Обзор атак с использованием уязвимостей в TrueConf: разбираем действия хакеров и напоминаем о важности обновлений

Прямо сейчас в отечественном сегменте быстро набирает обороты атака с эксплуатацией цепочки уязвимостей в ПО для видео-конференц-связи TrueConf. Если в вашей компании используется эта программа, срочно идите под кат. Там мы, команды специалистов по форензике центра мониторинга и реагирования на кибератаки RED Security SOC и компании CICADA8, собрали для вас краткое описание Kill Chain, дали индикаторы компрометации и рекомендации по защите.

https://habr.com/ru/companies/ru_mts/articles/961692/

#trueconf #эксплуатация_уязвимостей #kill_chain #Сетевые_индикаторы #файловые_индикаторы #индикаторы_компрометации #рекомендации_по_защите

Фантомные боли. Масштабная кампания кибершпионажа и возможный раскол APT-группировки PhantomCore

Впервые о группировке PhantomCore стало известно в начале 2024 года. За прошедшие полтора года она существенно нарастила наступательный арсенал, расширив его инструментами собственной разработки, и отметилась многочисленными кибератаками на критически значимую инфраструктуру России с целью шпионажа. Экспертиза, накопленная нами в процессе тщательного изучения группировки, и внутренние системы киберразведки обеспечили оперативное обнаружение активности PhantomCore невзирая на эволюцию вредоносных инструментов. Принятые меры позволили в начале мая этого года обнаружить новую масштабную кампанию кибершпионажа в отношении российских организаций. В рамках ее исследования удалось установить ключевую инфраструктуру PhantomCore, изучить обновленный арсенал, в том числе ранее не встречавшиеся образцы собственной разработки, изучить TTP и kill chain кибератак, а также идентифицировать жертв из числа российских организаций, корпоративные сети которых подверглись компрометации, и предотвратить реализацию недопустимых событий. Подробности

https://habr.com/ru/companies/pt/articles/939942/

#вредоносное_программное_обеспечение #aptатаки #кибератаки #phantomcore #цепочка_атаки_хакера #kill_chain #rat #remote_access #троян #бэкдор

Новые атаки GOFFEE: разбор Kill Chain и анализ вредоносного ПО

В прошлом и нынешнем году коллеги из « Лаборатории Касперского » и BI.Zone рассказывали о группировке GOFFEE (Paper Werewolf). В конце мая мы снова фиксируем ее активность, но немного в другом обличии — можно сказать, в новой овечьей шкуре. Я Никита Полосухин, ведущий аналитик центра мониторинга и реагирования на кибератаки RED Security SOC, и я расскажу, как сейчас действует GOFFEE и как обнаружить их присутствие в инфраструктуре.

https://habr.com/ru/companies/ru_mts/articles/915300/

#paper_werewolf #goffee #кибербезопасность #red_security #СVE20170199 #фишинг #kill_chain #вредоносное_по #вредоносное_программное_обеспечение

Метрики качества динамических плейбуков

При создании динамических планов реагирования должны быть сформулированы и учитываться критерии, которые будут подтверждать качество разработанного алгоритма действий для решения конкретного типа инцидента информационной безопасности. Критерии формулируются на основе основных параметров инцидента, которые должны быть учтены в работе над его расследованием, реагированием и постинцидентной активности. При этом важно учитывать тот факт, что работа над инцидентом – гораздо шире, чем стандартный анализ и реакт на скоррелированные события ИБ. Работа над инцидентом – это:

https://habr.com/ru/companies/securityvison/articles/831182/

#playbook #next_generation_security #threat_hunting #soc #soar #динамические_плейбуки #kill_chain

Динамические плейбуки

Мы привыкли к стандартным планам реагирования, которые представляют собой либо развесистые алгоритмы действий, покрывающие большое количество ситуаций, либо много маленьких плейбуков, специализированных под конкретный тип инцидента. При этом инфраструктура предприятия – живой организм, который постоянно меняется: добавляются новый устройства, сегменты сети, меняются политики работы ноутбука важного босса, добавляются СЗИ. По этой причине в организациях с развитым уровнем ИБ регулярно проводятся аудит и инвентаризация, которые помогают актуализировать информационную модель предприятия, но меняются ли по результатам инвенторки плейбуки? Следующий аспект, влияющий на эффективность защиты – переменчивость внешнего окружения. В текущих реалиях техники реализации атак эволюционируют, усложняются, затрагивают новые типы данных инфраструктуры, используют новые механизмы и способы посткомпрометации (например, программы-вымогатели ransomeware теперь не только шифруют данные организации и требуют оплату за восстановление доступа, но могут также воровать информацию организации, требуя дополнительную плату в обмен на неразглашение информации властям, конкурентам или общественности). В силу постоянно меняющегося ландшафта угроз и способов их реализации наши плейбуки тоже должны изменяться, чтобы не устаревать на фоне меняющегося поведения злоумышленников. Для решения первой задачи (изменчивости инфраструктуры) был разработан подход, который в зарубежном сообществе трактуется как CD/CR, или непрерывность обнаружения и реагирования.

https://habr.com/ru/companies/securityvison/articles/796571/

#playbooks #next_generation_security #threat_hunting #soar #CD/CR #динамические_плейбуки #kill_chain #цепочка_атаки_хакера #soc #аналитик_иб