Как стать автором
Обновить
61
7

Пользователь

Отправить сообщение

Под капотом DarkGate: разбираем ВПО-мультитул

Уровень сложностиСложный
Время на прочтение7 мин
Количество просмотров550

Исследователи кибербезопасности обнаружили вредоносное ПО, которое сочетает в себе функции загрузчика, стилера и RAT. Рассказываем, как оно было разработано, для чего используется и почему применяется в атаках на российские компании вопреки ограничению от разработчика.

Читать
Всего голосов 4: ↑4 и ↓0+8
Комментарии0

Новая техника скрытого извлечения данных из реестра: анализ и рекомендации по защите

Уровень сложностиСложный
Время на прочтение4 мин
Количество просмотров2.8K

Недавно в сети появился инструмент, который позволяет получить учетные данные из реестра Windows без взаимодействия с файловой системой — непосредственно из памяти. Детектировать такие атаки средствами штатного аудита очень непросто. В статье сравниваем механизм работы новой утилиты со старыми средствами, рассказываем о способе обнаружения ее активности и разных подходах к защите.

Читать
Всего голосов 5: ↑5 и ↓0+5
Комментарии1

Сказ о том, как пентестеры трафик скрывают

Уровень сложностиСредний
Время на прочтение10 мин
Количество просмотров7.6K

Наша команда проводит много red-team-проектов и, как следствие, постоянно имеет дело с различными системами мониторинга сетевого трафика. Вопрос «Как не спалиться?» в такой работе почти так же важен, как проникновение в инфраструктуру. Поэтому сегодня я хочу поговорить о маскировке сетевого трафика между С2-агентом и сервером — посмотрим на нетривиальные и даже забавные способы это сделать.

Читать
Всего голосов 15: ↑15 и ↓0+15
Комментарии4

Mysterious Werewolf атакуют российскую электронную промышленность через уязвимость в WinRAR

Уровень сложностиСредний
Время на прочтение4 мин
Количество просмотров6.2K

Недавно наши коллеги из компании Cyble опубликовали в своем блоге исследование группировки, от которой пострадали несколько российских поставщиков полупроводников. Наше управление киберразведки также следит за этим кластером активности, получившим имя Mysterious Werewolf. Мы обнаружили еще одну их атаку, на этот раз под удар попали промышленные организации в России.

Читать
Всего голосов 5: ↑0 и ↓5-5
Комментарии13

«На работу — с радостью!», или Что интересного в московском офисе BI.ZONE

Уровень сложностиПростой
Время на прочтение6 мин
Количество просмотров3.5K

Привет! Обычно в этом блоге делимся экспертными техническими материалами, но сейчас хотим рассказать вам про будни и праздники нашей команды. Мы уже делали обзор хакатона GO.ZONE, а сегодня приоткроем завесу тайны офисной жизни кибербезопасников.

Устроим вам экскурсию по месту, в котором сотрудники BI.ZONE проводят так много рабочего времени, что иногда остаются на ночь.

Хорошо работает тот, кто хорошо отдыхает, поэтому в нашем московском офисе, помимо уже ставших стандартными для IT-компаний слипрумов, душевых, кухонных зон с фруктами и кофемашинами, есть еще несколько интересных фишек и локаций. 

Идем смотреть
Всего голосов 10: ↑7 и ↓3+9
Комментарии4

Шпионы Sticky Werewolf атакуют государственные организации России и Беларуси

Уровень сложностиСредний
Время на прочтение7 мин
Количество просмотров3.1K

Наши специалисты по киберразведке обнаружили новую группировку, которая применяет условно легитимное ПО, чтобы вмешиваться в работу государственных организаций. Характерная особенность этих злоумышленников — в использовании достаточно популярных инструментов, которые несложно обнаружить и заблокировать. Это не мешает Sticky Werewolf добиваться успеха — группировка активна как минимум с апреля 2023 года и к настоящему моменту провела не менее 30 атак. 

Читать
Всего голосов 12: ↑4 и ↓80
Комментарии1

Пригрели White Snake в письме от Роскомнадзора: стилер прикрывался документом с требованиями

Уровень сложностиСредний
Время на прочтение7 мин
Количество просмотров4K

Использовать такое вредоносное ПО может любой злоумышленник, у которого есть 140 $. За эту цену он получит атаку под ключ: билдер для создания экземпляров зловреда, доступ к панели управления скомпрометированными устройствами, а еще обновления и поддержку в мессенджере. Рассказываем о популярном стилере, жертвами которого становятся сотрудники российских компаний.

