Можете быть уверены в достоверности. Эту статью подготовили реальные сотрудники компании F6, которые изучают киберпреступность в разных её проявлениях. Понимаем ваше удивление. И обращаем внимание на то, что в тексте описан сценарий, который используют мошенники для обмана - а не то, как устроена пропускная система в ЖК на самом деле. Мошенники стремятся ввести потенциальную жертву в заблуждение, создать у неё ложное представление в том, чего на самом деле нет, и "отключить" критическое восприятие, в том числе обещанием выгоды (мы помним, что стоимость аренды в объявлениях заявлена значительно ниже рыночной). Чем дальше, тем больше мошенники оттачивают свои сценарии, чтобы придать им убедительности, используют разные психологические приёмы, чтобы вызвать доверие. Так и в конкретном описанном сценарии: злоумышленники стараются убедить человека, который откликнулся на объявление, что он не сможет пройти на территорию ЖК никак иначе, кроме как через регистрацию в фейковом приложении.
Спасибо за вопрос! В среднем EDR-агент F6 MXDR загружает процессор конечного хоста в пределах 5%. Это незначительно и обычно не сказывается на производительности систем, используемых разработчиками и QA. В рамках пилота можно провести дополнительные тесты на конкретных хостах и подобрать конфигурацию EDR под конкретный хост — есть возможность влиять на то, какую телеметрию требуется собирать без потери качества детекта.
Спасибо за правильные вопросы! Начнем с конца. Вместе с РКН, НКЦКИ (Госсопкой), "Лигой безопасного интернета" компания F6 - одна из 12 российский компаний и организаций, которая компетентна в определении нарушений в Рунете. Этот список так и называется "Компетентные организации" https://tldpatrol.ru/organization/ То есть мы, вылавливая и определяя фишинг, ВПО и ботнет-контролеры, можем направлять эти ресурсы на блокировку. Что касается вопроса, кого мы защищаем. Если коротко: защищаем RuStore - защищаем пользователей магазина приложений. Как рассказали наши эксперты, блокировка фейковых сайтов, мимикрирующих под магазин RuStore и размещающих поддельные мобильные приложения (потенциально с ВПО), позволит уберечь пользователей RuStore в том числе от заражения устройства или не стать жертвой фишинга.
Добрый день! Спасибо за вопрос. Если коротко: метаданные обнаруженные внутри файла DOCX не изменяются при копировании и не относятся к информации, которую можно удалить с помощью кнопки "Удаление свойств и личной информации" в свойствах документа.
Активность Core Werewolf фиксируем, но атакуют они определенно реже, чем Sticky. Последняя была замечена в конце 2024. Поскольку изменений в киллчейне не наблюдали, то нет необходимости публично освещать итак уже хорошо описанную деятельность группировки.
А если реально хотите разобраться, кому, когда и главное, зачем нужна Threat Intelligence, можем порекомендовать следующие книги и материалы:
⭐Intelligence-Driven Incident Response. R. Brown & S.J. Roberts
Авторы объясняют, как разрабатывать упреждающую стратегию реагирования на инциденты. Книга научит задавать правильные вопросы, чтобы построить активную стратегию защиты. Написана простым языком.
⭐Psychology of Intelligence Analysis. R. Heuer
Нестареющая классика от ветерана ЦРУ Ричардса Хойера. Описывает особенности нашего мышления, ошибки и предубеждения, которые генерирует наш мозг.
⭐Компьютерные сети. Принципы, технологии, протоколы В. Олифер и Н. Олифер База, которая объясняется на пальцах. Отлично подойдет для тех, кто делает первые шаги (https://t.me/F_A_C_C_T/3152) в изучении основ информационной безопасности.
Авторы детально объясняют, как использовать разведку и анализ техник противника, чтобы защитить сети от атак. Можно встретить примеры и для начинающих аналитиков.
