С весны 2023 года мы активно наблюдаем за одной любопытной группировкой. Мы назвали ее PhaseShifters, так как заметили, что она меняет свои техники вслед за другим группировками, например UAC-0050 и TA558. В своих атаках PhaseShifters используют фишинг от имени официальных лиц с просьбой ознакомиться с документами и их подписать. А эти документы, в свою очередь, защищены паролем и (что предсказуемо) заражены.

В качестве ВПО злоумышленники используют Rhadamanthys, DarkTrack RAT, Meta Stealer — часть этих инструментов мы заметили у UAC-0050. А использованные криптеры были те же, что и у группировок TA558 и Blind Eagle.

Ровно 5 лет назад коллеги составили топ страшных историй из IT: дипфейки и умные унитазы, взломы и утечки данных… Казалось бы, ничего не изменилось, мы все еще боимся умных туалетов. Как бы не так! Все стало более пугающим…

Техника сегодня и даже пять лет назад – это уже довольно разные вещи. Кардинально она может не отличаться, потому что все еще обладает относительно одинаковыми интерфейсами, хотя со своими особенностями (например, что было вполне ожидаемо, увеличилось количество рекламы, интегрированной везде и всюду). Как и в 2019 нас все еще пугает искусственный интеллект, но теперь его возможности не ограничиваются генерацией нереалистичных дипфейков. ИИ стал гораздо страшнее и уже во многом повлиял на нашу жизнь.

Итак, что же успело нас напугать в 20-х годах?

Привет! Меня зовут Павел Маслов, я архитектор дирекции инфраструктурных проектов Positive Technologies. Не так давно мой коллега Артем Мелехин уже рассказывал на Хабре о сути нашего подхода к харденингу ИТ-инфраструктуры. Сегодня же мы поговорим об укреплении киберустойчивости программных средств на конкретном примере — параметрах почтовой системы Microsoft Exchange (MS Exchange).

Начать хочется с небольшой истории, которая и подтолкнула меня к написанию этой статьи. Недавно к нам за консультацией обратились ИТ-специалисты одной крупной компании с государственным участием, назовем ее N. Вопрос касался работы их корпоративной почты на базе MS Exchange, а точнее конкретного письма. Дело в том, что генеральный директор их контрагента получил e-mail от имени руководителя N с просьбой поделиться конфиденциальной информацией. Как вы уже догадались, никакого сообщения с подобным запросом он не отправлял. Чем закончилась эта история и как не повторить судьбу наших героев, читайте под катом.

Всем привет!

Это заключительный материал из нашего импровизированного цикла «Standoff-онбординг». В первой статье мы разобрали, как реализовывать фишинг и ломать внешний периметр, а во второй — взламывали внутренний периметр и АСУ ТП, а также говорили про дополнительные полезные источники и матрицу MITRE ATT&CK.

Напоследок мы решили подготовить вам подробный рассказ о том, как правильно взаимодействовать с порталом Standoff 365 и как попасть на соревнования, а также составили инструкцию по написанию баг-репорта и очень полезный чек-лист для подготовки к кибербитве. Подробности под катом, а с вами как всегда Антипина Александра (N3m351d4) — капитан команды Cult 😊

Roundcube Webmail – клиент для электронной почты с открытым исходным кодом, написанный на PHP. Обширный функционал, а также возможность удобного доступа к почтовым аккаунтам из браузера без необходимости установки полноценных почтовых клиентов, обусловила его популярность в том числе среди коммерческих и государственных организаций многих стран.

Это делает его привлекательной целью для злоумышленников, которые адаптируют эксплойты через достаточно короткое время, после появления сведений о них в открытом доступе, нацеливаясь на похищение учетных данных и почтовой переписки организаций.

Пример одной из подобных атак мы хотим привести в этой статье.

И снова привет, Хабр! В прошлый раз мы разбирали, что из себя представляет онлайн-полигон Standoff и как можно взломать его внешний периметр. В этой статье пойдем дальше — расскажем, что делать с внутренним периметром и АСУ ТП, а также какие еще знания могут пригодиться на кибербитве.

