Раньше кибергруппировку (Ex)Cobalt привлекали только деньги. Теперь в фокусе злоумышленников оказались данные госструктур — похоже, хакеры стали кибершпионами.

☀️ В декабре 2023 года (Ex)Cobalt заразила крупное госучреждение вредоносным модулем CobInt. Команда Solar 4RAYS проанализировала этот случай. Вот что интересного удалось выяснить:

1️⃣ Источник заражения системы — фишинговые письма с RAR-архивами, в которых находились LNK-файлы.
2️⃣ Группировка использовала «скрипты-матрешки» Bat, VBS и PowerShell, которые запускались друг за другом и загружали в память вредоносный модуль CobInt.
3️⃣ Для создания TCP/UDP-туннелей через HTTP злоумышленники использовали модифицированную версию утилиты Chisel с открытым исходным кодом.

Больше подробностей о кибератаке вы найдете в нашей статье. В ней рассказали, какие еще инструменты использовала (Ex)Cobalt и какие вредоносные домены ей могут принадлежать. Прочитайте, чтобы не стать следующей жертвой кибершпионов.

#Solar_4RAYS

💣На серверах крупной организации хранится огромное количество данных. Большинство из них неструктурированные, например сметы, ТЗ для подрядчиков, отчеты систем.

Файлов так много, что ИБ-специалисты не успевают обрабатывать их вручную. Появляется риск упустить из виду что-то важное — тогда в случае кибератаки критическая информация может попасть в сеть.

💡Чтобы избежать цифровых инцидентов, важно автоматизировать работу с неструктурированными данными. Бизнесу поможет Solar DAG — система, которая сканирует файловые хранилища и выявляет важные документы. У продукта «Солара» есть три ключевых преимущества, которые позволяют навести порядок в данных:

1️⃣ Непрерывный мониторинг хранилищ

Solar DAG работает с данными компании, которые хранятся и обрабатываются в неструктурированном виде.

Информация о контролируемых объектах и структуре прав доступа непрерывно обновляется. Так служба ИБ получает актуальные сведения о том, где хранятся конфиденциальные данные и у кого есть к ним доступ.

2️⃣ Комплексная обработка информации

Система обрабатывает до 100 млн ИБ-событий в день. Она позволяет работать с огромными массивами информации и регулировать действия большого числа сотрудников.

Комплексная экспертиза особенно важна компаниям уровня Enterprise — крупному бизнесу сегментов B2B, B2E и B2G, — чтобы эффективно контролировать всю инфраструктуру.

3️⃣ Высокая скорость анализа данных

Решение «Солара» анализирует информацию со скоростью до 1,5 Тб в сутки. Сотрудники безопасности могут оперативно обнаруживать конфиденциальные данные и контролировать к ним доступ.

Solar DAG упорядочивает хаос, чтобы создать гармонию. Внедрите его в компанию и обеспечьте надежное хранение данных ❤️

⏰ Примерно 28 раз в год привилегированные пользователи скачивают запрещенный контент из сети компаний. К таким выводам «Солар» пришел после опроса 150 ИБ-специалистов и руководителей. Среди выгруженной информации — персональные данные клиентов и стратегические планы. Если такие сведения утекут в интернет, под ударом окажется весь бизнес.

Пресечь нарушения позволит Solar SafeInspect. Вот три сценария, как офицер безопасности может работать с PAM-системой:

✅ Мониторить действия пользователей онлайн. Активные сессии пользователей отображаются в интерфейсе Solar SafeInspect в реальном времени. Если сотрудник начнет выгружать важные файлы, администратор PAM-системы сразу это увидит и сможет прервать доступ.

✅ Заранее настроить правила мониторинга. Например, можно запретить скачивание и копирование файлов при работе с определенными системами. Такая мера полностью исключает возможность утечки.

✅ Расследовать инциденты. PAM-система фиксирует все пользовательские сессии в виде текста с метаданными. При необходимости запись можно сконвертировать в видеофайл, затем выгрузить из системы или посмотреть прямо в Solar SafeInspect. По нему специалист ИБ сможет восстановить хронологию событий и найти нарушителя.

Поделитесь, какие проблемы с привилегированным доступом чаще всего возникают в вашей компании и как вы их решаете.

Что вы делаете 7-8 февраля? Мы, например, едем на «Инфофорум».

Там в эти дни соберутся крупнейшие компании в области ИТ и ИБ, предприятия-заказчики промышленности, ТЭК, связи, транспорта, финансов и других отраслей.

Солар готовит собственный стенд, а ещё будет участвовать в деловой программе.

В дискуссии «Экономика данных и центральные задачи в сфере кибербезопасности до 2030 г.» примет участие GR-директор Михаил Адоньев. Поговорим о новом нацпроекте, который должен отвечать за сбор данных, развитие систем связи, суверенную инфраструктуру для хранения данных в стране и другие аспекты ИБ.
⏰ Когда: 7 февраля, 13:00.

Круглый стол «Готовность российского рынка NGFW к 2025 году. Завершение этапа импортозамещения» посетит Александр Баринов, директор портфеля продуктов сетевой безопасности. Обсудим настоящее и будущее отечественного NGFW, а еще поговорим о критериях сравнения.
⏰ Когда: 7 февраля, 15:45.

Посмотреть трансляцию можно здесь.

Подключайтесь к трансляции или заглядывайте к нам на стенд — его будет легко узнать по лучам света.

Решение «Солара» встало на защиту кода в ИнтерЭВМ

Теперь средства защиты станут эффективнее, ведь уязвимости будут находить ещё на стадии испытаний.

Анализатор кода Solar appScreener используют при проверке безопасного кода в международном центре «ИнтерЭВМ». Это аккредитованная Минобороны России и ФСБ России испытательная лаборатория, где исследуют средства защиты информации.

Во время сертификационных испытаний Solar appScreener выявил уязвимости ПО, которые другие инструменты лаборатории не смогли обнаружить. Анализатор с комплексным подходом (DAST, SAST, SCA, SCS) использовали для автоматизации и повышения эффективности проверки кода.

Плюсы Solar appScreener, отмеченные «ИнтерЭВМ»:
✅ Простота использования.
✅ Информативный и дружелюбный интерфейс.
✅ Возможность анализа бинарного кода.
✅ Поддержка 36 языков программирования.