⚠️ Используя ажиотаж вокруг новой ИИ-модели Sora от компании OpenAI, киберпреступники распространяют фишинговый сервис генерации видео через GitHub. Злоумышленники маскируют вредоносный файл SoraAI.lnk под легальный дистрибутив. Конечная цель – кража данных, включая учетные данные браузера, конфигурации системы и личных файлов, что может привести к целенаправленным атакам.

«В данном случае киберзлодеи используют старую добрую технику фишинга из скоупа социальной инженерии, воспользовавшись ажиотажем вокруг новейших инструментов ИИ. Имитация легальных дистрибутивов ПО, красивая презентация инструмента и документация повышают доверие пользователей к репозиторию. Именно так вредоносный 'SoraAl.lnk' и попадает на эндпоинт жертвы. Разработчики часто загружают ПО с GitHub, что делает его идеальным инструментом для охвата технических специалистов», — сказала Ирина Дмитриева, киберэксперт компании «Газинформсервис».

Первоначальное заражение начинается с ярлыка Sora Al.lnk, который пользователи скачивают, полагая, что это легитимный дистрибутив для запуска ИИ. При инициализации на устройстве этот файл запускает сложную последовательность команд PowerShell. На этапах разворачивания ВПО устанавливается соединение с репозиторием GitHub злоумышленника и загружается полезная нагрузка следующего этапа. Критичный момент, что вредонос использует легитимную инфраструктуру для предотвращения обнаружения.

«Архитектура вредоносного ПО демонстрирует глубокое понимание механизмов безопасности Windows и систем обнаружения конечных точек. Для защиты от фишингового сервиса SoraAI в GitHub рекомендуется заблокировать доступ к репозиторию ArimaTheH/a через межсетевые экраны и отключить выполнение PowerShell-скриптов по умолчанию. Обучите сотрудников проверять репутацию GitHub-репозиториев через VirusTotal перед загрузкой, ограничьте права пользователей с помощью политики минимальных привилегий и мониторьте создание временных файлов со случайными именами в системах. В то же время центр мониторинга и реагирования GSOC обеспечивает предиктивную защиту именно от таких сложных угроз: специалисты помогут обнаружить отклонения в поведении пользователей и систем, вызванные кражей данных, даже если вредонос избежал сигнатурных детектов. При расследовании произошедших инцидентов вы получите единую картину угрозы — от точки входа до эксфильтрации данных — и гарантированное время реагирования (SLA) на инциденты, минимизирующее ущерб», — отметила Ирина Дмитриева.

#gis_новости #gsoc

⚠️ Вчера, 18 июня, исследователи обнародовали критическую уязвимость CVE-2025-49596 (CVSS 9.4) в инструменте MCP Inspector, предназначенном для тестирования и отладки серверов Machine Context Protocol.

Прокси-сервер Inspector не требует аутентификации, поэтому любой, кто доберётся до открытого порта, может отправлять MCP-команды через stdio и выполнить произвольный код. Это ставит под угрозу среды разработки ИИ: злоумышленник способен запускать команды на хосте, подменять или отравлять потоки ввода-вывода моделей и выводить конфиденциальные данные.

🗣Киберэксперт лаборатории стратегического развития компании «Газинформсервис» Михаил Спицын предупреждает, что при уровне CVSS > 9 речь идёт не просто о бреши в инструменте, а об RCE, который открывает путь к «железу» CI\CD-платформы.

«Риск куда более чем серьёзный, это классический пример того, как "вспомогательный" отладочный сервис живёт без защиты, потому что "это же только для локальной сети". Для команд, тренирующих модели на "живых" прод-данных или подключающих внешние плагины, это фактически supply-chain-risk — компрометация моделей и дальнейшая "отравленная" поставка. Однако, благодаря инициативе по разработке российского реестра доверенных технологий ИИ, в которой "Газинформсервис" принимает активное участие, возможно будет избежать рисков, связанных с LLM-моделями».