Мы по-прежнему ждем комментариев, если ваш опыт отличается от нашего. Всем комьюнити будем рады узнать, как участвует в Standoff именно ваша команда 😊

Хабр, привет! Я Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо могут начать эксплуатироваться в ближайшее время.

Начиная с этого месяца мы решили несколько расширить формат и не только расскажем про трендовые уязвимости сентября, но и рассмотрим примеры использования социальной инженерии, эксплуатации уязвимостей из реального мира и практик процесса управления уязвимостями.

Начнем с трендовых уязвимостей — в сентябре их было семь.

Привет, Хабр! В этой статье мы хотим поговорить о применении технологий машинного обучения (machine learning, ML) в SIEM-системах. Разберемся, с какими проблемами и ограничениями сталкиваются операторы, расскажем о нашем модуле BAD и о том, как реализованные в нем модели ML помогают вычислять хакеров. А еще заглянем в будущее и посмотрим, как машинное обучение может применяться в SIEM завтра. Все это ждет вас под катом!

Ни для кого не секрет, что багхантинг с каждым годом набирает популярность, привлекая внимание как компаний, стремящихся повысить безопасность своих продуктов, так и белых хакеров, желающих применить свои технические навыки и заработать на поиске уязвимостей. Все больше компаний создают собственные багбаунти-программы, некоторые интегрируются в уже существующие площадки.

В 2010 году, когда направление багбаунти еще не получило широкой известности, корпорация Google запустила свою программу вознаграждений за уязвимости. С тех пор в Google Vulnerability Reward Program поучаствовало более 3000 исследователей безопасности. Каждый год Google обновляет списки своих лучших багхантеров, которые нашли наибольшее количество уязвимостей в их продуктах. И нам удалось пообщаться с одной из них.

Привет, Хабр! Если вы это читаете — значит, вы интересуетесь кибербитвой Standoff. Эта статья первая из цикла, цель которого познакомить с платформой всех, кто мечтает поучаствовать в кибербитве впервые. Интересно будет и матерым игрокам — ведь даже самая незначительная крупица опыта коллеги может стать неоспоримым преимуществом во время кибербитвы.

На связи Антипина Александра (N3m351d4) aka капитан команды Cult. Если ваш опыт не похож на наш, мы всем комьюнити будем рады узнать, как участвует в Standoff ваша команда. Ждем ваши истории в комментариях 😊

Всем привет! Меня зовут Андрей Скрипкин. Еще когда был студентом, понял, что хочу заниматься информационной безопасностью — увлек брат. Прошло уже больше 15 лет, а интерес к профессии только растет. Сейчас уже два года работаю в Positive Technologies в департаменте инжиниринга: реализую проекты на базе продуктов PT. И это, с одной стороны, похоже на мой предыдущий опыт работы в интеграторах, а с другой — это новый опыт, новые подходы к ведению проектов и новый уровень экспертизы.

Пожалуй, главное, что я понял о проектах за время работы: самое важное — это люди. Люди, которые реализуют проект. И от того, как эти люди буду взаимодействовать друг с другом, зависит успех всего проекта. Хороший инженер всегда «приручит» любую технику и победит любые проблемы с программным обеспечением — а хороший менеджер всегда найдет компромисс в спорных ситуациях.

В этой статье я хочу поделиться своим опытом: рассказать, как продуктивно реализовывать проекты и выстраивать отношения между участниками проекта — заказчиком, интегратором и вендором.

Не так давно мы рассказывали про атаки киберпреступников в странах Юго-Восточной Азии. Регион СНГ не отстает по интересу к нему злоумышленников. Одна из основных угроз здесь — атаки кибершпионских групп. В 2023-м и первой половине 2024 года их доля составила 18% от общего числа успешных атак  на СНГ в этот период.

В этой статье мы расскажем про APT-группировки, «работающие» на территории СНГ, и методы, которые они используют в атаках, а также поделимся интересными инсайтами из большого исследования, полную версию которого можно найти на сайте.

