Страны Юго-Восточной Азии с их вечным летом, теплыми морями и быстрорастущими экономиками, привлекают не только туристов и цифровых кочевников со всего мира, но и организованных киберпреступников. Это регион разительных контрастов: ультрасовременный Сингапур сильно опережает слаборазвитую Мьянму по уровню цифровизации и кибербезопасности. Мы всесторонне исследовали деятельность 20 APT-группировок, которые атаковали организации стран АСЕАН в период с января 2020 года по апрель 2024 (география APT-атак в исследовании представлена на рисунке ниже). В результате выяснилось, что больше всего киберпреступников в регионе интересуют такие страны, как Филиппины и Вьетнам, а тройка самых атакуемых отраслей включает госучреждения, телекоммуникации и ВПК.

Читайте под катом подробнее о целях, подходах, техниках и инструментах киберпреступных групп, действующих на юго-востоке Азии. Полный текст нашего исследования доступен по ссылке на сайте.

Хабр, привет! Я Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center. Мы с коман­­дой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии трендовые уязвимости. То есть те недостатки безопасности, которые либо уже эксплуатируются вживую, либо могут начать эксплуатироваться в ближайшее время.

Сегодня расскажу про самые опасные уязвимости июля. Всего таких уязвимостей было три:

1️⃣ Уязвимость, приводящая к спуфингу, в движке для обработки и отображения HTML-страниц Microsoft Windows MSHTML Platform (CVE-2024-38112).

2️⃣ Уязвимость, связанная с выполнением произвольного кода в интерпретаторе PostScript и PDF-документов Ghostscript (CVE-2024-29510).

3️⃣ Уязвимость, связанная с выполнением произвольного кода в гиперконвергентной[1] платформе Acronis Cyber Infrastructure (CVE-2023-45249).

Дефицит кадров на рынке информационной безопасности в России составляет 31%, а это порядка 50 тысяч специалистов по кибербезопасности. К 2027 году общая потребность рынка в специалистах может превысить четверть миллиона, а дефицит вырастет. К таким неутешительным выводам пришли наши эксперты совместно с коллегами из фонда «Центр стратегических разработок «Северо-Запад».

В первом в России исследовании рынка труда в сфере ИБ объясняем, что ждет его основных игроков к 2027 году. Читайте под катом о том, почему система образования не справляется со спросом, почему проблема нехватки кадров останется актуальной, а структуру рынка ждет масштабная трансформация. Мы не оставили без внимания и вероятность труднопредсказуемого фактора, который мог бы перевернуть ситуацию на рынке. С полной версией исследования можно ознакомиться здесь.

Привет! Меня зовут Иван Прохоров, я руководитель продукта MaxPatrol SIEM. Мы продолжаем наше технологическое погружение в наш SIEM и сегодня расскажем об активоцентричности и хранении данных. А помогать мне в этом будет мой коллега, архитектор продукта MaхPatrol SIEM, Роман Сергеев.

В прошлой статье мы рассказали, как устроен MaхPatrol SIEM, взглянули на его пайплайн и поговорили про нормализацию и обогащение данных об инцидентах. Тогда же мы вскользь затронули тему активов и сегодня обсудим ее более детально. Разберемся, что такое цифровые активы, зачем они нужны, как их используют и защищают.

Всем привет! Эволюция потребностей и возможностей обработки логов в SIEM-системах не стоит на месте. И сегодня мы, Иван Прохоров, руководитель продукта MaxPatrol SIEM, и Петр Ковчунов, который пишет экспертизу для этого продукта, разберем наш ответ этому челленджу.

Когда мы проектировали свой продукт, то четко осознавали, что потребность просто в анализе логов или генерации детектов — это не все, что нужно для безопасности. Прямо отказавшись от идеи сделать «еще один SIEM», мы копнули глубже и на архитектурном уровне заложили в продукт функции, которые позволяют органично и бесшовно внедрить решение в систему информационной безопасности компании и обеспечить ей практический результат.

