Как стать автором
Обновить

Чужой код — потемки: чем опасно скачивание «безобидного» софта с GitHub

Блог компании Group-IB Информационная безопасность *Реверс-инжиниринг *Исследования и прогнозы в IT IT-компании


Наверное, каждый из тех, кто читает эту статью, хорошо знаком с GitHub — крупнейшим веб-сервисом для хостинга IT-проектов и их совместной разработки. Здесь можно найти почти любой open source-проект. Для компиляции проекта может быть нужен какой-то специфический софт, которого прямо сейчас у пользователя нет, да и сам процесс сборки из исходников требует определенных знаний и опыта. Понимая это, разработчики, помимо исходного кода, очень часто размещают на гите готовые бинарные файлы. Илья Померанцев, специалист по анализу вредоносного кода CERT Group-IB, на примере реального кейса показывает, как использованием непроверенного чужого кода может привести к потере криптовалюты.
Читать дальше →
Всего голосов 13: ↑8 и ↓5 +3
Просмотры 11K
Комментарии 16

Зачем внедрять EDR, если есть SIEM, Sysmon и антивирус?

Блог компании Ростелеком-Солар Информационная безопасность *
Без мониторинга конечных точек сегодня уже не получится в полной мере обеспечить безопасность и вовремя обнаруживать факты компрометации инфраструктуры. «Джентельменский» набор — сетевой мониторинг, антивирус и стандартный аудит на конечных точках — уже не позволяет противодействовать не только серьезным группировкам, но даже злоумышленникам с низким уровнем подготовки. Почему? Рассмотрим на конкретных примерах.


Кадр из мультфильма «Жил-был пес»
Читать дальше →
Всего голосов 19: ↑19 и ↓0 +19
Просмотры 5.9K
Комментарии 0

Loki 1.8: досье на молодой и подающий надежды Data Stealer

Блог компании Group-IB Информационная безопасность *IT-инфраструктура *Реверс-инжиниринг *Исследования и прогнозы в IT


В середине июня борьба с коронавирусом в Казахстане была в самом разгаре. Встревоженные ростом числа заболевших (тогда заразился даже бывший президент Нурсултан Назарбаев), местные власти решились вновь позакрывать все торгово-развлекательные центры, сетевые магазины, рынки и базары. И в этот момент ситуацией воспользовались киберпреступники, отправившие по российским и международным компаниям вредоносную рассылку.

Опасные письма, замаскированную под обращение министра здравоохранения Республики Казахстан, перехватила система Threat Detection System (TDS) Group-IB. Во вложении письма находились документы, при запуске которых на компьютер устанавливалась вредоносная программа из семейства Loki PWS (Password Stealer), предназначенная для кражи логинов и паролей с зараженного компьютера. В дальнейшем злоумышленники могут использовать их для получения доступа к почтовым аккаунтам для финансового мошенничества, шпионажа или продать на хакерских форумах.

В этой статье Никита Карпов, аналитик CERT-GIB, рассматривает экземпляр одного из самых популярных сейчас Data Stealer’ов — Loki.
Читать дальше →
Рейтинг 0
Просмотры 3.2K
Комментарии 0

Чем нас «радовали» злоумышленники последние полгода

Блог компании Ростелеком-Солар Информационная безопасность *
Последние полгода были, мягко говоря, непростыми. Новая реальность – новые векторы кибератак, хотя и про старые, проверенные временем инструменты злоумышленники не забывали. Solar JSOC и JSOC CERT скучать не приходилось: атаки на RDP, новые оболочки известного ВПО и методы сокрытия Mimikatz… Подробности, как всегда, письмом ниже.
Читать дальше →
Всего голосов 17: ↑17 и ↓0 +17
Просмотры 5.3K
Комментарии 1

Три этюда о пиратском софте: как скачанная программа может втянуть вас в киберпреступление

Блог компании Group-IB Информационная безопасность *Реверс-инжиниринг *Исследования и прогнозы в IT Софт


