25600
Ваш учебник по кибербезопасности Реклама - @bashmak_media https://telega.in/c/cybersec_academy РКН: https://clck.ru/3FBWcN
Супероружие, которое взорвет интернет - ботнет AISURU
👋 Приветствую в мире цифровой безопасности!Расскажу, почему AISURU стал настолько серьезным ботнетрм и чем он отличается от классических IoT‑ботнетов.
⏺AISURU вырос с ~6 до ~30 Tbps за месяцы. Это уже полноценный инфраструктурный ботнет, который способен давить даже сетевые магистрали и CDN. Мощность у него распределена по тысячам подсетей, поэтому трафик выглядит как нормальный глобальный шум, что усложняет фильтрацию 😬
⏺Рост обеспечен автоматизированной цепочкой заражений: а именно сбор свежих CVE для SOHO‑роутеров, массовые сканеры, точечная эксплуатация и самораспространение. Ботнет ставит агента поверх уязвимого фреймворка, убирает конкурентов, закрепляется в системе и сразу встраивается в общую командно‑управляющую сеть.
⏺Внутри команды есть чёткое разделение: одни занимаются поиском багов, другие — созданием эксплойтов под новые модели оборудования, третьи - построением прокси‑цепочек и инфраструктуры управления. За счёт этого AISURU стабильно пополняет «флот» и быстро адаптируется под патчи производителей.
⏺Технологически ботнет еще как отличается от обычных Mirai‑форков: у него есть продвинутое обнаружение honeypot‑ловушек, динамическое переключение IP‑пула, методы обхода фильтрации, а также авто‑тюнинг под конкретный DDoS‑вектор (UDP‑flood, TCP‑flood, amplification‑варианты).
⏺Текущие цели ботнета такие: игровые платформы, облачные провайдеры, телеком‑операторы, крупные SaaS‑сервисы. Главное отличие AISURU - он продаётся как услуга, поэтому характер атак постоянно меняется: оператор подстраивает сценарий под защиту конкретной жертвы, что увеличивает эффект от атак.
ZeroDay | #история
📝 Наглядно системная иерархия в Linux
ZeroDay | #Linux
USB Rubber Ducky: библиотека полезных пейлоадов
👋 Приветствую в мире цифровой безопасности!Поговорим о еще одном инструменте безопасности.
⏺USB Rubber Ducky - это флешка, которая притворяется клавиатурой.
Вы вставляете её в ПК, и она мгновенно начинает вводить команды с нереальной скоростью. А официальный репозиторий usbrubberducky-payloads - это огромная библиотека готовых DuckyScript‑пейлоадов: от быстрого recon до автоматизации рутинных задач.
⏺Пейлоады пишутся на DuckyScript 3.0: теперь это полноценный мини‑язык с функциями, циклами, режимами HID/Storage, рандомизацией, OS‑детекцией и расширениями.
⏺Работать удобнее всего через PayloadStudio - это веб‑IDE с автокомплитом, встроенными расширениями и компиляцией в inject.bin. Написал payload.txt → собрал → вставил «утку» → получил автоматизацию уровня «вставил и ушёл».
⏺Пример минимального пейлоада (авто‑recon):
DELAY 500
GUI r
STRING powershell -nop -w hidden
ENTER
DELAY 700
STRING whoami; ipconfig; systeminfo | Out-File C:\recon.txt
ENTER
# Собрать payload через PayloadStudio
# Файл inject.bin скопировать в корень "утки"
payloads/
├── recon/
├── exfiltration/
├── remote_access/
└── privesc/
languages/
extensions/
Как ИИ-сервисы обращаются с вашими данными в 2025 году
2025-й стал годом, когда политики обработки данных у ИИ-сервисов резко поменялись. Судебное решение против OpenAI, крупные утечки вроде более миллиона записей DeepSeek и новые требования к хранению данных, всё это заставило пересмотреть представление о том, что именно происходит с запросами, которые мы отправляем в модели.
⏺В статье очень подробный разбор, как разные вендоры (OpenAI, Anthropic, Google, DeepSeek, GigaChat, YandexGPT, OpenRouter и инструменты для кодинга) хранят данные, используют ли их для обучения, чем отличаются пользовательские и корпоративные режимы и какие были реальные инциденты в 2025 году.
