Архив метки: Kaspersky

Накину ещё немного по кейсу компрометации DAEMON Tools в ответ на комментарий уважаемого Игнатия Цукергохера

Добавить комментарий

Накину ещё немного по кейсу компрометации DAEMON Tools в ответ на комментарий уважаемого Игнатия Цукергохера

Накину ещё немного по кейсу компрометации DAEMON Tools в ответ на комментарий уважаемого Игнатия Цукергохера.

🔹 "Кто-то ещё пользуется DAEMON Tools?! О_о"

Тут дело-то, конечно, не в DAEMON Tools как таковом, а в культуре потребления программных продуктов в принципе. Существует масса сверхпопулярного софта, разрабатываемого непонятно кем. Вот тот же DAEMON Tools - это поделие то ли латышской, то ли гонконгской компании. Что это вообще за компания, что там за люди работают, насколько они ответственно относятся к безопасности своих продуктов? 🤷‍♂️ Непонятно. А Notepad++? Может, там вообще никакой компании нет, просто какой-то один разработчик с ментальными проблемами, передавший доступ к репозиторию какому-то левому анонимусу (как в инциденте с XZ Utils). И это только софт для конечных пользователей. Если посмотреть на то, кто контролирует зависимости для софта, то там вообще мрак. Неудивительно, что злоумышленники прочухали, что атаковать кустарей и получать доступ к их клиентам - это просто и суперэффективно. Поэтому таких supply chain-атак будет только больше. И это не изменится, пока не изменится неадекватно доверчивое отношение к софту. Пока пользователи не перестанут вестись на модные продукты (а программисты - на модные библиотеки и фреймворки) как Эллочка Людоедка на блестящее ситечко, полностью игнорируя соображения безопасности. Пока же, к сожалению, наблюдаю обратные тенденции.

🔹 "По исследованию ясно, что атака скорее была точечная, сиречь целенаправленная, так как заражено сравнительно немного машин, и часть пользователей задело по касательной."

Тут тоже не могу согласиться. Устройства всех пользователей, которые установили себе DAEMON Tools с малварью, были скомпрометированы. То, что не на всех устройствах, по мнению исследователей Kaspersky, злоумышленники устанавливали минималистичный бэкдор и QUIC RAT, - дело десятое. Никто не может гарантировать пользователям, что злоумышленники на системе не закрепились. Единственная рекомендация здесь может быть - вайпать машину и перенакатывать операционку, особенно в случае корпоративной среды.

Kaspersky сообщают о компрометации DAEMON Tools

1 комментарий

Kaspersky сообщают о компрометации DAEMON Tools

Kaspersky сообщают о компрометации DAEMON Tools. DAEMON Tools - это программа, которая позволяет "подключать" файлы образов дисков (например, ISO) как будто это вставленный в компьютер CD- или DVD-диск. Программа популярная, развивается с 2000 года. Версия с базовой функциональностью доступна бесплатно. Я её в своё время активно использовал. Так вот, эксперты Kaspersky обнаружили масштабную атаку на цепочку поставок через DAEMON Tools. Вредоносные версии программы распространяются с официального сайта с 8 апреля 2026 года (затронуты версии 12.5.0.2421-12.5.0.2434). На момент написания атака всё ещё продолжается.

Все троянизированные исполняемые файлы были подписаны действительной цифровой подписью AVB Disc Soft - разработчика DAEMON Tools. Заражение установщиков было обнаружено Kaspersky в начале мая. По телеметрии зафиксированы тысячи попыток заражения в более чем 100 странах (большинство жертв находилось в России, Бразилии, Турции, Испании, Германии, Франции, Италии и Китае), но полноценное развитие вредоносной активности наблюдалось лишь на десятке систем государственных, научных, производственных и розничных организаций, расположенных в России, Беларуси и Таиланде. Kaspersky сообщили о проблеме разработчику AVB Disc Soft.

Бинарные файлы DAEMON Tools запускаются при старте компьютера. Каждый раз, когда это происходит, активируется бэкдор. Он встроен в код автозапуска, отвечающий за инициализацию среды CRT (C Runtime). Бэкдор работает в отдельном потоке, который используется для отправки GET-запросов на вредоносный сервер, адрес которого создан при помощи тайпсквоттинга легитимного доменного имени daemon-tools[.]cc (вредоносный домен без дефиса). Согласно WHOIS, доменное имя вредоносного сервера было зарегистрировано 27 марта, примерно за неделю до начала атаки на цепочку поставок.