Случалось такое: надо срочно найти утилиту под специфическую задачу, например, «конвертер видео», но точного названия не знаешь и надо гуглить? Другие пытаются сэкономить и сразу используют установщик для пиратского софта. Перейдя по первой же ссылке в поисковой выдаче и обнаружив заветную кнопку Download, пользователь без особых раздумий запускает скачанный софт, даже не подозревая, какую опасность может скрывать обычный, на первый взгляд, файл. Илья Померанцев, руководитель группы исследований и разработки CERT-GIB, рассматривает три кейса, жертва которых могла стать «входными воротами» для вредоносной программы и даже случайным соучастником хакерской атаки. Помните: 23% пиратских ресурсов представляют опасность — содержат вредоносные программы либо присутствуют в «черных списках» антивирусных вендоров.
Читать дальше →
Всего голосов 16: ↑12 и ↓4 +8
Просмотры 10K
Комментарии 16

След протектора: как киберпреступники прятали стилеры в презентации от «подрядчика МГУ»

Блог компании Group-IB Информационная безопасность *Реверс-инжиниринг *Исследования и прогнозы в IT IT-компании


"Привет из МГУ. М.В.Ломоносов,
Внимание: по рекомендации вашей компании мы выступаем в качестве подрядчика МГУ. М.В.Ломоносова под руководством доктора философских наук. Виктор Антонович Садовничий. Нам нужно ваше предложение по нашему бюджету на 2020 год (прилагается). Подайте заявку не позднее 09 ноября 2020 года. Спасибо и всего наилучшего
".

Получатель этого странного послания, даже очень далекий от научных кругов, сразу обратит внимание на две вещи: как безграмотно оно написано, а, во-вторых, ректор МГУ может быть философом лишь по состоянию души — Виктор Антонович на самом деле доктор физико-математических наук, но никак не философских.

СERT Group-IB подтвердил догадку — сентябрьские почтовые рассылки от имени руководства МГУ им. М.В. Ломоносова — фейковые, более того они несли «на борту» популярные вредоносные программы для кражи данных (Data Stealer) — Loki или AgentTesla . Однако сегодняшний пост не про них, а об одном незаметном помощнике — протекторе, которые защищает программы-шпионы от обнаружения. О том, какие техники использует этот протектор и как аналитикам удалось сквозь них добраться до исполняемого файла AgentTesla, рассказывает Илья Померанцев, руководитель группы исследований и разработки CERT-GIB .
Читать дальше →
Всего голосов 13: ↑13 и ↓0 +13
Просмотры 4.5K
Комментарии 1

Обновки AgentTesla: командный центр в Telegram, TorProxy, стилер паролей и другие новые фичи

Блог компании Group-IB Информационная безопасность *Реверс-инжиниринг *Исследования и прогнозы в IT IT-компании

Недавно мы писали про протектор, который скрывает вредоносную программу AgentTesla, заслуженного пенсионера на рынке вредоносного ПО. Однако AgentTesla и не думает уходить со сцены, своей популярностью он обязан в том числе постоянной поддержке продукта разработчиками — в этом году авторы AgentTesla снова обновили свой стилер. Илья Померанцев, руководитель группы исследований и разработки CERT-GIB, рассказывает о новых возможностях AgentTesla.
Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 2.2K
Комментарии 0

Старый конь борозды не испортит: как стилер Pony крадет данные и где их потом искать

Блог компании Group-IB Информационная безопасность *Реверс-инжиниринг *Исследования и прогнозы в IT IT-компании

Если помните, недавно у нас выходила статья про молодой, но уже подающий надежды data stealer Loki. Тогда мы подробно рассмотрели этот экземпляр (версия 1.8), получили представление о работе бота и освоили инструмент, облегчающий реагирование на события, связанные с этим ВПО. Для более полного понимания ситуации, давайте разберем еще одно шпионское ПО и сравним исследованных ботов. Сегодня мы обратим внимание на Pony более старый, но не менее популярный экземпляр data stealer’а. Никита Карпов, аналитик CERT-GIB, расскажет, как бот проникает на компьютер жертвы и как вычислить похищенные данные, когда заражение уже произошло.