ZeroDay | #Статья
⚡️⚠️📊Сделал подборку рекомендую вам ознакомьтесь 🤙
• Арсенал Безопасника — Лучшие инструменты для хакинга и OSINT
• Хакер | Red Team — Библиотека Хакера тут вы найдете только эксклюзив! Автор делится лучшим. (новинка)
• Max Open Source — Полезные статьи и бесплатные курсы по этическому хакингу, пентесту, программированию и информационным технологиям.
• IT MEGA — Тут эксклюзивные материалы, курсы по программированию, информационная безопасность хакингу, Osint и IT.
• Книги | Books — Одна из крупных библиотек в сегменте Telegram. Тысячи книг и полезного материала.
• Библиотека Cobalt Strike — Все для знакомства с хакингом, пентестом, эксклюзивной информация, курсы, книги, статьи и инструменты.
• Журнал Хакер — Журнал хакер, канал архив, все выпуски с 1999- до последнего! Удивительный мир!
• Библиотека разведчика Osint — Единственная в своем роде библиотека по теме OSINT, разведки в сети, сбору информации, технологии конкурентной разведки, поиск о цели.
‼️ В общей сложности, данные проекты насчитывают терабайты курсов и книг. Присоединяйся 📲💻
Как делить зоны ответственности при работе в облаке?
На вебинаре 11 декабря в 11:00 по мск эксперты Cloud.ru и Cloud Advisor разберут модель разделения ответственности: расскажут, какие задачи лежат на провайдере, а какие — на команде клиента, и научат закрывать потенциальные угрозы.
В программе:
😶🌫️почему модель разделенной ответственности — это база, и чем опасно ее игнорирование;
😶🌫️разбор зон ответственности на каждом уровне: что контролирует провайдер, а что — клиент;
😶🌫️какие инструменты предлагает Cloud.ru для защиты облачной инфраструктуры;
😶🌫️как комплексно обеспечить безопасность инфраструктуры в зоне ответственности клиента с помощью платформы CNAPP.
Как не отправить деньги «не туда»
👋 Приветствую в мире цифровой безопасности!Если вы хоть раз пересылали кому‑то номер для перевода - вы уже попадали в зону риска.
⏺А попали вы не потому, что банки небезопасные. А потому, что главный разрыв происходит между людьми, когда реквизиты гуляют по мессенджерам.
⏺Что реально ломается: мессенджер можно обмануть. Сообщение редактируют, номер подменяют, пересылают старый, делают фишинговую визитку, а предпросмотр ссылки могут перехватить. И всё, вы переводите деньги не тому, кому хотели. Это не атаки на СБП или банк. Это атаки «по дороге» - до того, как вы вообще открыли приложение.
⏺Почему «просто номер» не всегда безопасно: номер - это просто цифры без защиты и без проверки. Вы никак не узнаете, что тот самый реквизит, который вы вставили, настоящий, а не подменённый кем‑то в чате или в буфере обмена.
⏺Как решают проблему: защитная фраза. Отправитель создаёт свою короткую фразу, и она показывается на каждой визитке, которую он открывает. Фраза хранится на стороне отправителя, поэтому подделать её невозможно - даже если кто‑то подсунул фейковую ссылку, визитка просто не покажет нужный маркер.
⏺Что это даёт: вы сразу понимаете, что визитка настоящая, реквизит правильный, а путь до банка не был подменён. Фишинг, ошибки и MITM‑подмены - сильно сложнее или полностью невозможны. Деньги по‑прежнему идут напрямую через банк, сервис их даже не видит.
ZeroDay | #фишинг
Мониторинг Linux на уровне ядра: понятное введение в eBPF + Cilium
👋 Приветствую в мире цифровой безопасности!Давай разберёмся, как вообще смотреть «внутрь ядра» без написания громоздких kernel-модулей. eBPF как раз про это: маленькие программы, которые запускаются внутри ядра через встроенную виртуальную машину
⏺Вспомним, что такое eBPF: это способ перехватывать системные события (syscalls, сетевые пакеты, функции ядра), анализировать их и отправлять данные обратно в юзерспейс. Под это есть разные крючки: tracepoints, kprobes/kretprobes, uprobes и карты (maps) для обмена данными.