Первая вредоносная нагрузка, которую развертывают злоумышленники, - это сборщик информации (Information collector). Данные, собираемые вредоносной нагрузкой, включают MAC-адрес (первый ненулевой), имя хоста, доменное имя DNS, список запущенных процессов (разделённый точкой с запятой), список установленного программного обеспечения (разделённый точкой с запятой) и язык системы. Развертывание сборщика информации наблюдалось на большом количестве заражённых машин. На небольшой части систем (около десятка) злоумышленники пытались доставить дополнительную вредоносную нагрузку. На основании этого исследователи Kaspersky делают вывод, что сборщик информации используется для профилирования заражённых систем, а полученные данные применяются для последующего целенаправленного развертывания дополнительного вредоносного ПО.

Одной из дополнительных вредоносных нагрузок, обнаруженных исследователями Kaspersky, является минималистичный бэкдор (шеллкод). Его функциональность включает возможность загрузки файлов, выполнения shell-команд и запуска шеллкод-модулей в памяти. Минималистичный бэкдор применялся для развертывания более сложного импланта, который назвали QUIC RAT. Этот бэкдор поддерживает множество протоколов коммуникации с C2, включая HTTP, UDP, TCP, WSS, QUIC, DNS и HTTP/3. Хотя его анализ всё ещё продолжается, исследователи Kaspersky установили, что QUIC RAT способен внедрять вредоносные нагрузки в процессы notepad.exe и conhost.exe.

Время обнаружения этой атаки (около одного месяца) сопоставимо с расследованием атаки на цепочку поставок 3CX в 2023 году. Учитывая сложность инцидента, организациям рекомендуется тщательно проверить системы, на которых был установлен DAEMON Tools, на предмет аномальной активности начиная с 8 апреля и позже.

С начала 2026 года прошло всего четыре месяца, однако за этот период зафиксирован рост числа атак на цепочки поставок, что ранее наблюдалось значительно реже. В январе расследовался инцидент с eScan, в феврале - с Notepad++, в апреле - с CPU-Z, и в мае - с DAEMON Tools.

На фоне увеличения подобных атак организациям следует проявлять повышенную осторожность при выборе и установке программного обеспечения. Это также подтверждает, что широко используемые и доверенные приложения становятся привлекательной целью для злоумышленников из-за их потенциально большого охвата. Данный фактор необходимо учитывать при построении стратегии кибербезопасности и реализации модели нулевого доверия (Zero Trust).

Меня попросили прокомментировать завтрашние эфиры AM Live по Управлению Уязвимостями и высказать мнение, стоит ли их смотреть

Добавить комментарий

Меня попросили прокомментировать завтрашние эфиры AM Live по Управлению Уязвимостями и высказать мнение, стоит ли их смотреть

Меня попросили прокомментировать завтрашние эфиры AM Live по Управлению Уязвимостями и высказать мнение, стоит ли их смотреть. Как и в прошлом году, эфиров будет два. Меня не привлекали ни к участию, ни к планированию, поэтому могу ориентироваться только на публичную информацию:

🔻 Первый эфир (11:00) - про теорию и правильную модель: как должен выглядеть процесс управления уязвимостями, из чего он состоит, какие есть подходы, инструменты и метрики.

Участвуют представители VM-вендоров: Positive Technologies, RedCheck, Security Vision, Солар, Vulns io VM (кстати, уже Смартап, а не Фродекс), Эшелон Технологии, Лаборатория Касперского. Модерирует Кирилл Мякишев, CISO Ozon.

🔻 Второй эфир (15:00) - про практику: как реально внедрить VM в компании, какие ошибки бывают, как заставить процесс работать каждый день и не "сломаться" через пару месяцев.

Участвуют представители VM-вендоров: SolidLab, CICADA8, Крайон, Лаборатория Касперского. Единственный участник не из вендора будет Дмитрий Кузьмин из ВЭБ РФ. Модерирует Лев Палей, директор по ИБ WMX.

Стоит ли смотреть эти эфиры?

