Мы пишем сами . А если что-то повторяется в текстах про сценарии мошенничества, так это не удивительно. Когда мы предупреждаем про новые уловки обманщиков, которые берут за основу хорошо забытое старое, то смысловых повторов никак не избежать. Нам важно напомнить всю последовательность событий, которые сопровождают атаку мошенников, освежить в памяти у тех, кто про неё слышал раньше, и предупредить тех, кто читает про такое впервые.
Можете быть уверены в достоверности. Эту статью подготовили реальные сотрудники компании F6, которые изучают киберпреступность в разных её проявлениях. Понимаем ваше удивление. И обращаем внимание на то, что в тексте описан сценарий, который используют мошенники для обмана - а не то, как устроена пропускная система в ЖК на самом деле. Мошенники стремятся ввести потенциальную жертву в заблуждение, создать у неё ложное представление в том, чего на самом деле нет, и "отключить" критическое восприятие, в том числе обещанием выгоды (мы помним, что стоимость аренды в объявлениях заявлена значительно ниже рыночной). Чем дальше, тем больше мошенники оттачивают свои сценарии, чтобы придать им убедительности, используют разные психологические приёмы, чтобы вызвать доверие. Так и в конкретном описанном сценарии: злоумышленники стараются убедить человека, который откликнулся на объявление, что он не сможет пройти на территорию ЖК никак иначе, кроме как через регистрацию в фейковом приложении.
Спасибо за вопрос! В среднем EDR-агент F6 MXDR загружает процессор конечного хоста в пределах 5%. Это незначительно и обычно не сказывается на производительности систем, используемых разработчиками и QA. В рамках пилота можно провести дополнительные тесты на конкретных хостах и подобрать конфигурацию EDR под конкретный хост — есть возможность влиять на то, какую телеметрию требуется собирать без потери качества детекта.
Спасибо за правильные вопросы! Начнем с конца. Вместе с РКН, НКЦКИ (Госсопкой), "Лигой безопасного интернета" компания F6 - одна из 12 российский компаний и организаций, которая компетентна в определении нарушений в Рунете. Этот список так и называется "Компетентные организации" https://tldpatrol.ru/organization/ То есть мы, вылавливая и определяя фишинг, ВПО и ботнет-контролеры, можем направлять эти ресурсы на блокировку. Что касается вопроса, кого мы защищаем. Если коротко: защищаем RuStore - защищаем пользователей магазина приложений. Как рассказали наши эксперты, блокировка фейковых сайтов, мимикрирующих под магазин RuStore и размещающих поддельные мобильные приложения (потенциально с ВПО), позволит уберечь пользователей RuStore в том числе от заражения устройства или не стать жертвой фишинга.
Добрый день! Спасибо за вопрос. Если коротко: метаданные обнаруженные внутри файла DOCX не изменяются при копировании и не относятся к информации, которую можно удалить с помощью кнопки "Удаление свойств и личной информации" в свойствах документа.
Активность Core Werewolf фиксируем, но атакуют они определенно реже, чем Sticky. Последняя была замечена в конце 2024. Поскольку изменений в киллчейне не наблюдали, то нет необходимости публично освещать итак уже хорошо описанную деятельность группировки.
А если реально хотите разобраться, кому, когда и главное, зачем нужна Threat Intelligence, можем порекомендовать следующие книги и материалы:
⭐Intelligence-Driven Incident Response. R. Brown & S.J. Roberts
Авторы объясняют, как разрабатывать упреждающую стратегию реагирования на инциденты. Книга научит задавать правильные вопросы, чтобы построить активную стратегию защиты. Написана простым языком.
⭐Psychology of Intelligence Analysis. R. Heuer
Нестареющая классика от ветерана ЦРУ Ричардса Хойера. Описывает особенности нашего мышления, ошибки и предубеждения, которые генерирует наш мозг.
⭐Компьютерные сети. Принципы, технологии, протоколы В. Олифер и Н. Олифер База, которая объясняется на пальцах. Отлично подойдет для тех, кто делает первые шаги (https://t.me/F_A_C_C_T/3152) в изучении основ информационной безопасности.