Читать дальше
Рейтинг 0
Просмотры 3.3K
Комментарии 0

Особенности киберохоты: как Hunter Stealer пытался угнать Telegram-канал «База»

Блог компании Group-IB Информационная безопасность *Реверс-инжиниринг *Исследования и прогнозы в IT IT-компании

С ноября 2020 года участились случаи похищения аккаунтов у популярных Telegram-каналов. Недавно эксперты CERT-GIB установили тип вредоносной программы, с помощью которой хакеры пытались угнать учетку у Никиты Могутина, сооснователя популярного Telegram-канала «База» (320 тысяч подписчиков). В той атаке использовался стилер Hunter, который Могутину прислали под видом рекламы образовательной платформы. Сам стилер нацелен на устройства под управлением ОС Windows, поэтому атакующие так настойчиво просили журналиста открыть архив на рабочем компьютере, а не с iPhone, чего он — и правильно — делать не стал. Hunter "умеет" автоматически собирать учетные записи на зараженном компьютере, затем отсылает их злоумышленнику и раньше его, к примеру, часто использовали для кражи учетных данных у игроков GTA. Никита Карпов, младший вирусный аналитик CERT-GIB, провел анализ вредоносного файла и раскрывает технические детали того, как хакеры пытались угнать Telegram-канал.

Читать далее
Всего голосов 8: ↑8 и ↓0 +8
Просмотры 6.4K
Комментарии 10

Не только лишь удаленка: как атаковали киберпреступники в 2020 году

Блог компании Ростелеком-Солар Информационная безопасность *

Ситуация с ИБ в 2020-м напоминала картины Босха и последователей: множество деталей, все горит и не очень понятно, что происходит. Пока компании решали, как перевести всех на удаленку и не парализовать при этом работу, киберпреступники использовали каждый торчащий наружу RDP, каждого застрявшего дома и потерявшего бдительность работника, каждую незамеченную веб-уязвимость. А главное – хакеры взяли в полноценный оборот метод supply chain, с помощью которого успели совершить самую громкую атаку года. В итоге для злоумышленников год оказался очень даже насыщенным. В 2020 году Solar JSOC зафиксировал 1,9 млн кибератак (на 73% больше, чем в 2019-м), а доля критических инцидентов выросла на 20%. Подробнее о том, как и зачем совершали атаки на компании в 2020 году – в нашем посте.

ВПО, supply chain, утечки и не только
Всего голосов 18: ↑18 и ↓0 +18
Просмотры 3.5K
Комментарии 0

Cassandra: криптор, который любит держаться в тени

Блог компании Group-IB Информационная безопасность *Реверс-инжиниринг *Исследования и прогнозы в IT IT-компании

Ни один атакующий не хочет, чтобы его инструменты обнаружили и раскрыли раньше времени. Поэтому, как правило, в чистом виде никто вредоносные программы не распространяет. Например, пользователю прилетело фишинговое письмо от имени известной транспортной компании и просят проверить документы во вложении. Подобные письма достаточно часто являются началом атаки, так было и на этот раз. Внутри архива находился исполняемый файл Cassandra Crypter — популярный криптор, полезной нагрузкой которого могут выступать различные семейства вредоносного программного обеспечения. Алексей Чехов, аналитик CERT-GIB, рассказывает, как Cassandra проникает на компьютер жертвы и приводит с собой других незваных гостей.

Читать далее
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 6.9K
Комментарии 8

Glupteba – скрытая угроза: как мы нашли вредонос, который больше двух лет прятался в инфраструктуре заказчика

Блог компании Ростелеком-Солар Информационная безопасность *
2020 год для Solar JSOC CERT оказался непростым, но и 2021-й не отстает, постоянно подкидывая нам интересные кейсы. В этом посте мы расскажем, как обнаружили вредонос (даже целую сеть вредоносов) по, казалось бы, несвойственной ему активности. Он незаметно «жил» в инфраструктуре больше двух лет, втихаря обновлялся и без препятствий собирал ценные данные в инфраструктуре жертвы.


Читать дальше →
Всего голосов 28: ↑27 и ↓1 +26
Просмотры 12K
Комментарии 7

К вам ползет Snake: разбираем новый кейлоггер

Блог компании Group-IB Информационная безопасность *Реверс-инжиниринг *Исследования и прогнозы в IT IT-компании

В конце прошлого года в руки аналитикам CERT-GIB попал любопытный образец ВПО — Snake Keylogger. Хотя справедливости ради заметим, что изучаемый объект являлся скорее стилером, так как KeyLogger — лишь часть его функционала, отвечающего за логгирование нажатий клавиш на клавиатуре. "Пойман" был данный экземпляр не в чистом виде, а уже зашифрованным криптером Cassandra, о котором мы писали недавно. При первом взгляде на Snake Keylogger казалось, что он находится на стадии бета-теста, так как многие функции были неактивны и записи из конфигурационного файла нигде не использовались. Что оказалось на самом деле, как устроена эта вредоносная программа, как она проникает на устройство жертвы и какие механизмы защиты использует, рассказывает Алексей Чехов, аналитик CERT-GIB.

