🛡Выбрали правильный ответ? Отлично. Но в вопросах кибербезопасности лучше узнать об угрозах подробнее.

Malvertising — это вредоносная реклама, внешне неотличимая от легальной. Её размещают на популярных сайтах, в поисковой рекламе и через RTB-сети. Достаточно открыть страницу, и вредоносный код начнёт работать.

Атаки используют уязвимости в браузерах, плагинах и рекламных креативах. В результате в систему может попасть шпионское ПО или эксплойт, способный обойти базовую защиту.

Как избежать этого?

— Включите рекламные и DNS-фильтры.
— Регулярно обновляйте браузеры и расширения.
— Уделите внимание PDF-парсерам и медиаплагинам.

Malvertising — это атака без предупреждения, поэтому лучше подготовиться заранее, чем изучать последствия на практике.

⚠️ Исследователи изучили деятельность группы хакеров, известной как Lionishackers. Эти злоумышленники не просто крадут данные, но и активно ищут пути их прямой монетизации, используя тактики, позволяющие обойти стандартные средства защиты.

Стратегия Lionishackers состоит в скрытой эксфильтрации больших объёмов данных. Группа использует автоматизированные инструменты SQL-инъекций для взлома серверов баз данных, кражи конфиденциальных записей и выставления их на продажу на подпольных форумах и в телеграм-каналах.

Особенное внимание уделяется обходу систем защиты веб-приложений (WAF), что делает их атаки трудноуловимыми для традиционных методов обнаружения. Lionishackers в первую очередь эксплуатируют уязвимости SQL-инъекций в плохо настроенных веб-приложениях. Такой подход позволяет им незаметно собирать конфиденциальную информацию, которая затем может быть продана на чёрном рынке или использована для дальнейших атак. Устойчивость достигается за счёт развёртывания облегчённых бэкдоров — часто простых веб-оболочек, — скрытых во временных каталогах или замаскированных под безобидные сценарии обновления.

«В этом контексте крайне важно не ограничиваться стандартной защитой информационных активов, — отметил Никита Титаренко, инженер-аналитик компании «Газинформсервис». — Для своевременного выявления эксфильтрации большого объёма данных и аномального поведения в сети следует применять методы поведенческой аналитики пользователей и сущностей (UEBA), к примеру, платформу Ankey ASAP, функционал которой позволяет заметить отклонения от нормального поведения на ранних этапах атаки и предотвратить потенциальный ущерб».

#gis_новости #ankey_asap

⚠️ Миниатюрные устройства вроде Raspberry Pi, спрятанные в инфраструктуре банкоматов и управляемые через 4G, становятся новым, крайне опасным вектором атак. Исследователи обнаружили, что хакерская группировка UNC2891 (она же LightBasin), использовала Raspberry Pi с поддержкой 4G для проникновения в сеть банка и обхода защитных систем.

Хотя атака LightBasin не удалась, инцидент стал редким примером продвинутой гибридной атаки (сочетающей физический и удалённый доступ), где также использовалось сразу несколько методов антифорензики.

🗣Михаил Спицын, эксперт в области кибербезопасности и инженер-аналитик компании «Газинформсервис», подробно описал суть угрозы и отметил, что цель подобных атак — не просто доступ, а манипуляция транзакциями, что даёт прямую монетизацию и что сложнее заметить.

«Вектор начинается с физического доступа и продолжается удалённо по 4G. Недорогие устройства вроде Raspberry Pi, Bash Bunny или Pwn Plug легко спрятать в банкоматной стойке или шкафу со свичом.

Рекомендую обеспечивать комплексную безопасность. Например, решение Efros Defence Operations NAC способно закрыть именно тот "физико-сетевой" вектор, по которому LightBasin занесли Raspberry Pi в банкоматный свич. В модуле NAC реализован централизованный RADIUS-контроль с профилированием устройств и поддержкой TACACS+, что позволяет жёстко описать, какие MAC- и сертифицированные 802.1X-участники имеют право "проснуться" на конкретных порт-VLAN’ах банкоматной стойки. Кроме того, сама платформа интегрируется с SIEM, например с Ankey SIEM NG. Такая синергия обеспечивает полный контекст при расследовании: какой порт был активирован, кем, какие конфигурации на свиче изменились».

#gis_новости #ankey_siem #efros_defops

⏺Как анализировать безопасность контейнерных сред и приложений?

