и механизмы защиты.
С 6 октября Positive Education запускает шестинедельный практикум «Архитектура сетевой безопасности предприятия», на котором наши эксперты поделятся собственным опытом и помогут вам отработать необходимые навыки.
🧑🎓 Вы научитесь проектировать сетевую архитектуру с учетом актуальных угроз и требований регуляторов, разберете ошибки проектирования и узнаете, чем они грозят при реальных атаках. А еще вы сможете попрактиковаться на облачном стенде с PT NGFW, PT NAD и MaxPatrol SIEM и освоите методы контроля и оценки эффективности защиты.
👨💻 Авторами практикума стали Михаил Кадер и Андрей Скрипкин — архитекторы решений для ИБ с опытом более 30 лет, а прокачаться в сетевой безопасности вам помогут наши коллеги: Сергей Сахаров, Александр Бирюков, Алексей Сивенков и другие специалисты.
👉 Более подробная информация о практикуме — на нашем сайте.
И пусть ваши сети станут самыми защищенными 😉
#PositiveEducation
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10🔥8❤3👌3😁1
Поговорим о том, как бизнес может обеспечить полную видимость трафика и контроль киберугроз в «облаке», на вебинаре 23 сентября в 14:00.
Регистрируйтесь заранее, чтобы узнать:
Увидимся на вебинаре! Добавляйте событие в календарь, чтобы ничего не пропустить.
#PTNAD #PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👌7❤5🔥4❤🔥3
Forwarded from Positive Hack Days Media
Media is too big
VIEW IN TELEGRAM
< Почему нельзя покупать Wi-Fi-роутеры с предустановленным VPN
На маркетплейсах все чаще встречаются объявления о продаже таких устройств. Продавцы обещают безлимитный доступ к заблокированным ресурсам. Но умалчивают, что вместе с этим они могут получить доступ к вашей сети и интернет-трафику🤯
Что скрывают эти «чудо-роутеры», за 107 секунд в рилсе рассказал Егор Тишин. Это мы не покупаем.
Ждем в комментариях ваши идеи, чего бы нам еще такого разобрать🧤
@PHDays
@PositiveHackMedia
На маркетплейсах все чаще встречаются объявления о продаже таких устройств. Продавцы обещают безлимитный доступ к заблокированным ресурсам. Но умалчивают, что вместе с этим они могут получить доступ к вашей сети и интернет-трафику
Что скрывают эти «чудо-роутеры», за 107 секунд в рилсе рассказал Егор Тишин. Это мы не покупаем.
Ставьте:
🔥 — если когда-то задумывались о покупке, но теперь передумали.
🐳 — если и раньше знали, что брать такое нельзя.
Ждем в комментариях ваши идеи, чего бы нам еще такого разобрать
@PHDays
@PositiveHackMedia
Please open Telegram to view this post
VIEW IN TELEGRAM
🐳80🔥25❤17👌6💯6
😀 Сегодня весь интернет отмечает День смайлика
Отцом всем известных текстовых смайлов (эмотиконов) :-) и :-( считается Скотт Фалман, профессор информатики Университета Карнеги — Меллона.
Сорок три года назад, 19 сентября 1982 года, он отправил коллегам электронное сообщение, в котором предложил помечать шутки комбинацией из двоеточия, дефиса и закрывающей скобки.
🙂 Автором желтого улыбающегося смайлика — прародителя всех остальных — стал американский художник Харви Болл, который в 1963 году на заказ создал графическое изображение для поднятия духа сотрудников компании.
😉 А первый набор из 176 эмодзи появился в 1999-м, его разработал японский дизайнер Сигэтака Курита. Позже они были включены в стандарт Unicode и с 2010 года доступны на устройствах Apple и Android.
Казалось бы, смайлы созданы для радости и простоты, но и до них добрались хакерыи все испортили 🤬
Зато из эмодзи получаются крутые безопасные пароли, мы про это уже как-то рассказывали 👱♀️🚶♂️🛣👅💦.
