⏺Киберпреступность продолжает эволюционировать, переходя от единичных атак к построению целых «экономик» с четким разделением труда. Одним из ярких примеров является вредоносное ПО SocGholish, которое, по данным последних исследований, активно используется для создания глобальной экосистемы киберпреступлений через механику фальшивых обновлений.

«Разделение труда характерно практически всех видов человеческой деятельности, и было бы странно, если бы в деле киберпреступлений было иначе. На самом деле, ПО SocGholish существует с 2018 года, и его услугами воспользовались уже десятки APT-групп. В каком-то смысле это просто самый известный случай подобной бизнес-модели. Кроме этого, ведь существуют многочисленные конструкторы вредоносного ПО или магазины по организации DDoS-атак», — отметил руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин.

Суть новой, изощренной схемы заключается во внедрении поддельных обновлений, которые искусно маскируются под легитимные. Это позволяет им незаметно проникать в системы пользователей и компаний. После успешной компрометации, SocGholish становится лазейкой для других, более специализированных кибергруппировок (APT-групп), которые покупают доступ к скомпрометированным системам для дальнейшего использования. Это может включать кражу учетных данных, финансовой информации, а также проведение целевых атак на критически важную инфраструктуру.

«Интересно тут другое: если софт существует так давно, и все ведущие вендоры ИБ о нем знают, то почему же сотни пользователей регулярно загружают себе этот вредоносный код? Ответов несколько, можно выбрать любой, наиболее приятный. Во-первых, для эффективной борьбы с такой комплексной угрозой нужно не просто поставить антивирус, но и соблюдать цифровую гигиену, а это, как показала практика, доступно не каждому. Или второй вариант – вы крупная компания, а у вас просто может не быть ресурсов для того, чтобы быть в курсе актуальных угроз и поставить задачу инженерам что-то с этим сделать. Да, вы можете подключиться к SOC, но это тоже требует усилий, а мотивация зачастую появляется после потери первых миллионов от взлома. С цифровой гигиеной мы ничего сделать не можем, а вот услуги SOC, таких как GSOC, сегодня доступны даже малому бизнесу, и это повод задуматься, стоят ли риски этой экономии», — заключил эксперт.

#gis_новости #gsoc

⏺В современном мире, где атаки и методы их реализации совершенствуются на ходу, ключевую роль в своевременном и точном обнаружении играет грамотно выстроенная стратегия обнаружения.

Кроме того, особую опасность представляет тот факт, что часть злоумышленников прекрасно владеет техниками Prompt Engineering для запросов к AI-ассистентам, которые работают на базе LLM и NLP. Вторая не менее опасная часть обладает высоким уровнем компетенций, способная находить и эксплуатировать zero-day. Эта тенденция создает серьезные и реальные угрозы безопасности не только отдельным организациям, но и всему обществу в целом.

Если говорить о поведении наблюдаемого объекта в контексте обнаружения zero-day, то наиболее корректным будет использовать подход на основе профилирования. В основе данного подхода находится банальный анализ величины отклонения наблюдаемого поведения от эталонного профиля нормального поведения. Сравнивая эту величину с заданным пределом, становится возможным обнаружить отклонения в поведении, что может свидетельствовать как о простой аномалии, так и о деструктивном воздействии.

🗣Но тут появляются ряд вопросов. Читайте подробнее в статье нашего эксперта Максима Мельника, инженера-аналитика аналитического центра кибербезопасности компании «Газинформсервис».
#gis_полезности

⚠️ Обнаружен усовершенствованный прототип бэкдора FireWood, предназначенный для поражения систем под управлением Linux, с возможностями RAT (Remote Access Trojan).

Ключевыми особенностями данного зловреда являются скрытность действия через руткиты уровня ядра и блочное шифрование TEA (Tiny Encryption Algorithm), возможность обеспечения долгосрочного несанкционированного доступа с последующим выполнением произвольных команд в системе и сбором конфиденциальных данных и их эксфильтрации на сервера злоумышленников.

🗣Ирина Дмитриева, инженер-аналитик лаборатории исследований кибербезопасности компании «Газинформсервис», объясняет, как работает вредонос:

«Злоумышленники, эксплуатирующие FireWood, отталкиваются от первоначальных веб-шеллов на конечные устройства. Соответственно, вредоносное ПО позволяет расширить возможности на скомпрометированных устройствах и проводить разведку, сбор данных и наносить ущерб целостности информации системы».

