Хабр, привет! На связи Алина Байрамова, аналитик-исследователь угроз кибербезопасности R-Vision.
В этой статье я разберу уязвимость нулевого дня в TrueConf Server (CVE-2026-3502), связанную с механизмом обновлений, и то, как она может быть использована для компрометации изолированных инфраструктур через доверенный канал распространения ПО.
Хабр, привет!
На связи команда инженер-аналитиков R-Vision. Мы проанализировали широкий спектр уязвимостей, выявленных в марте, и включили в дайджест лишь те, что представляют наибольший практический интерес по уровню риска, подтверждённой эксплуатации и актуальности для специалистов по информационной безопасности.
Хабр, привет!
На связи команда инженеров-аналитиков R-Vision. В феврале мы отобрали 17 потенциально трендовых уязвимостей, из которых 11 получили подтверждённый статус. В этот дайджест мы включили только те из них, которые представляют наибольший практический интерес для специалистов по информационной безопасности — с учётом уровня риска, фактов подтверждённой эксплуатации и потенциального влияния на инфраструктуру.
Полный перечень уязвимостей доступен в Базе уязвимостей RVD (R-Vision Vulnerability Database), которая используется в продукте R-Vision VM.
Хабр, привет!
На связи команда инженер-аналитиков R-Vision. В январе мы выделили 12 трендовых уязвимостей и включили в этот дайджест те, что представляют наибольшую опасность по уровню риска, подтверждённой эксплуатации и практическому интересу для специалистов информационной безопасности.
Полный перечень уязвимостей доступен в Базе уязвимостей RVD (R-Vision Vulnerability Database), которая используется в продукте R-Vision VM.
Хабр, привет!
На связи команда инженер-аналитиков R-Vision. Сегодня мы подведём итоги 2025 года по активно эксплуатируемым уязвимостям, поделимся статистикой разборов, а также вспомним наиболее громкие уязвимости.
Хабр, привет!
На связи команда экспертизы инструментального анализа защищенности R-Vision, которая создает базу уязвимостей (RVD) для продукта R-Vision VM.
Каждый месяц наша команда отбирает трендовые уязвимости, которые представляют наибольшую опасность для наших заказчиков. В этом выпуске дайджеста мы расскажем про трендовые уязвимости декабря 2025 года.
Привет, Хабр!
В рамках киберучений CyberCamp 2025 R-Vision выступил партнёром и разработал для участников сценарий расследования инцидента в инфраструктуре крупной компании — Bravera Capital. Задача была не в том, чтобы придумать очередной CTF-квест, а в том, чтобы воспроизвести процесс расследования реальной атаки так, как он выглядит в корпоративной среде.
Часто в CTF-соревнованиях задания бывают оторваны от реальности: стеганография в картинках с котиками или бинарная эксплуатация древних сервисов, которые не встретишь в дикой природе. CyberCamp, напротив, строится на кейсах из повседневной практики ИБ.
Создавая задание для CyberCamp 2025 мы ставили цель смоделировать максимально реалистичный kill chain современной APT-группировки или оператора RaaS (Ransomware-as-a-Service). Нам было важно, чтобы участники прочувствовали ту самую «боль» настоящего Incident Response.
В этой статье разберём «кухню» сценария: почему выбрали связку Confluence + Veeam, зачем переименовывали бинарники и почему именно LockBit стал финальным аккордом. А также предложим варианты выявления подобных атак.
Хабр, привет!
В начале октября этого года прошла Standoff 16 – крупнейшая кибербитва России и одно из самых реалистичных соревнований в мире по кибербезопасности. На виртуальном полигоне «Государства F» сошлись более 30 команд атакующих и защитников. В течение трёх дней участники оттачивали навыки противодействия кибератакам, отражая атаки на инфраструктуру, максимально приближенную к реальной: городскую среду, металлургию, банковский сектор и логистику.
В этот раз событие стало особенным: на Standoff защитники получили возможность работать с системой класса SOAR – R-Vision SOAR. Для нас, как разработчика, это стало настоящим экспериментом: мы хотели проверить, как автоматизация поведёт себя в динамике кибербитвы, когда атакующие действуют максимально агрессивно и счёт идёт на минуты.