Читать
Всего голосов 4: ↑3 и ↓1+2
Комментарии5

Импортозамещение для кибератак: новая группировка Quartz Wolf использует старое отечественное ПО

Уровень сложностиСредний
Время на прочтение4 мин
Количество просмотров2.5K

К классическому комбо «фишинг + программа для получения удаленного доступа» злоумышленники решили добавить изюминку: они стали внедрять легитимное отечественное ПО. Атаку с использованием такого метода, направленную на гостиничный бизнес, отследил и отразил сервис BI.ZONE CESP. Рассказываем, как это было и почему пользователи не могли обнаружить инцидент сами.

Читать
Всего голосов 4: ↑2 и ↓20
Комментарии0

Волк-шпион, выйди вон! BI.ZONE вышла на новый след группировки Red Wolf

Уровень сложностиСредний
Время на прочтение4 мин
Количество просмотров2.6K

Фишинговые кибершпионы, которых не видели с 2022 года, неожиданно вернулись. Red Wolf проникала в инфраструктуры компаний ради промышленного шпионажа. Она продвигалась медленно и поэтапно, но зато оставалась незамеченной до полугода.

Читать
Всего голосов 3: ↑0 и ↓3-3
Комментарии1

Core Werewolf: легитимное ПО против ОПК и критической инфраструктуры

Уровень сложностиСредний
Время на прочтение9 мин
Количество просмотров3.9K

Группировка Core Werewolf — один из новых представителей той части киберпреступности, которая в сегодняшней обстановке занимается активным шпионажем. Как минимум с 2021 года она предпринимала атаки на российские организации, связанные с оборонно-промышленным комплексом (ОПК) и критической информационной инфраструктурой (КИИ).

Читать
Всего голосов 7: ↑3 и ↓4+2
Комментарии5

Всем по зловреду: анализ open-source-стилера Umbral

Уровень сложностиСредний
Время на прочтение5 мин
Количество просмотров2.5K

Недавно мы обнаружили атаки с новым стилером Umbral. От них уже пострадали российские компании из нескольких отраслей. Особенность вредоноса в том, что его исходники в открытом доступе размещены на GitHub. Мы исследовали код и разобрались, как работает Umbral Stealer, что умеет и за какими данными охотится. 

Читать
Всего голосов 1: ↑1 и ↓0+1
Комментарии3

Видишь руткит? А он есть. Разбор атаки от Sneaking Leprechaun

Уровень сложностиСложный
Время на прочтение15 мин
Количество просмотров5.1K

Жадные и ленивые: за эти качества группировка получила название Sneaking Leprechaun. Злоумышленники крали данные с помощью руткита, который не проявлял никакой подозрительной активности. Рассказываем, как Kitsune собирал реквизиты доступа к хостам и распространялся в системе.

Читать
Всего голосов 5: ↑3 и ↓2+1
Комментарии1

Утечка данных сайтов BI.ZONE: результаты расследования и процесс реагирования

Уровень сложностиСредний
Время на прочтение12 мин
Количество просмотров29K

30 апреля телеграм-канал DumpForums объявил о взломе наших ресурсов, выложив скриншоты конфигов с персональными данными. Последние двое суток мы работали над тем, чтобы оценить масштабы инцидента и свести ущерб от него к минимуму. Теперь мы готовы публично рассказать о первых результатах этой работы.

Читать
Всего голосов 54: ↑51 и ↓3+60
Комментарии22

Ищете в интернете бланки и документы, а получаете бэкдор

Время на прочтение4 мин
Количество просмотров4.3K

«Хм, атаки через почту — прошлый век», — подумали в группе Watch Wolf и взялись за SEO-продвижение вредоносов. Мы обнаружили, что троян Buhtrap теперь распространяется через фейковые сайты с якобы полезными материалами для бухгалтеров. Проплаченная реклама поднимает эти ресурсы в топ поисковой выдачи. 

Читать
Всего голосов 10: ↑9 и ↓1+12
Комментарии8

Скрытая угроза: как мы нашли идейные атаки шифровальщиков от Key Wolf

Уровень сложностиСредний
Время на прочтение5 мин
Количество просмотров3.5K

Зафиксирована новая угроза: группа Key Wolf распространяет среди российских пользователей вредоносную программу, запускающую шифрование файлов. Наши эксперты первыми обнаружили распространение вредоноса. Рассказываем, как это работает и что делать. 