Читать далее
Всего голосов 8: ↑7 и ↓1 +6
Просмотры 5.2K
Комментарии 2

Новый дроппер группы APT31: исследуем зловреды, которые мы обнаружили в атаках на Монголию, Россию и США

Блог компании Positive Technologies Информационная безопасность *Криптография *Реверс-инжиниринг *Исследования и прогнозы в IT

В апреле 2021 года в ходе регулярного мониторинга угроз ИБ специалисты нашего PT Expert Security Center обнаружили в Монголии атаки с использованием неизвестного ранее вредоносного ПО. В дальнейшем аналогичные атаки были выявлены в России, США, Канаде и Республике Беларусь. Некоторые из файлов, которые мы обнаружили во время исследования, имели достаточно интересные названия. Например, «хавсралт.scr» (монг. вложение) и «Информация_Рб_июнь_2021_года_2021062826109.exe». Как позже показало исследование, они содержали троян удаленного доступа (RAT).

По нашим данным, за первые семь месяцев 2021 года в мире было проведено в общей сложности около десятка атак с использованием найденных образцов вредоносов. Детальный анализ вредоносного ПО, многочисленные пересечения по функционалу, применяемым техникам и механизмам позволили нам связать обнаруженный зловред с активностью группы APT31 (она же Zirconium и Judgment Panda). Чем известна преступная группа, кого атаковала ранее и какие у нее ключевые интересы, можно узнать по ссылке. Примечательно, что за пять лет существования группировки под ее удар Россия попала впервые.

Ниже разберем созданное APT-группой ВПО, включая новый дроппер, уловки его разработчиков, а еще расскажем, по каким критериям проводили атрибуцию атак. Полную версию нашего исследования читайте здесь.

Подробнее
Всего голосов 6: ↑4 и ↓2 +2
Просмотры 2.5K
Комментарии 2

Как вредонос Trisis может парализовать целый завод, и есть ли шанс от него защититься

Блог компании Ростелеком-Солар Информационная безопасность *

Обнаруженный в 2017 году вредонос Trisis до сих пор остается настоящим кошмаром для промышленности. Его цель – вывести из строя систему противоаварийной защиты предприятия, лишив автоматику и персонал возможности оперативно реагировать на аварию (от остановки оборудования до выброса ядовитых веществ). К счастью, первая атака Trisis была неудачной – хакеры выдали себя, а исследователи узнали о новой угрозе. Как же работает этот опасный вредонос, можно ли защитить от него системы ПАЗ – разберемся в этом посте.

Читать далее
Всего голосов 10: ↑10 и ↓0 +10
Просмотры 3.9K
Комментарии 5

Лже-Microsoft, McAfee и Google: как мы обнаружили APT-группу, маскирующую сетевую инфраструктуру под легитимные сервисы

Блог компании Positive Technologies Информационная безопасность *Антивирусная защита *Реверс-инжиниринг *Исследования и прогнозы в IT

На киберарене появился новый участник: специалисты PT Expert Security Center обнаружили ранее неизвестную преступную группировку. В России она пока нацелена на организации топливно-энергетического комплекса и авиационной промышленности.  Злоумышленники используют на сегодняшний день достаточно редкий — в силу сложности исполнения — тип атак trusted relationship (атаки через доверительные отношения) и активно эксплуатируют цепочку уязвимостей ProxyShell, о которой впервые стало известно в августе этого года. Вдобавок хакеры стараются максимально маскировать свою активность под легитимную — для этого они используют особенности ОС и правдоподобные фишинговые домены, например таких компаний, как Microsoft, TrendMicro, McAfee, IBM и Google.

Интерес новой APT-группы направлен на хищение данных из скомпрометированных сетей жертв. После получения доступа в сеть целевого предприятия хакеры могут несколько месяцев оставаться незамеченными — изучать сеть компании для захвата контроля над критически важными серверами и узлами в разных сегментах.

В новой статье рассказываем, как расследовали атаку на топливно-энергетическую компанию и ее дочернюю организацию, выявили активность новой группировки, а также разбираем методы и инструменты, которые она применяла.