Тем не менее проблема с уязвимостью уже устранена — разработчики выпустили MCP Inspector v0.14.1, где реализована полноценная аутентификация для прокси-доступа. Владельцам более ранних версий настоятельно рекомендуется немедленно обновиться и убедиться, что Inspector не доступен за пределами доверенной сети. Одновременно полезно пересмотреть журналы на предмет подозрительных вызовов MCP и ограничить экспонирование инструмента до минимума, чтобы исключить повторные атаки.

«Такие действия, как подозрительные вызовы, попытки исполнения кода и другие аномалии в сети — это по части специалистов центра мониторинга. Причём желательно таким экспертам использовать передовые технологии с модулями поведенческой аналитики, чтобы сократить время детектирования угрозы. Корпоративный центр мониторинга GSOC с помощью набора инструментов и средств мониторинга выявляет атаки на ранних стадиях и разрывает всю цепочку», — подытожил эксперт.

#gis_новости #gsoc

Сразу к делу — ❗️❗️❗️❗️❗️❗️
Мы готовы предложить особые условия сотрудничества и стоимость услуг центра мониторинга и реагирования GSOC ниже средних показателей по рынку для первых 5️⃣ обратившихся*!

Очевидные плюсы от выбора нашего SOC:
⏺Быстрый старт: возможность оперативного подключения инфраструктуры клиента к SOC;
⏺Гибкость при построении вариантов взаимодействия с ИБ-специалистами клиента;
⏺Практический опыт специалистов, подтвержденный победами на престижных конкурсах в составе Red и Blue Team;
⏺Сертифицированные аналитики CISSP, CISM, CEH, OSWE, OSCP;
⏺Дополнительно действует еще и рассрочка платежей.

Узнать подробности и условия можно здесь.

P.s. До окончания спецпредложения осталось 73 дня.
*Предложение не является публичной офертой. Подробности уточняйте у менеджеров.

#gsoc #gis_новости

⚠️ Критическая уязвимость в Windows-версии «Яндекс Телемоста» вновь подчёркивает важность многоуровневой защиты, предупреждает Андрей Жданухин, руководитель группы аналитики L1 GSOC компании «Газинформсервис».

Недавнее выявление критической уязвимости CVE-2024-12168 в «Яндекс Телемосте» для Windows снова подчёркивает, как важна безопасность даже у доверенных и широко используемых приложений. Использование метода DLL Side-Loading позволяло атакующему запускать вредоносный код при каждом старте программы — без прав администратора и с минимальными шансами быть замеченным антивирусом.

Особенно тревожна возможность распространения модифицированных архивов через фишинг, где вредоносная DLL могла маскироваться рядом с официальным ПО благодаря цифровой подписи "Яндекса".

«Для предотвращения подобных атак организациям необходима не только установка актуальных версий ПО, но и внедрение механизмов глубокой защиты. Центр мониторинга и реагирования GSOC способен обнаружить признаки эксплуатации подобных уязвимостей на раннем этапе — за счёт постоянного анализа поведения систем и запускаемых процессов, даже если они формально подписаны доверенными вендорами. Благодаря технологиям поведенческой корреляции GSOC выявляет нетипичные взаимодействия приложений и библиотек, а также аномалии на уровне конечных устройств, помогая заказчикам вовремя пресекать скрытные векторы атак», — подчеркнул Жданухин.

#gis_новости #gsoc

⚠️ Две критические уязвимости в пакете udisks позволяют злоумышленникам, получившим даже минимальный доступ к системе Linux, повысить свои привилегии до root.

🗣 Александр Михайлов, руководитель GSOC компании "Газинформсервис", предупреждает о потенциально катастрофических последствиях для бизнеса:

"Это уязвимость типа Local Privilege Escalation, — объясняет Михайлов. — Злоумышленник, получивший доступ, например, через фишинговую ссылку, слабый пароль или уязвимое веб-приложение, может использовать её для эскалации привилегий до root. Учитывая распространённость Linux в корпоративных сетях и на "умных" устройствах, последствия бездействия могут быть катастрофическими".

