Pull to refresh
36
Karma
0
Rating

APT35 — неожиданная угроза: как мы обнаружили иранских хакеров в инфраструктурах нескольких компаний

Ростелеком-Солар corporate blog Information Security *
Case

С мая 2022 года мы столкнулись с двумя кейсами, где атакующие используют уязвимость Microsoft Exchange ProxyShell для первоначального доступа и размещения веб-шеллов. Скорее всего, атака связана с группой APT35 (иранская группировка, спонсируемая государством). К такому выводу мы пришли, проанализировав тактики и техники, приписываемые группе. Также некоторые обнаруженные индикаторы схожи с теми, что атрибутированы группе. Но обо всем по порядку.

Читать далее
Total votes 21: ↑20 and ↓1 +19
Views 4.1K
Comments 4

Jli.dll по-новому: как хакеры использовали известную DLL в фишинге якобы от имени Минцифры

Ростелеком-Солар corporate blog Information Security *

В конце мая стало известно о том, что хакеры пытались организовать вредоносную рассылку якобы от Минцифры. Архив из этой рассылки получили для анализа специалисты Solar JSOC CERT. В нем мы обнаружили jli.dll. Эту DLL часто используют злоумышленники для размещения вредоносного кода, так как с помощью техники DLL Side Loading её подгружает довольно большое число легитимных файлов. Но в данном кейсе DLL использовалась по-другому – в рамках одного стандартного приложения Java. А как именно – расскажем в этом посте.

Что там в письме?
Total votes 22: ↑21 and ↓1 +20
Views 2.5K
Comments 0

По следам TeamBot: как мы столкнулись с новыми функциями знакомого ВПО

Ростелеком-Солар corporate blog Information Security *

В октябре 2021 года к нам в Solar JSOC CERT поступил запрос: одна крупная технологическая компания попросила помочь в расследовании инцидента. В процессе работы мы обнаружили старую знакомую - вредоносную DLL TeamBot (aka TeamSpy, TVSPY, TeamViewerENT, TVRAT), которая загружалась легитимной утилитой TeamViewer. Это ВПО уже лет 10 фигурирует в отчетах как отечественных, так и зарубежных ИБ-компаний. Но за эти годы TeamBot научился кое-чему новому,  о чем мы и расскажем в этом посте.

Читать далее
Total votes 9: ↑9 and ↓0 +9
Views 2.4K
Comments 0

Кого только не встретишь в инфраструктуре: с какими семействами ВПО мы чаще всего имели дело в этом году

Ростелеком-Солар corporate blog Information Security *

Годы идут, а ВПО остается основной головной болью кибербезопасников. Мы недавно считали: почти 40% хакерских атак происходит именно с помощью вредоносного ПО. Одни вирусы даже не успевают попасть в ИТ-периметр – их ловят на подлете. Другим же удается сидеть в инфраструктуре год-два и больше. Появляются ранее неизвестные угрозы, а уже знакомые вредоносы эволюционируют, приобретая новые свойства и совершенствуя маскировку. В этом посте мы расскажем, какие семейства ВПО чаще всего попадались нам на глаза в различных инфраструктурах с начала этого года.

Вспомнить все
Total votes 12: ↑12 and ↓0 +12
Views 2.9K
Comments 1

Как мы искали связь между Mēris и Glupteba, а получили контроль над 45 тысячами устройств MikroTik

Ростелеком-Солар corporate blog Information Security *
✏️ Technotext 2021
Неделю назад стало известно о рекордной DDoS-атаке на компанию Яндекс с впечатляющим значением в 21,8 млн RPS. Сотрудники Яндекса совместно с компанией Qrator Labs рассказали,
что инструментом проведения атаки был ботнет Mēris, состоящий из сетевых устройств компании Mikrotik. При этом они отметили, что изучить образец бота у них не было возможности, но утверждение, что Mēris – это «вернувшийcя Mirai», не совсем точно из-за различия в сетевых уровнях атаки (L7 и L3).



