⏺Эксперт в области кибербезопасности Екатерина Едемская предупреждает об участившихся случаях использования уязвимости Bluetooth Low Energy (BLE) в чипах Realtek. Эта уязвимость позволяет злоумышленникам проводить атаки типа "отказ в обслуживании" (DoS) во время сопряжения устройств. Злоумышленники могут внедрять вредоносные данные, вызывая сбой Bluetooth-стека на целевом устройстве и блокируя все последующие попытки подключения.

"Уязвимость в Bluetooth Low Energy от Realtek является серьёзной угрозой для пользователей, — объяснила Едемская. — Проблема заключается в том, что устройства не проверяют корректность последовательности пакетов, что позволяет злоумышленникам внедрять данные до того, как процесс сопряжения завершится. Это может привести к сбою Bluetooth-стека на целевом устройстве и блокировке всех дальнейших попыток подключения, что затруднит эксплуатацию устройства и может стать причиной длительного простоя. Атаки могут быть выполнены дистанционно, без необходимости физического доступа к устройствам, что значительно увеличивает масштаб возможных угроз".

Технически атака выполняется путём создания специально подготовленных пакетов, таких как ll_terminate_ind, которые могут быть отправлены для разрыва связи или для принудительного выхода устройства из сопряжения. Такой подход позволяет атакующим управлять процессом установления соединения, вмешиваясь на этапе обмена ключами и вводя устройства в состояние отказа. Для того чтобы сделать атаку более успешной, злоумышленники могут использовать инструменты автоматизации, такие как l2ping или самописные скрипты, которые позволяют быстро наводнять устройство пакетами, создавая перегрузку и не давая ему времени на восстановление.

"Для защиты от подобных угроз организациям и пользователям следует внедрить несколько ключевых мер. Во-первых, необходимо обновлять прошивки устройств, чтобы устранить эту уязвимость, как только производители выпустят соответствующие патчи. Во-вторых, можно реализовать сегментацию сети для устройств BLE, что позволит изолировать критически важные устройства и уменьшить потенциальный вектор для атак. Для пользователей, в частности, следует отключать Bluetooth, когда он не используется, чтобы минимизировать риски несанкционированных подключений. Наконец, необходимо постоянно мониторить активность Bluetooth на устройствах, чтобы оперативно выявлять аномальные или подозрительные попытки подключений и своевременно предотвратить атаки", — отметила инженер-аналитик. Она добавила, что для коммерческого мониторинга рекомендуется использовать центры типа SOС, такие как GSOC компании "Газинформсервис".

#gis_новости #gsoc

❗️❗️❗️❗️Условия, которые больше не повторятся!

Годовой контракт за 5 млн ₽ — только для первых пяти обратившихся*. Бизнес под круглосуточной защитой GSOC — центра мониторинга и реагирования от «Газинформсервис»👍

Предлагаем особые условия сотрудничества:
⏺Быстрый старт: возможность оперативного подключения инфраструктуры клиента к SOC;
⏺Гибкость при построении вариантов взаимодействия с ИБ-специалистами клиента;
⏺Практический опыт специалистов, подтверждённый победами на престижных конкурсах в составе Red и Blue Team;
⏺Сертифицированные аналитики CISSP, CISM, CEH, OSWE, OSCP;
⏺Действует рассрочка платежей.

Количество спецпредложений ограничено – осталось 59 дней. Оставить заявку и получить консультацию эксперта можно здесь -> https://clck.ru/3MuPhR

*Предложение не является публичной офертой. Подробности уточняйте у менеджеров.
#gis_новости #gsoc

⚠️ Мошенники стали чаще интересоваться данными россиян, активизируя свои действия в сфере фишинга и кражи персональных данных. Так, с начала 2025 г. специалисты зафиксировали более 1600 фишинговых ресурсов, направленных на клиентов компаний нефтегазового сектора. Число ИТ-атак на компании топливно-энергетического комплекса выросло за полгода на 40%. Цель таких кампаний — завладеть финансовой информацией пользователей, а также шпионаж.