Рекомендации нашего эксперта:
⏺Немедленно обновиться. Системные администраторы должны в приоритетном порядке установить обновления для пакета udisks2 на всех Linux-системах компании. Разработчики дистрибутивов, к счастью, отреагировали оперативно.
⏺Провести аудит прав доступа. Проверьте, кто и к чему имеет доступ в ваших системах. Принцип минимальных привилегий — основа безопасности. Ни у кого не должно быть прав больше, чем это необходимо для работы.
⏺Усилить мониторинг. Даже если вы обновились, важно отслеживать аномальную активность.

"Этот случай — отличное напоминание, что кибербезопасность — это непрерывный процесс, а не разовый проект. Обновление ПО, контроль за действиями пользователей и постоянный мониторинг событий безопасности — три кита, на которых держится реальная защищённость современного бизнеса.

Задача нашего SOC — 24/7 искать признаки подозрительной активности: необычные системные вызовы, попытки повышения привилегий, создание нестандартных процессов. Это позволяет выявить атаку, даже если она использует ещё неизвестную уязвимость", — подчёркивает Михайлов.

#gis_новости #gsoc

🔐 Почему ваш бизнес нуждается в современном SOC?

В эпоху цифровых угроз защита данных — это не роскошь, а необходимость. Давайте разберем, почему GSOC от «Газинформсервис» — ваш надежный щит в мире кибербезопасности.

Что изменилось за год работы?
⏺Скорость реагирования на инциденты выросла в разы благодаря оптимизации процессов
⏺Точность обнаружения угроз повысилась благодаря внедрению AI-технологий
⏺Интеграция с клиентами стала проще и быстрее

🗣Подробнее о достижении GSOC за год рассказали редакции CISOCLUB Александр Михайлов, руководитель GSOC, и Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений.

Не рискуйте безопасностью вашего бизнеса — доверьте защиту профессионалам!

Узнать больше о GSOC можно здесь.
#gis_полезности #gsoc

⚠️ Группа северокорейских хакеров BlueNoroff использует дипфейки в Zoom для обмана сотрудников компаний и установки вредоносного ПО на компьютеры под управлением macOS.

Атака BlueNoroff представляет собой сложную многоступенчатую операцию. Под видом легитимных инструкций в Zoom они убеждают жертв установить вредоносное ПО, которое затем используется для кражи криптовалюты. Хотя технические аспекты атаки важны, главная уязвимость — это человеческий фактор.

🗣Как подчёркивает Александр Михайлов, руководитель GSOC компании «Газинформсервис», эта атака демонстрирует эволюцию киберпреступности: фокус смещается с технических уязвимостей на обход даже самых надёжных средств защиты.

«Мы видим уже не просто техническую атаку, а сложную многоэтапную операцию, где передовые технологии, такие как дипфейки, служат инструментом для изощрённой социальной инженерии. Ключевая уязвимость здесь — это доверие. Атака нацелена на то, чтобы обойти самые надёжные технические средства защиты, манипулируя сотрудником.

Для бизнеса критически важно смещать фокус с чисто технической защиты на комплексную. Нужны не только антивирусы, но и строгие внутренние регламенты (например, обязательная верификация любых подозрительных запросов по альтернативному каналу связи) и обучение сотрудников распознаванию подобных атак. Доверять, но всегда проверять — вот новая реальность».

За мерами по превентивной и активной защите должны следовать мониторинг и реагирование, например, силами коммерческого SOС. Злоумышленники становятся всё более изобретательными при проникновении в инфраструктуру и маскировке деятельности вредоносного ПО на конечных узлах, но подобные атаки видны аналитикам SOС по комплексу индикаторов и благодаря выявлению аномалий в поведении пользователей и сущностей.
#gis_новости #gsoc

⚠️ Исследователи обнаружили, что многокомпонентное вредоносное ПО PickAI, нацеленное на платформу для создания ИИ-изображений, поразило как минимум 695 серверов по всему миру.

Кампания была впервые зафиксирована в феврале 2025 года, когда ранняя версия вредоносного кода была загружена на VirusTotal с территории Гонконга. Основная концентрация зараженных систем наблюдается в Германии, США и Китае.

🗣Эксперт Ирина Дмитриева рассказала, что злоумышленники использовали скомпрометированную инфраструктуру, включая официальный сайт Rubick.ai — коммерческой ИИ-платформы, обслуживающей свыше 200 крупных розничных брендов. Это представляет серьёзную угрозу для безопасности ИИ-инфраструктуры.

