Космические пираты атакуют, или как мы обнаружили новую APT-группировку с уникальными бэкдорами
Летом 2021 года мы, специалисты экспертного центра безопасности Positive Technologies, выявили ранее неизвестную APT-группировку, которая действует по меньшей мере с 2017 года. Главные цели Space Pirates (именно так мы решили назвать группу киберпреступников) — шпионаж и кража конфиденциальных...
Как буткиты внедряются в современные прошивки и чем UEFI отличается от Legacy BIOS
Привет, Хабр! На связи Антон Белоусов и Алексей Вишняков, и мы продолжаем вместе с вами изучать буткиты — наиболее опасный класс вредоносного ПО. Гонка вооружений между разработчиками решений в области ИБ и вирусописателями не останавливается ни на секунду: первые активно внедряют новые механизмы...
Компьютер заBIOSает? Изучаем буткиты
Самый популярный совет в случае, если что-то идет не так или работает медленно, ― перезагрузить компьютер. Вторая по популярности рекомендация ― переустановить ОС, чтобы избавиться от вирусов. Если не помогает ни первое, ни второе, то вам «повезло»: ваш компьютер инфицирован вредоносным ПО...
По следам TeamBot: как мы столкнулись с новыми функциями знакомого ВПО
В октябре 2021 года к нам в Solar JSOC CERT поступил запрос: одна крупная технологическая компания попросила помочь в расследовании инцидента. В процессе работы мы обнаружили старую знакомую - вредоносную DLL TeamBot (aka TeamSpy, TVSPY, TeamViewerENT, TVRAT), которая загружалась легитимной...
Мониторинг и ничего лишнего: какие компоненты АСУ ТП стоит все-таки подключить к SOC
Киберзащита АСУ ТП пока остается для безопасников сложной задачкой на логику. С одной стороны, нельзя оставить без ИБ-мониторинга сеть, которая, например, обеспечивает теплом и светом население или перегоняет нефть и газ. С другой, ну, а где гарантия, что все эти СЗИ никак не повлияют на АСУ ТП и...
Расследование: как мы обнаружили новые следы группировки ChamelGang и помогли авиапромышленной компании пресечь ее атаку
Если помните, недавно мы рассказывали о том, как специалисты нашего экспертного центра безопасности (PT Expert Security Center, PT ESC) обнаружили новую, ранее неизвестную APT-группировку, получившую название ChamelGang (ее профайл смотрите здесь). Это произошло, когда нашу команду по реагированию...
Лже-Microsoft, McAfee и Google: как мы обнаружили APT-группу, маскирующую сетевую инфраструктуру под легитимные сервисы
На киберарене появился новый участник: специалисты PT Expert Security Center обнаружили ранее неизвестную преступную группировку. В России она пока нацелена на организации топливно-энергетического комплекса и авиационной промышленности. Злоумышленники используют на сегодняшний день достаточно...
Как вредонос Trisis может парализовать целый завод, и есть ли шанс от него защититься
Обнаруженный в 2017 году вредонос Trisis до сих пор остается настоящим кошмаром для промышленности. Его цель – вывести из строя систему противоаварийной защиты предприятия, лишив автоматику и персонал возможности оперативно реагировать на аварию (от остановки оборудования до выброса ядовитых...
Исследуем обнаруженные зловреды группы APT31: что нового
В ходе мониторинга угроз ИБ в апреле 2021 года наши специалисты из PT Expert Security Center обнаружили в Монголии атаки с использованием неизвестного ранее вредоносного ПО. Впоследствии аналогичные атаки были выявлены в России, США, Канаде и Республике Беларусь. Некоторые из обнаруженных во время...
К вам ползет Snake: разбираем новый кейлоггер
В конце прошлого года в руки аналитикам CERT-GIB попал любопытный образец ВПО — Snake Keylogger. Хотя справедливости ради заметим, что изучаемый объект являлся скорее стилером, так как KeyLogger — лишь часть его функционала, отвечающего за логгирование нажатий клавиш на клавиатуре. "Пойман" был...
Cassandra: криптор, который любит держаться в тени
Ни один атакующий не хочет, чтобы его инструменты обнаружили и раскрыли раньше времени. Поэтому, как правило, в чистом виде никто вредоносные программы не распространяет. Например, пользователю прилетело фишинговое письмо от имени известной транспортной компании и просят проверить документы во...
Glupteba – скрытая угроза: как мы нашли вредонос, который больше двух лет прятался в инфраструктуре заказчика
2020 год для Solar JSOC CERT оказался непростым, но и 2021-й не отстает, постоянно подкидывая нам интересные кейсы. В этом посте мы расскажем, как обнаружили вредонос (даже целую сеть вредоносов) по, казалось бы, несвойственной ему активности. Он незаметно «жил» в инфраструктуре больше двух лет,...
Не только лишь удаленка: как атаковали киберпреступники в 2020 году
Ситуация с ИБ в 2020-м напоминала картины Босха и последователей: множество деталей, все горит и не очень понятно, что происходит. Пока компании решали, как перевести всех на удаленку и не парализовать при этом работу, киберпреступники использовали каждый торчащий наружу RDP, каждого застрявшего...
Особенности киберохоты: как Hunter Stealer пытался угнать Telegram-канал «База»
С ноября 2020 года участились случаи похищения аккаунтов у популярных Telegram-каналов. Недавно эксперты CERT-GIB установили тип вредоносной программы, с помощью которой хакеры пытались угнать учетку у Никиты Могутина, сооснователя популярного Telegram-канала «База» (320 тысяч подписчиков). В той...
Старый конь борозды не испортит: как стилер Pony крадет данные и где их потом искать
Если помните, недавно у нас выходила статья про молодой, но уже подающий надежды data stealer Loki. Тогда мы подробно рассмотрели этот экземпляр (версия 1.8), получили представление о работе бота и освоили инструмент, облегчающий реагирование на события, связанные с этим ВПО. Для более полного...
Чем нас «радовали» злоумышленники последние полгода
Последние полгода были, мягко говоря, непростыми. Новая реальность – новые векторы кибератак, хотя и про старые, проверенные временем инструменты злоумышленники не забывали. Solar JSOC и JSOC CERT скучать не приходилось: атаки на RDP, новые оболочки известного ВПО и методы сокрытия Mimikatz…...
Далее