Современные контейнерные технологии стали неотъемлемой частью IT-инфраструктуры компаний разного масштаба — от стартапов до крупных корпораций. Контейнеры обеспечивают высокую гибкость, масштабируемость и удобство управления приложениями, однако вместе с этими преимуществами возникают новые угрозы информационной безопасности.

Например, риски, связанные с уязвимостями в образах контейнеров, неправильной конфигурацией сетевых настроек и доступом к чувствительной информации внутри контейнеров. Это требует от компаний внедрения новых стратегий защиты и мониторинга, чтобы минимизировать потенциальную опасность и обеспечить безопасность своих систем.

Одной из систем анализа защищенности контейнеров является программный комплекс Efros Defence Operations. Он является модульным продуктом, который состоит из шести функциональных подсистем; в их числе модуль Integrity Check Compliance, включающий в себя функциональность по анализу защищенности контейнеров и оркестраторов.

🗣Юлия Парфенова, помощник менеджера продукта Efros DefOps, и Иван Мартынов, главный специалист отдела разработки программных продуктов, в материале для Cyber Media поделились, на какие ключевые проблемы в эксплуатации контейнеров обратить внимание и как Efros помогает справляться с ними в крупной инфраструктуре.

#gis_полезности #efros_defops

⚠️ Исследователями обнаружена техника атаки, при которой киберпреступники используют бесплатные пробные версии программного обеспечения, получившая название «EDR-on-EDR violence». Как пояснил наш эксперт Андрей Жданухин, эта схема использует сами средства защиты против их назначения.

Суть техники заключается в следующем: хакеры регистрируются на бесплатный пробный период какого-либо EDR, устанавливают его на целевую систему с правами администратора и настраивают так, чтобы он блокировал или удалял уже установленный легитимный EDR, например CrowdStrike. При этом часто не срабатывает никакая защита, установленные агенты прекращают работу и теряют связь с SOC, что создаёт иллюзию нормального статуса системы (offline).

«Это демонстрирует, что слепое доверие к стандартным EDR/XDR-платформам может обернуться серьёзной уязвимостью для организаций, особенно когда локальные админ-права позволяют злоумышленнику манипулировать поведением средств безопасности», — подчеркнул наш эксперт.

GSOC предлагает принципиально иной уровень защиты:

1️⃣ SOC моделирует сценарии «борьбы EDR с EDR»: анализируются нестандартные установки новых защитных продуктов, неожиданные исключения или блокировки известных агентов, а также резкое падение телеметрии с рабочих станций.

2️⃣ Посредством правил корреляции выявляются установки EDR‑агентов, особенно если они запускаются несогласованно с IT‑направлением организации. При обнаружении подозрительной активности — будь то запуск неизвестного установщика, изменение настроек уже установленного EDR или отключение агента, GSOC инициирует изоляцию устройства, уведомляет ответственных и запускает процесс реагирования.

«Таким образом, — заключил эксперт, — даже если злоумышленник попытался использовать легитимный инструмент безопасности в своих целях, GSOC способен перехватить сценарий ещё до того, как вредоносная активность выйдет из-под контроля».

#gis_новости #gsoc

«Биржа ИБ- и IT-стартапов»: объявлен состав экспертного совета ⏰

Организаторы конкурса сделали акцент на информационной безопасности, что отразилось и на подборе экспертов. В совет вошли ведущие эксперты в области информационной безопасности и IT. Эксперты будут оценивать проекты по таким критериям, как инновационность, техническая реализация, рыночный потенциал и соответствие требованиям конкурса. Полный состав экспертного совета доступен по ссылке.

🗣Его возглавил Николай Нашивочников, заместитель генерального директора – технический директор компании «Газинформсервис» и один из идейных вдохновителей проекта.

Основные задачи экспертного совета:
⏺оценка заявок участников на соответствие критериям конкурса,
⏺выбор финалистов,
⏺и консультирование стартапов по вопросам развития и масштабирования.

Напомним, что приём заявок на участие в конкурсе продлится до 28 августа. Участникам необходимо представить прототип или минимально жизнеспособный продукт (MVP) в сфере IT или информационной безопасности. Финалисты получат возможность презентовать свой проект на форуме GIS DAYS 2025.
#gis_стартапы

⏺Уязвимости CVE-2025-23319, CVE-2025-23320 и CVE-2025-23334, обнаруженные в NVIDIA Triton Inference Server, одном из ведущих инструментов для развёртывания моделей машинного обучения, представляют серьёзную угрозу AI-инфраструктуре компаний. Уязвимость может создать риски для организаций, использующих ИИ-решения.