Как можно видеть по составу участников, в обоих случаях это будут фактически вендорские мероприятия, представители компаний участвуют в них на коммерческой основе и в первую очередь они будут стараться донести согласованные мессаджи, способствующие продвижению продуктов компаний. Такой формат. 🤷‍♂️

🔹 Если вы интересуетесь развитием отечественного VM-рынка, чем различается позиционирование различных игроков, на что они делают ставку и куда тратят ресурсы R&D - стоит смотреть обязательно. Эфиры AM Live - фактически единственное мероприятие, где это можно удобно отследить и проанализировать. Сам я смотрю эти ежегодные эфиры исключительно ради этого. 😉 В этот раз тоже собираюсь посмотреть, но в записи и, скорее всего, уже на следующей неделе.

🔹 Если вы начинающий VM-специалист или просто интересуетесь этой темой, то вам эти эфиры могут быть полезны в качестве бесплатного ликбеза. 👌

🔹 Если вы уже опытный VM-щик и ждёте интересных, глубоких и неудобных вопросов по теме, жарких дискуссий участников, неочевидных лайфхаков, которые помогут вам в ежедневной работе, то, думаю, вам эти эфиры НЕ зайдут. 🤷‍♂️ Не тот формат, не та бизнес-модель проведения, не та мотивация и ожидания участников (за чей счёт, собственно, весь банкет 😏). Но благо, что в наше время провести свой независимый эфир или записать подкаст практически ничего не стоит, было бы желание. Если кто хотел бы в таком поучаствовать - welcome в личку или чат. 😉

Количество подписчиков в моём MAX-канале перевалило за 200!

Добавить комментарий

Количество подписчиков в моём MAX-канале перевалило за 200!

Количество подписчиков в моём MAX-канале перевалило за 200! Чему я несказанно рад. 😇 Я отлично помню, как рос мой первый англоязычный Telegram-канал @avleonovcom 9 лет назад. Когда там стало 100 подписчиков, я это считал прямо офигенным. Это же почти как выступать перед полной аудиторией в институте! И они меня читают! И, судя по просмотрам, регулярно! Ну ничего себе!

Сейчас в MAX-е мне рост аудитории особенно приятен и важен. Каждый подписчик в MAX (как в основном канале, так и live, и чате) для меня сейчас в сто раз ценнее, чем подписчик в Телеграме, заполненном ботами и откровенными вражинами. В текущей ситуации нагнетаемой истерии вокруг национального мессенджера, даже просто пользоваться им стало проявлением позиции. Это признак адекватного человека и лояльного гражданина.

Очень отрадно видеть, что всё больше ИБ-каналов открывается в MAX: Positive Technologies, GIS, Kaspersky, CISOCLUB, Angara Security, Swordfish, InfoWatch, Похек. И это только публичные каналы! Теперь есть что почитать. 😉 Также я всё чаще общаюсь с коллегами VM-щиками именно в MAX.

Не устану повторять: Я АБСОЛЮТНО ДОВЕРЯЮ МЕССЕНДЖЕРУ MAX! И команде VK, которая за ним стоит и частью которой я когда-то был (тогда ещё Mail.Ru Group). Я не верю идиотским набросам про какую-то там слежку и небезопасность. У меня на основном десктопе стоит клиент MAX. У меня на основном телефоне стоит MAX. У всех моих родственников стоит MAX. И меня в нём всё устраивает. Жду, конечно, доступ физических лиц к API для постинга и свободную регистрацию публичных каналов. Но понимаю, что у команды разработки есть свой план и свои приоритеты. И, говоря начистоту, я этих фич, конечно, ОЧЕНЬ жду, но не настолько, чтобы зарегистрировать ИП и получить к ним доступ прямо сейчас. 🙂

С другой стороны, активная анти-MAX-овская позиция человека это для меня маркер, что с ним что-то не так. Зачем он саботирует внедрение национального мессенджера? В чём его интерес? Если он просто держится за свой ТГ-канальчик, который считает своим активом, источником влияния и дополнительного (а может, и основного) дохода - это ещё не такая большая беда. А если не только? Если человек имеет позицию, согласно которой неограниченный доступ западных спецслужб к переписке россиян - это благо? Как метко выразился в комментарии Reuters представитель экстремистской компании Meta: "WhatsApp глубоко встроен в ткань ("embedded in the fabric") каждого сообщества в стране - от родительских и рабочих групп до чатов друзей, соседей и расширенных семей по всем регионам России". Если человек за такое топит, то о чем это говорит? 🤔 Мой вам совет, если видите ЛОМа, который вам вещает, что с расчудесного Телеграма он никуда не уйдёт, призывает вас к обходу блокировок и рассказывает страшилки про MAX - делайте выводы и бросайте его читать. Этот ЛОМ доведёт вас до цугундера (и себя, вероятно, тоже).