Преступники используют всё более изощренные методы, что требует повышенной бдительности со стороны пользователей и совершенствования методов защиты информации со стороны компаний и государственных структур. Как отмечает руководитель группы аналитики L1 GSOC Андрей Жданухин, вектором входа чаще всего становятся письма с вредоносными вложениями, ссылки на поддельные сайты или социальная инженерия, направленная на получение доступов к корпоративным системам.

"Злоумышленники всё чаще используют инсценировки официальных коммуникаций, включая фальшивые документы, уведомления от якобы госорганов и даже звонки с "внутренних" номеров, чтобы ввести в заблуждение пользователей. Целью остаётся не только хищение персональных и финансовых данных, но и шпионаж, саботаж и скрытый доступ к критически важным системам.

В таких условиях GSOC компании "Газинформсервис" играет ключевую роль в обеспечении проактивной и глубинной киберзащиты. Центр мониторинга анализирует поведенческую телеметрию в режиме реального времени, выявляя аномалии во входящем трафике, активности учетных записей и попытках взаимодействия с внешними API или подозрительными доменами. Используя методики проактивного поиска угроз (Threat Hunting), GSOC отслеживает признаки подготовки атаки ещё до её активации - будь то регистрация домена-клона, массовая рассылка писем или скрытая активация малвари внутри сети. Особое внимание уделяется корреляции событий: даже незначительные инциденты могут стать частью сложной многоступенчатой кампании. За счёт автоматизированного реагирования и экспертной аналитики GSOC способен выявить угрозу на раннем этапе, локализовать её и не дать атакующим развить успех внутри инфраструктуры", — отметил руководитель группы аналитики L1 GSOC.

#gis_новости #gsoc

⚠️ Исследователи обнаружили опасную уязвимость CVE‑2025‑47812 (CVSS 10.0) в Wing FTP Server, популярном кроссплатформенном решении для передачи файлов. Она позволяет злоумышленникам получить полный контроль над сервером с помощью простого запроса.

«Атака реализуется через передачу параметра username, в который внедряется NULL-байт и произвольный Lua-код, — объяснил руководитель группы аналитики L1 GSOC Андрей Жданухин. — Благодаря этому злоумышленник без аутентификации получает возможность запускать системные команды с привилегиями root на Linux или SYSTEM на Windows, фактически получая полный контроль над сервером. Появился даже PoC и Metasploit-модуль, а единственным выходом является срочное обновление до версии 7.4.4».

В таких сценариях, отмечает эксперт, GSOC компании «Газинформсервис» выходит за рамки простого мониторинга: команда SOC активно занимается Threat Hunting, просматривая подозрительные POST-запросы к критическим интерфейсам и анализируя необычную активность в файловой системе и логах сервера.

«При обнаружении загрузки или исполнения Lua-скриптов из сессий запускается блокировка процесса, изоляция сессии, и инициируется расследование. Это позволяет нейтрализовать атаку на этапе внедрения вредоносного кода, до того, как злоумышленник получит полный контроль над сервером, что снижает риск компрометации инфраструктуры», — пояснил руководитель группы аналитики L1 GSOC.

#gis_новости #gsoc

⚠️ Новая группа вымогателей BERT использует тактику атак на виртуальные машины VMware ESXi. Главная изощрённость кроется в методе. Как следует из анализа, они сначала принудительно останавливают все виртуальные машины, а уже потом беспрепятственно шифруют их файлы, которые больше не заблокированы системой. Цель здесь — не просто зашифровать данные, а вызвать полный коллапс бизнес-процессов, создав ситуацию, в которой у компании не остаётся иного выбора, кроме как заплатить выкуп.

🗣Как отмечает эксперт в области кибербезопасности, руководитель GSOC компании «Газинформсервис» Александр Михайлов, мы видим не хаотичные взломы, а расчётливые удары, нацеленные на причинение максимального, каскадного ущерба всему бизнесу. Это ярко иллюстрирует то, как эволюционировала киберпреступность:

«Выбор VMware ESXi в качестве цели не случаен. Злоумышленники прекрасно понимают, что это сердце инфраструктуры современной компании, единая точка отказа. Выводя из строя один хост виртуализации, они одним махом парализуют десятки критически важных систем — от баз данных до корпоративной почты. При этом ESXi является одним из самых популярных гипервизоров в мире и до сих пор занимает лидирующие позиции и в России, несмотря на уход компании VMWare из нашей страны.