🗣Как пояснил Андрей Жданухин, руководитель группы аналитики L1 GSOC, обнаруженные уязвимости позволяют злоумышленнику без какой-либо аутентификации через уязвимый API записывать произвольные файлы на сервере. Это, в свою очередь, открывает путь к потенциальному выполнению произвольного кода. Ошибки в логике обработки параметров shared memory могут привести к отказу в обслуживании (DoS) или даже повреждению данных.

«Особенно тревожен тот факт, что уязвимость доступна через публично задокументированные интерфейсы, а значит угроза может быть использована в атаках на продуктивные AI‑сервисы в облаке и на локальных кластерах. По оценке исследователей, проблема затрагивает как модельные среды, так и корпоративные ML-вычислительные пайплайны, поэтому обновление до версии 25.07 или выше является критически важной мерой защиты».

В условиях растущей сложности киберугроз эксперт настоятельно рекомендует организациям, активно использующим ML/AI-инфраструктуру, внедрять комплексные подходы MlSecOps на всех этапах жизненного цикла модели — от разработки до эксплуатации.

«Это предполагает постоянную проверку безопасности компонентов, отслеживание аномалий в API-запросах, анализ прав доступа к ML-инстансам, а также контроль целостности и безопасного развёртывания моделей. Кроме того, SOC отслеживает признаки эксплуатации известных CVE в публичных и внутренних средах, включая активность на уязвимых API и загрузку подозрительных бинарных объектов. В сочетании с системами мониторинга и проактивного реагирования это позволяет сократить окно уязвимости и повысить устойчивость ML-инфраструктуры к целенаправленным атакам», — подытожил эксперт.

#gis_новости #gsoc

⚠️ Исследователь безопасности обнаружил, что стандартное поле для ввода адреса электронной почты на сайте может стать критической уязвимостью, позволив злоумышленникам не только подделать отправителя, но и получить доступ к чужой переписке. Эта уязвимость, позволяющая обойти стандартные проверки формата, открывает путь к манипуляциям с конфиденциальными данными и даже полному захвату аккаунтов.

🗣По словам Анастасии Дьяченко, эксперта компании «Газинформсервис», обычное поле ввода адреса электронной почты на сайте может стать «приоткрытой дверью» для хакеров из-за недостаточной защиты системы обработки электронных писем.

«Многие сайты проверяют адрес email только на правильность формата, но не фильтруют на возможное наличие в поле ввода вредоносного кода».

Недавнее исследование наглядно продемонстрировало, как недостаточно защищённое поле для ввода адреса электронной почты стало причиной уязвимости, за которую автор получил вознаграждение в $500.

«Из-за ошибок в обеспечении безопасности, допущенных специалистами по защите данных, злоумышленники могут получить доступ к приватным данным, перехватить конфиденциальную информацию или полностью завладеть аккаунтами».

Бизнесу важно непрерывное обнаружение компьютерных атак и реагирование на них в режиме 24/7 — его можно проводить силами центра мониторинга и реагирования GSOC.

#gis_новости #gsoc

❗️❗️❗️❗️ Крупная кибератака, предположительно совершённая хакерской группой UNC3886, связанной с Китаем, ставит под угрозу критически важные объекты Сингапура. Целями злоумышленников стали энергетические сети, системы водоснабжения и платёжные системы страны.

Атаки на критическую инфраструктуру Сингапура демонстрируют глобальный характер угроз и актуальность проблемы защиты промышленных систем управления (АСУ ТП). Методы, используемые UNC3886, могут быть применены и против российских объектов.

«UNC3886 уже ломает критическую инфраструктуру Сингапура, эксплуатируя zero-day в Fortinet, VMware ESXi и Juniper, чтобы закрепиться в энергосетях, водоканалах и платёжных системах, о чём прямо предупреждает OT-ISAC и сингапурские власти», — отметил Михаил Спицын, инженер-аналитик компании «Газинформсервис».