Простая и полезная книга для понимания основ киберразведки. Здесь приводится научный подход к анализу атак, в основе которого лежит так называемая бриллиантовая модель.
Мы впервые видим такое активное использование омоглифов именно во вредоносных рассылках.
А связано это с увеличением количества фишинговых вредоносных рассылок, для которых злоумышленники используют публичные почтовые сервисы.
С одной стороны, сегодня они достаточно хорошо умеют скрывать вредоносную нагрузку в письмах.
С другой стороны, именно количество групповых однотипных рассылок стало проблемой, которое вызывает дополнительное внимание со стороны почтового провайдера. Омоглифы позволяют эту проблему нивелировать.
Из еще — есть несколько показательных архивных кейсов: МВД и Group-IB ликвидировали группу, заразившую миллион смартфонов https://blog.group-ib.ru/cron Полиция разгромила группу "телефонных мошенников", наживавшихся на пенсионерах https://blog.group-ib.ru/mobile
Погодите-погодите. Компания уже более 20 лет очень ОТВЕТСТВЕННО борется с киберпреступностью. Мы ликвидировали два десятка крупных преступных группировок, которые похищали деньги у клиентов банков и у самих банков, и довели до суда уголовные дела 1500 преступников.
Мы отправляли на скамью подсудимых операторов ботнетов, скамеров, вымогателей и шантажистов, манимулов, ddos-еров, телефонных мошенников, педофилов и даже одного пирата.
Вы рассуждаете про внесудебные блокировки, но фишинговые сайты и скам-ресурсы плодятся на колоссальных скоростях. Только в этом году мы отловили в Рунете более 10 000 фишинговых доменов — и вы хотите, что б "цвели все цветы киберзла"?
Совершая интернет-покупки, вы или ваши родные могут нарваться на фишинговый ресурс, который под видом маркетплейса или службы доставки попытается украсть данные вашей банковской карты.
В свою очередь инвесторы рискуют наткнуться "липовый" сайт криптобиржи или банка, который уведет логины-пароли от входа в личный кабинет.
Когда пользователи авторизуются на поддельном сайте Binance, хакеры могут украсть их учетные данные (https://www.binance.com/).
И даже на легальном сайте с базой бухгалтерских и финансовых документов можно скачать банковский троян Buhtrap — в этом случае преступники могут добраться уже до банковского счета компании.
Пример страницы сайта formy-i-blank[.]ru, с которой хакеры "раздавали" банковский троян Buhtrap
Если ресурс распространяет в Рунете вредоносные программы, фишинг или с него идет управление бот-сетями, абсолютно легально и правомочно CERT-F.A.C.C.T. может заблокировать плохой домен в течение 24 часов. Кстати, на сайте Координационного центра доменов .RU/.РФ размещен полный список компаний и организаций, которые имеют право блокировать "плохие сайты" в Рунете. Например, РОЦИТ борется с пропагандой насилия и терроризма, распространением наркотиков в сети, а Лига безопасного интернета — с детской порнографией.
CERT-GIB занимается блокировкой вредоносных сайтов и фишинга во всех существующих доменных зонах, которых на данный момент около 2500. https://www.reg.ru/domain/new/zonepedia
Автоматическая блокировка осуществляется не у всех регистратур/регистраторов, но в полуавтоматическом режиме наши обращения обрабатываются по всему миру.
Разумеется, мы не ограничиваемся обращениями лишь к регистраторам — блокировка производится с использованием всех возможных контактов, способных повлиять на работоспособность сайта. Нередко, мы подключаем к работе локальные CERT-команды.
О это очень хороший вопрос, сейчас подробно ответим про досудебную блокировку.
