В этой статье разберем CVE-2025-24071 — нашумевшую критическую уязвимость, связанную с обработкой файлов .library-ms в Windows Explorer. Расскажем, как работает атака злоумышленников, какие события она оставляет в системе и как обнаружить попытки эксплуатации. А еще — какие меры защиты помогут закрыть уязвимость. 

Спойлер: Microsoft считает угрозу низкорисковой, но эта уязвимость может стать крайне популярной в фишинговых кампаниях.

Приятного чтения!

Привет! Меня зовут Павел Козяев, я ведущий специалист группы исследования киберугроз компании BI.ZONE. В этой статье поговорим о легитимном инструменте от Microsoft, который злоумышленники используют в своих фишинговых кампаниях для создания туннелей, закрепления и исполнения команд на хосте жертвы в обход средств антивирусной защиты. Покажу примеры команд, а также расскажу, как обнаружить такую активность и вовремя принять меры.

Привет, Хабр! Сегодня я расскажу, как безопасность мобильных приложений видит атакующий. Мне кажется, у многих в комьюнити сложилось мнение о мобильной безопасности как о чем-то сложном и неважном для бизнеса. Я разберу несколько реальных кейсов, когда баги в мобильных приложениях вели к серьезным проблемам, и попробую доказать, что уязвимости могут быть нетривиальны и интересны людям, занимающимся безопасностью.

10 сентября компания Microsoft выпустила очередную подборку обновлений, устранив 79 уязвимостей в различных продуктах. Наше внимание привлекли патчи для Microsoft SharePoint — обширной системы с функциями управления сайтами (content management system, CMS). Из пяти уязвимостей, вошедших в сентябрьский выпуск, четыре позволяли исполнять сторонний код (remote code execution, RCE), одна — создавала угрозу DoS. Мы выбрали для анализа CVE-2024-38227 — RCE-уязвимость привилегированного пользователя. Для нас такое исследование — это возможность изучить сам Microsoft SharePoint и понять текущую теорию его эксплуатации (state-of-the-art).

Отдел аналитики и исследования киберугроз BI.ZONE WAF изучил статистику атак на веб‑приложения под защитой BI.ZONE WAF. Эту информацию мы сравнили с результатами анализа теневых ресурсов, за которыми наши специалисты следят с 2011 года. В этой статье расскажем, как развивались методы злоумышленников.

21 августа браузер Chrome получил обновление, которое исправило 37 ошибок, связанных с безопасностью. Внимание исследователей по всему миру привлекла уязвимость CVE-2024-7965, описанная как некорректная имплементация в V8. На практике это означает возможность RCE (remote code execution) в рендерере браузера, что открывает простор для последующей эксплуатации. Заинтересованность исследователей повысилась еще сильнее, когда 26 августа Google сообщила об использовании CVE-2024-7965 «в дикой природе».

Мы проанализировали эту уязвимость, чтобы вам не пришлось.

Мы разобрались, как работает ошибка в сетевом стеке Windows, позволяющая удаленно получить максимальные привилегии в системе без каких-либо действий со стороны пользователя. Рассказываем, как локализовали уязвимость, сравнив две версии драйвера, и сформировали сценарий атаки.

Если вы уже давно хотите стать частью команды BI.ZONE, это ваш шанс, потому что на OFFZONE 2024 мы проведем One Day Offer. Запускаем конкурс, три победителя которого получат бесплатные проходки на конференцию. В этом году ищем специалистов по обратной разработке — для них и задания.

Каждый участник OFFZONE 2024 получит шанс пройти интервью и присоединиться к команде BI.ZONE в тот же день. Просто приходите на наш стенд 22–23 августа.

Исследователи кибербезопасности обнаружили вредоносное ПО, которое сочетает в себе функции загрузчика, стилера и RAT. Рассказываем, как оно было разработано, для чего используется и почему применяется в атаках на российские компании вопреки ограничению от разработчика.

