Привет, Хабр! С вами снова Никита Полосухин, ведущий аналитик в центре мониторинга и реагирования на кибератаки RED Security SOC. Прошлый год был насыщен расследованиями инцидентов новых заказчиков, и по итогам мы сформировали внутренний отчет. В этом материале я поделился самым интересным — разбором необычных историй кибератак, а также списком популярных (и успешных) процедур злоумышленников. Надеюсь, наши кейсы покажутся вам не только интересными, но и помогут при выборе и организации дополнительных мер защиты в этом году. 

Хабр, всем привет! На связи Никита Полосухин, ведущий аналитик центра мониторинга и реагирования на кибератаки RED Security SOC. Сегодня мы разберем loader от группировки BO Team. Материал предназначен для начинающих ИБ-специалистов и представляет собой краткий мануал, который поясняет, как быстро определить функциональность вредоносного ПО, достать из семпла индикаторы и какие инструменты можно использовать для анализа.

Хабр, всем привет! Меня зовут Никита Полосухин, я старший системный аналитик центра мониторинга и реагирования на кибератаки RED Security SOC. Сегодня хочу продолжить нашу историю об открытии новых (новых ли?) плохих парней (и, вероятно, девушек), которые очень любят взламывать российские компании.

В июне мы рассказали о группировке Cloaked Shadow, которая характеризовалась обширным инструментарием, продвинутыми методами сокрытия и в целом высоким техническим уровнем. После этого мы получили возможность собрать и проанализировать новые данные и ранее не встречавшиеся образцы вредоносного программного обеспечения (ВПО), что помогло сделать много интересных выводов. Добро пожаловать под кат.

Привет, Хабр! Меня зовут Никита Полосухин, я старший системный аналитик центра мониторинга и реагирования на кибератаки RED Security SOC. В этом материале я хочу снова поднять тему важности своевременных обновлений и актуализации версий CMS и их компонентов. В мире ИБ про это знают почти все, но вот коллегам из администрирования и бизнеса, я думаю, может быть полезно увидеть, почему хотя бы раз в год надо уделять время проверке и устранению уязвимостей.

В СМИ периодически появляется информация об массовых атаках на сайты на базе Bitrix с использованием уязвимостей в сторонних модулях — например, недавно компания предупреждала об уязвимости в подключаемых модулях от eSolutions и «Маяк».

Мы в центре мониторинга и реагирования на киберугрозы RED Security SOC тоже регулярно видим такие атаки. В этой статье покажем, как они выглядят in the wild, как их выявлять и блокировать их развитие.

В прошлом и нынешнем году коллеги из «Лаборатории Касперского» и BI.Zone рассказывали о группировке GOFFEE (Paper Werewolf). В конце мая мы снова фиксируем ее активность, но немного в другом обличии — можно сказать, в новой овечьей шкуре. Я Никита Полосухин, ведущий аналитик центра мониторинга и реагирования на кибератаки RED Security SOC, и я расскажу, как сейчас действует GOFFEE и как обнаружить их присутствие в инфраструктуре.

Всем привет! В этой статье мы не будем рассуждать на тему что такое Threat Intelligence, и с чем его едят, а сразу перейдем к делу.

TL DR В этой небольшой заметке будет показано, как можно провести разведку угрозы и атрибутировать группировку имея лишь письмо и браузер, не прибегая к техническому анализу и вот это вот все. Матерым разведчикам такая статья может показаться скучной, но молодым ребятам и девчатам, кто ничинает свой путь в TI, может быть любопытно взглянуть на mindset при проведении разведки.

PS: картинка сгенерирована нейросетью kadinsky 3.1 по запросу "Cyber Threat Intelligence по русски"