Как удалить уязвимые программы в касперском

Обновлено: 03.07.2024

Исследователи обнаружили критическую уязвимость в библиотеке Apache Log4j, которая набрала 10 из 10 баллов по шкале CVSS. Вот как защититься от этого.

11 декабря 2021 г.

В различных новостных агентствах информационной безопасности сообщалось об обнаружении критической уязвимости CVE-2021-44228 в библиотеке Apache Log4j (уровень серьезности CVSS 10 из 10). Миллионы приложений Java используют эту библиотеку для регистрации сообщений об ошибках. Что еще хуже, злоумышленники уже активно используют эту уязвимость. По этой причине Apache Foundation рекомендует всем разработчикам обновить библиотеку до версии 2.15.0, а если это невозможно, использовать один из методов, описанных на странице уязвимостей безопасности Apache Log4j.

Почему CVE-2021-44228 так опасна

CVE-2021-44228, также называемая Log4Shell или LogJam, представляет собой уязвимость класса Remote Code Execution (RCE). Если злоумышленникам удастся использовать его на одном из серверов, они получат возможность выполнять произвольный код и потенциально получить полный контроль над системой.

Что делает CVE-2021-44228 особенно опасной, так это простота эксплуатации: даже неопытный хакер может успешно провести атаку с использованием этой уязвимости. По мнению исследователей, злоумышленникам достаточно заставить приложение записать в лог всего одну строку, после чего они могут загрузить в приложение собственный код благодаря функции подстановка поиска сообщений.

Рабочие доказательства концепции (PoC) для атак с использованием CVE-2021-44228 уже доступны в Интернете. Поэтому неудивительно, что компании, занимающиеся кибербезопасностью, уже регистрируют массовые сканирования сети на наличие уязвимых приложений, а также атаки на приманки.

Эту уязвимость обнаружил Чен Чжаоцзюнь из группы безопасности облачных вычислений Alibaba.

Что такое Apache Log4J и почему эта библиотека так популярна?

Apache Log4j является частью проекта Apache Logging Project. По большому счету, использование этой библиотеки — один из самых простых способов протоколирования ошибок, и именно поэтому ее используют большинство разработчиков Java.

Многие крупные компании-разработчики программного обеспечения и онлайн-сервисы используют библиотеку Log4j, в том числе Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Red Hat, Steam, Tesla, Twitter и многие другие. Из-за такой популярности библиотеки некоторые исследователи информационной безопасности ожидают значительного увеличения числа атак на уязвимые серверы в ближайшие дни.

Какие версии библиотеки Log4j уязвимы и как вы можете защитить свои серверы от атак?

Уязвимы почти все версии Log4j, начиная с 2.0-beta9 и заканчивая 2.14.1. Самый простой и эффективный способ защиты — установить самую последнюю версию библиотеки 2.15.0. Скачать его можно на странице проекта.

Если по какой-либо причине обновление библиотеки невозможно, Apache Foundation рекомендует использовать один из методов решения проблемы. В случае версий Log4J от 2.10 до 2.14.1 рекомендуется установить системное свойство log4j2.formatMsgNoLookups или установить для переменной среды LOG4J_FORMAT_MSG_NO_LOOKUPS значение true.

Для защиты более ранних выпусков Log4j (от 2.0-beta9 до 2.10.0) разработчики библиотеки рекомендуют удалить класс JndiLookup из пути к классам: zip -q -d log4j-core – *. Jar org/apache/logging/log4j/core/lookup/JndiLookup .class.

Кроме того, мы рекомендуем установить на ваши серверы защитные решения — во многих случаях это позволит вам обнаружить запуск вредоносного кода и остановить развитие атаки.

После того, как вы получите список уязвимостей программного обеспечения, вы сможете исправить уязвимости программного обеспечения на управляемых устройствах под управлением Windows. Вы можете исправить программные уязвимости в операционной системе и в стороннем программном обеспечении, включая программное обеспечение Microsoft, создав и запустив задачу Исправить уязвимости или Установить необходимые обновления и устранить уязвимости. задача.

Задачи установки обновления программного обеспечения имеют ряд ограничений. Эти ограничения зависят от лицензии, по которой вы используете Kaspersky Security Center Cloud Console, и от режима, в котором работает Kaspersky Security Center Cloud Console.

При обновлении стороннего приложения или устранении уязвимости в стороннем приложении на управляемом устройстве может потребоваться вмешательство пользователя. Например, пользователю может быть предложено закрыть стороннее приложение, если оно в данный момент открыто.

