Иметь стабильный и защищенный LLM-сервис критически важно для всех организаций, работающих с конфиденциальными данными и стремящихся к технологической независимости.
На вебинаре 19 августа в 14:00 мы поделимся опытом запуска такого решения, а также расскажем о технических и организационных сложностях.
Вы узнаете:
👉 Регистрируйтесь заранее. Увидимся на вебинаре!
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8👌5🔥4
Forwarded from ESCalator
Через фантомные выплаты к конфиденциальным данным 🫰
В июне мы выпустили статью про обнаруженные Exchange-кейлоггеры. На тот момент было выявлено девять компаний-жертв в России, но никакой атрибуции тогда мы не провели.
В июле этого года мы совершили прыжок во времени и вернулись в декабрь 2024-го. Исследование зафиксированной тогда атаки позволило связать ряд обнаруженных кейлоггеров с группировкой PhantomCore👻 . При этом общее количество жертв на территории России увеличилось: в июне этого года их было девять, а в августе — уже 18.
Общая статистика такова:
• 10 компаний из общего числа взломанных организаций — жертвы группировки PhantomCore.
• Всего было обнаружено более 5000 строк с данными «логин — пароль — дата входа», которые получили злоумышленники.
• Прыжок во времени позволил нам найти образец ВПО PhantomDL v3, который использовался в атаках с мимикрией под военную юриспруденцию.
Анализ временного прыжка вы можете найти в нашем новом исследовании на Хабре.
P.S.: с PhantomCore мы не закончили. Следите за новостями🔜
#TI #APT #Malware
@ptescalator
В июне мы выпустили статью про обнаруженные Exchange-кейлоггеры. На тот момент было выявлено девять компаний-жертв в России, но никакой атрибуции тогда мы не провели.
В июле этого года мы совершили прыжок во времени и вернулись в декабрь 2024-го. Исследование зафиксированной тогда атаки позволило связать ряд обнаруженных кейлоггеров с группировкой PhantomCore
Общая статистика такова:
• 10 компаний из общего числа взломанных организаций — жертвы группировки PhantomCore.
• Всего было обнаружено более 5000 строк с данными «логин — пароль — дата входа», которые получили злоумышленники.
• Прыжок во времени позволил нам найти образец ВПО PhantomDL v3, который использовался в атаках с мимикрией под военную юриспруденцию.
Анализ временного прыжка вы можете найти в нашем новом исследовании на Хабре.
P.S.: с PhantomCore мы не закончили. Следите за новостями
#TI #APT #Malware
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13🔥11💯6🤔3❤1
Кто-то скажет «нет», а наши коллеги ответят положительно, ведь в Positive Technologies уже несколько лет создан и работает комитет по открытому коду. Он собирает лучшие практики, помогает создавать внутреннее руководство по open source и формирует Security Experts Community.
Это одновременно и открытое сообщество ИБ-специалистов, и платформа для коллаборации, где можно обмениваться экспертизой и тестировать новые идеи.
Делимся опытом и секретами соблюдения баланса между открытостью и бизнесом и объясняем все максимально понятно на наших кейсах в статье для Positive Research.
Читайте, чтобы узнать больше о возможных стратегиях использования подходов open source в коммерческих организациях, шагах по их внедрению и возможном будущем открытых проектов.
#PositiveResearch #PositiveЭксперты
@Positive_Research
Please open Telegram to view this post
VIEW IN TELEGRAM
👍21❤12🔥9
Продолжим ее 16 сентября в 15:00 на втором митапе NetCase Day, где вы сможете посмотреть на сетевую безопасность глазами специалистов, которые каждый день сталкиваются с угрозами, и послушать о реальном опыте использования нашей песочницы и системы поведенческого анализа трафика.
👀 Программа митапа — уже на сайте. Эксперты из Positive Technologies, Т-банка, HeadHunter, K2 Cloud и других компаний расскажут:
Приглашаем на NetCase Day всех, кто уже использует PT Sandbox или PT NAD для защиты, только планирует их внедрять или просто интересуется сетевой безопасностью.