«Для распространения вредоноса использовались уязвимости ComfyUI. Злоумышленники распространяли исполняемые файлы формата ELF, замаскированные под конфигурационные файлы (включая config.json, tmux.conf и vim.json). При запуске с root-привилегиями PickAI создает пять идентичных копий себя в различных системных каталогах. Каждая копия имеет синхронизированные временные метки модификации, соответствующие таковым у файла /bin/sh, что маскирует их под легитимные системные компоненты.

Каждая реплика реализует механизмы персистентности через дублирующие методы, создавая в совокупности десять различных служб. Все это продумано для противодействия сигнатурному анализу, а дополнительно ВПО дополняет копию случайными данными, что приводит к генерации уникальных хэшей MD5 для идентичной по функционалу вредоносной нагрузки. В средах без прав суперпользователя PickAI обеспечивает свою персистентность, поддерживая пять точек восстановления через сервисы systemd в пользовательских каталогах».

Вирус чрезвычайно устойчив к обнаружению: он создаёт несколько копий себя в разных системных папках, изменяя свои временные метки и добавляя случайные данные, чтобы обмануть антивирусы. Даже если запускается без административных прав, PickAI обеспечивает себе «выживание» с помощью резервных копий в пользовательских папках.

Для снижения рисков атак на ИИ-сервера наш эксперт рекомендует выделить их в отдельные сегменты DMZ, использовать механизмы контейнеризации, а также ограничить запуск ИИ-сервисов под минимальными привилегиями. В вопросах контроля доступа к ИИ-сегменту стоит обеспечить соблюдение принципа минимальных привилегий и внедрить MFA.

«В контексте этого кейса, SOC имеет определяющее значение для обеспечения проактивной защиты инфраструктуры: обеспечение мониторинга критических системных файлов (/bin/sh, файлы в init.d/, systemd, конфиги) на предмет изменений, а также отслеживать наличие характерных имен файлов, сигнатур C2, хэшей несмотря на рандомизацию. Аналитикам SOC рекомендуется проводить и ретроспектвный анализ аномалий: несвойственные процессы, сетевые соединения, изменения файлов. Для выстраивания проактивной защиты можно обратиться в GSOC компании "Газинформсервис" — квалифицированные аналитики способны выступить центральным звеном, связывающим технические средства защиты, аналитику угроз и оперативные действия», — объяснила эксперт.

#gis_новости #gsoc

⚠️ Северокорейские хакеры используют фишинговые атаки, направленные на конкретных пользователей, злоупотребляя сервисами GitHub и Dropbox.

🗣Александр Михайлов, руководитель GSOC компании «Газинформсервис», предупреждает, что злоумышленники рассылают фишинговые письма со ссылками на эти популярные платформы:

«В серии атак преступники используют общедоступные и разрешенные инструменты для своих целей, что приносит свои плоды, так как стандартные системы безопасности с меньшей вероятностью заблокируют ссылку на легитимный Dropbox или GitHub, чем на неизвестный подозрительный сайт», — объяснил эксперт.

Для бизнеса это означает, что традиционного выстраивания «стены» на периметре уже недостаточно — замотивированный преступник сможет проникнуть практически через любую периметральную защиту. Атака начинается с обычного, на первый взгляд безобидного письма, легко проходящего базовые фильтры. Основная ставка делается на человеческий фактор.

Для защиты от таких атак необходим комплексный подход:

«Во-первых, ключевую роль играет осведомленность персонала. Необходимо постоянно обучать команды распознавать такие уловки и не доверять слепо даже ссылкам на известные сервисы.

Во-вторых, нужны современные средства защиты, которые анализируют не только сам файл, но и его поведение в системе уже после запуска. Именно на этом уровне профессиональные центры мониторинга выявляют аномальную активность и останавливают атаку, даже если первый рубеж обороны был пройден.

Сегодняшний урок прост: цифровая бдительность и многоуровневая технологическая защита — единственный работающий рецепт против современных угроз».