Как вариант, вы можете создать задачу по устранению уязвимостей в программах следующими способами:

    Открыв список уязвимостей и указав, какие уязвимости нужно исправить.

В результате создается новая задача по устранению уязвимостей программного обеспечения. Как вариант, вы можете добавить выбранные уязвимости в существующую задачу.

Мастер упрощает создание и настройку задачи по устранению уязвимостей и позволяет исключить создание избыточных задач, содержащих одни и те же устанавливаемые обновления.

Устранение уязвимостей программного обеспечения с помощью списка уязвимостей

Чтобы исправить уязвимости программного обеспечения:

  1. Откройте один из списков уязвимостей:
    • Чтобы открыть общий список уязвимостей, выберите ОПЕРАЦИИ → ​​УПРАВЛЕНИЕ ИСПРАВЛЕНИЯМИ → Уязвимости программного обеспечения.
    • Чтобы открыть список уязвимостей для управляемого устройства, выберите УСТРОЙСТВА → УПРАВЛЯЕМЫЕ УСТРОЙСТВА → → Дополнительно → Уязвимости программного обеспечения.
    • Чтобы открыть список уязвимостей для определенного приложения, выберите ОПЕРАЦИИ → ​​СТОРОННИЕ ПРИЛОЖЕНИЯ → РЕЕСТР ПРИЛОЖЕНИЙ → → Уязвимости .

Отображается страница со списком уязвимостей в стороннем ПО.

Если рекомендуемое обновление программного обеспечения для исправления одной из выбранных уязвимостей отсутствует, отображается информационное сообщение.

Чтобы исправить некоторые уязвимости программного обеспечения, вы должны принять Лицензионное соглашение с конечным пользователем (EULA) для установки программного обеспечения, если требуется принятие EULA. Если вы отклоните лицензионное соглашение, уязвимость программного обеспечения не будет устранена.

Запустится мастер добавления задачи. В зависимости от режима облачной консоли Kaspersky Security Center и вашей текущей лицензии предварительно выбрана задача Установить необходимые обновления и исправить уязвимости или задача Исправить уязвимости. Следуйте инструкциям мастера, чтобы завершить создание задачи.

Выберите задачу, в которую вы хотите добавить выбранные уязвимости. В зависимости от режима облачной консоли Kaspersky Security Center и вашей текущей лицензии выберите задачу Установить необходимые обновления и исправить уязвимости или задачу Исправить уязвимости. Если вы выберете задачу Установить необходимые обновления и устранить уязвимости, к выбранной задаче будет автоматически добавлено новое правило для исправления выбранных уязвимостей. Если вы выберете задачу Исправить уязвимости, выбранные уязвимости будут добавлены в свойства задачи.

Откроется окно свойств задачи. Нажмите кнопку Сохранить, чтобы сохранить изменения.

Если вы решили создать задачу, она будет создана и отображена в списке задач в разделе УСТРОЙСТВА → ЗАДАЧИ. Если вы решили добавить уязвимости в существующую задачу, уязвимости сохраняются в свойствах задачи.

Чтобы устранить уязвимости стороннего ПО, запустите задачу Установить необходимые обновления и устранить уязвимости или задачу Исправить уязвимости. Если вы создали задачу Устранение уязвимостей, вам необходимо вручную указать обновления программного обеспечения для устранения уязвимостей программного обеспечения, перечисленных в параметрах задачи.

Устранение уязвимостей программного обеспечения с помощью мастера устранения уязвимостей

Чтобы устранить уязвимости в программном обеспечении с помощью мастера устранения уязвимостей:

    На вкладке ОПЕРАЦИИ в раскрывающемся списке УПРАВЛЕНИЕ ИСПРАВЛЕНИЯМИ выберите Уязвимости программного обеспечения.

Откроется страница со списком уязвимостей в стороннем ПО, установленном на управляемых устройствах.

Запустится мастер устранения уязвимостей. На странице Выбор задачи по устранению уязвимостей отображается список всех существующих задач следующих типов:

  • Установите необходимые обновления и устраните уязвимости
  • Установите обновления Центра обновления Windows
  • Исправить уязвимости

Нельзя изменять последние два типа задач для установки новых обновлений. Для установки новых обновлений можно использовать только задачу Установить необходимые обновления и устранить уязвимости.

  • Чтобы запустить задачу, установите флажок рядом с названием задачи, а затем нажмите кнопку "Пуск".
  • Чтобы добавить новое правило к существующей задаче:
  • Установите флажок рядом с названием задачи, а затем нажмите кнопку "Добавить правило".
  • На открывшейся странице настройте новое правило:
    • Правило устранения уязвимостей данного уровня серьезности

    Иногда обновления программного обеспечения могут ухудшить работу пользователя с программным обеспечением. В таких случаях вы можете решить установить только те обновления, которые критически важны для работы программного обеспечения, и пропустить другие обновления.