Будет много технических деталей и практических инсайтов. Регистрируйтесь заранее, чтобы ничего не пропустить!
#PTNAD #PTSandbox
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥14❤9👍5❤🔥4🎉1🤩1
Forwarded from ESCalator
Phantomные боли 👻
В мае департамент Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC TI) обнаружил новую масштабную кампанию кибершпионажа APT-группировки PhantomCore в отношении критической инфраструктуры России.
Внешний периметр кибератаки и вредоносный арсенал были одновременно описаны российскими и зарубежными вендорами кибербезопасности. Однако группа киберразведки PT ESC TI сосредоточилась на более глубоком исследовании угрозы, в рамках которого удалось:
🖥 обнаружить ключевую инфраструктуру: взломанные российские сайты, фишинговые ресурсы с FakeCaptcha, payload-хабы, MeshCentral-серверы, SSH-туннели, панель управления Phantom;
👾 изучить и покрыть детектирующими правилами обновленный вредоносный арсенал: от популярных в киберпреступной среде opensource-утилит (RSocx, MeshAgent, RClone, XenArmor Password Recovery) и обновленных версий известных инструментов из личного арсенала (PhantomRAT) — до ранее не встречавшихся кастомных образцов: PhantomRShell, PhantomProxyLite, PhantomTaskShell, PhantomStealer;
🥷 изучить TTP и kill chain кибератак, подробно описать процедуры, выполняемые на зараженных хостах;
🌐 изучить географию, хронологию, характеристики и масштаб кибератак: более 180 заражений на территории России с мая по июль, 56% которых пришлись на 30 июня; 49 хостов до сих пор остаются под контролем группировки; среднее время нахождения хакеров в скомпрометированной сети — 24 дня, максимальное — 78 дней;
📞 идентифицировать и уведомить жертв из числа российских госорганов, научно-исследовательских институтов, предприятий оборонно-промышленного комплекса, судостроительной отрасли, химической, горнодобывающей и обрабатывающей промышленности, а также IT-компаний.
Кроме того, группе киберразведки PT ESC TI удалось обнаружить ответвление группировки, не входящее в основное звено. Оно состояло из низкоквалифицированных специалистов, подобранных в русскоязычных игровых Discord-сообществах, и было организовано в качестве собственного киберкриминального стартапа одним из членов основного костяка PhantomCore, имевшим доступ к исходникам кастомных инструментов.
🫱 Полный отчет — в нашем блоге.
#TI #APT
@ptescalator
В мае департамент Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC TI) обнаружил новую масштабную кампанию кибершпионажа APT-группировки PhantomCore в отношении критической инфраструктуры России.
Внешний периметр кибератаки и вредоносный арсенал были одновременно описаны российскими и зарубежными вендорами кибербезопасности. Однако группа киберразведки PT ESC TI сосредоточилась на более глубоком исследовании угрозы, в рамках которого удалось:
🖥 обнаружить ключевую инфраструктуру: взломанные российские сайты, фишинговые ресурсы с FakeCaptcha, payload-хабы, MeshCentral-серверы, SSH-туннели, панель управления Phantom;
👾 изучить и покрыть детектирующими правилами обновленный вредоносный арсенал: от популярных в киберпреступной среде opensource-утилит (RSocx, MeshAgent, RClone, XenArmor Password Recovery) и обновленных версий известных инструментов из личного арсенала (PhantomRAT) — до ранее не встречавшихся кастомных образцов: PhantomRShell, PhantomProxyLite, PhantomTaskShell, PhantomStealer;
🥷 изучить TTP и kill chain кибератак, подробно описать процедуры, выполняемые на зараженных хостах;
🌐 изучить географию, хронологию, характеристики и масштаб кибератак: более 180 заражений на территории России с мая по июль, 56% которых пришлись на 30 июня; 49 хостов до сих пор остаются под контролем группировки; среднее время нахождения хакеров в скомпрометированной сети — 24 дня, максимальное — 78 дней;
📞 идентифицировать и уведомить жертв из числа российских госорганов, научно-исследовательских институтов, предприятий оборонно-промышленного комплекса, судостроительной отрасли, химической, горнодобывающей и обрабатывающей промышленности, а также IT-компаний.