#gis_новости #gsoc

⏺Эксперт в области кибербезопасности Екатерина Едемская предупреждает об участившихся случаях использования уязвимости Bluetooth Low Energy (BLE) в чипах Realtek. Эта уязвимость позволяет злоумышленникам проводить атаки типа "отказ в обслуживании" (DoS) во время сопряжения устройств. Злоумышленники могут внедрять вредоносные данные, вызывая сбой Bluetooth-стека на целевом устройстве и блокируя все последующие попытки подключения.

"Уязвимость в Bluetooth Low Energy от Realtek является серьёзной угрозой для пользователей, — объяснила Едемская. — Проблема заключается в том, что устройства не проверяют корректность последовательности пакетов, что позволяет злоумышленникам внедрять данные до того, как процесс сопряжения завершится. Это может привести к сбою Bluetooth-стека на целевом устройстве и блокировке всех дальнейших попыток подключения, что затруднит эксплуатацию устройства и может стать причиной длительного простоя. Атаки могут быть выполнены дистанционно, без необходимости физического доступа к устройствам, что значительно увеличивает масштаб возможных угроз".

Технически атака выполняется путём создания специально подготовленных пакетов, таких как ll_terminate_ind, которые могут быть отправлены для разрыва связи или для принудительного выхода устройства из сопряжения. Такой подход позволяет атакующим управлять процессом установления соединения, вмешиваясь на этапе обмена ключами и вводя устройства в состояние отказа. Для того чтобы сделать атаку более успешной, злоумышленники могут использовать инструменты автоматизации, такие как l2ping или самописные скрипты, которые позволяют быстро наводнять устройство пакетами, создавая перегрузку и не давая ему времени на восстановление.

"Для защиты от подобных угроз организациям и пользователям следует внедрить несколько ключевых мер. Во-первых, необходимо обновлять прошивки устройств, чтобы устранить эту уязвимость, как только производители выпустят соответствующие патчи. Во-вторых, можно реализовать сегментацию сети для устройств BLE, что позволит изолировать критически важные устройства и уменьшить потенциальный вектор для атак. Для пользователей, в частности, следует отключать Bluetooth, когда он не используется, чтобы минимизировать риски несанкционированных подключений. Наконец, необходимо постоянно мониторить активность Bluetooth на устройствах, чтобы оперативно выявлять аномальные или подозрительные попытки подключений и своевременно предотвратить атаки", — отметила инженер-аналитик. Она добавила, что для коммерческого мониторинга рекомендуется использовать центры типа SOС, такие как GSOC компании "Газинформсервис".

#gis_новости #gsoc

❗️❗️❗️❗️Условия, которые больше не повторятся!

Годовой контракт за 5 млн ₽ — только для первых пяти обратившихся*. Бизнес под круглосуточной защитой GSOC — центра мониторинга и реагирования от «Газинформсервис»👍

Предлагаем особые условия сотрудничества:
⏺Быстрый старт: возможность оперативного подключения инфраструктуры клиента к SOC;
⏺Гибкость при построении вариантов взаимодействия с ИБ-специалистами клиента;
⏺Практический опыт специалистов, подтверждённый победами на престижных конкурсах в составе Red и Blue Team;
⏺Сертифицированные аналитики CISSP, CISM, CEH, OSWE, OSCP;
⏺Действует рассрочка платежей.

Количество спецпредложений ограничено – осталось 59 дней. Оставить заявку и получить консультацию эксперта можно здесь -> https://clck.ru/3MuPhR

*Предложение не является публичной офертой. Подробности уточняйте у менеджеров.
#gis_новости #gsoc

⚠️ Мошенники стали чаще интересоваться данными россиян, активизируя свои действия в сфере фишинга и кражи персональных данных. Так, с начала 2025 г. специалисты зафиксировали более 1600 фишинговых ресурсов, направленных на клиентов компаний нефтегазового сектора. Число ИТ-атак на компании топливно-энергетического комплекса выросло за полгода на 40%. Цель таких кампаний — завладеть финансовой информацией пользователей, а также шпионаж.