Привет! Меня зовут Алексей Колесников, я работаю в отделе обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC), в команде PT Sandbox.

В этой статье хочу рассказать о том, какие бывают песочницы с точки зрения архитектуры, приведу основные плюсы и минусы каждого вида, а также техники их обхода со стороны хакеров.

Хабр, привет! Я Александр Леонов, ведущий эксперт лаборатории PT Expert Security Center. Мы с командой аналитиков Positive Technologies каждый месяц исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов и публичных репозиториев кода, выявляя во всем этом многообразии трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются, либо могут эксплуатироваться в ближайшее время.

Сегодня расскажу про самые опасные уязвимости августа. Всего их было шесть, и большая их часть была обнаружена (surprise!) в продуктах Microsoft. В каких – рассказываю под катом.

В России к 2030 году планируется вывести в онлайн абсолютно все государственные сервисы и обеспечить хранение 90% отчетных документов в электронном виде. С одной стороны, нам станет удобнее пользоваться услугами. С другой — это подольет масла в огонь с точки зрения кибербеза. Злоумышленники и так на протяжении последних шести лет чаще всего атакуют именно госсектор, а с развитием новых технологий у них появятся новые возможности для этого. Кроме того, у киберпреступников будет больше шансов дотянуться и до нас — конечных пользователей. Почему — рассказываем под катом: с цифрами, пруфами и примерами.

Хабр, на связи Standoff 365. В мае состоялась первая студенческая кибербитва. И впервые это было соревнование с участием команд атакующих, а не только защитников. Решили поделиться фидбэеком от участников движняка. Ребята сами рассказали о своих удачах и разочарованиях. Если интересно, ныряйте под кат за разборами цепочек атак.

Привет! Меня зовут Елена Павлова, и более 10 лет я работаю в сфере IT. В этой статье расскажу, что помогает мне и моей команде создавать документацию, которую легко читать и понимать.

Многим аналитикам знакома ситуация: пишешь требования, отдаешь коллегам на ревью и согласование, а дальше отвечаешь на вопросы, что-то уточняешь, добавляешь то, что упустил и не предусмотрел. И в оценке трудоемкости задач вынужден закладывать еще и время для ответов на вопросы. Можно ли написать такую спецификацию, по которой вопросов не будет вообще? Снизить их число уж точно можно, тем самым сэкономив свое время и время команды.

Четвертого сентября вышел любопытный отчет о несостоявшейся кибератаке на российского оператора грузовых ж/д перевозок.

Мы решили добавить свои находки и дополнительную информацию о других атаках хакерской группировки, которую мы назвали Team46, потому что в своей сетевой инфраструктуре атакующие использовали домен cybers46.team.

Как случилось, что все наши пароли и явки легко становятся добычей хакеров? Какие данные ценятся у хакеров больше всего и почему киберпреступники иногда выкладывают в открытый доступ утекшую информацию? Обсудим в этой статье. Мы изучили почти 1000 объявлений на форумах теневого рынка и свыше 700 сообщений о публично раскрытых инцидентах за первое полугодие 2024 года по всему миру.

Становясь старше и опытнее, понимаешь, что если есть возможность купить время, это нужно обязательно сделать. То же самое можно применить и к бизнесу. Если компания зрелая, если руководство понимает ценность бизнеса, как он устроен, как работает и как приносит деньги, то оно также понимает, что вынужденный простой обойдется компании гораздо дороже, чем средства, затраченные на ИТ-инфраструктуру.

Всем привет! Меня зовут Артем Мелёхин, я занимаюсь продвижением нового направления Positive Technologies, а именно продвижением подхода к определению времени атаки и вероятных маршрутов хакеров. В этой статье я расскажу, как мы определяем время атаки и вероятные маршруты хакеров и о том, что нужно предпринять с точки зрения ИТ-инфраструктуры, чтобы максимально усложнить путь атакующему.