Во-первых, наш Центр реагирования на инциденты информационной безопасности — CERT-GIB, созданный еще в 2011 году, это первый частный СERT в России. Он обладает полномочиями, необходимыми для оперативной блокировки сайтов, распространяющих вредоносное ПО, а также фишинговых и мошеннических ресурсов более чем в 2500 доменных зонах. CERT-GIB является одной из 12 компетентных организаций, которые предоставляют Координационному центру и аккредитованным регистраторам доменных имен информацию о ресурсах с противоправным контентом, о случаях фишинга, несанкционированного доступа к информационным системам и распространения вредоносных программ с доменных имен, находящихся в зонах .ru и .рф.
Во-вторых, наше профильное решение для борьбы со скамом и фишингом — Digital Risk Protection снижает цифровые риски для брендов и защищает интеллектуальную собственность от мошенничества, пиратства, утечек данных, предоставляя лучшую в своем классе защиту. Group-IB блокирует опасные ресурсы по всему миру благодаря тесному сотрудничеству с регистраторами доменов, хостинг-провайдерами, регуляторами доменных зон, профессиональными ассоциациями и администраторами крупнейших сайтов. Мы обращаемся к ним напрямую с запросом о блокировке определенного сайта или веб-страницы. Статус доверенного вендора в некоторых доменных зонах позволяет нам автоматически снимать домены с делегирования в течение нескольких минут через API.
Можете быть уверены в достоверности. Эту статью подготовили реальные сотрудники компании F6, которые изучают киберпреступность в разных её проявлениях. Понимаем ваше удивление. И обращаем внимание на то, что в тексте описан сценарий, который используют мошенники для обмана - а не то, как устроена пропускная система в ЖК на самом деле. Мошенники стремятся ввести потенциальную жертву в заблуждение, создать у неё ложное представление в том, чего на самом деле нет, и "отключить" критическое восприятие, в том числе обещанием выгоды (мы помним, что стоимость аренды в объявлениях заявлена значительно ниже рыночной). Чем дальше, тем больше мошенники оттачивают свои сценарии, чтобы придать им убедительности, используют разные психологические приёмы, чтобы вызвать доверие. Так и в конкретном описанном сценарии: злоумышленники стараются убедить человека, который откликнулся на объявление, что он не сможет пройти на территорию ЖК никак иначе, кроме как через регистрацию в фейковом приложении.
Ну давайте тогда найдем достойный синоним ВПО?
Вирусы, вредоносы, трояны или не полностью отражают суть или как зловреды или вирусня режут ухо.
Спасибо за внимательность! Поправили, работу над ошибками провели.
Спасибо за вопрос! В среднем EDR-агент F6 MXDR загружает процессор конечного хоста в пределах 5%. Это незначительно и обычно не сказывается на производительности систем, используемых разработчиками и QA. В рамках пилота можно провести дополнительные тесты на конкретных хостах и подобрать конфигурацию EDR под конкретный хост — есть возможность влиять на то, какую телеметрию требуется собирать без потери качества детекта.
Эта информация была передана владельцам данных ресурсов.
Спасибо за правильные вопросы!
Начнем с конца. Вместе с РКН, НКЦКИ (Госсопкой), "Лигой безопасного интернета" компания F6 - одна из 12 российский компаний и организаций, которая компетентна в определении нарушений в Рунете. Этот список так и называется "Компетентные организации" https://tldpatrol.ru/organization/ То есть мы, вылавливая и определяя фишинг, ВПО и ботнет-контролеры, можем направлять эти ресурсы на блокировку.
Что касается вопроса, кого мы защищаем. Если коротко: защищаем RuStore - защищаем пользователей магазина приложений. Как рассказали наши эксперты, блокировка фейковых сайтов, мимикрирующих под магазин RuStore и размещающих поддельные мобильные приложения (потенциально с ВПО), позволит уберечь пользователей RuStore в том числе от заражения устройства или не стать жертвой фишинга.
Добрый день! Спасибо за вопрос. Если коротко: метаданные обнаруженные внутри файла DOCX не изменяются при копировании и не относятся к информации, которую можно удалить с помощью кнопки "Удаление свойств и личной информации" в свойствах документа.