Преступники используют всё более изощренные методы, что требует повышенной бдительности со стороны пользователей и совершенствования методов защиты информации со стороны компаний и государственных структур. Как отмечает руководитель группы аналитики L1 GSOC Андрей Жданухин, вектором входа чаще всего становятся письма с вредоносными вложениями, ссылки на поддельные сайты или социальная инженерия, направленная на получение доступов к корпоративным системам.

"Злоумышленники всё чаще используют инсценировки официальных коммуникаций, включая фальшивые документы, уведомления от якобы госорганов и даже звонки с "внутренних" номеров, чтобы ввести в заблуждение пользователей. Целью остаётся не только хищение персональных и финансовых данных, но и шпионаж, саботаж и скрытый доступ к критически важным системам.

В таких условиях GSOC компании "Газинформсервис" играет ключевую роль в обеспечении проактивной и глубинной киберзащиты. Центр мониторинга анализирует поведенческую телеметрию в режиме реального времени, выявляя аномалии во входящем трафике, активности учетных записей и попытках взаимодействия с внешними API или подозрительными доменами. Используя методики проактивного поиска угроз (Threat Hunting), GSOC отслеживает признаки подготовки атаки ещё до её активации - будь то регистрация домена-клона, массовая рассылка писем или скрытая активация малвари внутри сети. Особое внимание уделяется корреляции событий: даже незначительные инциденты могут стать частью сложной многоступенчатой кампании. За счёт автоматизированного реагирования и экспертной аналитики GSOC способен выявить угрозу на раннем этапе, локализовать её и не дать атакующим развить успех внутри инфраструктуры", — отметил руководитель группы аналитики L1 GSOC.

#gis_новости #gsoc

⚠️ Исследователи обнаружили опасную уязвимость CVE‑2025‑47812 (CVSS 10.0) в Wing FTP Server, популярном кроссплатформенном решении для передачи файлов. Она позволяет злоумышленникам получить полный контроль над сервером с помощью простого запроса.

«Атака реализуется через передачу параметра username, в который внедряется NULL-байт и произвольный Lua-код, — объяснил руководитель группы аналитики L1 GSOC Андрей Жданухин. — Благодаря этому злоумышленник без аутентификации получает возможность запускать системные команды с привилегиями root на Linux или SYSTEM на Windows, фактически получая полный контроль над сервером. Появился даже PoC и Metasploit-модуль, а единственным выходом является срочное обновление до версии 7.4.4».

В таких сценариях, отмечает эксперт, GSOC компании «Газинформсервис» выходит за рамки простого мониторинга: команда SOC активно занимается Threat Hunting, просматривая подозрительные POST-запросы к критическим интерфейсам и анализируя необычную активность в файловой системе и логах сервера.

«При обнаружении загрузки или исполнения Lua-скриптов из сессий запускается блокировка процесса, изоляция сессии, и инициируется расследование. Это позволяет нейтрализовать атаку на этапе внедрения вредоносного кода, до того, как злоумышленник получит полный контроль над сервером, что снижает риск компрометации инфраструктуры», — пояснил руководитель группы аналитики L1 GSOC.

#gis_новости #gsoc

⚠️ Новая группа вымогателей BERT использует тактику атак на виртуальные машины VMware ESXi. Главная изощрённость кроется в методе. Как следует из анализа, они сначала принудительно останавливают все виртуальные машины, а уже потом беспрепятственно шифруют их файлы, которые больше не заблокированы системой. Цель здесь — не просто зашифровать данные, а вызвать полный коллапс бизнес-процессов, создав ситуацию, в которой у компании не остаётся иного выбора, кроме как заплатить выкуп.

🗣Как отмечает эксперт в области кибербезопасности, руководитель GSOC компании «Газинформсервис» Александр Михайлов, мы видим не хаотичные взломы, а расчётливые удары, нацеленные на причинение максимального, каскадного ущерба всему бизнесу. Это ярко иллюстрирует то, как эволюционировала киберпреступность:

«Выбор VMware ESXi в качестве цели не случаен. Злоумышленники прекрасно понимают, что это сердце инфраструктуры современной компании, единая точка отказа. Выводя из строя один хост виртуализации, они одним махом парализуют десятки критически важных систем — от баз данных до корпоративной почты. При этом ESXi является одним из самых популярных гипервизоров в мире и до сих пор занимает лидирующие позиции и в России, несмотря на уход компании VMWare из нашей страны.