Это означает, что защита не может строиться только на поиске вредоносного кода. Краеугольным камнем безопасности становятся строжайший контроль доступа, постоянный мониторинг и поведенческий анализ. Необходимо срочно внедрять многофакторную аутентификацию для администраторов, изолировать сети управления и, конечно, иметь под рукой проверенные, полностью автономные резервные копии».

#gis_новости #gsoc

Мы редко делаем спецпредложения, но сейчас — ❗️❗️❗️❗️

Такой возможности может больше не быть! Доступ к нашему SOC на уникальных условиях - первые 5 клиентов получают годовой контракт за 5 млн ₽*.

Количество спецпредложений ограничено. До конца приема заявок осталось 49 дней.
🔜Узнать условия и оставить заявку можно здесь: https://clck.ru/3N2p9F

*Предложение не является публичной офертой. Подробности уточняйте у менеджеров.
#gsoc

⏺Исследователи в области кибербезопасности выявили новую, усовершенствованную модификацию вредоносного программного обеспечения ZuRu, которое теперь активно распространяется под видом популярного SSH-клиента для управления серверами Termius для macOS.

🗣Киберэксперт Ирина Дмитриева отметила, что этот троян представляет серьёзную угрозу, обеспечивая скрытый удалённый доступ к заражённым устройствам и способный похищать конфиденциальные данные.

Внутри ZuRu теперь есть специальный набор инструментов для шпионажа — Khepri. Он позволяет им воровать файлы, узнавать информацию о вашем компьютере, запускать или останавливать программы и даже давать ему команды.

Причём он оснащён модифицированной версией Khepri-инструмента для постэксплуатации, который позволяет получать удалённый доступ к заражённым хостам. Модифицированный Khepri — это многофункциональный C2-имплант, который может передавать файлы, проводить системную разведку, запускать и контролировать процессы, а также выполнять команды с захватом вывода. Сервер C2, используемый для связи с маяком, называется ‘ctl01.termius[.]fun’.

А всё начинается с обмана пользователя. Троян скрывается под видом обычного установочного файла с расширением .dmg и содержит взломанную версию Termius.app. Там, в модифицированном ‘Termius Helper.app’, есть два дополнительных исполняемых файла: загрузчик с именем ‘.localized’ (для запуска управляющего маяка Khepri с удалённого сервера) и ‘.Termius Helper1,’ (переименованная версия оригинального помощника ‘Termius Helper’).

Для обхода системной защиты macOS от троянизированных приложений злоумышленники заменили цифровую подпись разработчика на собственную временную подпись, что помогло обойти ограничения после внесения изменений внутри образа.

Помимо загрузки маяка Khepri, загрузчик предназначен для валидации настроек на хосте и проверки, присутствует ли вредоносная нагрузка по заранее определённому пути ‘/tmp/.fseventsd’ в системе. Если файл обнаружен, программа сравнивает хеш-значение полезной нагрузки с тем, которое размещено на сервере. Если значения хеша не совпадают, загружается новая версия.

«Согласно представленным деталям о новой модификации вредоноса, стоит серьёзно отнестись к проактивному анализу угроз. Рекомендуется добавить в чёрные списки домены из публикации, а также любые другие связанные IP-адреса/домены на уровне фаерволов, DNS-фильтрации, EDR/XDR. При возможности заблокировать запуск исполняемых файлов .localized и .Termius Helper1 через сигнатуры EDR/XDR. Для ретроспективной проверки, не было ли аналогичных запросов за последние 3 месяца, стоит обратиться за помощью к квалифицированным аналитикам GSOC компании "Газинформсервис". Специалисты смогут провести анализ инфраструктуры и грамотно разрешить потенциальные угрозы после анализа телеметрии, предполагающего проведение полного цикла compromise assessment».