Авторы детально объясняют, как использовать разведку и анализ техник противника, чтобы защитить сети от атак. Можно встретить примеры и для начинающих аналитиков.
Простая и полезная книга для понимания основ киберразведки. Здесь приводится научный подход к анализу атак, в основе которого лежит так называемая бриллиантовая модель.
Мы впервые видим такое активное использование омоглифов именно во вредоносных рассылках.
А связано это с увеличением количества фишинговых вредоносных рассылок, для которых злоумышленники используют публичные почтовые сервисы.
С одной стороны, сегодня они достаточно хорошо умеют скрывать вредоносную нагрузку в письмах.
С другой стороны, именно количество групповых однотипных рассылок стало проблемой, которое вызывает дополнительное внимание со стороны почтового провайдера. Омоглифы позволяют эту проблему нивелировать.
Из еще — есть несколько показательных архивных кейсов: МВД и Group-IB ликвидировали группу, заразившую миллион смартфонов https://blog.group-ib.ru/cron Полиция разгромила группу "телефонных мошенников", наживавшихся на пенсионерах https://blog.group-ib.ru/mobile
Погодите-погодите. Компания уже более 20 лет очень ОТВЕТСТВЕННО борется с киберпреступностью. Мы ликвидировали два десятка крупных преступных группировок, которые похищали деньги у клиентов банков и у самих банков, и довели до суда уголовные дела 1500 преступников.
Мы отправляли на скамью подсудимых операторов ботнетов, скамеров, вымогателей и шантажистов, манимулов, ddos-еров, телефонных мошенников, педофилов и даже одного пирата.
Вы рассуждаете про внесудебные блокировки, но фишинговые сайты и скам-ресурсы плодятся на колоссальных скоростях. Только в этом году мы отловили в Рунете более 10 000 фишинговых доменов — и вы хотите, что б "цвели все цветы киберзла"?
Совершая интернет-покупки, вы или ваши родные могут нарваться на фишинговый ресурс, который под видом маркетплейса или службы доставки попытается украсть данные вашей банковской карты.
В свою очередь инвесторы рискуют наткнуться "липовый" сайт криптобиржи или банка, который уведет логины-пароли от входа в личный кабинет.
Когда пользователи авторизуются на поддельном сайте Binance, хакеры могут украсть их учетные данные (https://www.binance.com/).
И даже на легальном сайте с базой бухгалтерских и финансовых документов можно скачать банковский троян Buhtrap — в этом случае преступники могут добраться уже до банковского счета компании.
Пример страницы сайта formy-i-blank[.]ru, с которой хакеры "раздавали" банковский троян Buhtrap
Если ресурс распространяет в Рунете вредоносные программы, фишинг или с него идет управление бот-сетями, абсолютно легально и правомочно CERT-F.A.C.C.T. может заблокировать плохой домен в течение 24 часов. Кстати, на сайте Координационного центра доменов .RU/.РФ размещен полный список компаний и организаций, которые имеют право блокировать "плохие сайты" в Рунете. Например, РОЦИТ борется с пропагандой насилия и терроризма, распространением наркотиков в сети, а Лига безопасного интернета — с детской порнографией.
Да, это наша собственная разработка. Подробности можно узнать на странице по ссылке: https://www.f6.ru/products/managed-xdr/
Итоги исследования, техническую информацию, индикаторы можно найти в блоге на сайте F6.
Мы пишем сами . А если что-то повторяется в текстах про сценарии мошенничества, так это не удивительно. Когда мы предупреждаем про новые уловки обманщиков, которые берут за основу хорошо забытое старое, то смысловых повторов никак не избежать. Нам важно напомнить всю последовательность событий, которые сопровождают атаку мошенников, освежить в памяти у тех, кто про неё слышал раньше, и предупредить тех, кто читает про такое впервые.
