Как стать автором
Обновить

Операция TaskMasters: как мы разоблачили кибергруппировку, атакующую организации России и СНГ

Блог компании Positive Technologies Информационная безопасность *


Изображение: Unsplash

Осенью 2018 года эксперты PT Expert Security Center выявили активность преступной группировки, деятельность которой была направлена на хищение конфиденциальных документов и шпионаж. Сегодня мы расскажем о ходе расследования, а также опишем основные методы и инструменты, которые применяла группировка.

Примечание: По ссылке представлен полный отчет о расследовании. В нем также приведены индикаторы компрометации, которые могут быть использованы для выявления следов атаки.
Читать дальше →
Всего голосов 35: ↑31 и ↓4 +27
Просмотры 11K
Комментарии 2

Как исследование блокчейна Namecoin позволило предсказывать кибератаки группировки RTM

Блог компании Positive Technologies Информационная безопасность *


Блокчейн Namecoin был создан как защищенная от цензуры и принудительного изъятия доменов альтернатива традиционным регистраторам DNS. В последние несколько лет его начали использовать операторы таких ботнетов, как Dimnie, Shifu, RTM и Gandcrab, для управления адресами C&C-серверов.

С одной стороны, децентрализованность и устойчивость блокчейна не позволяют исследователям и провайдерам удалить такие домены или перехватить управление ими. С другой стороны, инфраструктура на основе блокчейна имеет архитектурную особенность: все изменения в сети публично доступны и могут быть использованы для изучения и отслеживания действий злоумышленников.

В этой работе представлен подход, использованный для картографирования активов ботнета в Namecoin и дальнейшего их отслеживания для извлечения новых IOC. С помощью описанного подхода были собраны перечни активов (см. приложение), использованных упомянутыми выше ботнетами.
Читать дальше →
Всего голосов 13: ↑13 и ↓0 +13
Просмотры 4.3K
Комментарии 3

Операция TA505: как мы анализировали новые инструменты создателей трояна Dridex, шифровальщика Locky и ботнета Neutrino

Блог компании Positive Technologies Информационная безопасность *


География атак группы TA505 за 2019 год

Наша команда аналитиков Threat Intelligence из PT Expert Security Center на протяжении полугода следит за активностью киберпреступников из TA505. Сфера интересов злоумышленников — финансовая, а цели расположены в десятках стран на разных континентах.
Читать дальше →
Всего голосов 5: ↑5 и ↓0 +5
Просмотры 3.8K
Комментарии 1

Операция TA505: сетевая инфраструктура группировки. Часть 3

Блог компании Positive Technologies Информационная безопасность *
image

Анализ сетевой инфраструктуры играет большую роль в исследовании вредоносных кампаний. Сведения о том, какие IP-адреса соответствовали доменному имени в различные промежутки времени, позволяют определить новые серверы злоумышленников. Решение противоположной задачи (ретроспектива доменов, которые разрешались в заданный IP-адрес) дает новые домены, для которых можно повторять процедуру поиска, раскручивая цепочку все дальше и дальше. Вся полученная информация помогает получить представление о географии узлов, выделить «любимых» хостеров и регистраторов, подметить характерные значения полей, которые указывает злоумышленник, когда регистрирует очередной домен.

На первый взгляд бесполезная метаинформация может пригодиться спустя несколько дней, недель и даже месяцев. Ведь в ходе анализа вредоносного ПО рано или поздно встает вопрос атрибуции, принадлежности инструмента той или иной преступной группировке: и вот тут на помощь приходят все косвенные признаки, в том числе и данные о сетевых индикаторах.

В этой статье мы рассмотрим наиболее характерные признаки сетевой инфраструктуры группы TA505 и покажем пересечения с другой хакерской группировкой, Buhtrap.
Читать дальше →
Всего голосов 12: ↑12 и ↓0 +12
Просмотры 2.4K
Комментарии 0

Операция Calypso: новая APT-группировка атакует госучреждения в разных странах мира

Блог компании Positive Technologies Информационная безопасность *
Специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center) выявили APT-группировку, получившую название Calypso. Группировка действует с 2016 года и нацелена на государственные учреждения. На данный момент она действует на территории шести стран.



Команды, посланные злоумышленниками на веб-шелл в ходе атаки

По данным экспертов, от действий группировки уже пострадали организации из Индии (34% жертв), Бразилии, Казахстана (по 18%), России, Таиланда (по 12%) и Турции (6%). Злоумышленники взламывали сетевой периметр и размещали на нем специальную программу, через которую получали доступ к внутренним сетям скомпрометированных организаций.
Читать дальше →
Всего голосов 7: ↑7 и ↓0 +7
Просмотры 3.5K
Комментарии 5

Новогодние поздравления и COVID-19: как хакеры используют новости

Блог компании Positive Technologies Информационная безопасность *


Киберпреступники часто используют для рассылок вредоносных файлов актуальные новости и события. В связи с пандемией коронавируса многие APT-группировки, в числе которых Gamaredon, SongXY, TA428, Lazarus, Konni, Winnti, стали использовать эту тему в своих кампаниях. Один из недавних примеров такой активности — атаки южнокорейской группировки Higaisa.