Активность Core Werewolf фиксируем, но атакуют они определенно реже, чем Sticky. Последняя была замечена в конце 2024. Поскольку изменений в киллчейне не наблюдали, то нет необходимости публично освещать итак уже хорошо описанную деятельность группировки.
В том числе от оригинального домена отличается последний символ в имени:
"Домен @diadok[.]net, с которого было отправлено вредоносное письмо, мимикрирует под оригинальный домен компании “Контур.Диадок” - diadoc[.]ru. "
Да, похоже прошлогодний мем, на котором крупнейший дисплей MSG Sphere в Лас-Вегасе показывает «синий экран смерти» оказался пророческим.
Точно, спасибо! Добавили хеш данного клиента UltraVNC в иоки и упомянули про иконку приложения OneDrive.
Ох. Ну, как говорится, кто не понял, тот поймет.
А если реально хотите разобраться, кому, когда и главное, зачем нужна Threat Intelligence, можем порекомендовать следующие книги и материалы:
⭐Intelligence-Driven Incident Response. R. Brown & S.J. Roberts
Авторы объясняют, как разрабатывать упреждающую стратегию реагирования на инциденты. Книга научит задавать правильные вопросы, чтобы построить активную стратегию защиты. Написана простым языком.
⭐Psychology of Intelligence Analysis. R. Heuer
Нестареющая классика от ветерана ЦРУ Ричардса Хойера. Описывает особенности нашего мышления, ошибки и предубеждения, которые генерирует наш мозг.
⭐Компьютерные сети. Принципы, технологии, протоколы
В. Олифер и Н. Олифер База, которая объясняется на пальцах. Отлично подойдет для тех, кто делает первые шаги (https://t.me/F_A_C_C_T/3152) в изучении основ информационной безопасности.
⭐Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains (https://www.lockheedmartin.com/content/dam/lockheed-martin/rms/documents/cyber/LM-White-Paper-Intel-Driven-Defense.pdf)
E. Hutchins, M. Cloppert, and R. Amin
Авторы детально объясняют, как использовать разведку и анализ техник противника, чтобы защитить сети от атак. Можно встретить примеры и для начинающих аналитиков.
⭐The Diamond Model of Intrusion Analysis (http://www.activeresponse.org/wp-content/uploads/2013/07/diamond.pdf)
S. Caltagirone, A, Pendergast, and C. Betz
Простая и полезная книга для понимания основ киберразведки. Здесь приводится научный подход к анализу атак, в основе которого лежит так называемая бриллиантовая модель.
Мы впервые видим такое активное использование омоглифов именно во вредоносных рассылках.
А связано это с увеличением количества фишинговых вредоносных рассылок, для которых злоумышленники используют публичные почтовые сервисы.
С одной стороны, сегодня они достаточно хорошо умеют скрывать вредоносную нагрузку в письмах.
С другой стороны, именно количество групповых однотипных рассылок стало проблемой, которое вызывает дополнительное внимание со стороны почтового провайдера. Омоглифы позволяют эту проблему нивелировать.
Конечно, можем.
Не надо бла-бла: МВД и F.A.C.C.T. ликвидировали группу мошенников, наживавшихся на попутчиках https://www.facct.ru/media-center/press-releases/jewelry-team-scam/
Из еще — есть несколько показательных архивных кейсов:
МВД и Group-IB ликвидировали группу,
заразившую миллион смартфонов https://blog.group-ib.ru/cron
Полиция разгромила группу "телефонных мошенников", наживавшихся на пенсионерах https://blog.group-ib.ru/mobile
Погодите-погодите. Компания уже более 20 лет очень ОТВЕТСТВЕННО борется с киберпреступностью. Мы ликвидировали два десятка крупных преступных группировок, которые похищали деньги у клиентов банков и у самих банков, и довели до суда уголовные дела 1500 преступников.