Кроме того, группе киберразведки PT ESC TI удалось обнаружить ответвление группировки, не входящее в основное звено. Оно состояло из низкоквалифицированных специалистов, подобранных в русскоязычных игровых Discord-сообществах, и было организовано в качестве собственного киберкриминального стартапа одним из членов основного костяка PhantomCore, имевшим доступ к исходникам кастомных инструментов.
🫱 Полный отчет — в нашем блоге.
#TI #APT
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
👍23❤14🔥13😱3🐳1
Организация выбрала наши продукты, работающие в синергии, после двухлетнего тестирования решений для обеспечения непрерывного мониторинга событий ИБ, повышения скорости обнаружения угроз и реагирования на них, а также снижения нагрузки на сотрудников. Важной была и возможность интегрировать их с другими инструментами для обеспечения комплексной киберзащиты.
Возможности ML-технологий в составе наших решений стали одним из ключевых преимуществ для специалистов по кибербезопасности. Они позволяют быстро собирать данные из источников на периметре и внутри инфраструктуры, обрабатывать их в режиме реального времени и сигнализировать команде SOC о самых критичных сработках. А также помогают быстро детектировать аномальную активность в инфраструктуре, предсказывать потенциальные угрозы и выявлять даже нестандартную активность злоумышленников.
«За прошлый год в региональной инфраструктуре было зафиксировано свыше семи тысяч событий информационной безопасности. Мы искали решения, которые соответствуют отечественным стандартам безопасности и позволяют выстраивать комплексную систему защиты. Интеграция самых современных и надежных программ помогла нам объединить мониторинг, управление уязвимостями и реагирование на киберинцидиенты в единую аналитическую модель. Мы видим конкретные результаты: увеличилось количество обнаруживаемых угроз, сократилось время реакции, выросла прозрачность процессов внутри региональной ИТ-инфраструктуры. Такие инструменты позволяют не просто фиксировать проблемы, а управлять ими проактивно и системно», — отметил министр цифрового развития Рязанской области Максим Соников.
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤10👍8👏5🔥2🤨1
🚇 Эксперт PT SWARM Егор Филатов помог разработчикам Tunnelblick устранить уязвимость высокого уровня опасности
Недостаток безопасности PT-2025-25226 (CVE-2025-43711) получил 8,1 балла по шкале CVSS 3.1 и затронул все версии Tunnelblick, начиная с 3.5beta06 и заканчивая 6.1beta2. Под угрозой могли оказаться владельцы компьютеров Apple, в том числе уже отправившие приложение в корзину. В случае атаки злоумышленник мог бы повысить привилегии в системе и закрепиться в сети организации, чтобы похитить данные, запустить программу-вымогатель или иначе навредить рабочим процессам.
Вендор, которому мы сообщили об ошибке, выпустил обновления безопасности: если вы пользуетесь Tunnelblick, обновите его до версии 7.0, 7.1beta01 или более поздней.
Кроме того, наши эксперты советуют пользователям интерфейса выбрать любой из двух способов защиты: не удалять Tunnelblick․app из папки
🗑 Если Tunnelblick вам больше не нужен, удалите приложение с помощью отдельного или встроенного в него деинсталлятора (окно «Детали VPN» → панель «Утилиты»). Если вы отправили приложение в корзину — удалите оттуда файл, путь к которому выглядит так: /Library/LaunchDaemons/net.tunnelblick.tunnelblick.tunnelblickd.plist.
#PositiveЭксперты
@Positive_Technologies
Tunnelblick — открытый графический интерфейс для OpenVPN (VPN-решения, занимающего второе место по популярности в мире). В июле Tunnelblick добавили в избранное 3,1 тыс. пользователей; в веб-сервисе GitHub имеется более 350 копий репозитория.