#gis_новости #gsoc

SOChная курочка: готовим карри в новом выпуске шоу «Инфобез со вкусом»🧂

Двенадцатый выпуск будет посвящён центрам мониторинга и реагирования в целом и GSOC компании «Газинформсервис» в частности. Эксперты приготовят яркое индийское блюдо и обсудят, что из себя представляет security operations center.

Рецепты курицы карри различаются в каждом регионе, и даже в Англии есть свой вариант — chicken curry. Так и центры мониторинга и реагирования могут содержать в себе разные услуги в зависимости от запросов заказчиков. Сергей Полунин, ведущий шоу и руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис», вместе с гостем расскажут о том, как выбрать не только SOC, но и его важные «ингредиенты» — сотрудников.

🗓 Премьера выпуска состоится 24 июля в 15:00.
А пока смотрите тизер и ставьте лайки 😉
#инфобезсовкусом #gis_развлечения #gsoc

⚠️ Пользователи Wing FTP Server столкнулись с критической угрозой: выявленная уязвимость активно эксплуатируется злоумышленниками спустя считанные часы после публикации её технических деталей. Брешь позволяет выполнять код удалённо (RCE), что может повлечь за собой полную компрометацию сервера.

🗣Михаил Спицын, киберэксперт лаборатории стратегического развития аналитического центра кибербезопасности компании «Газинформсервис», отметил, что проблема кроется в серьёзной архитектурной ошибке. Она позволяет обойти проверку идентификаторов сессий и активно используется хакерами для внедрения и исполнения вредоносного Lua-кода с правами суперпользователя.

Особую тревогу вызывает тот факт, что эксплойт применим даже при включённом анонимном доступе, что делает уязвимыми публичные FTP-интерфейсы.

«Речь идёт о типичном RCE-эксплойте с полной компрометацией сервера из-за фундаментальной ошибки в обработке данных на границе ввода — а именно в трактовке \0-байта в строках.

Чтобы минимизировать риск, организациям необходимо незамедлительно обновить Wing FTP Server до версии 7.4.4 и выше и провести аудит сессионной логики на предмет подделки UID в куках. В качестве комплексной меры защиты от подобных атак, необходимо организовать мониторинг безопасности на предприятии. В корпоративном центре мониторинга GSOC используются основные инструменты: система класса SIEM — для раннего выявления аномалий, в том числе в поведении учётных записей и HTTP/FTP-трафике, для определения подозрительных отклонений в активности пользователей — инструменты поведенческой аналитики, а также EDR — для изоляции попытки запуска вредоносного кода. Уязвимость с таким вектором должна рассматриваться как критическая в любом периметре, особенно в инфраструктуре с доступом из интернета».

#gis_новости #gsoc

До премьеры нового выпуска шоу «Инфобез со вкусом» осталось2️⃣4️⃣ часа, а значит, самое время рассказать вам чуть больше 😉

В этот раз гостем на нашей кухне стал Александр Михайлов, руководитель GSOC компании «Газинформсервис».

В этом выпуске мы ответим на следующие вопросы:
⏺Почему бизнесу должен быть интересен SOC?
⏺Насколько SOC можно считать адаптируемой под запросы компании услугой?
⏺Каким должен быть рабочий процесс в SOC, чтобы сотрудники не выгорали?

Подписывайтесь на группу ВКонтакте, чтобы не пропустить новый интересный выпуск!
#инфобезсовкусом #gis_развлечения #gsoc

Смотрите новый выпуск шоу об информационной безопасности и кулинарии — «Инфобез со вкусом»🔥

Двенадцатый выпуск был посвящён центрам мониторинга и реагирования в целом и GSOC компании «Газинформсервис» в частности. Эксперты готовили яркое индийское блюдо и обсуждали, что из себя представляет security operations center.

«В этом вкусном выпуске мы с Сергеем разобрались, сколько ингредиентов в курице карри, а сколько в SOC, как сделать так, чтобы не подгорело блюдо и чтобы не выгорали аналитики. Получилось познавательно!», — делится Александр Михайлов, гость шоу.