Я за свой Telegram-канал не держусь. Я продолжу выкладывать контент в ТГ, пока это не запрещено. Как только будет прямой запрет - я свои каналы удалю. Основными своими ресурсами я считаю канал в MAX и сайт avleonov.ru. Я основательно потрудился на неделе, чтобы отвязать сайт от Telegram-канала. Раньше все посты на сайте соответствовали постам Телеги, и единственной возможностью обновить сайт было сделать выгрузку из ТГ. Теперь все посты канала (и старые, и новые) лежат у меня локально, и я их могу пулять на сайт по API. Соответственно, могу их массово анализировать и редактировать. И если (ну или когда 🙂) мой сайт на WordPress взломают, я смогу его довольно оперативно переподнять, т.к. какой-то ценности в базе на хостинге нет - это только зеркало.

Касперские выпустили перед праздниками интересный пост про то, что репозитории с эксплоитами на GitHub могут использоваться для распространения малварей

Добавить комментарий

Касперские выпустили перед праздниками интересный пост про то, что репозитории с эксплоитами на GitHub могут использоваться для распространения малварей

Касперские выпустили перед праздниками интересный пост про то, что репозитории с эксплоитами на GitHub могут использоваться для распространения малварей. Речь идёт о троянах Webrat. Поначалу злодеи распространяли их под видом взломанного ПО и читов к онлайн-играм, а с сентября 2025 начали экспериментировать с GitHub репозитариями, якобы содержащими эксплоиты для уязвимостей CVE-2025-59295 (Buffer Overflow в Internet Explorer), CVE-2025-10294 (AuthBypass в плагине WordPress "The OwnID Passwordless Login") и CVE-2025-59230 (EoP в Windows Remote Access Connection Manager).

Для меня наличие публичных эксплоитов - один из ключевых факторов при приоритизации уязвимостей. GitHub-репы с эксплоитами приходится отсматривать регулярно. Фейков различной зловредности там хватает. С развитием AI-инструментов составить убедительную страницу с описанием эксплоита и чем-то похожим на его код становится делом нескольких минут. 🤷‍♂️ Чем дальше, тем больше такого будет.

ASUS и CISA откопали ShadowHammer в 2025

2 комментария

ASUS и CISA откопали ShadowHammer в 2025

ASUS и CISA откопали ShadowHammer в 2025. 🤔 17 декабря CISA добавили в KEV уязвимость "CVE-2025-59374 - ASUS Live Update Embedded Malicious Code Vulnerability". В NVD уязвимость была также опубликована 17 декабря, CNA ASUS. Она про версию клиента ASUS Live Update с зловредными модификациями, внесёнными через компрометацию цепочки поставок.

По ссылке из NVD на сайт ASUS (с нероссийских IP) видим описание APT-атаки ShadowHammer 2019 года (❗️), в рамках которой серверы ASUS пять месяцев раздавали модифицированную версию Live Update, устанавливающую некоторым пользователям малвари. 😱

❓ Ок, шесть лет назад ASUS разово раздали бяку клиентам. Но зачем по этому кейсу сейчас заводить CVE и, тем более, тащить её в CISA KEV?

➡️ CISA ответили в духе "CVE есть, эксплуатация подтверждена; а как давно эксплуатация была и насколько уязвимость сейчас критична - нам пофигу".

ASUS формально завели CVE, CISA формально добавили её в KEV. 👌🌝

Две недели назад TAdviser выпустили "Карту российского рынка информационной безопасности 2025"

Добавить комментарий

Две недели назад TAdviser выпустили Карту российского рынка информационной безопасности 2025

Две недели назад TAdviser выпустили "Карту российского рынка информационной безопасности 2025". В отличие от прошлого года, на ней появилось "Управление Уязвимостями". Прогресс. 👍🙂

🔹 Управление Уязвимостями объединили с решениями по Харденингу. Поэтому в группу попали Spacebit, Кауч и ЛИНЗА, которые (пока) не про уязвимости. Всего 15 вендоров.

🔹 Осталась группа Средств Анализа Защищённости, совмещённая с DevSecOps. В ней 22 вендора. С прошлого года убрали (5): Фродэкс (Vulns io), BIFIT, RED, Crosstech, Pentestit. Добавили (6): VK Cloud, Sber Tech, Yandex, УЦСБ, Axiom JDK, Luntry. Переименовали (1): Profiscope в CodeScoring.