⏺А теперь перехватим execve на Go через Cilium eBPF
1️⃣Создаём проект:
mkdir execve-tracer && cd execve-tracer
go mod init execve-tracer
sudo apt install clang llvm libbpf-dev
go get -t github.com/cilium/ebpf/cmd/bpf2go
SEC("tp/syscalls/sys_enter_execve")
int monitor_execve(struct syscalls_enter_execve_args* ctx) {
struct event evt = {};
evt.pid = bpf_get_current_pid_tgid() >> 32;
bpf_get_current_comm(evt.comm, sizeof(evt.comm));
bpf_probe_read_user_str(evt.filename, sizeof(evt.filename), ctx->filename);
bpf_perf_event_output(ctx, &events, BPF_F_CURRENT_CPU, &evt, sizeof(evt));
return 0;
}go generate
go build -o tracer
sudo ./tracer
Infection Monkey: "безопасный червь", который проверяет вашу сеть лучше пентеста
👋 Приветствую в мире цифровой безопасности!Поговорим о еще одном инструменте безопасности.⏺Infection Monkey - это открытая платформа для adversary emulation, которая имитирует поведение реального malware: распространяется по сети, подбирает логины, использует уязвимости, ворует креды и отправляет отчёт на C2-сервер Monkey Island.
⏺Monkey комбинирует техники lateral movement и реальные эксплойты: Log4Shell, RDP, SSH, SMB, WMI, слабые пароли и даже Mimikatz.
⏺Логика простая: запускаете «ослабленный вирус», смотрите, куда он смог проникнуть, и укрепляете защиту там, где она дала сбой. Это как вакцина: безопасный патоген помогает выстроить иммунитет сети.
⏺Установка и запуск:
# Клонируем проект
git clone https://github.com/guardicore/monkey
cd monkey
# Установка зависимостей (пример для Python-части)
pip install -r requirements.txt
# Запуск Monkey Island (C2-сервер)
docker run -p 5000:5000 guardicore/monkey-island
# Старт Infection Monkey агента
./infection_monkey --auto
# Запуск юнит-тестов
pytest
# Покрытие кода
pytest --cov-report=html --cov .
Освойте Kaspersky SD-WAN и прокачайте управление корпоративной сетью 🚀
Kaspersky SD-WAN помогает компаниям держать распределённую инфраструктуру в порядке: трафик движется по лучшему маршруту, соединения стабильны, а встроенная защита снижает риски атак. Это особенно важно там, где задействованы сложные сетевые сценарии, высокая нагрузка на серверы и требуется точное администрирование ⚙️.
На курсе вы разберёте архитектуру решения, научитесь управлять транспортными сервисами и настраивать маршрутизацию, в том числе в смешанных средах на основе Linux и продуктов лаборатории Касперского 💡.
Скидка 15 % для подписчиков @hta_direct.
Промокод: CHANCE15 действует до 15.12.2025 🎁.
Дата начала курса: 22.12.2025 г.
Экзамен в подарок!
Записывайтесь по ссылке: https://ht-edu.ru/courses/detail.php?course=8263&utm_source=telegram&utm_medium=messenger&utm_campaign=dec2025&utm_content=post 📩.
Проходите групповые и индивидуальные курсы повышения квалификации и переподготовки в сфере IT:
📘 Мы — Академия Высоких технологий
✉️ Написать вопрос: @elena_hta
☎️ Телефон: +7 (495) 728-29-52
🌐 Наш сайт: ht-edu.ru
#админ #сисадмин #systemsengineer #kaspersky #кибербезопасность
А вы уже сталкивались с задачами управления распределёнными сетями?
Реклама.
О рекламодателе.
Аудитные логи как сервис.
Зачем это нужно облачной платформе и вашему проекту?
Разберём в 9-й серии реалити-проекта Building the Cloud.
Инженеры MWS Cloud Platform покажут, как устроен сервис Audit Logs — от требований продукта до архитектуры и инженерных решений.
📅 Эфир 4 декабря, 14:00 (мск).
🎁 Розыгрыш фирменного мерча среди зрителей.
➡ Зарегистрироваться
🌐 К международному дню защиты информации ИБ-спецы из InfoWatch решили возродить старый добрый формат AMA (ask me anything) и сделают это понятно где — на Хабре.
