Попався мені вчора звіт від ізраїльскої компанії про малварь одну . Дуже класний, детальний, все пророблено, аналіз із скріншотами, проведено трет інтел, атрибуція, все чітко. В звіті описана відносно нова рансомварь від відносно нової стейт-спонсоред групи з россії. Звіт читати цікаво, але спокійно - майже неможливо. Декілька підходів робив і кожен раз кричав як бердянська чайка. Спробуйте і ви.

Історія кохання жаби та гадюки: північнокорейська АПТ всунула бекдор в російське ПЗ для консулів. https://medium.com/@DCSO_CyTec/to-russia-with-love-assessing-a-konni-backdoored-suspected-russian-consular-software-installer-ce618ea4b8f3

Дуже кльовий ресурс для генерації фейкових персоналій. Широкий вибір полів, детальне налаштування і навіть вбудована допомога АІ. https://www.mockaroo.com/

Lockheed-martin все не так і все не те) Вони були не задоволені методологією STIDE і трохи доробили її, назвавши STRIDE-LM. Що ці дві букви значать? Lateral movement. Автори кажуть, что первинна методологія була створена для інженерних проєктів та розробки і погано покриває мережеву безпеку. Ну хз, як на мене. Має право на життя, але можна критикувати.

Якщо у вас є час на вивчення 45 сторінкового документу із поясненнями, як вони до цього дійшли. то ось

Для тих, кому, як і мені, треба візуалізувати складні речі, щоб краще їх розуміти, стане в нагоді ось цей ресурс: https://csf.tools/. Вже є багато мапінігів одних фреймворків на інші, візуалізація цих мапінгів, та прості пояснення складних речей. Не знаю, як саме воно може згодитися у практиці виробництва, хіба шо класні презенташки робити, а от для навчання наче і нічо так.

Ну хіба не краса? Воно ще й інтерактивне, і фільттрується.

Приклад гарної системи безпеки: дешево, ефективно, good enough. Є питання до швидкості реагування на інцидент, але це вирішується відповідними тренінгами.

ДССЗЗІ оприлюднила аналітичний звіт за 2 півріччя 2023 року. Сам файл звіту прикріпляю, читається легко і швидко (багато графіків, крупний шрифт, адекватна типографіка) але давайте приведемо ключові (на мою думку) моменти:
1️⃣ Ключовий напрям роботи кібер-угрупувань ворога - телеком.
2️⃣ Очікувано зростає кількість атак на Сили оборони. Здебільшого це атаки з метою отримання доступу та контролю.
3️⃣ Домінуючі позиції в рейтингу активності обійняли групи, що не пов'язуються із спецслужбами, тобто не є штатними кадрами хоча і працюють в їх інтересах. Задачами таких груп здебільшого є отримання доступу.
4️⃣ Активно використовуються найсвіжіші експлоіти проти клієнтського ПЗ, які часто можна купити лише на спеціалізованих форумах/майданчиках
5️⃣ Спостерігається висока швідкість реагування на інформаційні приводи в Україні для того, щоб встигнути "хайпанути" на темі із власної злочинною метою.
6️⃣ Зростання фінансово-вмотивованих угрупувань проти українського бізнесу та організацій. "… фактично 40% зареєстрованих інцидентів були пов'язані саме із викраданням коштів".

Наведено деяку статистику для топ-5 війсmкових угрупувань та їх належність до конкретних військових структур.

👉 Особливо цікавий розділ "Кейси". Описані випадки з Київстаром, Дельтою, наведено приклади атак на військових і цивільних (із скріншотами) де вони змогли "хайпанути" га хвилі інфоприводу.

Прогнози від ДССЗЗІ (тобто готуємося):
❗️Збільшення фокусу на точкові приховані розвідувальні кібероперації
❗️Об'єкти енергетики та критичної інфраструктури знову будуть у центрі уваги
❗️Кількість та складність кібератак фінансово мотивованих груп буде рости
❗️Ігнорування вимог кіберзахисту та рекомендацій ДССЗЗІ - основна причина успіху реалізації кібератак.

Серед найпоширеніших векторів первинної компрометації є:
❕Відомі вразливості (PHP, MS Exchange, FortiGate, Zimbra) - тобто достатньо було просто вчасно накатити оновлення.
❕Скомпрометовані облікові записи (->VPN->LAN) -тобто слабкі паролі, їх небезбечне зберігання та відсутність 2FA.
❕Спір-фішінг
❕Самоінфікування (встановлення ОС та ПЗ які завантажені з неофіційних джерел та мають імпланти ШПЗ)

Також наведені рекомендації, але я не буду їх повторювати навмисно, щоб всі самостійно відкрили звіт і подивилися. Бо ці рекомендації є вже багаторічної класикою і, на превеликий жаль, все ще залишаються актуальними.

"Якщо завтра ви отримаєте нотифікацію щодо присутності зловмисників в мережі - чи готові ви до заборони вхідних та вихідних інформаційних потоків за умови за умови забезпечення контрольованого функціонування критичних підсистем?"

А ось і сам звіт двома мовами.

Тема ночі і найближчих днів - аппка Резерв+. Дуже цікаво подивитися перші «розпаковочкі» та аналіз. Сам робити точно не буду. Час на реалізацію аппки був прям дуже обмежений. Що ж, подивимося, як розробники вміють в ризики та безпеку.