Эксперты PT Expert Security Center обнаружили и проанализировали вредоносные файлы, созданные группировкой Higaisa.
Читать дальше →
Всего голосов 5: ↑4 и ↓1 +3
Просмотры 1.7K
Комментарии 0

Исследование атак со стороны профессиональных кибергруппировок: смотрим статистику техник и тактик

Блог компании Ростелеком-Солар Информационная безопасность *Исследования и прогнозы в IT *
«Это был тяжелый год» — не только в свете коронавируса, локдауна, экологических бедствий и прочего, но и в части информационной безопасности. С переходом на удаленку многие компании выставили наружу ходы в инфраструктуру, что открыло новые возможности для мамкиных хакеров. Параллельно и профессиональные группировки, использующие гораздо более сложные инструменты, стали атаковать чаще. Мы подвели итоги за неполный год и свели в единую статистику те техники и тактики, с которыми мы чаще всего сталкивались в процессе мониторинга инфраструктур заказчиков.


Читать дальше →
Всего голосов 14: ↑14 и ↓0 +14
Просмотры 4.6K
Комментарии 3

Лже-Microsoft, McAfee и Google: как мы обнаружили APT-группу, маскирующую сетевую инфраструктуру под легитимные сервисы

Блог компании Positive Technologies Информационная безопасность *Антивирусная защита *Реверс-инжиниринг *Исследования и прогнозы в IT *

На киберарене появился новый участник: специалисты PT Expert Security Center обнаружили ранее неизвестную преступную группировку. В России она пока нацелена на организации топливно-энергетического комплекса и авиационной промышленности.  Злоумышленники используют на сегодняшний день достаточно редкий — в силу сложности исполнения — тип атак trusted relationship (атаки через доверительные отношения) и активно эксплуатируют цепочку уязвимостей ProxyShell, о которой впервые стало известно в августе этого года. Вдобавок хакеры стараются максимально маскировать свою активность под легитимную — для этого они используют особенности ОС и правдоподобные фишинговые домены, например таких компаний, как Microsoft, TrendMicro, McAfee, IBM и Google.

Интерес новой APT-группы направлен на хищение данных из скомпрометированных сетей жертв. После получения доступа в сеть целевого предприятия хакеры могут несколько месяцев оставаться незамеченными — изучать сеть компании для захвата контроля над критически важными серверами и узлами в разных сегментах.

В новой статье рассказываем, как расследовали атаку на топливно-энергетическую компанию и ее дочернюю организацию, выявили активность новой группировки, а также разбираем методы и инструменты, которые она применяла.

По ссылке представлен полный отчет о расследовании. В нем приведен детальный анализ вредоносного ПО, в том числе не встречавшихся ранее бэкдоров, и индикаторы компрометации, которые могут быть использованы для выявления следов атаки.

Подробности
Всего голосов 7: ↑7 и ↓0 +7
Просмотры 3.9K
Комментарии 2

REvil: главное о тактиках и техниках

Блог компании Trend Micro Информационная безопасность *Исследования и прогнозы в IT *

Арест участников группировки REvil, проведённый ФСБ 14 января 2022 года, стал, похоже, финальной отметкой в истории одного из самых успешных вымогательских сервисов. И хотя возрождение REvil вряд ли произойдёт, её инструментарий и тактики с большой вероятностью «всплывут» в вымогательских киберкампаниях в будущем. В конце 2021 года мы опубликовали исследование, посвящённое тактикам и техникам REvil. Обзор исследования читайте под катом. 

Читать далее
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 4.1K
Комментарии 0

Битва за ресурсы: особенности нелегального криптомайнинга в облачных сервисах

Блог компании Trend Micro Информационная безопасность *Исследования и прогнозы в IT *Облачные сервисы *Криптовалюты

Концепция майнинга криптовалюты проста: это использование вычислительных ресурсов для выполнения сложных задач, которые приносят доход в виде криптовалюты. Если выручка от продажи криптовалюты меньше затрат на электроэнергию и инфраструктуру, то подобная деятельность не имеет смысла. Всё меняется, если за ресурсы платит кто-то другой. В этом посте мы поговорим о нелегальном майнинге криптовалюты в облачных сервисах и рассмотрим, как действуют самые активные кибергруппировки. 

Читать далее
Всего голосов 9: ↑9 и ↓0 +9
Просмотры 5.6K
Комментарии 8

Космические пираты атакуют, или Как мы обнаружили новую APT-группировку с уникальными бэкдорами

Блог компании Positive Technologies Информационная безопасность *Реверс-инжиниринг *Исследования и прогнозы в IT *Космонавтика

Летом 2021 года мы, специалисты экспертного центра безопасности Positive Technologies, выявили ранее неизвестную APT-группировку, которая действует по меньшей мере с 2017 года. Главные цели Space Pirates (именно так мы решили назвать группу киберпреступников) — шпионаж и кража конфиденциальных данных. Как показало наше исследование, впервые мы встретили Space Pirates еще в конце 2019 года, когда в рамках мониторинга угроз ИБ обнаружили фишинговое письмо с ранее неизвестным вредоносным ПО, направленное в адрес одного российского авиационно-космического предприятия.

Кто на прицеле у новой хакерской группировки, какие утилиты она использует в атаках и как ее активность связана с уже известными APT-группами, читайте под катом.

Подробнее
Всего голосов 3: ↑3 и ↓0 +3
Просмотры 3.4K
Комментарии 1

Изучаем троянскую повестку с мимикрией под XDSpy

Блог компании Positive Technologies Информационная безопасность *Антивирусная защита *Реверс-инжиниринг *Исследования и прогнозы в IT *

В ходе постоянного отслеживания угроз ИБ утром 3 октября в одном из Telegram-чатов мы заметили промелькнувший файл со злободневным названием Povestka_26-09-2022.wsf. Беглый осмотр содержимого привлек наше внимание, и мы решили разобрать его подробней. И, как оказалось, не зря.

Подробности под катом
Всего голосов 17: ↑17 и ↓0 +17
Просмотры 6.8K
Комментарии 8