Можете быть уверены в достоверности. Эту статью подготовили реальные сотрудники компании F6, которые изучают киберпреступность в разных её проявлениях. Понимаем ваше удивление. И обращаем внимание на то, что в тексте описан сценарий, который используют мошенники для обмана - а не то, как устроена пропускная система в ЖК на самом деле. Мошенники стремятся ввести потенциальную жертву в заблуждение, создать у неё ложное представление в том, чего на самом деле нет, и "отключить" критическое восприятие, в том числе обещанием выгоды (мы помним, что стоимость аренды в объявлениях заявлена значительно ниже рыночной). Чем дальше, тем больше мошенники оттачивают свои сценарии, чтобы придать им убедительности, используют разные психологические приёмы, чтобы вызвать доверие. Так и в конкретном описанном сценарии: злоумышленники стараются убедить человека, который откликнулся на объявление, что он не сможет пройти на территорию ЖК никак иначе, кроме как через регистрацию в фейковом приложении.
Ну давайте тогда найдем достойный синоним ВПО?
Вирусы, вредоносы, трояны или не полностью отражают суть или как зловреды или вирусня режут ухо.
Спасибо за внимательность! Поправили, работу над ошибками провели.
Спасибо за вопрос! В среднем EDR-агент F6 MXDR загружает процессор конечного хоста в пределах 5%. Это незначительно и обычно не сказывается на производительности систем, используемых разработчиками и QA. В рамках пилота можно провести дополнительные тесты на конкретных хостах и подобрать конфигурацию EDR под конкретный хост — есть возможность влиять на то, какую телеметрию требуется собирать без потери качества детекта.
Эта информация была передана владельцам данных ресурсов.
Спасибо за правильные вопросы!
Начнем с конца. Вместе с РКН, НКЦКИ (Госсопкой), "Лигой безопасного интернета" компания F6 - одна из 12 российский компаний и организаций, которая компетентна в определении нарушений в Рунете. Этот список так и называется "Компетентные организации" https://tldpatrol.ru/organization/ То есть мы, вылавливая и определяя фишинг, ВПО и ботнет-контролеры, можем направлять эти ресурсы на блокировку.
Что касается вопроса, кого мы защищаем. Если коротко: защищаем RuStore - защищаем пользователей магазина приложений. Как рассказали наши эксперты, блокировка фейковых сайтов, мимикрирующих под магазин RuStore и размещающих поддельные мобильные приложения (потенциально с ВПО), позволит уберечь пользователей RuStore в том числе от заражения устройства или не стать жертвой фишинга.
Добрый день! Спасибо за вопрос. Если коротко: метаданные обнаруженные внутри файла DOCX не изменяются при копировании и не относятся к информации, которую можно удалить с помощью кнопки "Удаление свойств и личной информации" в свойствах документа.
Активность Core Werewolf фиксируем, но атакуют они определенно реже, чем Sticky. Последняя была замечена в конце 2024. Поскольку изменений в киллчейне не наблюдали, то нет необходимости публично освещать итак уже хорошо описанную деятельность группировки.
В том числе от оригинального домена отличается последний символ в имени:
"Домен @diadok[.]net, с которого было отправлено вредоносное письмо, мимикрирует под оригинальный домен компании “Контур.Диадок” - diadoc[.]ru. "
Да, похоже прошлогодний мем, на котором крупнейший дисплей MSG Sphere в Лас-Вегасе показывает «синий экран смерти» оказался пророческим.
Точно, спасибо! Добавили хеш данного клиента UltraVNC в иоки и упомянули про иконку приложения OneDrive.
Ох. Ну, как говорится, кто не понял, тот поймет.
А если реально хотите разобраться, кому, когда и главное, зачем нужна Threat Intelligence, можем порекомендовать следующие книги и материалы:
⭐Intelligence-Driven Incident Response. R. Brown & S.J. Roberts
Авторы объясняют, как разрабатывать упреждающую стратегию реагирования на инциденты. Книга научит задавать правильные вопросы, чтобы построить активную стратегию защиты. Написана простым языком.
⭐Psychology of Intelligence Analysis. R. Heuer
Нестареющая классика от ветерана ЦРУ Ричардса Хойера. Описывает особенности нашего мышления, ошибки и предубеждения, которые генерирует наш мозг.