В последнее время злоумышленники все чаще используют в качестве управляющего сервера (C2) Telegram. Вспомним хотя бы группировку Lazy Koala, о которой рассказывали здесь недавно. Колоссальное количество сообщений, огромное число жертв и каждодневное появление новых ботов и чатов в Telegram привлекли наше внимание, и мы занялись исследованием этого «всплеска». В ходе исследования мы обнаружили связанные с чатами СМС-стилеры из Индонезии. Подробнее об этом можно почитать в расширенном материале.

В этой статье мы расскажем про источники заражения и разберем уникальные экземпляры стилеров, которые имели нестандартные названия, форматы сообщений или особенности кода. Намерений злоумышленников нам не удалось узнать наверняка. Предполагаем, что все атаки совершены с целью наживы и кражи личных данных пользователей. Итак, команда PT ESC снова в деле!

Вы когда-нибудь задумывались — как член команды разработки — почему некоторые функции в приложениях не используются? Возможно, вам доводилось испытывать ощущение бессилия или бессмысленности своей работы? Либо, напротив — у вас возникало желание сделать лучше? Или, может быть, вам приходилось выполнять задачи, в которых вы сами не видели ценности для пользователя? Возможно ли в принципе избежать подобных ситуаций?

Непонимание ценности выполняемых задач — одна из частых проблем, которые встречаются при разработке ПО. Как следствие, команда начинает бездумно внедрять новые процессы, не понимая, как они связаны с уже существующими. Все это может закончиться тем, что будет создана функциональность, которая не принесет выгоды пользователям и не будет соответствовать ожиданиям заказчика.

Всем привет! Я Гузель Хамидуллина, системный аналитик в Positive Technologies. Хочу поделиться с вами мыслями о том, насколько важно для команды разработки понимать ценность входящих задач.

Хабр, привет! Я Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center. Мы с коман­­дой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо могут эксплуатироваться в ближайшее время.

Сегодня расскажу про самые опасные уязвимости июня. Всего в этом месяце таких уязвимостей было довольно много:

🔴 уязвимости в Microsoft Windows, связанные с повышением привилегий;

🔴 уязвимость, приводящая к выполнению произвольного кода, в скриптовом языке PHP на узлах под управлением Windows (CVE-2024-4577);

🔴 уязвимость, приводящая к повышению привилегий, в ядре Linux (CVE-2024-1086);

🔴 уязвимость, связанная с раскрытием информации, в Check Point Quantum Security Gateways (CVE-2024-24919);

🔴 уязвимости в VMware vCenter, позволяющие выполнить произвольный код (CVE-2024-37079, CVE-2024-37080);

🔴 уязвимость в Veeam Backup & Replication, приводящая к обходу аутентификации (CVE-2024-29849).

Привет всем! Я Гриша Прохоров, аналитик из команды PT Cyber Analytics, и это моя первая статья на Хабре.

Наши эксперты регулярно проводят тестирование на проникновение в компаниях, чтобы оценить уровень их защищенности. Это необходимо, чтобы организации увидели «масштаб катастрофы», с одной стороны, а с другой, выдохнули и пошли закрывать уязвимости и фиксить баги, чтобы их продукты становились более безопасными, а клиенты — защищенными. Пентестеры делают свою работу, что называется, в полевых условиях, а аналитики потом собирают полученную информацию, исследуют ее и делают соответствующие выводы. Такой вот симбиоз. О том, кто такие пентестеры и чем они занимаются, читайте в мартовской статье Димы Серебрянникова.

Собранные аналитические данные помогают оценить проблему не одной конкретной компании, а целой отрасли, к примеру сделать вывод о состоянии защищенности той или иной отрасли от года к году. В новом большом исследовании мы подвели итоги таких тестирований за 2023 год, в этой же статье хочу остановиться на ключевых моментах, в частности на уязвимостях.