Посмотреть 12-й выпуск шоу об информационной безопасности и кулинарии можно здесь.

#gis_развлечения #инфобезсовкусом #gsoc

📱Технологический гигант Nokia оказался в центре громкого инцидента кибербезопасности. По данным в сети, внутренняя система компании была скомпрометирована, что привело к утечке конфиденциальных данных более чем 94 500 сотрудников.

Как отмечает Александр Михайлов, руководитель GSOC компании "Газинформсервис", любые утверждения хакеров требуют проверки, но если это правда, то этот взлом встанет в одном ряду с громкими атаками и утечками последних дней и ещё раз напомнит нам простую истину — взломать можно любую компанию.

"Эти сведения, вероятнее всего, будут использованы для проведения высокоточных фишинговых атак на контрагентов компании Nokia. Происшествие в очередной раз доказывает, что стандартного рабочего дня для кибербезопасности не существует. Злоумышленники не спят, и защита компании тоже не должна. Именно поэтому круглосуточный мониторинг событий безопасности и реагирование на инциденты становятся не просто элементом защиты, а жизненно важной функцией для любого бизнеса.

Современные атаки зачастую происходят в нерабочее время — ночью или в выходные, когда IT-персонал не на месте. В такой ситуации только постоянное наблюдение за аномалиями в сети и на конечных устройствах позволяет вовремя заметить подозрительную активность и немедленно приступить к блокированию угрозы. Каждая минута промедления увеличивает потенциальный ущерб в геометрической прогрессии".

#gis_новости #gsoc

⚠️ Исследователями обнаружена техника атаки, при которой киберпреступники используют бесплатные пробные версии программного обеспечения, получившая название «EDR-on-EDR violence». Как пояснил наш эксперт Андрей Жданухин, эта схема использует сами средства защиты против их назначения.

Суть техники заключается в следующем: хакеры регистрируются на бесплатный пробный период какого-либо EDR, устанавливают его на целевую систему с правами администратора и настраивают так, чтобы он блокировал или удалял уже установленный легитимный EDR, например CrowdStrike. При этом часто не срабатывает никакая защита, установленные агенты прекращают работу и теряют связь с SOC, что создаёт иллюзию нормального статуса системы (offline).

«Это демонстрирует, что слепое доверие к стандартным EDR/XDR-платформам может обернуться серьёзной уязвимостью для организаций, особенно когда локальные админ-права позволяют злоумышленнику манипулировать поведением средств безопасности», — подчеркнул наш эксперт.

GSOC предлагает принципиально иной уровень защиты:

1️⃣ SOC моделирует сценарии «борьбы EDR с EDR»: анализируются нестандартные установки новых защитных продуктов, неожиданные исключения или блокировки известных агентов, а также резкое падение телеметрии с рабочих станций.

2️⃣ Посредством правил корреляции выявляются установки EDR‑агентов, особенно если они запускаются несогласованно с IT‑направлением организации. При обнаружении подозрительной активности — будь то запуск неизвестного установщика, изменение настроек уже установленного EDR или отключение агента, GSOC инициирует изоляцию устройства, уведомляет ответственных и запускает процесс реагирования.

«Таким образом, — заключил эксперт, — даже если злоумышленник попытался использовать легитимный инструмент безопасности в своих целях, GSOC способен перехватить сценарий ещё до того, как вредоносная активность выйдет из-под контроля».

#gis_новости #gsoc

⏺Уязвимости CVE-2025-23319, CVE-2025-23320 и CVE-2025-23334, обнаруженные в NVIDIA Triton Inference Server, одном из ведущих инструментов для развёртывания моделей машинного обучения, представляют серьёзную угрозу AI-инфраструктуре компаний. Уязвимость может создать риски для организаций, использующих ИИ-решения.

🗣Как пояснил Андрей Жданухин, руководитель группы аналитики L1 GSOC, обнаруженные уязвимости позволяют злоумышленнику без какой-либо аутентификации через уязвимый API записывать произвольные файлы на сервере. Это, в свою очередь, открывает путь к потенциальному выполнению произвольного кода. Ошибки в логике обработки параметров shared memory могут привести к отказу в обслуживании (DoS) или даже повреждению данных.