Из технических особенностей архитектура ВПО претерпела ряд изменений. Теперь FireWood поддерживает проверку на наличие прав root или ядра после демонизации и сохранения PID. Для обеспечения стабильности выделяется улучшенная проверка привилегий (root/kernel) после запуска. Проверка стабильности подключения к серверу злоумышленников проводится через настойчивые попытки соединения с сервером с задержками при неудаче на базе протокола связи через ConnectToSvr().

«FireWood представляет собой значимую угрозу для Linux-инфраструктур из-за своей скрытности и функциональности. Для построения проактивной защиты требуется слаженная работа ряда компонентов системы защиты информации, включая EDR-системы с поведенческим анализом, HIDS, NGFW/IPS с SSL-инспекцией, WAF и строгий контроль привилегий IDM-систем. Эффективным решением с точки зрения мониторинга несанкционированного влияния на сетевую инфраструктуру может стать NAC (Network Access Control), который заметит нелегитимные действия и отразит соответствующую информацию. Именное такое решение может предложить компания "Газинформсервис" в составе комплекса Efros DefOps.

Кроме того, стоит отметить важность роли SOC-аналитиков в настройке детектирования потенциальных угроз и выстраивания процессов реагирования на инциденты, а также интеграции разведки киберугроз для постоянного развития защитных мер. Здесь "Газинформсервис" может оказать поддержку — специалисты GSOC готовы прийти на помощь с оперативным реагированием 24/7 в согласованные SLA», — заключает Дмитриева.

#gis_новости #gsoc #efros_defops

Портативный взлом: как игровая приставка может стать оружием хакера❓

Вы замечали, что люди в общественных местах зачастую не только бездумно скроллят ленты новостей в телефоне или играют в три в ряд? Да, ещё некоторые читают книги. Но иногда можно увидеть, как они держат в руках устройства, похожие на геймпады от игровых приставок с небольшими экранами. Эти устройства — портативные игровые консоли, на которых можно запустить игры вашего детства и не только, находясь в дороге.

🗣Представляете, вы едете из одного конца города в другой и вместо того, чтобы читать об успехах импортозамещения на своём любимом сайте, вы играете в «Танчики», «Марио» или «Соника»? Есть в этом занятии что-то тёплое и успокаивающее: человек с портативной приставкой, набитой играми с «Денди», вызывает умиление. И в этот момент у нашего эксперта Сергея Полунина как специалиста по кибербезопасности в голове загорается красная лампочка. И это не просто так.

Подробнее о том, почему подобные устройства — самые настоящие троянские кони, как игровая приставка может стать оружием хакера и что к этому привело, — читайте в нашей новой статье на Хабр.

#gis_полезности

Показатель качества: говорим о киберзащите бизнеса в шоу «Инфобез со вкусом»🔥

В тринадцатом выпуске говорили о том, как выбрать нужное решение из множества представленных на рынке, с чего начинается работа на объекте и как развивать специалистов в таком широком направлении.

«В этом выпуске мы готовим сицилийскую классику — пасту алла норма. Дело это тонкое, но куда более тонкие материи мы обсудили с нашем гостем, Иваном Головковым. Мы поговорили о подготовке молодых специалистов, о том, как общаться с заказчиком, и что делать, чтобы технические решения по информационной безопасности действительно приносили пользу и надёжно защищали бизнес от кибермошенников», — рассказывает Сергей Полунин.

🗓 Премьера выпуска — 28 августа в 15:00.
А пока смотрите тизер и ставьте лайки!

#gis_развлечения #инфобезсовкусом

Как покорить работодателя❓

Представляем вашему вниманию эксклюзивное интервью с Анной Прабарщук, руководителем службы управления персоналом компании "Газинформсервис"!

В этом выпуске вы узнаете:
⏺Что действительно важно для работодателя при выборе кандидата?
⏺Почему soft skills стали неотъемлемой частью профессионального успеха?
⏺Как построить карьеру в динамично развивающейся компании?
⏺Какие возможности предлагает "Газинформсервис" своим сотрудникам?

Хотите стать частью нашей команды?
Приходите на GIS STUDENT DAYS 2025 — это отличная возможность познакомиться с компанией, узнать больше о карьерных перспективах и лично пообщаться с представителями HR!

#gis_days