Спустя месяц в копилку расследований экспертного центра безопасности Positive Technologies (PT Expert Security Center) добавилось еще одно, причем о группировке ExCobalt, за которой мы следим с ноября прошлого года. Напомним: тогда наша команда выяснила, что в составе ExCobalt есть участники небезызвестной APT-группы Cobalt (ее профайл можно посмотреть здесь), которые активны как минимум с 2016 года. ExCobalt поменяла сферу интересов и, в отличие от предшественника, специализируется на кибершпионаже и краже данных.

Этой весной группировка вновь стала заметна на киберпреступной арене и занесла в актив любопытную вредоносную программу, ранние версии которой нам уже встречались во время реагирования на инциденты в ряде российских компаний. Мы назвали найденный бэкдор GoRed — такое имя носил его первый образец, обнаруженный нашей командой.

О главных особенностях хакерского инструмента по традиции рассказываем здесь, на Хабре, а за подробностями приглашаем вас в полный отчет.

С 21 февраля по 3 марта в Казани проходил первый международный фиджитал-турнир «Игры будущего». Зрелищные соревнования на стыке традиционного и цифрового спорта, инновационные дисциплины, более 2000 участников со всего мира — турнир стал по-настоящему уникальным событием. Мероприятие ожидаемо привлекло зрителей и получило широкое освещение в СМИ. Правда, было и то, что на протяжении всего турнира неизменно оставалось за кадром: кибератаки и инциденты информационной безопасности на «Играх будущего». 

Масштаб таких мероприятий всегда диктует исключительные требования к обеспечению кибербезопасности. А учитывая специфику турнира, киберспортивную составляющую и сложную IT-инфраструктуру, к защите игр необходим был особый подход. Поэтому для нас, экспертов Positive Technologies, выступившей ключевым партнером по кибербезопасности на «Играх будущего», это стало своего рода вызовом. Забегая вперед, докладываем, что справились мы с ним успешно: на мероприятии не было допущено ни одного инцидента ИБ, повлекшего последствия для проведения турнира! Но обо всем по порядку. Как мы, специалисты PT Expert Security Center (PT ESC), защищали от кибератак «Игры будущего»? Какие инциденты обнаруживали? Какие продукты и технологии нам помогали? Обо всем этом читайте под катом!

Привет, Хабр! Меня зовут Таня Маркина, я руковожу аналитиками на продукте MaxPatrol SIEM. В 2023 году, еще до работы в Positive Technologies, я исследовала разные системы управления требованиями (СУТ), чтобы выбрать лучший вариант и обосновать его покупку своим руководителям.

В этой статье расскажу, какие существуют системы управления требованиями, чем они друг от друга отличаются и какие из них самые удобные.

Если вызывали пояснительную бригаду по уязвимостям, она приехала. Я Миша Козлов, в Positive Technologies отвечаю за продукты по анализу инфраструктуры и детектированию уязвимостей. Вместе с командой экспертов делаем так, чтобы компании узнавали все о своих активах, искореняли shadow IT и уязвимости, и чтобы в итоге недопустимое становилось невозможным. В этой статье расскажу о том, какие бывают уязвимости, как их используют киберпреступники и каких брешей нужно бояться больше всего.

Хабр, привет! Уже по традиции я, Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center, рассказываю про трендовые уязвимости месяца.

Всего их было четыре:

1️⃣ уязвимость, приводящая к удаленному выполнению кода в многоплатформенном опенсорсном инструменте для сбора и обработки журналов Fluent Bit (CVE-2024-4323);

2️⃣ уязвимость, приводящая к удаленному выполнению кода в корпоративной веб-вики Confluence (CVE-2024-21683);

уязвимости Microsoft, связанные с 3️⃣ обходом функций безопасности в Windows MSHTML Platform (CVE-2024-30040) и 4️⃣ повышением привилегий в Windows DWM Core Library (CVE-2024-30051).

Представим ситуацию: вы молодой и перспективный специалист инжиниринга производительности, который устроился в крупную IT-компанию. Ваша задача — выполнить оптимизацию определенного продукта, который должен заработать быстрее. Вы почитали об этом проекте, поняли, в чем основная суть, и даже запустили нагрузочные тесты, показывающие потенциал роста. Какой будет ваш первый шаг для поиска узких мест? Конечно, сперва стоит заняться профилированием приложения, чтобы обнаружить код, исполнение которого занимает больше всего времени. Но какой профилировщик использовать для первого осмотра? Давайте попробуем в этом разобраться.

