Продам всё, что на фото. Недорого
Привет, с вами снова отдел реагирования и цифровой криминалистики Angara MTDR. Наш эксперт Александр Гантимуров, руководитель направления обратной разработки Angara MTDR, исследовал вредоносные APK-файлы, которые активно используют злоумышленники в социальных сетях и мессенджерах под видом срочной распродажи личных вещей.
https://habr.com/ru/companies/angarasecurity/articles/973630/
#социальная_инженерия #впо #мошенничество #вредоносы #киберразведка #osint
Шпион в твоем кармане
Мы обнаружили фишинговый ресурс крупной логистической компании, на котором пользователям предлагали установить фишинговый файл под видом приложения для отслеживания доставки грузов и изучили вредонос. Расскажем, как он выглядит со стороны пользователя, чем грозит его установка, и как ВПО работает внутри.
https://habr.com/ru/companies/angarasecurity/articles/972198/
#социальная_инженерия #впо #мошенничество #вредоносы #киберразведка #osint
Злоумышленники перенимают опыт коллег: что общего между SilverFox и APT41. Разбор атаки
Привет, Хабр! На связи Евгения Устинова, старший аналитик сетевой безопасности группы компаний «Гарда» . В статье хочу рассказать, как нам удалось связать инструментарий двух группировок через особенности реализации сетевых протоколов. Отследить эволюцию инструментов группировки SilverFox – например, ПО Winos – по отпечатку процедуры сетевой коммуникации оказалось довольно сложной задачей, поэтому я решила поделиться кейсом. Подключайтесь к расследованию
https://habr.com/ru/companies/garda/articles/962222/
#разбор_атаки #Winos #Silverfox #вредоносы #фишинг #ValleyRAT #apt41 #winnti
Не Cobalt Strike и не Brute Ratel: почему злоумышленники выбрали AdaptixC2 и как его обнаружить
В сентябре 2025 года исследователи из Angara MTDR обнаружили, что фреймворк AdaptixC2 стал использоваться в атаках на организации в Российской Федерации. Сегодня мы, Лада Антипова и Александр Гантимуров, расскажем, что представляет собой фреймворк постэксплуатации AdaptixC2, как выявлять следы его использования и чем отличается выявленный способ эксплуатации фреймворка от всех описанных публично ранее. В результате расследования компьютерного инцидента был выявлен инструмент злоумышленников, который использовался для закрепления в скомпрометированной системе. Он выгодно отличался от других видов типового и самописного ВПО, которые эти же злоумышленники использовали в ходе атаки. Образец обладал обширным набором команд, был хорошо спроектирован, а также имел широкие возможности по конфигурации. После непродолжительного исследования стало ясно, что перед нами агент Beacon от фреймворка постэксплуатации AdaptixC2. AdaptixC2 — это фреймворк для постэксплуатации, который часто сравнивают с такими известными инструментами, как Cobalt Strike и Brute Ratel. В отличие от них, AdaptixC2 полностью бесплатен и доступен на GitHub . Ранее о его применении в кибератаках на другие страны сообщали Symantec , Palo Alto и « Лаборатория Касперского ». Поэтому появление AdaptixC2 в арсенале злоумышленников, атакующих организации в России, было лишь вопросом времени.
https://habr.com/ru/companies/angarasecurity/articles/962088/
#фреймфорк #впо #cobaltstrike #кибератаки #автоматизация #вредоносы
«Evil»-бонус от банка, или как пройти опрос и потерять все деньги
Специалисты Angara MTDR выявили и исследовали новую волну кибермошенничества с установкой вредоносных приложений на телефон. В этот раз злоумышленники предлагают получить бонус от банка и предоставить доступ к своему телефону. Мы расскажем, как это выглядит со стороны пользователя, чем грозит и как это работает внутри. Введение В настоящее время банковский сектор остается одной из наиболее привлекательных целей для злоумышленников, в связи с чем банки и их клиенты постоянно сталкиваются с различными угрозами. Одна из таких угроз — вредоносное программное обеспечение (ВПО). Атаки с использованием ВПО могут проводиться при помощи рассылок в мессенджерах, SMS-сообщениях, по электронной почте, а также при помощи фишинговых сайтов, схожих с официальными банковскими ресурсами, где жертв под различными предлогами убеждают установить «официальное» приложение. В результате установки такого приложения на устройство пользователя внедряется вредоносная программа. Она может позволить злоумышленникам не только украсть личные данные и денежные средства со счета, но и получить полный доступ к управлению устройством. Так, по данным Банка России, в 2024 году атаки на клиентов финансовых организаций в 58% случаев проводились при помощи фишинговых ресурсов, на которых в том числе распространялось и вредоносное программное обеспечение. В последнее время был зафиксирован всплеск активности сайтов, на которых клиентам предлагали принять участие в опросе об удовлетворенности работой и услугами определенных банков. За прохождение подобного опроса пользователям обещали денежное вознаграждение в размере 6 тыс. руб.