«Особенно тревожен тот факт, что уязвимость доступна через публично задокументированные интерфейсы, а значит угроза может быть использована в атаках на продуктивные AI‑сервисы в облаке и на локальных кластерах. По оценке исследователей, проблема затрагивает как модельные среды, так и корпоративные ML-вычислительные пайплайны, поэтому обновление до версии 25.07 или выше является критически важной мерой защиты».

В условиях растущей сложности киберугроз эксперт настоятельно рекомендует организациям, активно использующим ML/AI-инфраструктуру, внедрять комплексные подходы MlSecOps на всех этапах жизненного цикла модели — от разработки до эксплуатации.

«Это предполагает постоянную проверку безопасности компонентов, отслеживание аномалий в API-запросах, анализ прав доступа к ML-инстансам, а также контроль целостности и безопасного развёртывания моделей. Кроме того, SOC отслеживает признаки эксплуатации известных CVE в публичных и внутренних средах, включая активность на уязвимых API и загрузку подозрительных бинарных объектов. В сочетании с системами мониторинга и проактивного реагирования это позволяет сократить окно уязвимости и повысить устойчивость ML-инфраструктуры к целенаправленным атакам», — подытожил эксперт.

#gis_новости #gsoc

⚠️ Исследователь безопасности обнаружил, что стандартное поле для ввода адреса электронной почты на сайте может стать критической уязвимостью, позволив злоумышленникам не только подделать отправителя, но и получить доступ к чужой переписке. Эта уязвимость, позволяющая обойти стандартные проверки формата, открывает путь к манипуляциям с конфиденциальными данными и даже полному захвату аккаунтов.

🗣По словам Анастасии Дьяченко, эксперта компании «Газинформсервис», обычное поле ввода адреса электронной почты на сайте может стать «приоткрытой дверью» для хакеров из-за недостаточной защиты системы обработки электронных писем.

«Многие сайты проверяют адрес email только на правильность формата, но не фильтруют на возможное наличие в поле ввода вредоносного кода».

Недавнее исследование наглядно продемонстрировало, как недостаточно защищённое поле для ввода адреса электронной почты стало причиной уязвимости, за которую автор получил вознаграждение в $500.

«Из-за ошибок в обеспечении безопасности, допущенных специалистами по защите данных, злоумышленники могут получить доступ к приватным данным, перехватить конфиденциальную информацию или полностью завладеть аккаунтами».

Бизнесу важно непрерывное обнаружение компьютерных атак и реагирование на них в режиме 24/7 — его можно проводить силами центра мониторинга и реагирования GSOC.

#gis_новости #gsoc

⚠️ Исследователи обнаружили сложный метод обхода защиты брандмауэра веб-приложения (WAF) с помощью методов загрязнения параметров HTTP в сочетании с внедрением JavaScript. Это вновь поднимает актуальный вопрос о надежности и грамотной настройке средств кибербезопасности. Эта уязвимость подчеркивает, что даже передовые защитные механизмы требуют постоянного внимания и профессионального подхода.

Выявлено, что определенные типы атак могут успешно обходить стандартные фильтры WAF, предназначенные для защиты веб-приложений от распространенных угроз, таких как SQL-инъекции или межсайтовый скриптинг (XSS). Это стало возможным благодаря вариативности и изощрённости современных методов атак, которые научились маскировать вредоносные запросы таким образом, чтобы они не попадали под известные сигнатуры WAF.

«Обход WAF — это всегда тревожная ситуация, — отмечает Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис», — Многие, даже опытные специалисты по ИБ рассчитывают, что если в инфраструктуре установлено средство, закрывающее какую-то угрозу, то оно работает, как задумано, и хотя бы одной головной болью у вас меньше. Но в реальности это совсем не так. Большинство современных атак имеют довольно серьёзную вариативность, и простое развёртывание того же WAF, EDR или IPS ничего не даёт, если не настроить их грамотно и не поддерживать в актуальном состоянии правила обнаружения атак.