В статье рассказываем и показываем как всё прошло.
Хабр, привет!
На связи команда инженер-аналитиков R-Vision. В ноябре нами было выявлено 13 трендовых уязвимостей. В дайджест вошли лишь те, что представляют наибольшую опасность по уровню риска, подтверждённой эксплуатации и практическому интересу для специалистов информационной безопасности.
Полный перечень уязвимостей доступен в Базе уязвимостей RVD (R-Vision Vulnerability Database), которая используется в продукте R-Vision VM. Данные поступают в базу из более чем 300 источников и автоматически обновляются каждые 8 часов. Это позволяет обеспечивать актуальность и полноту представленной информации. Каждая уязвимость проходит проверку в лаборатории R-Vision, где развёрнуто более 700 тестовых стендов.
Хабр, привет!
Мы проанализировали широкий спектр уязвимостей за октябрь 2025 и собрали в дайджест те уязвимости, которые представляют наибольшую опасность — по уровню риска, подтверждённой эксплуатации и практическому интересу для специалистов информационной безопасности.
Хабр, привет!
Вендоры и исследователи по кибербезопасности традиционно не спешат раскрывать технические детали уязвимостей сразу после их обнаружения. Причина в том, что публикация рабочего PoC (proof of concept) резко повышает вероятность массовой эксплуатации. Компании предпочитают выиграть время, чтобы пользователи успели установить обновления, и только после этого публикуют подробные отчёты.
Однако даже без раскрытия PoC можно определить уязвимости, которые представляют реальную опасность и требуют оперативной реакции.
Аналитики R-Vision регулярно отслеживают новые уязвимости, оценивают их критичность и подбирают практические рекомендации по защите. В сентябре мы выделили несколько CVE, которые уже эксплуатируются или могут представлять серьёзную угрозу .
Привет, Хабр! На связи Алина Корсакова, тестировщик в кластере качества RVN Support, R-Vision.
Если вы работаете в разработке, то наверняка сталкивались с QA-командой. Кто-то считает тестировщиков тормозом релиза, кто-то — формальными исполнителями чек-листов, а кто-то вообще полагает, что всё за них решит автоматизация.
Тестирование — это не просто «щёлкать кнопки» и фиксировать баги. Это умение понимать продукт, видеть его целостно, находить слабые места ещё до того, как они станут проблемой для пользователей. Это способность спорить с аналитиками, договариваться с разработчиками и искать компромиссы, чтобы качество не страдало. Это искусство смотреть на систему глазами конечного пользователя, предугадывать его действия и ожидания.
Чтобы осветить важные аспекты тестирования, которые обычно остаются за кадром, я задала коллегам один, на первый взгляд, простой вопрос:
– Что самое важное в тестировании?
Результаты опроса оказались неожиданно многогранными и заставили меня задуматься о множестве нюансов, которые остаются за кадром. Мой опрос охватил специалистов с разным опытом работы - от начинающих тестировщиков до опытных лидов, от этого ответы ещё более интереснее.
Хабр, привет!
На связи команда инженер-аналитиков отдела по инструментальному анализу защищенности компании R-Vision. Мы подготовили свежий дайджест трендовых уязвимостей, обнаруженных в августе 2025 года. В нём собраны наиболее опасные уязвимости, которые уже сейчас активно эксплуатируются в атаках и их устранение должно быть в приоритете.
Всем привет!
Сегодня речь пойдет о распределенном обратном прокси-сервере ngrok и эксплуатации его возможностей атакующими. По данным MITRE ATT&CK инструмент используется различными APT группировками, в том числе в атаках направленных на компании в России и странах СНГ, что упоминается в Ландшафте киберугроз от команды Kaspersky Cyber Threat Intelligence и в статье Распутываем змеиный клубок: по следам атак Shedding Zmiy.
В данной статье мы рассмотрим примеры использования ngrok в операционных системах Windows и Linux, а также определим маркеры, по которым можно выявить его использование.
Хабр, привет! Меня зовут Елена Петренко, я бизнес-аналитик по информационной безопасности в компании R-Vision.