⭐Компьютерные сети. Принципы, технологии, протоколы
В. Олифер и Н. Олифер База, которая объясняется на пальцах. Отлично подойдет для тех, кто делает первые шаги (https://t.me/F_A_C_C_T/3152) в изучении основ информационной безопасности.
⭐Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains (https://www.lockheedmartin.com/content/dam/lockheed-martin/rms/documents/cyber/LM-White-Paper-Intel-Driven-Defense.pdf)
E. Hutchins, M. Cloppert, and R. Amin
Авторы детально объясняют, как использовать разведку и анализ техник противника, чтобы защитить сети от атак. Можно встретить примеры и для начинающих аналитиков.
⭐The Diamond Model of Intrusion Analysis (http://www.activeresponse.org/wp-content/uploads/2013/07/diamond.pdf)
S. Caltagirone, A, Pendergast, and C. Betz
Простая и полезная книга для понимания основ киберразведки. Здесь приводится научный подход к анализу атак, в основе которого лежит так называемая бриллиантовая модель.
Мы впервые видим такое активное использование омоглифов именно во вредоносных рассылках.
А связано это с увеличением количества фишинговых вредоносных рассылок, для которых злоумышленники используют публичные почтовые сервисы.
С одной стороны, сегодня они достаточно хорошо умеют скрывать вредоносную нагрузку в письмах.
С другой стороны, именно количество групповых однотипных рассылок стало проблемой, которое вызывает дополнительное внимание со стороны почтового провайдера. Омоглифы позволяют эту проблему нивелировать.
Конечно, можем.
Не надо бла-бла: МВД и F.A.C.C.T. ликвидировали группу мошенников, наживавшихся на попутчиках https://www.facct.ru/media-center/press-releases/jewelry-team-scam/
Из еще — есть несколько показательных архивных кейсов:
МВД и Group-IB ликвидировали группу,
заразившую миллион смартфонов https://blog.group-ib.ru/cron
Полиция разгромила группу "телефонных мошенников", наживавшихся на пенсионерах https://blog.group-ib.ru/mobile
Погодите-погодите. Компания уже более 20 лет очень ОТВЕТСТВЕННО борется с киберпреступностью. Мы ликвидировали два десятка крупных преступных группировок, которые похищали деньги у клиентов банков и у самих банков, и довели до суда уголовные дела 1500 преступников.
Мы отправляли на скамью подсудимых операторов ботнетов, скамеров, вымогателей и шантажистов, манимулов, ddos-еров, телефонных мошенников, педофилов и даже одного пирата.
Вы рассуждаете про внесудебные блокировки, но фишинговые сайты и скам-ресурсы плодятся на колоссальных скоростях. Только в этом году мы отловили в Рунете более 10 000 фишинговых доменов — и вы хотите, что б "цвели все цветы киберзла"?
Совершая интернет-покупки, вы или ваши родные могут нарваться на фишинговый ресурс, который под видом маркетплейса или службы доставки попытается украсть данные вашей банковской карты.
В свою очередь инвесторы рискуют наткнуться "липовый" сайт криптобиржи или банка, который уведет логины-пароли от входа в личный кабинет.
И даже на легальном сайте с базой бухгалтерских и финансовых документов можно скачать банковский троян Buhtrap — в этом случае преступники могут добраться уже до банковского счета компании.
Если ресурс распространяет в Рунете вредоносные программы, фишинг или с него идет управление бот-сетями, абсолютно легально и правомочно CERT-F.A.C.C.T. может заблокировать плохой домен в течение 24 часов. Кстати, на сайте Координационного центра доменов .RU/.РФ размещен полный список компаний и организаций, которые имеют право блокировать "плохие сайты" в Рунете. Например, РОЦИТ борется с пропагандой насилия и терроризма, распространением наркотиков в сети, а Лига безопасного интернета — с детской порнографией.
спасибо за идею! думаем, что это будет тема отдельного технического блога
Несмотря на закрытые уязвимости, факты компрометации IPhone специалисты Лаборатории наблюдают и в настоящее время.