В формате прямого эфира (28 ноября, с 12 до 16 по МСК) четверо экспертов будут отвечать на любые вопросы, связанные с инфобезом:
• последние изменениях в законодательстве,
• свежие утечки и технически сложные уязвимости,
• и, что главное, как со всем этим бороться.
➡️ Если хотите задать вопросы или просто почитать — вот ссылка.
Заглядывайте сами и делитесь этим постом с друзьями, которым интересна тема ИБ.
Hint — если у вас нет аккаунта на Хабре, просто заведите его: оставлять комментарии и вопросы можно даже без инвайта.
А если не успеете «залететь» в эфир, не беда — эксперты InfoWatch всё равно ответят на ваши вопросы в комментариях.
Service Mesh и mTLS: что реально защищает, а что - нет
👋 Приветствую в мире цифровой безопасности!Сегодня разберёмся, как работает безопасность в Service Mesh и почему mTLS часто понимают не так.
⏺Что делает mTLS на самом деле: Он шифрует трафик между сервисами и проверяет, что с вами общается именно тот сервис, за кого он себя выдаёт. То есть защищает канал связи и подтверждает «кто есть кто». Но! На этом защита заканчивается. mTLS не проверяет, что сервис имеет право запрашивать конкретные данные. Это очень частое заблуждение.
⏺Где возникает миф: Команда ставит Istio или Linkerd, включает mTLS - и думает, что теперь «всё в Mesh под защитой». На деле:
➡️ если злоумышленник взломал один под — он получает уже расшифрованный трафик,
➡️ Envoy-сертификаты лежат в памяти sidecar,
➡️ сеть шифруется, но внутренние разрешения не контролируются.
⏺mTLS ≠ полноценный zero trust: Mesh проверяет «кто ты», но не проверяет «что тебе можно». Чтобы это заработало, нужны политики доступа.
Вот пример двух ключевых настроек:
# Включаем строгий mTLS (обязательное шифрование)
apiVersion: security.istio.io/v1beta1
kind: PeerAuthentication
metadata:
name: strict
spec:
mtls:
mode: STRICT
# Разрешаем к сервису B обращаться только сервису A
apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
name: limit-b
spec:
selector:
matchLabels:
app: service-b
rules:
- from:
- source:
principals: ["cluster.local/ns/default/sa/service-a"]
📣 Вебинар: контент-фильтрация на Ideco NGFW 20: как увидеть всё, даже в HTTPS.
🗓 27 ноября 12:00 или 19:00 (мск)
95% корпоративного трафика - это HTTPS. А значит, классическая фильтрация по IP и портам больше не защищает.
На вебинаре разберем архитектуру контент-фильтра Ideco NGFW и покажем, как реализовать DPI (Deep Packet Inspection) для SSL/TLS.
📌 Что разберём:
- Устройство контент-фильтра: механизмы на основе категорий URL и морфологического анализа контента.
- Главный ключ к HTTPS: управление SSL-сертификатами для бесшовной инспекции без ошибок в браузерах.
- Тонкую настройку: создание гибких правил на основе MIME-типов и HTTP-методов.
- Максимальную защиту: интеграция с антивирусами и песочницами для проверки веб-трафика в реальном времени.
Вебинар - практический фрагмент из авторизованного курса Ideco NGFW20. Интеграция. Управление. Администрирование.
🧑💻 Кому полезно:
ИБ-инженерам, сетевым администраторам, руководителям ИТ/ИБ.
Что вы получите:
✅ Практические навыки настройки DPI и HTTPS-инспекции
✅ Живые ответы от сертифицированного эксперта
✅ Бесплатный доступ к фрагменту авторизованного курса Ideco
🔗 Регистрируйтесь сейчас.
🗓 27 ноября 12:00 или 19:00 (мск).
Места ограничены.
Реклама.
О рекламодателе.
Освойте IT-профессию будущего на стыке дронов и компьютерного зрения
Речь идёт об онлайн-интенсиве «Управление дронами с использованием компьютерного зрения», который позволяет за 8 недель получить актуальные навыки в сфере беспилотных технологий и создать проект для портфолио.