Меня зовут Александр Слепнев, я работаю в команде инжиниринга производительности Positive Technologies. Мы занимаемся анализом продуктов компании для ускорения их работы: ищем узкие места в коде, прорабатываем способы устранения проблем, реализуем патчи и интегрируем готовые решения в проект. В этой статье расскажу о том, как мы начинаем работу над проектами и какие инструменты используем для получения первичной информации.

Привет! Меня зовут Валерий Слезкинцев. В Positive Technologies я руковожу направлением реагирования на конечных точках в отделе обнаружения вредоносного ПО в PT Expert Security Center (PT ESC). Наша команда мониторит свежие атаки и воспроизводит их на лабораторных стендах, чтобы убедиться, что наш EDR успешно обнаруживает актуальные угрозы и позволяет защитить от них клиентов. Вы могли читать ранее мою статью о трояне RADX . На этот раз хочу поделиться с вами подробным разбором того, как использовать новые модули MaxPatrol EDR.

Сначала я покажу, как может действовать злоумышленник, далее расскажу о консоли EDR, а в конце статьи поделюсь рекомендациями по реагированию.

Привет, Хабр. С небольшим перерывом на связи снова специалисты из экспертного центра безопасности Positive Technologies. Если помните, в ноябре мы рассказывали об атаках ранее неизвестной группировки Hellhounds на инфраструктуру российских компаний. Статья была посвящена атакам группировки на узлы под управлением ОС Linux с использованием нового бэкдора Decoy Dog.

Так вот, Hellhounds продолжают атаковать организации на территории России. Причем команде PT ESC CSIRT в процессе реагирования на инцидент в одной из компаний удалось обнаружить успешные атаки на Windows-инфраструктуру, о которых ранее не сообщалось.

Рассказываем о ранее неизвестном инструментарии группировки.

Привет, Хабр! На связи Таисия Чернышева. Я работаю в Positive Education менеджером образовательных проектов и хочу рассказать о ежегодных мероприятиях, которые наша команда проводит для молодых специалистов — тех, кто только начинает или планирует карьеру в ИБ. Не так давно в рамках Standoff 101 и PHDays мы стали организовывать молодежные дни, на которые собираем студентов направлений ИБ и ИТ и рассказываем об индустрии кибербезопасности: как выбрать специальность, куда пойти учиться, где пройти стажировку и как преуспеть в наиболее востребованных профессиях. Основная цель таких мероприятий — рассказать о новых профессиях, поделиться лайфхаками по построению карьеры и сформировать у студентов технических вузов ясное понимание того, как начать развиваться в сфере кибербезопасности.

В прошлой статье, посвященной Python Day, который пройдет 26 мая в рамках киберфестиваля Positive Hack Days 2, мы рассказали о 4 из 8 запланированных докладов конференции. Продолжаем свой рассказ, дополняя его комментариями участников программного комитета мероприятия.

С 23 по 26 мая в «Лужниках» пройдет Positive Hack Days Fest 2. Традиционно эксперты сообщества POSIdev помогли сформировать секцию для разработчиков в профессиональной программе фестиваля. Мы будем говорить о языках программирования, создании платформ, инжиниринге данных, менеджменте, повышении эффективности команд и многом другом. Программа получилась насыщенной: три дня занимают доклады, а еще один целиком посвящен воркшопам.

Подготовили для вас ссылки, собранные по тематикам. Проходите по ним — у каждого доклада есть опция добавления в календарь:

✔️ General Development

✔️ Secure Development

✔️ Platform Engineering

✔️ Data Engineering

✔️ Team Lead

✔️ Languages and Tools

Или просто читайте эту статью дальше: чтобы было проще спланировать время в «Лужниках», мы составили три чек-листа, что нужно обязательно успеть на фестивале специалистам разных профессий.