Мы отправляли на скамью подсудимых операторов ботнетов, скамеров, вымогателей и шантажистов, манимулов, ddos-еров, телефонных мошенников, педофилов и даже одного пирата.
Вы рассуждаете про внесудебные блокировки, но фишинговые сайты и скам-ресурсы плодятся на колоссальных скоростях. Только в этом году мы отловили в Рунете более 10 000 фишинговых доменов — и вы хотите, что б "цвели все цветы киберзла"?
Совершая интернет-покупки, вы или ваши родные могут нарваться на фишинговый ресурс, который под видом маркетплейса или службы доставки попытается украсть данные вашей банковской карты.
В свою очередь инвесторы рискуют наткнуться "липовый" сайт криптобиржи или банка, который уведет логины-пароли от входа в личный кабинет.
И даже на легальном сайте с базой бухгалтерских и финансовых документов можно скачать банковский троян Buhtrap — в этом случае преступники могут добраться уже до банковского счета компании.
Если ресурс распространяет в Рунете вредоносные программы, фишинг или с него идет управление бот-сетями, абсолютно легально и правомочно CERT-F.A.C.C.T. может заблокировать плохой домен в течение 24 часов. Кстати, на сайте Координационного центра доменов .RU/.РФ размещен полный список компаний и организаций, которые имеют право блокировать "плохие сайты" в Рунете. Например, РОЦИТ борется с пропагандой насилия и терроризма, распространением наркотиков в сети, а Лига безопасного интернета — с детской порнографией.
спасибо за идею! думаем, что это будет тема отдельного технического блога
Несмотря на закрытые уязвимости, факты компрометации IPhone специалисты Лаборатории наблюдают и в настоящее время.
CERT-GIB занимается блокировкой вредоносных сайтов и фишинга во всех существующих доменных зонах, которых на данный момент около 2500. https://www.reg.ru/domain/new/zonepedia
Автоматическая блокировка осуществляется не у всех регистратур/регистраторов, но в полуавтоматическом режиме наши обращения обрабатываются по всему миру.
Разумеется, мы не ограничиваемся обращениями лишь к регистраторам — блокировка производится с использованием всех возможных контактов, способных повлиять на работоспособность сайта. Нередко, мы подключаем к работе локальные CERT-команды.
О это очень хороший вопрос, сейчас подробно ответим про досудебную блокировку.
Во-первых, наш Центр реагирования на инциденты информационной безопасности — CERT-GIB, созданный еще в 2011 году, это первый частный СERT в России. Он обладает полномочиями, необходимыми для оперативной блокировки сайтов, распространяющих вредоносное ПО, а также фишинговых и мошеннических ресурсов более чем в 2500 доменных зонах. CERT-GIB является одной из 12 компетентных организаций, которые предоставляют Координационному центру и аккредитованным регистраторам доменных имен информацию о ресурсах с противоправным контентом, о случаях фишинга, несанкционированного доступа к информационным системам и распространения вредоносных программ с доменных имен, находящихся в зонах .ru и .рф.
Во-вторых, наше профильное решение для борьбы со скамом и фишингом — Digital Risk Protection снижает цифровые риски для брендов и защищает интеллектуальную собственность от мошенничества, пиратства, утечек данных, предоставляя лучшую в своем классе защиту. Group-IB блокирует опасные ресурсы по всему миру благодаря тесному сотрудничеству с регистраторами доменов, хостинг-провайдерами, регуляторами доменных зон, профессиональными ассоциациями и администраторами крупнейших сайтов. Мы обращаемся к ним напрямую с запросом о блокировке определенного сайта или веб-страницы. Статус доверенного вендора в некоторых доменных зонах позволяет нам автоматически снимать домены с делегирования в течение нескольких минут через API.
Судя по тому, что прошло уже много лет, а этот клиент остался с нами и у него всё хорошо, "дырками" так никто и не воспользовался.