Вы научитесь работать с видеопотоком, алгоритмами CV и виртуальной моделью БПЛА.
Курс подойдёт тем, кто интересуется современными технологиями и хочет работать в перспективной IT-сфере.
Оборудование покупать не нужно — все занятия проходят в симуляторах.
Поддерживать вас будет эксперт-практик, который помогает внедрять CV-решения в реальных проектах каждый день.
Начать обучение могут все, кто хочет освоить новую профессию
Подробнее → https://netolo.gy/evkD
Успеете защититься, пока киберугрозы не стали ближе?
В 2025 году хакеры используют новые схемы и находят бреши там, где ещё вчера их не было.
18 декабря эксперты F6 покажут во время вебинара, каким стал Managed XDR: какие инструменты помогут быстро обнаружить и отразить современные атаки, как работать с дорожной картой безопасности и что реально внедрять в вашей компании.
Живая демонстрация, ответы на вопросы — всё ради вашего спокойствия и контроля над ИТ-инфраструктурой.
Регистрируйтесь — количество мест ограничено!
#реклама
О рекламодателе
Хотите стать пентестером и предотвращать кибератаки? 👀
Запишитесь на курс «Профессия Пентестер» от Академии Кодебай! Стартуем 10 декабря — регистрация здесь.
Что вы получите?
🔸 Научитесь атаковать сети, WEB-сайты, ОС и устройства и проводить внутренний и внешний пентест
🔸 Освоите полный цикл пентеста: от Kali Linux до написания эксплойтов и обхода антивирусов.
🔸 Сможете участвовать в Bug Bounty программах или построить карьеру в информационной безопасности
Полный цикл обучения:
⌨️ от освоения Kali Linux и администрирования, до написания эксплойтов и шелл-кода, обхода антивирусных решений
⌨️ от сетевой разведки до эксплуатации уязвимостей, повышения привилегий и закрепления в сети
Присоединяйтесь к Академии Кодебай – защищайте мир от угроз, находя уязвимости и предотвращая кибератаки!
🚀 По всем вопросам пишите @Codeby_Academy
Любая уязвимость = простой. Любой простой = потеря денег.
Selectel обеспечивает многоуровневую защиту проекта — от дата-центра до сервисов. В карточках — чек-лист уровней защиты облака Selectel.
Сосредоточьтесь на развитии своих проектов, а Selectel позаботится о безопасности вашей IT-инфраструктуры. Разместите ваш проект в облаке Selectel: https://slc.tl/8je87
Реклама. АО "Селектел". erid:2W5zFJ1Ue9e
Сертификация — тема одновременно очень злободневная и практически неисчерпаемая. В рамках вебинара 11 декабря в 11:00 специалисты «Лаборатории Касперского» не будут пытаться объять необъятное, но постараются снабдить вас полезными знаниями.
Спикеры ответят на ваши вопросы и поднимут ряд актуальных тем — например, про оценочный уровень доверия и особенности сертификации в разных ведомствах. Пройдутся и по Регуляторному хабу — этот ресурс уже давно помогает найти всю важную информацию о законодательстве в области ИБ. Расскажут о том, как пользоваться Хабом, чтобы узнать всё о соответствии требованиям законодательства. Ну и конечно, после вебинара вы точно будете знать больше о сертификации продуктов «Лаборатории Касперского».
Подключайтесь!
3 приёма для веб‑пентеста
👋 Приветствую в мире цифровой безопасности!
Расскажу сегодня о трех полезных фишках именно для веб-пентеста.
⏺Blind SSRF через favicon-hash: Подмена пути на /favicon.ico с редиректом на ваш сервер. Многие прокси разрешают favicon без проверки домена.
Если хэш favicon меняется, значит и SSRF-трафик точно дошёл до вас.
GET /favicon.ico HTTP/1.1
Host: internal.service
a.example.com, но нет b.example.com, вы можете поднять свой b. и выставить cookies на весь .example.com.Set-Cookie: session=evil; Domain=.example.com
/api/user?nocache=1&x=%00inject
ХАКСЕТ .labs: практичная площадка для первых шагов в пентесте
👋 Приветствую в мире цифровой безопасности!
Ещё один инструмент, который может пригодиться тем, кто только начинает разбираться в ИБ.