Поэтому многие компании и начинают обращаться к системным интеграторам и подключают свои ИТ-системы к SOC. Держать у себя специалистов, готовых всем этим заниматься на должном уровне, довольно сложно — это дорого, и их сложно мотивировать, а вот отдать эту задачу на аутсорс в тот же GSOC, где эксперты занимаются подобным каждый день, — рациональное решение».

#gis_новости #gsoc

⚠️ Raspberry Robin, сложный загрузчик вредоносного ПО, также известный как Roshtyak, продолжает свою кампанию против систем Windows с расширенными возможностями и методами обхода.

Raspberry Robin, обнаруженный в конце 2022 года, не является конечной угрозой сам по себе, а скорее выступает в роли «курьера», доставляющего в корпоративные сети разнообразные вредоносные инструменты — от вымогателей до шпионского ПО — по заказу злоумышленников. Эта особенность делает его особенно опасным, поскольку его «полезная нагрузка» может меняться, адаптируясь к целям атакующих.

🗣Михаил Спицын, киберэксперт лаборатории стратегического развития компании «Газинформсервис», выделяет ключевые аспекты этой угрозы:

1️⃣ во-первых, USB до сих пор остаётся удобным и почти неконтролируемым каналом передачи данных между офисами и подрядчиками; даже одно заражённое устройство даёт злоумышленнику точку входа.
2️⃣ во-вторых, гибкая архитектура Raspberry Robin делает его не конечной вредоносной целью, а «курьером»: он привозит в сеть то, что закажет оператор, — от шифровальщиков до шпионских программ.
3️⃣ в-третьих, постоянная эволюция шифрования и обфускации позволяет ему опережать классические антивирусы и подпись-ориентированные IDS. Защита строится на сочетании технических и организационных мер, и вот тут в игру вступает центр мониторинга GSOC, который усиливает эту оборону сразу на нескольких уровнях.

«GSOC круглосуточно собирает телеметрию со всех конечных точек и сетевых сегментов, сравнивает её с актуальной TI и тут же реагирует, если на рабочей станции запускается подозрительный процесс с USB. Инструменты реагирования на конечных точках, которыми пользуется SOC, выстраивают дерево процессов и позволяют мгновенно увидеть источник заражения, модули поведенческой аналитики отмечают нетипичную активность в сети, а аналитики корректируют правила, чтобы подобный вектор больше не сработал. Таким образом время обнаружения таких угроз и реагирования на них сокращается с часов до минут», — пояснил эксперт.

#gis_новости #gsoc

❗️❗️❗️❗️❗️❗️— предлагаем особые условия сотрудничества и стоимость услуг для первых 2️⃣обратившихся*!

GSOС — Центр мониторинга и реагирования компании «Газинформсервис» встанет на защиту вашей ИТ-инфраструктуры.

Почему нужно выбрать нас?
⏺Быстрый старт: возможность оперативного подключения инфраструктуры клиента к SOC;
⏺Гибкость при построении вариантов взаимодействия с ИБ-специалистами клиента;
⏺Практический опыт специалистов, подтвержденный победами на престижных конкурсах в составе Red и Blue Team;
⏺Сертифицированные аналитики CISSP, CISM, CEH, OSWE, OSCP;
⏺Действует рассрочка платежей.

Узнать подробности и условия можно здесь.

P.s. До окончания спецпредложения осталось 17 дней.
*Предложение не является публичной офертой. Подробности уточняйте у менеджеров.

#gsoc #gis_новости

⏺Киберпреступность продолжает эволюционировать, переходя от единичных атак к построению целых «экономик» с четким разделением труда. Одним из ярких примеров является вредоносное ПО SocGholish, которое, по данным последних исследований, активно используется для создания глобальной экосистемы киберпреступлений через механику фальшивых обновлений.

«Разделение труда характерно практически всех видов человеческой деятельности, и было бы странно, если бы в деле киберпреступлений было иначе. На самом деле, ПО SocGholish существует с 2018 года, и его услугами воспользовались уже десятки APT-групп. В каком-то смысле это просто самый известный случай подобной бизнес-модели. Кроме этого, ведь существуют многочисленные конструкторы вредоносного ПО или магазины по организации DDoS-атак», — отметил руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин.