Пользуйтесь смайликами с удовольствием(и умом) и оставайтесь в кибербезопасности!
@Positive_Technologies
Отцом всем известных текстовых смайлов (эмотиконов) :-) и :-( считается Скотт Фалман, профессор информатики Университета Карнеги — Меллона.
Сорок три года назад, 19 сентября 1982 года, он отправил коллегам электронное сообщение, в котором предложил помечать шутки комбинацией из двоеточия, дефиса и закрывающей скобки.
«На деле более экономно будет помечать не шутки, судя по происходящему. Для них используйте :-(», — иронично добавил Фалман.
🙂 Автором желтого улыбающегося смайлика — прародителя всех остальных — стал американский художник Харви Болл, который в 1963 году на заказ создал графическое изображение для поднятия духа сотрудников компании.
😉 А первый набор из 176 эмодзи появился в 1999-м, его разработал японский дизайнер Сигэтака Курита. Позже они были включены в стандарт Unicode и с 2010 года доступны на устройствах Apple и Android.
Казалось бы, смайлы созданы для радости и простоты, но и до них добрались хакеры
Так, в феврале этого года инженер-программист Пол Батлер обнаружил уязвимость в Unicode, которая позволяет прятать в обычном на вид наборе эмодзи скрытую информацию. К примеру, если добавить такой код в обычное почтовое сообщение, можно будет проследить по нему всю цепочку переписки и взломать политику конфиденциальности организации 👀󠇀󠆀󠇀󠆣󠇀󠆠󠄜󠄐󠇀󠆯󠇀󠆮󠇀󠆯󠇀󠆠󠇀󠆫󠇀󠆨󠇁󠅱󠇁󠅼󠄑󠄐󠇀󠆑󠇀󠆥󠇀󠆩󠇁󠅷󠇀󠆠󠇁󠅱󠄐󠇁󠅽󠇁󠅲󠇀󠆮󠄐󠇁󠅰󠇀󠆮󠇀󠆧󠇁󠅻󠇀󠆣󠇁󠅰󠇁󠅻󠇁󠅸󠄜󠄐󠇀󠆠󠄐󠇁󠅵󠇀󠆠󠇀󠆪󠇀󠆥󠇁󠅰󠇁󠅻󠄐󠇀󠆬󠇀󠆮󠇀󠆣󠇁󠅳󠇁󠅲󠄐󠇀󠆯󠇀󠆥󠇁󠅰󠇀󠆥󠇀󠆤󠇀󠆠󠇁󠅲󠇁󠅼󠄐󠇀󠆧󠇀󠆤󠇀󠆥󠇁󠅱󠇁󠅼󠄐󠇀󠆢󠇁󠅱󠇀󠆥󠄜󠄐󠇁󠅷󠇁󠅲󠇀󠆮󠄐󠇁󠅳󠇀󠆣󠇀󠆮󠇀󠆤󠇀󠆭󠇀󠆮󠄞󠄐󠇀󠆁󠇁󠅳󠇀󠆤󠇁󠅼󠇁󠅲󠇀󠆥󠄐󠇀󠆮󠇁󠅱󠇁󠅲󠇀󠆮󠇁󠅰󠇀󠆮󠇀󠆦󠇀󠆭󠇀󠆥󠇀󠆥󠄐󠄪󠄝󠄙︊︊︊︊
А летом прошлого года стало известно о новом типе атак, в которых хакеры использовали эмодзи, чтобы удаленно управлять вредоносной программой Disgomoji на компьютерах жертв.
Злоумышленники подключали удаленный компьютер к определенному каналу в Discord и отдавали команды:
📸 — сделать скриншот экрана и отправить изображение,
👆 — загрузить на компьютер определенный файл,
🦊 — архивировать все профили пользователей браузера Firefox.
Зато из эмодзи получаются крутые безопасные пароли, мы про это уже как-то рассказывали 👱♀️🚶♂️🛣👅💦.