⏺ Вход с нулём знаний: задачи идут от самых простых, чтобы понять базовую механику
⏺ Внутри уже 25 задач: каждая задача сопровождается видеоразбором
⏺ Живое комьюнити: где можно уточнить непонятные моменты или обсудить решение
⏺ Можно выкладывать свои задачи: это приятный бонус для тех, кто уже что-то умеет. Платформа растёт за счёт самих пользователей
ZeroDay | #Инструмент
От обнаружения до изоляции: как автоматизировать реагирование на киберинциденты
Построение эффективной системы защиты требует не только обнаружения угроз, но и мгновенного реагирования. Приглашаем на практический вебинар, где покажем, как автоматизировать полный цикл противодействия атакам с помощью продуктов экосистемы UserGate SUMMA.
В программе:
— Выявление успешной фишинговой атаки с запуском шифровальщика
— Мгновенная изоляция зараженного хоста для остановки распространения угрозы
— Координация действий uSIEM, uClient, uMC и uNGFW для автоматического блокирования атаки и уведомления команд ИТ и ИБ
— Сокращение времени реагирования с часов до нескольких минут без участия человека на этапе сдерживания
Спикеры:
— Роман Спицын, Presale-инженер
— Дмитрий Чеботарёв, Менеджер по маркетингу uSIEM
— Яна Заковряжина, Менеджер по маркетингу uClient
Когда: 11 декабря, 10:00 (МСК)
Присоединяйтесь, чтобы узнать о всех преимуществах слаженной работы экосистемы UserGate SUMMA.
Зарегистрироваться
Представь: все безопасники бесследно исчезли... Все, кроме тебя
Ко Дню защиты информации К2 Кибербезопасность запустила игру «CyberCity: Протокол защиты» — симулятор непредвиденного дня в карьере ИБ-специалиста.
🛡 Задача — тушить киберпожары: от сбоев светофоров до атак на электростанцию. Для этого предстоит решать задания на криптографию, реверс, логику и искать пасхалки от партнеров — R‑Vision, Avanpost, InfoWatch и WMX.
Выполняй задания и участвуй в розыгрыше PS5, VR-шлема Oculus, LEGO и мерч-паков. Победителей объявят 15 декабря в боте.
✅ Присоединиться к игре
Чтобы тебя не вычислили рекламщики: почему приватность - это паранойя
Даже если убрать куки, уйти от Google и включить VPN - рекламные сети всё равно могут узнать тебя по браузерному фингерпринту. Canvas‑рендеринг, шрифты, расширения, размер окна, язык системы - всё это складывается в уникальный «паспорт», по которому тебя находят снова и снова.
⏺В статье о том, как именно собирают эти отпечатки, почему банальные меры защиты почти не работают, и какие браузеры вроде Brave или Mullvad реально умеют снижать отслеживание. В 2025‑м, чтобы остаться незаметным, мало просто спрятаться, приходится думать как параноик.
ZeroDay | #Статья
Хороших выходных, безопасники!
ZeroDay | #мем
LaLiga устроила интернет‑хаос: как борьба с пиратством положила пол‑Испании
👋 Приветствую в мире цифровой безопасности!Расскажу, как борьба Ла Лиги с пиратскими стримами превратилась в один из самых громких сетевых фейлов 2025 года.
⏺Как всё началось: у лиги было судебное разрешение на «динамические блокировки», можно мгновенно резать IP, с которых идут пиратские трансляции. Идея понятная, но исполнение… чуть менее.
⏺Вместо точечных блоков LaLiga начала гасить целые диапазоны, включая адреса Cloudflare. В итоге люди просто открывали сайты — а те не работали. Никакого пиратства, просто побочный урон.
⏺Что происходило в сети: под нож попадали CDN‑IP, за которыми сидят сотни легальных сайтов. Блокируют один IP - исчезают интернет‑магазины, новостные порталы, чьи‑то рабочие сервисы.
⏺Провайдеры действовали формально: есть предписание - блокируем. А тонких механизмов фильтрации в инфраструктуре просто нет.
⏺Масштаб бедствия: к лету заблокированы миллионы IP. Юзеры массово писали в поддержку провайдеров, VPN‑трафик улетел вверх, а Cloudflare уже официально жаловалась США на «вред третьим странам». LaLiga же стояла на своём: «боремся с пиратством, всё законно».