APT-группа UNC3886 использует тактику zero-day-уязвимостей в распространённых продуктах, таких как Fortinet, VMware ESXi и Juniper. Эксплуатируя эти уязвимости, хакеры получают доступ к системам управления критической инфраструктурой, что представляет собой прямую угрозу национальной безопасности.

«Чтобы закрыть такой вектор ещё на уровне физического порта, достаточно посмотреть, что умеет Efros Defence Operations, а именно модуль NAC. Он централизует RADIUS-аутентификацию и профилирование устройств, отсекая всё, что не прошло 802.1X или не соответствует политике безопасности. Движок Efros умеет блокировать MAC-spoofing, сопоставляя OUI вендора и "отпечаток" стека. Если злоумышленник перегрузит свич с подменённым адресом, порт сразу уйдёт в карантинную VLAN. Вот так, при попытке использовать свежий 0-day атакующий ещё до установки бэкдора не получит доступа ни к гипервизорам ESXi, ни к управляющим PLC-сетям».

#gis_новости #efros_defops

Эксклюзивное интервью: как готовить кибергероев будущего❓

Сегодня у нас особенный гость — Александр Менщиков, к.т.н., доцент, декан факультета безопасности информационных технологий ИТМО и директор учебно-практического центра «Киберполигон». 🎓🔐

В этом интервью вы узнаете:
⏺почему традиционное обучение уже не достаточно эффективно и как важны практические занятия в реальных условиях,
⏺как геймофикация помогает сделать обучение интересным и эффективным,
⏺и почему информационная безопасность так похожа на медицину (да-да, это правда!).

🗓 Смотрите интервью и присоединяйтесь к GIS DAYS 2025!
Это уникальная возможность увидеть, как передовые технологии и инновационные методы формируют будущее кибербезопасности.
#gis_days

⚠️ Исследователи обнаружили сложный метод обхода защиты брандмауэра веб-приложения (WAF) с помощью методов загрязнения параметров HTTP в сочетании с внедрением JavaScript. Это вновь поднимает актуальный вопрос о надежности и грамотной настройке средств кибербезопасности. Эта уязвимость подчеркивает, что даже передовые защитные механизмы требуют постоянного внимания и профессионального подхода.

Выявлено, что определенные типы атак могут успешно обходить стандартные фильтры WAF, предназначенные для защиты веб-приложений от распространенных угроз, таких как SQL-инъекции или межсайтовый скриптинг (XSS). Это стало возможным благодаря вариативности и изощрённости современных методов атак, которые научились маскировать вредоносные запросы таким образом, чтобы они не попадали под известные сигнатуры WAF.

«Обход WAF — это всегда тревожная ситуация, — отмечает Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис», — Многие, даже опытные специалисты по ИБ рассчитывают, что если в инфраструктуре установлено средство, закрывающее какую-то угрозу, то оно работает, как задумано, и хотя бы одной головной болью у вас меньше. Но в реальности это совсем не так. Большинство современных атак имеют довольно серьёзную вариативность, и простое развёртывание того же WAF, EDR или IPS ничего не даёт, если не настроить их грамотно и не поддерживать в актуальном состоянии правила обнаружения атак.

Поэтому многие компании и начинают обращаться к системным интеграторам и подключают свои ИТ-системы к SOC. Держать у себя специалистов, готовых всем этим заниматься на должном уровне, довольно сложно — это дорого, и их сложно мотивировать, а вот отдать эту задачу на аутсорс в тот же GSOC, где эксперты занимаются подобным каждый день, — рациональное решение».

#gis_новости #gsoc

✅Удобное мобильное приложение — плюс для бизнеса.
❌Уязвимое мобильное приложение — риск для бизнеса: технический и репутационный.

Что нужно понимать про мобильные уязвимости?
- часто ошибки закладываются ещё на этапе проектирования (архитектура, права доступа, работа с API);
- утечки могут происходить даже через push-уведомления, логи, кэш или библиотеки;
- многие компании до сих пор не тестируют приложения на безопасность перед релизом.

Что делать, если у вас своё приложение или вы за него отвечаете:
- проверьте, как приложение хранит и передаёт данные;
- убедитесь, что сторонние SDK, библиотеки обновлены — часто атака начинается именно с них;
- закажите мобильный аудит у специалистов;
- настройте процесс безопасной разработки.

Надёжность — конкурентное преимущество и маркер доверия в глазах пользователя: следите за безопасностью с начала проекта.
#gis_полезности