Суть новой, изощренной схемы заключается во внедрении поддельных обновлений, которые искусно маскируются под легитимные. Это позволяет им незаметно проникать в системы пользователей и компаний. После успешной компрометации, SocGholish становится лазейкой для других, более специализированных кибергруппировок (APT-групп), которые покупают доступ к скомпрометированным системам для дальнейшего использования. Это может включать кражу учетных данных, финансовой информации, а также проведение целевых атак на критически важную инфраструктуру.

«Интересно тут другое: если софт существует так давно, и все ведущие вендоры ИБ о нем знают, то почему же сотни пользователей регулярно загружают себе этот вредоносный код? Ответов несколько, можно выбрать любой, наиболее приятный. Во-первых, для эффективной борьбы с такой комплексной угрозой нужно не просто поставить антивирус, но и соблюдать цифровую гигиену, а это, как показала практика, доступно не каждому. Или второй вариант – вы крупная компания, а у вас просто может не быть ресурсов для того, чтобы быть в курсе актуальных угроз и поставить задачу инженерам что-то с этим сделать. Да, вы можете подключиться к SOC, но это тоже требует усилий, а мотивация зачастую появляется после потери первых миллионов от взлома. С цифровой гигиеной мы ничего сделать не можем, а вот услуги SOC, таких как GSOC, сегодня доступны даже малому бизнесу, и это повод задуматься, стоят ли риски этой экономии», — заключил эксперт.

#gis_новости #gsoc

⚠️ Обнаружен усовершенствованный прототип бэкдора FireWood, предназначенный для поражения систем под управлением Linux, с возможностями RAT (Remote Access Trojan).

Ключевыми особенностями данного зловреда являются скрытность действия через руткиты уровня ядра и блочное шифрование TEA (Tiny Encryption Algorithm), возможность обеспечения долгосрочного несанкционированного доступа с последующим выполнением произвольных команд в системе и сбором конфиденциальных данных и их эксфильтрации на сервера злоумышленников.

🗣Ирина Дмитриева, инженер-аналитик лаборатории исследований кибербезопасности компании «Газинформсервис», объясняет, как работает вредонос:

«Злоумышленники, эксплуатирующие FireWood, отталкиваются от первоначальных веб-шеллов на конечные устройства. Соответственно, вредоносное ПО позволяет расширить возможности на скомпрометированных устройствах и проводить разведку, сбор данных и наносить ущерб целостности информации системы».

Из технических особенностей архитектура ВПО претерпела ряд изменений. Теперь FireWood поддерживает проверку на наличие прав root или ядра после демонизации и сохранения PID. Для обеспечения стабильности выделяется улучшенная проверка привилегий (root/kernel) после запуска. Проверка стабильности подключения к серверу злоумышленников проводится через настойчивые попытки соединения с сервером с задержками при неудаче на базе протокола связи через ConnectToSvr().

«FireWood представляет собой значимую угрозу для Linux-инфраструктур из-за своей скрытности и функциональности. Для построения проактивной защиты требуется слаженная работа ряда компонентов системы защиты информации, включая EDR-системы с поведенческим анализом, HIDS, NGFW/IPS с SSL-инспекцией, WAF и строгий контроль привилегий IDM-систем. Эффективным решением с точки зрения мониторинга несанкционированного влияния на сетевую инфраструктуру может стать NAC (Network Access Control), который заметит нелегитимные действия и отразит соответствующую информацию. Именное такое решение может предложить компания "Газинформсервис" в составе комплекса Efros DefOps.

Кроме того, стоит отметить важность роли SOC-аналитиков в настройке детектирования потенциальных угроз и выстраивания процессов реагирования на инциденты, а также интеграции разведки киберугроз для постоянного развития защитных мер. Здесь "Газинформсервис" может оказать поддержку — специалисты GSOC готовы прийти на помощь с оперативным реагированием 24/7 в согласованные SLA», — заключает Дмитриева.

#gis_новости #gsoc #efros_defops