Недостаток безопасности PT-2025-25226 (CVE-2025-43711) получил 8,1 балла по шкале CVSS 3.1 и затронул все версии Tunnelblick, начиная с 3.5beta06 и заканчивая 6.1beta2. Под угрозой могли оказаться владельцы компьютеров Apple, в том числе уже отправившие приложение в корзину. В случае атаки злоумышленник мог бы повысить привилегии в системе и закрепиться в сети организации, чтобы похитить данные, запустить программу-вымогатель или иначе навредить рабочим процессам.
«Для успешной атаки нарушителю потребовалась бы учетная запись пользователя, имеющего возможность изменять параметры macOS. Так как права администрирования выдаются по умолчанию, стать жертвой мог практически кто угодно, — отметил Егор Филатов. — Еще одно условие: эксплуатация уязвимости была бы возможна только в том случае, если бы Tunnelblick был не полностью удален с компьютера, например просто отправлен в корзину. В таком случае на устройстве остался бы компонент, действующий с повышенными привилегиями. Им и мог бы воспользоваться злоумышленник».
Вендор, которому мы сообщили об ошибке, выпустил обновления безопасности: если вы пользуетесь Tunnelblick, обновите его до версии 7.0, 7.1beta01 или более поздней.
Кроме того, наши эксперты советуют пользователям интерфейса выбрать любой из двух способов защиты: не удалять Tunnelblick․app из папки
/Applications или входить в систему как стандартный пользователь без прав администрирования.#PositiveЭксперты
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥20❤7👍5😱1
Уже более девяти лет эта организация проводит благотворительные аукционы, главные лоты которых — встречи с медийными личностями из разных областей жизни: бизнеса, культуры, спорта, политики, искусства… Всего за это время было собрано свыше 457 млн рублей, направленных на благотворительность.
Алексей Лукацкий участвует в аукционе уже второй раз. Победитель сможет встретиться с ним и обсудить вопросы кибербезопасности. В прошлом году меценат, пожелавший остаться неизвестным, заплатил за аналогичный лот 250 тыс. рублей.
Торги продлятся до 25 августа, ставки принимаются от всех желающих
😉 Участвуйте и готовьте вопросы для встречи!
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
❤20❤🔥9🤔7🤨5🐳2
This media is not supported in your browser
VIEW IN TELEGRAM
Ежели любите вы традиционные русские забавы и игрушки, то аддон наш «Мужик и медведь» станет милым приветом из детства.
Ежели нравится вам пробовать что-то новое и любопытное, тоже внакладе не останетесь — еще никто в истории OFFZONE-аддонов не задействовал в них сервопривод, а тем паче, в сочетании с обычной механикой.
Слушайте доклады мастеров умелых Позитивных Лабораторий, да аддон олдскульный, без лишних светодиодов и дисплеев, себе на бедж добывайте — выдавать за лучший вопрос будем. Удачи
#PositiveLabs
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
😁29❤🔥21👍13🔥6❤4
This media is not supported in your browser
VIEW IN TELEGRAM
Ну что, с днем рождения нас 🎉🎉🎉
Уже 23 года мы помогаем строить кибербезопасность и обыгрыватьв Тетрисе злоумышленников.
Полет результативный, собираемся продолжать в том же духе. Поздравления принимаем в комментариях 😎
@Positive_Technologies
Уже 23 года мы помогаем строить кибербезопасность и обыгрывать
Полет результативный, собираемся продолжать в том же духе. Поздравления принимаем в комментариях 😎
@Positive_Technologies
❤🔥88❤43🎉32👏14🔥10😁1🤨1
👾 Вредоносы еще не В С Ё
Аналитики Positive Technologies в новом исследовании рассказали о десяти самых распространенных семействах вредоносного ПО в России. Рейтинг основан на данных, полученных в результате анализа ВПО при помощи PT Sandbox в 2024 году и I квартале 2025 года. Подробнее — на карточках.
🎥 Ключевые выводы исследования (данные по всему миру):
• Доля атак с использованием ВПО продолжает расти год от года: в 2024 году и первой половине 2025 года такие атаки составили 65% по сравнению с 60% в 2023 году и 54% в 2022-м.