Недавно в сети появился инструмент, который позволяет получить учетные данные из реестра Windows без взаимодействия с файловой системой — непосредственно из памяти. Детектировать такие атаки средствами штатного аудита очень непросто. В статье сравниваем механизм работы новой утилиты со старыми средствами, рассказываем о способе обнаружения ее активности и разных подходах к защите.

Наша команда проводит много red-team-проектов и, как следствие, постоянно имеет дело с различными системами мониторинга сетевого трафика. Вопрос «Как не спалиться?» в такой работе почти так же важен, как проникновение в инфраструктуру. Поэтому сегодня я хочу поговорить о маскировке сетевого трафика между С2-агентом и сервером — посмотрим на нетривиальные и даже забавные способы это сделать.

Недавно наши коллеги из компании Cyble опубликовали в своем блоге исследование группировки, от которой пострадали несколько российских поставщиков полупроводников. Наше управление киберразведки также следит за этим кластером активности, получившим имя Mysterious Werewolf. Мы обнаружили еще одну их атаку, на этот раз под удар попали промышленные организации в России.

Привет! Обычно в этом блоге делимся экспертными техническими материалами, но сейчас хотим рассказать вам про будни и праздники нашей команды. Мы уже делали обзор хакатона GO.ZONE, а сегодня приоткроем завесу тайны офисной жизни кибербезопасников.

Устроим вам экскурсию по месту, в котором сотрудники BI.ZONE проводят так много рабочего времени, что иногда остаются на ночь.

Хорошо работает тот, кто хорошо отдыхает, поэтому в нашем московском офисе, помимо уже ставших стандартными для IT-компаний слипрумов, душевых, кухонных зон с фруктами и кофемашинами, есть еще несколько интересных фишек и локаций. 

Наши специалисты по киберразведке обнаружили новую группировку, которая применяет условно легитимное ПО, чтобы вмешиваться в работу государственных организаций. Характерная особенность этих злоумышленников — в использовании достаточно популярных инструментов, которые несложно обнаружить и заблокировать. Это не мешает Sticky Werewolf добиваться успеха — группировка активна как минимум с апреля 2023 года и к настоящему моменту провела не менее 30 атак. 

Использовать такое вредоносное ПО может любой злоумышленник, у которого есть 140 $. За эту цену он получит атаку под ключ: билдер для создания экземпляров зловреда, доступ к панели управления скомпрометированными устройствами, а еще обновления и поддержку в мессенджере. Рассказываем о популярном стилере, жертвами которого становятся сотрудники российских компаний.

К классическому комбо «фишинг + программа для получения удаленного доступа» злоумышленники решили добавить изюминку: они стали внедрять легитимное отечественное ПО. Атаку с использованием такого метода, направленную на гостиничный бизнес, отследил и отразил сервис BI.ZONE CESP. Рассказываем, как это было и почему пользователи не могли обнаружить инцидент сами.

Фишинговые кибершпионы, которых не видели с 2022 года, неожиданно вернулись. Red Wolf проникала в инфраструктуры компаний ради промышленного шпионажа. Она продвигалась медленно и поэтапно, но зато оставалась незамеченной до полугода.

Группировка Core Werewolf — один из новых представителей той части киберпреступности, которая в сегодняшней обстановке занимается активным шпионажем. Как минимум с 2021 года она предпринимала атаки на российские организации, связанные с оборонно-промышленным комплексом (ОПК) и критической информационной инфраструктурой (КИИ).

Недавно мы обнаружили атаки с новым стилером Umbral. От них уже пострадали российские компании из нескольких отраслей. Особенность вредоноса в том, что его исходники в открытом доступе размещены на GitHub. Мы исследовали код и разобрались, как работает Umbral Stealer, что умеет и за какими данными охотится. 

Жадные и ленивые: за эти качества группировка получила название Sneaking Leprechaun. Злоумышленники крали данные с помощью руткита, который не проявлял никакой подозрительной активности. Рассказываем, как Kitsune собирал реквизиты доступа к хостам и распространялся в системе.