Мы уверены, что данные обстоятельства привлекли внимание многих специалистов
по информационной безопасности в попытках изучения внутреннего устройства ботнета Mēris
и природы его возникновения. Мы в Solar JSOC CERT не стали исключением и пришли к выводу, что, возможно, Mēris начал зарождаться еще в 2018 году с помощью вредоносного семейства Glupteba, которое до сих пор является «поставщиком» устройств для Mēris. Так же нам удалось получить контроль над 45 тысячами устройств MikroTik.
Читать дальше →
Total votes 53: ↑53 and ↓0 +53
Views 20K
Comments 30

Glupteba – скрытая угроза: как мы нашли вредонос, который больше двух лет прятался в инфраструктуре заказчика

Ростелеком-Солар corporate blog Information Security *
2020 год для Solar JSOC CERT оказался непростым, но и 2021-й не отстает, постоянно подкидывая нам интересные кейсы. В этом посте мы расскажем, как обнаружили вредонос (даже целую сеть вредоносов) по, казалось бы, несвойственной ему активности. Он незаметно «жил» в инфраструктуре больше двух лет, втихаря обновлялся и без препятствий собирал ценные данные в инфраструктуре жертвы.


Читать дальше →
Total votes 28: ↑27 and ↓1 +26
Views 13K
Comments 7

Обновления безопасности Microsoft за апрель 2021

Ростелеком-Солар corporate blog Information Security *
Компания Microsoft выпустила апрельские обновления безопасности. Всего было исправлено 108 уязвимостей, включая 19 критических. Также выпущены исправления для пяти ранее обнаруженных 0-day уязвимостей, одна из которых уже использовалась злоумышленниками в атаках. Также второй месяц подряд выходят обновления по критическим уязвимостям Exchange Server – в этот раз их 4. Отмечается, что пока не было замечено попыток использования данных уязвимостей в атаках, однако обновления рекомендуется установить как можно скорее. Уязвимые продукты: Exchange Server 2013, Exchange Server 2016, Exchange Server 2019.
Читать дальше →
Total votes 11: ↑11 and ↓0 +11
Views 2.8K
Comments 0

Атаки китайской APT-группировки HAFNIUM c использованием 0-day в Microsoft Exchange Server: как это было в России

Ростелеком-Солар corporate blog Information Security *


Важная новость в мире информационной безопасности появилась на прошлой неделе от компании Microsoft о том, что китайская группировка HAFNIUM атакует американские компании и организации с использованием 0-day уязвимости в Microsoft Exchange Server. Новость стала настолько резонансной, что ее транслировали даже федеральные каналы, а ведущие ИБ-компании незамедлительно публиковали подробности атак, которые они наблюдали (Volexity, Fireeye, Cisco Talos Intelligence Group).

Вопрос, который всю предыдущую неделю задавал себе, наверное, каждый специалист по ИБ в России: а как же мы? Нас тоже атаковали с использованием 0-day уязвимости? Спойлер – да. Технические подробности под катом.
Читать дальше →
Total votes 27: ↑27 and ↓0 +27
Views 12K
Comments 5

Важно! Внеплановые обновления безопасности Microsoft для Exchange от 2 марта 2021

Ростелеком-Солар corporate blog Information Security *


Компания Microsoft сообщает о проправительственной группировке, которая в настоящее время была замечена в массовых целевых атаках с использованием 0-day уязвимостей на почтовые серверы Microsoft Exchange Server крупных государственных компаний с целью кражи важных данных и получения удаленного контроля. На первом этапе злоумышленники получают доступ к серверу Microsoft Exchange Server с помощью ранее скомпрометированных учетных данных либо путем эксплуатации ранее неопубликованных уязвимостей (0-day). Затем на сервере создается Web Shell для удаленного контроля, после чего продолжается развитие атаки, в настоящий момент – преимущественно с целью кражи данных. Аналогичные атаки наблюдаем и мы на территории РФ.
Читать дальше →
Total votes 13: ↑12 and ↓1 +11
Views 17K
Comments 20

Обновляемся: Microsoft закрыла ряд критических уязвимостей

Ростелеком-Солар corporate blog Information Security *System administration *
Microsoft выпустила январские обновления безопасности. В этом месяце исправлено 83 уязвимости, 10 из которых критические, включая одну 0-day. Рассказываем, на какие из них стоит обратить особое внимание.

image
Читать дальше →
Total votes 17: ↑17 and ↓0 +17
Views 6.8K
Comments 9

Google Project Zero раскрыл 0-day уязвимость в Windows

Ростелеком-Солар corporate blog Information Security *
Project Zero, функционирующий в рамках Google, сообщил о том, что хакеры активно эксплуатируют уязвимость нулевого дня, которую вряд ли пропатчат в течение ближайших двух недель.