В прошлой статье мы подробно рассматривали интеграцию SOAR-системы с АСОИ ФинЦЕРТ для автоматизации взаимодействия с регулятором. Сегодня я расскажу, почему интеграции в целом являются ключевым элементом эффективного управления ИБ, какие бывают способы интеграции систем и рассмотрю практические кейсы интеграции SOAR с другими популярными сервисами: Telegram и Kaspersky Security Center, а также поделюсь опытом работы с АСОИ ФинЦЕРТ в более широком контексте.
Хабр, привет!
На связи команда инженер-аналитиков отдела по инструментальному анализу защищенности компании R-Vision. Мы подготовили свежий дайджест трендовых уязвимостей, обнаруженных в июле 2025 года. В нем собраны наиболее опасные уязвимости, которые уже сейчас активно эксплуатируются в атаках и их устранение должно быть в приоритете.
Привет, Хабр! Меня зовут Елена Петренко, я бизнес-аналитик по информационной безопасности в компании R-Vision. Сегодня хочу поделиться историей о том, как мы разработали интеграцию между SOAR-системой и АСОИ ФинЦЕРТ для автоматизации взаимодействия с регулятором. Вы узнаете, какие задачи она решает и какие технологии лежат в её основе.
Привет, Хабр!
Меня зовут Илья Ефимов, я аналитик-исследователь угроз кибербезопасности в компании R-Vision. Сегодня я расскажу про вредоносное ПО RingSpy, которое использует группировка Mysterious Werewolf. В этой статье мы подробно разберём один из способов его установки на компьютер жертвы.
RingSpy — это программа для удаленного доступа, которая позволяет скачивать файлы и выполнять различные команды атакующих (С2). Она пришла на смену другому инструменту — агенту Athena фреймворка Mythic. RingSpy управляется через бот в мессенджере Telegram, что делает его идеальным для скрытой атаки и контроля над скомпрометированными системами. А основной «фишкой» способа доставки бэкдора стала эксплуатация уязвимости CVE‑2023‑38831 в WinRAR.
Наши коллеги уже подготовили отчет о функционале этого бэкдора. Я же хочу разобрать один из способов его внедрения в скомпрометированную систему и рассмотреть, как его можно обнаружить с помощью R-Vision SIEM.
Привет, Хабр!
В прошлой статье мы уже разобрали устройство редактора кода VSCode и его особенности. Сегодня хочу рассказать про еще одну уязвимость в расширении, связанном с GitHub, рассмотреть функцию «туннелирование» в VSCode и варианты использования ее атакующими. После посмотрим, что можно сделать для детектирования подобных действий с помощью R-Vision SIEM.
Начнем с функционала туннелирования, который в «стабильном» варианте появился в версии 1.74. Функция позволяет удаленно управлять хостом, используя серверы Microsoft. Для запуска туннеля даже не обязательно устанавливать VSCode, достаточно только серверного компонента приложения VS Code Server. Конечно, это заинтересовало атакующих, и они стали использовать этот метод в своих целях.
Приветствую, Хабр!
Мессенджеры являются незаменимым инструментом для общения в корпоративной среде, поскольку это быстро и удобно. Зачастую во многих компаниях сотрудники взаимодействуют не через корпоративные, а через общедоступные мессенджеры. Это увеличивает риски утечки информации, так как влечет за собой преднамеренное или непреднамеренное разглашение данных.
В качестве меры предотвращения такой утечки компании, как правило, используют DLP системы (Data Loss Prevention) и другие способы мониторинга переписки. Одним из самых популярных мессенджеров, используемых в России и СНГ, является Telegram. Как показывает практика компаний, работающих с DLP, алгоритм определения клиента Telegram в системе несовершенен и обойти механизмы контроля, используя портативную версию, достаточно просто.
Оценивая стоимость внедрения механизмов контроля и простоту их обхода, давайте попробуем ответить на вопрос: "По каким признакам можно понять, что используется Portable клиент Telegram?".
Для анализа мы возьмем штатные средства мониторинга системы, а также журналы Sysmon. События журналов будем рассматривать в R-Vision SIEM, так как продукт позволяет обрабатывать все события в одном месте с удобными фильтрами и высокой производительностью.