Это означает, что защита не может строиться только на поиске вредоносного кода. Краеугольным камнем безопасности становятся строжайший контроль доступа, постоянный мониторинг и поведенческий анализ. Необходимо срочно внедрять многофакторную аутентификацию для администраторов, изолировать сети управления и, конечно, иметь под рукой проверенные, полностью автономные резервные копии».

#gis_новости #gsoc

Мы редко делаем спецпредложения, но сейчас — ❗️❗️❗️❗️

Такой возможности может больше не быть! Доступ к нашему SOC на уникальных условиях - первые 5 клиентов получают годовой контракт за 5 млн ₽*.

Количество спецпредложений ограничено. До конца приема заявок осталось 49 дней.
🔜Узнать условия и оставить заявку можно здесь: https://clck.ru/3N2p9F

*Предложение не является публичной офертой. Подробности уточняйте у менеджеров.
#gsoc

⏺Исследователи в области кибербезопасности выявили новую, усовершенствованную модификацию вредоносного программного обеспечения ZuRu, которое теперь активно распространяется под видом популярного SSH-клиента для управления серверами Termius для macOS.

🗣Киберэксперт Ирина Дмитриева отметила, что этот троян представляет серьёзную угрозу, обеспечивая скрытый удалённый доступ к заражённым устройствам и способный похищать конфиденциальные данные.

Внутри ZuRu теперь есть специальный набор инструментов для шпионажа — Khepri. Он позволяет им воровать файлы, узнавать информацию о вашем компьютере, запускать или останавливать программы и даже давать ему команды.

Причём он оснащён модифицированной версией Khepri-инструмента для постэксплуатации, который позволяет получать удалённый доступ к заражённым хостам. Модифицированный Khepri — это многофункциональный C2-имплант, который может передавать файлы, проводить системную разведку, запускать и контролировать процессы, а также выполнять команды с захватом вывода. Сервер C2, используемый для связи с маяком, называется ‘ctl01.termius[.]fun’.

А всё начинается с обмана пользователя. Троян скрывается под видом обычного установочного файла с расширением .dmg и содержит взломанную версию Termius.app. Там, в модифицированном ‘Termius Helper.app’, есть два дополнительных исполняемых файла: загрузчик с именем ‘.localized’ (для запуска управляющего маяка Khepri с удалённого сервера) и ‘.Termius Helper1,’ (переименованная версия оригинального помощника ‘Termius Helper’).

Для обхода системной защиты macOS от троянизированных приложений злоумышленники заменили цифровую подпись разработчика на собственную временную подпись, что помогло обойти ограничения после внесения изменений внутри образа.

Помимо загрузки маяка Khepri, загрузчик предназначен для валидации настроек на хосте и проверки, присутствует ли вредоносная нагрузка по заранее определённому пути ‘/tmp/.fseventsd’ в системе. Если файл обнаружен, программа сравнивает хеш-значение полезной нагрузки с тем, которое размещено на сервере. Если значения хеша не совпадают, загружается новая версия.

«Согласно представленным деталям о новой модификации вредоноса, стоит серьёзно отнестись к проактивному анализу угроз. Рекомендуется добавить в чёрные списки домены из публикации, а также любые другие связанные IP-адреса/домены на уровне фаерволов, DNS-фильтрации, EDR/XDR. При возможности заблокировать запуск исполняемых файлов .localized и .Termius Helper1 через сигнатуры EDR/XDR. Для ретроспективной проверки, не было ли аналогичных запросов за последние 3 месяца, стоит обратиться за помощью к квалифицированным аналитикам GSOC компании "Газинформсервис". Специалисты смогут провести анализ инфраструктуры и грамотно разрешить потенциальные угрозы после анализа телеметрии, предполагающего проведение полного цикла compromise assessment».