Читать дальше →
Total votes 14: ↑13 and ↓1 +12
Views 7.8K
Comments 3

NTA здорового человека: что должны уметь системы анализа сетевого трафика (и пока что не умеют)

Ростелеком-Солар corporate blog Information Security *

Кадр из м/ф «Инспектор Гаджет»

У людей, занимающихся обнаружением и расследованием компьютерных инцидентов, есть неписаная истина: «Инцидент рождается и умирает на хосте». Сегодня подавляющее большинство статей, исследований и правил детекта связаны именно с хостовыми логами (поэтому на рынке и появился EDR). Тем не менее очевидно, что события с хоста не дают полной картины происходящего и необходимо анализировать то, что происходит не только на конечных точках, но и в сети. Не так давно появился Network Traffic Analysis (NTA) – относительно молодой класс решений, который помогает обнаружить злоумышленника, «живущего в сети». Четкого понимания о функционале NTA у ИБ-сообщества пока не сформировалось, но мы со стороны центра мониторинга и реагирования на кибератаки все-таки попробуем рассказать, какой должна быть такая система и как она должна работать в идеале, чтобы полностью решать свои задачи.
Читать дальше →
Total votes 14: ↑14 and ↓0 +14
Views 6.3K
Comments 1

Чем нас «радовали» злоумышленники последние полгода

Ростелеком-Солар corporate blog Information Security *
Последние полгода были, мягко говоря, непростыми. Новая реальность – новые векторы кибератак, хотя и про старые, проверенные временем инструменты злоумышленники не забывали. Solar JSOC и JSOC CERT скучать не приходилось: атаки на RDP, новые оболочки известного ВПО и методы сокрытия Mimikatz… Подробности, как всегда, письмом ниже.
Читать дальше →
Total votes 17: ↑17 and ↓0 +17
Views 5.4K
Comments 1

Чуть сложнее, чем кажется: как атакует группировка TinyScouts

Ростелеком-Солар corporate blog Information Security *
Какое-то время назад мы начали фиксировать попытки заражения инфраструктур наших заказчиков ранее не известным вредоносным ПО. Оно доставлялось пользователям через фишинговые рассылки, иногда посвященные второй волне коронавируса, а иногда – четко «заточенные» под атакуемую организацию и связанные с ее деятельностью. Злоумышленники выдавали себя за различные существующие компании, например, «Норильский Никель», Российский союз промышленников и предпринимателей, Финаудитсервис и т.д.



Примечательными были два аспекта деятельности группировки: во-первых, высокий уровень технических навыков злоумышленников, а во-вторых – вариабельность сценария атаки. Если ты как жертва не интересен – украдут пароли и зашифруют данные, а вот если твоя машина в интересном домене и имеет потенциал для более интересного развития атаки – загрузят Remote Admin Tool (RAT), написанный на PowerShell. Мы назвали группировку TinyScouts – по именам функций из вредоносного кода. В статье мы расскажем о двух ее последних кампаниях, которые условно можно разделить по месяцам – июль и август 2020 года, и сделаем полный разбор инструментов и сценариев TinyScouts.
Читать дальше →
Total votes 22: ↑22 and ↓0 +22
Views 8.7K
Comments 8

Зачем внедрять EDR, если есть SIEM, Sysmon и антивирус?