• Организации, наиболее часто атакуемые с помощью ВПО, — государственные учреждения (14%), промышленные (11%) и IT-компании (8%).
• В атаках на организации преобладало использование шифровальщиков, однако их доля заметно снизилась — с 57% в 2023 году до 44% в 2024 году.
• Доля атак на организации с использованием шпионского ПО увеличилась с 12% в 2022 году до 23% в 2023 году, а затем снизилась до 20%. Снижение может быть следствием возросшего интереса злоумышленников к ВПО для удаленного управления.
• В атаках на организации в качестве основного метода доставки ВПО по-прежнему доминирует электронная почта (47%), хотя ее доля снизилась по сравнению с 2023 годом (было 57%).
Больше подробностей — в полной версии исследования на нашем сайте.
🛡 О том, как компании защищаются от вредоносов в сетевом и почтовом трафике, вы сможете узнать на NetCase Day уже 16 сентября.
#PTSandbox
@Positive_Technologies
Аналитики Positive Technologies в новом исследовании рассказали о десяти самых распространенных семействах вредоносного ПО в России. Рейтинг основан на данных, полученных в результате анализа ВПО при помощи PT Sandbox в 2024 году и I квартале 2025 года. Подробнее — на карточках.
• Доля атак с использованием ВПО продолжает расти год от года: в 2024 году и первой половине 2025 года такие атаки составили 65% по сравнению с 60% в 2023 году и 54% в 2022-м.
• Организации, наиболее часто атакуемые с помощью ВПО, — государственные учреждения (14%), промышленные (11%) и IT-компании (8%).
• В атаках на организации преобладало использование шифровальщиков, однако их доля заметно снизилась — с 57% в 2023 году до 44% в 2024 году.
• Доля атак на организации с использованием шпионского ПО увеличилась с 12% в 2022 году до 23% в 2023 году, а затем снизилась до 20%. Снижение может быть следствием возросшего интереса злоумышленников к ВПО для удаленного управления.
• В атаках на организации в качестве основного метода доставки ВПО по-прежнему доминирует электронная почта (47%), хотя ее доля снизилась по сравнению с 2023 годом (было 57%).
Больше подробностей — в полной версии исследования на нашем сайте.
«В ближайшие пару лет использование ВПО сохранит свое лидерство в методах атакующих, поскольку с помощью вредоносов можно автоматизировать большинство этапов атаки. Особенно актуальными останутся программы-вымогатели, шпионское ПО и трояны удаленного доступа — как наиболее эффективные. При этом атаки будут более скрытными, персонализированными и технологичными, с акцентом на сбор конфиденциальной информации, манипуляцию сессиями и обход систем обнаружения», — отметил Федор Чунижеков, руководитель исследовательской группы Positive Technologies.
#PTSandbox
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥17❤10👏8💯2😁1🤨1
Forwarded from ESCalator
Гадание на Goffeeйной гуще: актуальные инструменты и особенности группировки Goffee в атаках на Россию ☕️
В течение 2024-2025 годов эксперты TI-департамента пристально следят за активностью группировки Goffee. За этот период, совместно с IR-командой, при расследовании инцидентов мы наблюдали обновление арсенала и использование новых векторов атаки.
🕵️ Нам удалось получить ранее неизвестные сэмплы — руткит, самописные инструменты для туннелирования трафика и другие. Изучение сетевой инфраструктуры позволило выявить паттерны, которые с высокой уверенностью позволяют атрибутировать новые семплы к активности группировки Goffee.
👽 О том, какие особенности в их инфраструктуре мы выделили, какой арсенал использует группировка на данный момент и почему исследование атак «гофи» — это поиск Goffeeйного зерна в инфраструктуре жертвы, вы можете узнать в нашей новой статье.
#TI #IR #APT #Malware
@ptescalator
В течение 2024-2025 годов эксперты TI-департамента пристально следят за активностью группировки Goffee. За этот период, совместно с IR-командой, при расследовании инцидентов мы наблюдали обновление арсенала и использование новых векторов атаки.
#TI #IR #APT #Malware
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16👍10👌6❤3😱1🤨1