Читать
Всего голосов 7: ↑3 и ↓40
Комментарии0

От поиска до блокировки: какие инструменты мы используем для борьбы с фишингом

Время на прочтение9 мин
Количество просмотров4.2K

Фишинг в первую очередь ассоциируется с электронной почтой. Но, чтобы похитить данные, мошенники часто подделывают сайты известных брендов. Компании узнают о проблеме, когда клиенты начинают жаловаться, что у них украли деньги, а услугу не предоставили. Чаще всего страдает диджитал-сфера: злоумышленники могут скопировать сайты банка, интернет-магазина, сервиса доставки или покупки билетов. 

Чтобы не потерять деньги, клиентов и репутацию, нужно мониторить мошеннические сайты в интернете. Все найти не получится, но внушительную часть фишинга можно заблокировать заранее. Мы в BI.ZONE как раз этим занимаемся, так что решили поделиться, как у нас устроен процесс. Если вы хотели знать, как ищут и блокируют фишинг, мы вам покажем.

Показываем и рассказываем
Всего голосов 6: ↑5 и ↓1+6
Комментарии3

Чем хардкорнее проекты, тем веселее афтепати: что происходит на хакатоне GO.ZONE

Время на прочтение6 мин
Количество просмотров2.2K

У нас в BI.ZONE очень любят прогать, тусоваться и выпивать вместе. А еще наши крутые эксперты могут сделать что-то полезное для коллег, клиентов или общества — было бы время. Чтобы совместить приятное с полезным, раз в квартал внутри компании проходит GO.ZONE. 

Что это и зачем?
Всего голосов 5: ↑3 и ↓2+5
Комментарии1

Микроаудит за 10 тысяч долларов: новая волна атак на MS Exchange в РФ

Время на прочтение8 мин
Количество просмотров5.5K

Последние несколько месяцев российские компании становятся жертвами злоумышленников, вымогающих деньги за непубликацию конфиденциальных данных под видом аудита безопасности. На деле мошенники проверяют лишь наличие одной уязвимости в Microsoft Exchange.

С августа 2022 года мы фиксируем волну атак на десятки российских компаний малого и среднего бизнеса. Злоумышленники пишут жертвам с предложением заплатить деньги за «аудит безопасности», а в противном случае грозят опубликовать конфиденциальные данные. Метод проникновения во всех случаях — SSRF-уязвимость из цепочки ProxyShell. Рассказываем об общем механизме атак и рекомендуем базовые меры защиты от угрозы.

Читать
Всего голосов 4: ↑4 и ↓0+4
Комментарии3

Бумажек — меньше, денег — больше: почему багхантеру полезно быть самозанятым?

Время на прочтение4 мин
Количество просмотров1.7K

Ожидание багхантера: компании повально выпускают программы bug bounty — только успевай чекать скоуп, находить баги и следить за СМС о поступлении выплат.

Реальность: выход компании на bug bounty пока что занимает много времени, а вознаграждения получить сложно — сплошные бумажки, ожидание ответа неделями и порезанные налогами выплаты.

Но есть вариант, как приблизиться к ожидаемому. В августе мы зарелизили собственную платформу для поиска уязвимостей BI.ZONE Bug Bounty. Вы уже можете искать баги в VK, еще несколько компаний разместят свои программы совсем скоро.

Поговорим о том, как автоматизация выплат и самозанятость позволят получать вознаграждения быстро и с максимальной выгодой. 

Читать
Всего голосов 5: ↑4 и ↓1+4
Комментарии0

Применение TI в SIEM на примере QRadar

Время на прочтение13 мин
Количество просмотров4.2K

Эта статья — продолжение цикла про поиск и применение TI-информации. В нем мы делимся нашим опытом и надеемся, что он поможет сэкономить время на самостоятельное изучение. Мы расскажем про то, как загрузить и применить индикаторы компрометации в SIEM на примере IBM QRadar. IBM ушла с российского рынка в 2022 году, но продукт все еще распространен, и вряд ли ситуация поменяется в ближайшее время.

Предыдущая статья.

Читать далее
Всего голосов 1: ↑1 и ↓0+1
Комментарии0

Информация

В рейтинге
585-й
Откуда
Москва, Москва и Московская обл., Россия
Работает в
Зарегистрирован
Активность