Ростелеком-Солар corporate blog Information Security *
Без мониторинга конечных точек сегодня уже не получится в полной мере обеспечить безопасность и вовремя обнаруживать факты компрометации инфраструктуры. «Джентельменский» набор — сетевой мониторинг, антивирус и стандартный аудит на конечных точках — уже не позволяет противодействовать не только серьезным группировкам, но даже злоумышленникам с низким уровнем подготовки. Почему? Рассмотрим на конкретных примерах.


Кадр из мультфильма «Жил-был пес»
Читать дальше →
Total votes 19: ↑19 and ↓0 +19
Views 6.4K
Comments 0

Расследование инцидентов ИБ in the wild: неожиданные источники информации

Ростелеком-Солар corporate blog Information Security *
image

О расследовании компьютерных инцидентов, или Digital Forensics, уже много всего написано, есть много готового аппаратного и программного инструментария, основные артефакты операционных систем хорошо известны и описаны в пособиях, книгах и статьях. Казалось бы, что тут сложного – читай мануал и находи требуемое. Но встречаются технически сложные случаи, когда анализ тех самых общеизвестных артефактов не дает достаточной информации для восстановления хронологии событий. Как быть в такой ситуации? Разбираем на реальных примерах наших расследований.
Читать дальше →
Total votes 27: ↑27 and ↓0 +27
Views 8.4K
Comments 5

Аттракцион неслыханной щедрости: создатели шифровальщика Troldesh опубликовали ключи для дешифровки

Ростелеком-Солар corporate blog Information Security *
26 апреля неизвестные выложили на Github обращение от команды создателей Ransomware, известного как Troldesh/Shade, в котором объявили о прекращении своей работы с конца 2019 года. Вместе с этим были опубликованы закрытые ключи, необходимые для дешифрования систем, пострадавших от данного вредоносного ПО. «Мы приносим извинения всем жертвам трояна и надеемся, что опубликованные нами ключи помогут им восстановить свои данные», — говорится в сообщении группировки.


Читать дальше →
Total votes 28: ↑28 and ↓0 +28
Views 7K
Comments 2

Про удаленку, незащищенный RDP и рост числа серверов, доступных из интернета

Ростелеком-Солар corporate blog Information Security *
Из-за спешного массового перехода компаний на удаленную работу стремительно растет число корпоративных серверов, доступных для злоумышленников из интернета. Одна из главных причин – применение незащищенного протокола удаленного доступа RDP (Remote Desktop Protocol). По нашим данным, всего за одну неделю только в России количество устройств, доступных из интернета по протоколу RDP, выросло на 15%.

image
Читать дальше →
Total votes 22: ↑20 and ↓2 +18
Views 24K
Comments 58

Уязвимость CVE-2020-0601, компрометирующая инфраструктуру открытых ключей ОС Windows

Ростелеком-Солар corporate blog
Обнаруженная уязвимость касается корневой части проверки сертификатов в Windows и делает невозможной проверку легитимности ПО. Это открывает злоумышленникам возможность обхода технологий защиты ОС и части модулей антивирусной защиты. Это многократно повышает риски успешного заражения узлов сети вирусным ПО.


Читать дальше →
Total votes 29: ↑28 and ↓1 +27
Views 16K
Comments 7

Зафиксировано первое появление BlueKeep «в дикой природе»

Ростелеком-Солар corporate blog Information Security *
Вчера появилась информация о попытках эксплуатации BlueKeep (CVE-2019-0708), критичной RCE-уязвимости в ОС Windows, с целью установки криптомайнера Monero. Исследователь Kevin Beamount, сообщил в Твиттере, что несколько хостов из его сети RDP-ханипотов ушли в состоянии BSOD, при этом их совокупный Uptime до этого момента был равен почти 6 месяцам.

Проведенный анализ аварийного дампа оперативной памяти позволил обнаружить следы
шелл-кода, предназначенного для скачивания и запуска криптомайнера с удаленного сервера посредством выполнения powershell-скрипта. При этом этот шелл-код идентичен шелл-коду модуля BlueKeep в составе проекта Metasploit.


Читать дальше →
Total votes 33: ↑33 and ↓0 +33
Views 18K
Comments 0
1

Information

Rating
Does not participate
Works in
Registered
Activity