Пользуйтесь смайликами с удовольствием
@Positive_Technologies
❤19😁10🔥7👍4🤔2
Forwarded from ESCalator
Вредонос летит, вредонос бежит, вредонос в песочнице сидит ⏳
В середине августа мы рассказывали о новой масштабной кампании группировки PhantomCore, обнаруженной департаментом Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC TI).
Спустя несколько дней после публикации исследования с помощью PT Sandbox удалось предотвратить атаку на российские оборонные и промышленные предприятия, а также банковский сектор, в которой использовалась обфусцированная вариация инструмента PhantomRShell, применяемого PhantomCore.
🗓 Это произошло 24 августа. При этом в открытых системах агрегации сведений о ВПО информация о семплах появилась только утром 25 августа, а еще через сутки вредонос все еще не обнаруживался большинством популярных антивирусных решений.
Атака начиналась с письма от вполне легитимного отправителя — его учетная запись была скомпрометирована. Вложение в формате архива оказалось файлом-полиглотом, собранным из трех последовательно склеенных объектов разных типов: DLL (содержит вредоносную нагрузку типа бэкдор), PDF (для отвлечения внимания) и ZIP-архива (с LNK-файлом внутри для закрепления в системе).
Благодаря анализу трафика бэкдора песочнице удалось соотнести этот семпл с инструментом PhantomRShell, который позволяет злоумышленнику удаленно выполнять произвольный код.
🤨 Подробности атаки и как хакерам удалось отправить эту нагрузку от легитимного отправителя, рассказали в материале на Хабре.
#ti #apt #malware
@ptescalator
В середине августа мы рассказывали о новой масштабной кампании группировки PhantomCore, обнаруженной департаментом Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC TI).
Спустя несколько дней после публикации исследования с помощью PT Sandbox удалось предотвратить атаку на российские оборонные и промышленные предприятия, а также банковский сектор, в которой использовалась обфусцированная вариация инструмента PhantomRShell, применяемого PhantomCore.
🗓 Это произошло 24 августа. При этом в открытых системах агрегации сведений о ВПО информация о семплах появилась только утром 25 августа, а еще через сутки вредонос все еще не обнаруживался большинством популярных антивирусных решений.
Атака начиналась с письма от вполне легитимного отправителя — его учетная запись была скомпрометирована. Вложение в формате архива оказалось файлом-полиглотом, собранным из трех последовательно склеенных объектов разных типов: DLL (содержит вредоносную нагрузку типа бэкдор), PDF (для отвлечения внимания) и ZIP-архива (с LNK-файлом внутри для закрепления в системе).
Благодаря анализу трафика бэкдора песочнице удалось соотнести этот семпл с инструментом PhantomRShell, который позволяет злоумышленнику удаленно выполнять произвольный код.
🤨 Подробности атаки и как хакерам удалось отправить эту нагрузку от легитимного отправителя, рассказали в материале на Хабре.
#ti #apt #malware
@ptescalator
❤🔥22❤18🔥16👍4👏2
Media is too big
VIEW IN TELEGRAM
Конечно нет. Если вы почему-то не были на нашем онлайн-митапе честных кейсов использования PT NAD и PT Sandbox, то мы легко поделимся записями.
Среди прочего мы рассказывали о первом отечественном решении на базе PT NAD, которое умеет создавать копию всего трафика в «облаке», чтобы можно было подробно его проанализировать.
А уже сегодня в 14:00 состоится вебинар, на котором наши эксперты вместе со специалистами из К2 Cloud в подробностях расскажут об этом уникальном кейсе. Не пропустите 😉
#PTNAD
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥14👏13❤10👌5
Порой в кибербезопасности счет идет на секунды. И если вы пока не научились останавливать мгновения, попробуйте другое решение ⏱
Мы улучшили AI/ML-модуль MaxPatrol BAD (Behavioral Anomaly Detection) в составе MaxPatrol SIEM так, чтобы время работало на вас.
❗️ Подробнее о том, как MaxPatrol SIEM помогает командам SOC выигрывать время там, где это важнее всего, расскажем и покажем на вебинаре 30 сентября в 14:00.