⏺Что можно было сделать: проблема не в борьбе с пиратами, а в выбранном инструменте. IP‑блокировки в 2025 году - это как выключить рубильник в доме, чтобы погасить лампочку… Вместо этого можно использовать SNI‑фильтрацию, L7‑анализ или точечные судебные ордера на конкретные хосты, а не на сетевые диапазоны.
ZeroDay | #история
RomCom атакует через фейковые обновления браузера
👋 Приветствую в мире цифровой безопасности!Расскажу про свежую цепочку атаки, где RomCom впервые использовал SocGholish (FakeUpdates), чтобы доставить Mythic Agent, и всё под видом обновления браузера.
⏺Что произошло: SocGholish - тот самый «фейковый апдейтер» Chrome/Firefox, который показывают на взломанных сайтах. Жертва видит «обновите браузер», скачивает скрипт, и цепочка запускается.
⏺Обычно этот загрузчик работает с группами вроде Evil Corp или LockBit, но впервые замечено, что он доставил RomCom-перегрузчик.
⏺Как шла атака: вредоносный JS разворачивает reverse shell к C2, позволяет выполнять команды, тянет Python-бэкдор VIPERTUNNEL, а затем - DLL-лоадер RomCom, который подгружает Mythic Agent (постэксплуатация: команды, файловые операции, управление). От клика по «обновить браузер» до доставки полезной нагрузки меньше 30 минут.
⏺Контекст: RomCom (Storm-0978 / Void Rabisu) связан с российской группировкой GRU Unit 29155 и активно работает по узким, заранее определённым целям. Здесь целью стала американская инжиниринговая компания.
⏺Что интересно: полезная нагрузка доставляется только если домен Active Directory совпадает с нужным значением - атака точечная, не массовая. В этом инциденте цепочку удалось остановить.
ZeroDay | #история
🔔Вебинар InfoWatch: «Три столпа умной DLP-системы: как сохранить репутацию, деньги и нервы»
Визитной карточкой умной DLP-системы InfoWatch Traffic Monitor являются технологии контентного анализа и обработки больших объемов информации с помощью искусственного интеллекта.
На мероприятии рассмотрим:
▪️как DLP помогает не только защищать, но и приносить реальную выгоду пользователю системы;
▪️стоимость владения СЗИ в сравнении с математикой штрафов за утечки данных;
▪️обновлённые технологии InfoWatch, предотвращающие инциденты ещё на этапе их замысла;
▪️как искусственный интеллект помогает в защите данных.
Дата и время: 27 ноября, 11:00 (МСК).
🔗Регистрация доступна по ссылке.
#реклама
О рекламодателе
📣 Вебинар: контент-фильтрация на Ideco NGFW 20: как увидеть всё, даже в HTTPS.
🗓 27 ноября 12:00 или 19:00 (мск)
95% корпоративного трафика - это HTTPS. А значит, классическая фильтрация по IP и портам больше не защищает.
На вебинаре разберем архитектуру контент-фильтра Ideco NGFW и покажем, как реализовать DPI (Deep Packet Inspection) для SSL/TLS.
📌 Что разберём:
- Устройство контент-фильтра: механизмы на основе категорий URL и морфологического анализа контента.
- Главный ключ к HTTPS: управление SSL-сертификатами для бесшовной инспекции без ошибок в браузерах.
- Тонкую настройку: создание гибких правил на основе MIME-типов и HTTP-методов.
- Максимальную защиту: интеграция с антивирусами и песочницами для проверки веб-трафика в реальном времени.
Вебинар - практический фрагмент из авторизованного курса Ideco NGFW20. Интеграция. Управление. Администрирование.
🧑💻 Кому полезно:
ИБ-инженерам, сетевым администраторам, руководителям ИТ/ИБ.
Что вы получите:
✅ Практические навыки настройки DPI и HTTPS-инспекции
✅ Живые ответы от сертифицированного эксперта
✅ Бесплатный доступ к фрагменту авторизованного курса Ideco
🔗 Регистрируйтесь сейчас.
🗓 27 ноября 12:00 или 19:00 (мск).
Места ограничены.