https://habr.com/ru/companies/angarasecurity/articles/959476/
#кибермошенничество #mamont #впо #вредоносы #банковское_мошенничество #киберразведка #osint
Вредоносы против песочницы на Standoff 15
Каждый год мы проводим масштабные международные соревнования по кибербезопасности Standoff, которые собирают сильнейших специалистов blue team и red team. Очередная кибербитва Standoff 15 проходила на киберфестивале Positive Hack Days 21–24 мая. Формат соревнований предполагает столкновение команд защитников и атакующих в рамках максимально реалистичной инфраструктуры, которая имитирует компании из различных отраслей. В ходе соревнования защитники используют средства защиты информации (СЗИ) не только для обнаружения и расследования, но и для реагирования и отражения атак. В числе средств защиты была и PT Sandbox — продвинутая песочница для защиты от неизвестного вредоносного программного обеспечения (ВПО), использующая почти все современные методы обнаружения вредоносов. На Standoff песочница подсвечивает почтовые угрозы и помогает остальным средствам защиты понять, является ли тот или иной файл, найденный в сети или на конечных точках, вредоносным. Кибербитва — это важное испытание для экспертизы PT Sandbox, своего рода ежегодный экзамен. На Standoff мы проверяем способность песочницы обнаруживать техники злоумышленников и корректируем ее экспертизу. А в этой статье мы решили поделиться с вами тем, что же наловила песочница и какие инструменты наиболее популярны у красных команд. Это интересно, потому что атакующие в ходе соревнований ограничены по времени, у них нет возможности месяцами готовить атаку на инфраструктуру, а значит, в соревновании точно будут задействованы самые надежные, ходовые инструменты и методы, доступные и реальным злоумышленникам. Покопаться
https://habr.com/ru/companies/pt/articles/919358/
#sandbox #песочница #вредоносы #впо #бэкдор #хакерские_инструменты #троян #банковский_троян #cobalt_strike #вебшелл
Выясняем, кто поселился в вашей сети
Привет Хабр! На связи Аеза и сегодня мы хотим поговорить на одну очень злободневную тему – выявление подозрительных активностей в трафике. Мы не будем говорить о каких-то специализированных решениях, типа IDS/IPS, а вместо этого рассмотрим основные принципы выявления подозрительных действий что называется вручную. Наша задача будет состоять в том, чтобы самостоятельно, используя только Wireshark проанализировать образцы трафика и выявить в нем подозрительную активность для последующей настройки средств защиты.
https://habr.com/ru/companies/aeza/articles/908696/
#шифрование_трафика #информационная_безопасность #вредоносы #windows #linux #сети #virustotal #http #ldap #wireshark
Как найти и гоблина, и крысу. Интервью с исследователями из ГК «Солар», нашедшими вредонос GoblinRAT
Информационная служба Хабра побывала на SOC Forum 2024. Это ещё одно мероприятие, посвящённое кибербезопасности, которое проводит группа компаний «Солар». Из‑за плотного рабочего графика мне удалось попасть туда только на третий день и всего на несколько часов. Однако я смог поговорить со специалистами ГК «Солар» об одном довольно интересном исследовании. Оно было посвящено уникальному вредоносному ПО GoblinRAT , способному оставаться незамеченным в инфраструктуре атакованных организаций благодаря продвинутым методам маскировки и обхода защитных систем. Вредонос был найден в сетях нескольких российских государственных организаций и компаний, предоставляющих услуги госсектору, с признаками присутствия с 2020 года. В каждой из затронутых организаций злоумышленники получили полный доступ к сети.