👉 Регистрируйтесь заранее и готовьте свои вопросы.
#MaxPatrolSIEM
@Positive_Technologies
Мы улучшили AI/ML-модуль MaxPatrol BAD (Behavioral Anomaly Detection) в составе MaxPatrol SIEM так, чтобы время работало на вас.
Если коротко, обновленный модуль поведенческой аналитики помогает сократить продолжительность расследования киберинцидентов с часов до минут благодаря точному поиску атак. Для этого мы расширили экспертизу, опираясь на собственные исследования и реальные кейсы, и на 20% увеличили производительность продукта.
👉 Регистрируйтесь заранее и готовьте свои вопросы.
#MaxPatrolSIEM
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12🔥7❤4🐳3
Продолжаем серию материалов, в которой Александр Коробко, руководитель направления продуктового маркетинга по безопасности инфраструктуры в Positive Technologies, и Алена Караваева, руководитель направления защиты конечных устройств от целевых атак, рассказывают, как устроена сертификация средств защиты конечных устройств по новым правилам, в частности сертификация СОР — средств обнаружения и реагирования.
Сегодня поговорим о реагировании, которому в документе ФСТЭК уделено много внимания.
Действия реагирования должны выполняться по запросу (команде) администратора СОР уровня узла. Также администратор должен иметь возможность настраивать перечень действий и запускать их автоматически или после подтверждения. В MaxPatrol EDR, помимо ручного реагирования, мы изначально предусмотрели возможность автоматического запуска, даже если устройство не в сети.
👀 В документе ФСТЭК приведен перечень действий по реагированию, к которым должны быть предусмотрены механизмы их реализации (можно посмотреть здесь).
В наших проектах и на кибербитве Standoff мы видим постоянный спрос на такие механизмы. С помощью MaxPatrol EDR можно изолировать узлы или завершать отдельные соединения, удалять вредоносные файлы, останавливать процессы, запрашивать дополнительные данные для анализа, блокировать учетные данные, удаленно выполнять команды, завершать работу компьютеров и сеансы пользователей.
Этот набор мы постоянно расширяем. Уже сейчас поддерживается более 40 действий реагирования, которые можно выполнять как на одном, так и на множестве узлов — вручную или автоматически.
При разработке документа обсуждалась возможность массового реагирования, то есть действий сразу на нескольких узлах. В финальной версии прямого указания нет, но в нашем продукте эта функция реализована и развивается. Пользователи переходят от рутинных операций на отдельных узлах к действиям сразу на группах потенциально скомпрометированных устройств.
🧐 Есть и отдельные требования к методам реагирования:
• Например, завершение сеанса в ОС и выключение устройства с уведомлением пользователя и возможностью задать таймер, чтобы тот успел сохранить данные. Мы реализовали это еще до выхода новой версии продукта. Команде было особенно приятно работать над такими функциями, так как это стало одним из первых интерактивных модулей в MaxPatrol EDR.
• При изоляции устройств нужно сохранять частичную связь для администрирования. Поэтому в архитектуре продукта мы предусмотрели сохранение связи с сервером управления и возможность выполнять запросы к узлу, например через Remote Shell.
• Документ также детально описывает сбор дополнительных сведений об узле для анализа и расследования. Наши клиенты давно запрашивают такие функции, и перечень собираемых данных значительно расширился. Сейчас, как и в документе ФСТЭК, этот список выглядит так.
О модулях реагирования в MaxPatrol EDR можно узнать на нашем портале. А еще лучше — попробовать их в деле!
#MaxPatrolEDR
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11❤3👏3😱3❤🔥1
Задачка со звездочкой, ведь нужно учесть множество нюансов: технологии, процессы, архитектуру и команду.
За пять недель вы вместе с нашими экспертами-практиками — Алексеем Лукацким, Константином Смирновым, Алексеем Павловым и другими специалистами — узнаете, что необходимо для создания работающей модели SOC.
Подробнее о практикуме читайте на нашем сайте.
#PositiveEducation
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤10🔥8👍5👏1