#gis_новости #gsoc

SOChная курочка: готовим карри в новом выпуске шоу «Инфобез со вкусом»🧂

Двенадцатый выпуск будет посвящён центрам мониторинга и реагирования в целом и GSOC компании «Газинформсервис» в частности. Эксперты приготовят яркое индийское блюдо и обсудят, что из себя представляет security operations center.

Рецепты курицы карри различаются в каждом регионе, и даже в Англии есть свой вариант — chicken curry. Так и центры мониторинга и реагирования могут содержать в себе разные услуги в зависимости от запросов заказчиков. Сергей Полунин, ведущий шоу и руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис», вместе с гостем расскажут о том, как выбрать не только SOC, но и его важные «ингредиенты» — сотрудников.

🗓 Премьера выпуска состоится 24 июля в 15:00.
А пока смотрите тизер и ставьте лайки 😉
#инфобезсовкусом #gis_развлечения #gsoc

⚠️ Пользователи Wing FTP Server столкнулись с критической угрозой: выявленная уязвимость активно эксплуатируется злоумышленниками спустя считанные часы после публикации её технических деталей. Брешь позволяет выполнять код удалённо (RCE), что может повлечь за собой полную компрометацию сервера.

🗣Михаил Спицын, киберэксперт лаборатории стратегического развития аналитического центра кибербезопасности компании «Газинформсервис», отметил, что проблема кроется в серьёзной архитектурной ошибке. Она позволяет обойти проверку идентификаторов сессий и активно используется хакерами для внедрения и исполнения вредоносного Lua-кода с правами суперпользователя.

Особую тревогу вызывает тот факт, что эксплойт применим даже при включённом анонимном доступе, что делает уязвимыми публичные FTP-интерфейсы.

«Речь идёт о типичном RCE-эксплойте с полной компрометацией сервера из-за фундаментальной ошибки в обработке данных на границе ввода — а именно в трактовке \0-байта в строках.

Чтобы минимизировать риск, организациям необходимо незамедлительно обновить Wing FTP Server до версии 7.4.4 и выше и провести аудит сессионной логики на предмет подделки UID в куках. В качестве комплексной меры защиты от подобных атак, необходимо организовать мониторинг безопасности на предприятии. В корпоративном центре мониторинга GSOC используются основные инструменты: система класса SIEM — для раннего выявления аномалий, в том числе в поведении учётных записей и HTTP/FTP-трафике, для определения подозрительных отклонений в активности пользователей — инструменты поведенческой аналитики, а также EDR — для изоляции попытки запуска вредоносного кода. Уязвимость с таким вектором должна рассматриваться как критическая в любом периметре, особенно в инфраструктуре с доступом из интернета».

#gis_новости #gsoc

До премьеры нового выпуска шоу «Инфобез со вкусом» осталось2️⃣4️⃣ часа, а значит, самое время рассказать вам чуть больше 😉

В этот раз гостем на нашей кухне стал Александр Михайлов, руководитель GSOC компании «Газинформсервис».

В этом выпуске мы ответим на следующие вопросы:
⏺Почему бизнесу должен быть интересен SOC?
⏺Насколько SOC можно считать адаптируемой под запросы компании услугой?
⏺Каким должен быть рабочий процесс в SOC, чтобы сотрудники не выгорали?

Подписывайтесь на группу ВКонтакте, чтобы не пропустить новый интересный выпуск!
#инфобезсовкусом #gis_развлечения #gsoc

Смотрите новый выпуск шоу об информационной безопасности и кулинарии — «Инфобез со вкусом»🔥

Двенадцатый выпуск был посвящён центрам мониторинга и реагирования в целом и GSOC компании «Газинформсервис» в частности. Эксперты готовили яркое индийское блюдо и обсуждали, что из себя представляет security operations center.

«В этом вкусном выпуске мы с Сергеем разобрались, сколько ингредиентов в курице карри, а сколько в SOC, как сделать так, чтобы не подгорело блюдо и чтобы не выгорали аналитики. Получилось познавательно!», — делится Александр Михайлов, гость шоу.

Посмотреть 12-й выпуск шоу об информационной безопасности и кулинарии можно здесь.

#gis_развлечения #инфобезсовкусом #gsoc