По ссылке представлен полный отчет о расследовании. В нем приведен детальный анализ вредоносного ПО, в том числе не встречавшихся ранее бэкдоров, и индикаторы компрометации, которые могут быть использованы для выявления следов атаки.

Подробности
Всего голосов 7: ↑7 и ↓0 +7
Просмотры 3.7K
Комментарии 2

Расследование: как мы обнаружили новые следы группировки ChamelGang и помогли авиапромышленной компании пресечь ее атаку

Блог компании Positive Technologies Информационная безопасность *Антивирусная защита *Реверс-инжиниринг *Исследования и прогнозы в IT

Если помните, недавно мы рассказывали о том, как специалисты нашего экспертного центра безопасности (PT Expert Security Center, PT ESC) обнаружили новую, ранее неизвестную APT-группировку, получившую название ChamelGang (ее профайл смотрите здесь). Это произошло, когда нашу команду по реагированию на инциденты ИБ пригласили расследовать множественные срабатывания антивирусных средств защиты с вердиктом Cobalt Strike Beacon в российской топливно-энергетической компании.

Уже после расследования первого инцидента, в рамках мониторинга угроз информационной безопасности (threat intelligence) и анализа только что выявленной группировки, специалисты PT ESC обнаружили еще одну ее успешную атаку, идентифицировали и оповестили новую жертву — предприятие авиапрома России — и помогли оперативно устранить угрозу. Как и в первом случае, преступники были нацелены на похищение информации, однако быстрое обнаружение APT-группы и противодействие ей позволили предотвратить кражу.

Сегодня мы поделимся главными моментами этого расследования. Полный отчет с техническими подробностями обоих инцидентов читайте по ссылке.

Узнать больше о расследовании
Всего голосов 5: ↑5 и ↓0 +5
Просмотры 3.5K
Комментарии 1

Кого только не встретишь в инфраструктуре: с какими семействами ВПО мы чаще всего имели дело в этом году

Блог компании Ростелеком-Солар Информационная безопасность *

Годы идут, а ВПО остается основной головной болью кибербезопасников. Мы недавно считали: почти 40% хакерских атак происходит именно с помощью вредоносного ПО. Одни вирусы даже не успевают попасть в ИТ-периметр – их ловят на подлете. Другим же удается сидеть в инфраструктуре год-два и больше. Появляются ранее неизвестные угрозы, а уже знакомые вредоносы эволюционируют, приобретая новые свойства и совершенствуя маскировку. В этом посте мы расскажем, какие семейства ВПО чаще всего попадались нам на глаза в различных инфраструктурах с начала этого года.

Вспомнить все
Всего голосов 12: ↑12 и ↓0 +12
Просмотры 2.6K
Комментарии 1

Мониторинг и ничего лишнего: какие компоненты АСУ ТП стоит все-таки подключить к SOC

Блог компании Ростелеком-Солар Информационная безопасность *

Киберзащита АСУ ТП пока остается для безопасников сложной задачкой на логику. С одной стороны, нельзя оставить без ИБ-мониторинга сеть, которая, например, обеспечивает теплом и светом население или перегоняет нефть и газ. С другой, ну, а где гарантия, что все эти СЗИ никак не повлияют на АСУ ТП и что их не взломают те же самые хакеры? В этом посте мы хотели бы порассуждать о том, какие компоненты АСУ ТП все-таки стоит подключить к SOC и что это даст ИБ-специалистам.

Подключиться к АСУ ТП
Всего голосов 12: ↑10 и ↓2 +8
Просмотры 2.7K
Комментарии 0

По следам TeamBot: как мы столкнулись с новыми функциями знакомого ВПО

Блог компании Ростелеком-Солар Информационная безопасность *

В октябре 2021 года к нам в Solar JSOC CERT поступил запрос: одна крупная технологическая компания попросила помочь в расследовании инцидента. В процессе работы мы обнаружили старую знакомую - вредоносную DLL TeamBot (aka TeamSpy, TVSPY, TeamViewerENT, TVRAT), которая загружалась легитимной утилитой TeamViewer. Это ВПО уже лет 10 фигурирует в отчетах как отечественных, так и зарубежных ИБ-компаний. Но за эти годы TeamBot научился кое-чему новому,  о чем мы и расскажем в этом посте.

Читать далее
Всего голосов 9: ↑9 и ↓0 +9
Просмотры 2.1K
Комментарии 0
1