https://habr.com/ru/articles/858586/
#солар #исследования_безопасности #Goblinrat #rat #вредоносы #взлом #хакеры #кибератаки #информационная_безопасность
[Перевод] Встраивание вредоносного исполняемого файла в обычный PDF или EXE
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: Использование данных инструментов и методов против хостов, для которых у вас нет явного разрешения на тестирование, является незаконным. Вы несете ответственность за любые проблемы, которые могут возникнуть в результате использования этих инструментов и методов. Сегодня мы покажем, как создать вредоносный исполняемый файл, который выглядит как PDF, документ Word или исполняемый файл веб-браузера с функциональностью обычного файла или программы, но с встраиванием нашего вредоносного исполняемого файла. Для этого мы будем использовать WinRAR. Предположим, мы уже создали наш вредоносный исполняемый файл, который выполнит определенные действия на хосте жертвы или отправит нам обратную оболочку. Следующие шаги описывают процесс создания нашего файла, который выглядит легитимно: 1) Найдите PNG-иконку для того, как должен выглядеть ваш вредоносный исполняемый файл, используя https://iconfinder.com . В этом примере мы используем логотип Chrome, но можно найти логотипы любых типов файлов. Нажмите «Download PNG» (Скачать PNG).
https://habr.com/ru/articles/858446/
#malware #payload #bypass #информационная_безопасность #вредоносы #winrar #малварь
Цитата: "На тебе... Ну вообще таким манером общаются на форумах и подфорумах распространители-доказатели невирусности этого MediaGet. Им оплачивают комментарии через программу-реферал. И ботоводство, присутствует конечно.
Здесь один выступающий уже появлялся:
https://rutracker.org/forum/viewtopic.php?t=3360115&start=210
Манера - софистика и ничего больше.
Или люди действительно здесь в программе-реферале участвуют, или же пароли от аккаунтов при помощи того же сетевого бота MediaGet'а украдены."
Поделюсь своим опытом ещё раз:
Из-за него новый и совершенно ненужный роутер купил. Дело в том, что после установки MediaGet-а начались перебои в работе роутера, вплоть до отрубания инета. Подключаешь напрямую, без роутера, проблем нет, с роутером доступ в инет периодически отрубается. Я подумал, что проблема в роутере.
В общем, новый, более мощный и дорогой, купил себе. Подключаю, настраиваю, а проблемы те же, соединение нестабильно. Выясняю в чём дело. Тут проблемы со стабильностью работы системы начинаются. Антивирусом Dr. Web cureit-ом систему проверяю, он этого вредоноса MediaGet-а находит, и я сношу его антивирусом, а других вредоносов не было. Доступ в инет теперь стабильный, затем проверяю старый роутер и тот уже работает отлично.
Aldorr писал(а):
Цитата:
По результатам первых 15 минут - сумасшедший SYN-флуд. Открывается больше 200 сокетов раз в 10 секунд по разным направлениям
Ну благодаря этому SYN-флуду и прочему исходящему потоку DDos'а роутеры и загибались. Видимо тупо таблицы маршрутизации забивает.
Вообще конечно MediaGet это (сетевой) бот - ботнет создаёт.
Всем советую отнестись к моему вышеописанному отрицательному опыту серьёзно. А то опять, придется кому-то из-за вирусного MediaGet'а, себе новые роутеры покупать.
Учитесь на чужих ошибках.
**Комментарий к ситуации:**
Этот опыт показывает, как вредоносные программы, вроде MediaGet, могут вызывать серьёзные проблемы с сетевым оборудованием. Часто пользователи думают, что сбои вызваны аппаратными проблемами (например, устаревшим роутером), хотя истинная причина может скрываться в ПО, которое активно генерирует высокие потоки данных или использует устройство для скрытых целей, таких как DDoS-атаки. Так, программа открывает сотни сокетов, создавая значительную нагрузку на сеть, что перегружает маршрутизатор и нарушает стабильность соединения.
**Трактовка:**
Эта ситуация подчёркивает, насколько важно сканировать устройства на наличие скрытого вредоносного ПО и избегать программ, вызывающих аномальные сетевые активности. MediaGet, будучи нежелательным софтом с признаками сетевого бота, способен вызвать нестабильность и ненужные расходы на замену оборудования. Рекомендация: перед тем, как делать выводы о проблемах с сетью, проверьте, не является ли причина их следствием вредоносных программ.
ЗЫ: сейчас программу даже найти трудновато, в списках вредоноса Гугла, например. Но крайне интересно, кто еще любит эксперементировать на своих реальных машинах, в своей рабочей сети?
Самое свежее обсуждение, если нужно добавить графику, фидео.
**Хэштеги:**
#MediaGet #ВредоносноеПО #СетевойФлуд #DDoSАтака #БезопасностьИнтернета #Вредоносы #СтабильностьСети #Антивирус #СетевоеОборудование #Опыт
Habr
CASBT OSINT