    Если этот параметр включен, обновления исправляют только те уязвимости, для которых уровень серьезности, установленный «Лабораторией Касперского», равен или превышает уровень серьезности выбранного обновления (Средний, Высокий или Критический). Уязвимости с уровнем серьезности ниже выбранного значения не исправляются.

    Если этот параметр отключен, обновления устраняют все уязвимости независимо от уровня их серьезности.

    По умолчанию этот параметр отключен.

    Выбранное обновление будет одобрено для установки. Включите эту опцию, если некоторые применяемые правила установки обновлений допускают установку только утвержденных обновлений.

    По умолчанию этот параметр отключен.

    Иногда обновления программного обеспечения могут ухудшить работу пользователя с программным обеспечением. В таких случаях вы можете решить установить только те обновления, которые критически важны для работы программного обеспечения, и пропустить другие обновления.

    Если этот параметр включен, обновления исправляют только те уязвимости, для которых уровень серьезности, установленный «Лабораторией Касперского», равен или превышает уровень серьезности выбранного обновления (Средний, Высокий или Критический). Уязвимости с уровнем серьезности ниже выбранного значения не исправляются.

    Если этот параметр отключен, обновления устраняют все уязвимости независимо от уровня их серьезности.

    По умолчанию этот параметр отключен.

    Выбранное обновление будет одобрено для установки. Включите эту опцию, если некоторые применяемые правила установки обновлений допускают установку только утвержденных обновлений.

    По умолчанию этот параметр отключен.

    Если вы решили запустить задачу, вы можете закрыть Мастер. Задача будет выполнена в фоновом режиме. Никаких дальнейших действий не требуется.

    Если вы решили добавить правило к существующей задаче, откроется окно свойств задачи. Новое правило уже добавлено в свойства задачи. Вы можете просмотреть или изменить правило или другие параметры задачи. Нажмите кнопку Сохранить, чтобы сохранить изменения.

    Если вы решили создать задачу, вы продолжите создавать задачу в мастере добавления задач. Новое правило, добавленное в мастере устранения уязвимостей, отображается в мастере добавления задачи. По завершении работы мастера добавления задач в список задач добавляется задача Установить необходимые обновления и устранить уязвимости.

    Kaspersky функционал разрушен

    Примечание. Впереди много технических подробностей. Если вам нужна только общая сводка, она есть здесь.

    Содержание

    Обзор результатов

    Первая уязвимость затрагивает расширение браузера Kaspersky Protection для Google Chrome (но не его аналог Firefox), которое автоматически устанавливается Kaspersky Internet Security. Произвольные веб-сайты могут обманом заставить его удалить расширения браузера Chrome (CVE-2019-15684). В частности, они могут удалить саму Kaspersky Protection, что произойдет незаметно. Удаление других расширений браузера приведет к тому, что Google Chrome отобразит дополнительный запрос подтверждения, поэтому для того, чтобы пользователь принял его, требуется социальная инженерия. Хотя это приглашение значительно снижает серьезность проблемы, то, как она была решена «Лабораторией Касперского», также весьма примечательно. Первоначальная попытка решить эту проблему заняла восемь месяцев, однако проблема могла быть воспроизведена снова после внесения тривиального изменения.

    Вторая уязвимость очень похожа на ту, которую Heise Online продемонстрировала ранее в этом году. В то время как «Лаборатория Касперского» достаточно тщательно рассмотрела свой отчет, и большинство значений, представленных их приложением в Интернете, были сделаны непригодными для отслеживания, одно значение было упущено из виду. Я мог бы продемонстрировать, как произвольные веб-сайты могут получить идентификатор пользователя, уникальный для конкретной установки Kaspersky Internet Security (CVE-2019-15687). Этот идентификатор используется во всех браузерах, и на него не влияют механизмы защиты, такие как приватный просмотр.

    Наконец, последняя проблема затрагивает ссылки, используемые специальными веб-страницами, созданными Kaspersky Internet Security, такими как недействительный сертификат или страницы с предупреждениями о фишинге. Эти ссылки инициируют действия в приложении, например добавление исключения для недействительного сертификата, переопределение предупреждения о фишинге или отключение защиты Безопасных платежей на сайте банка. Я мог бы найти для веб-сайтов способ получить значение одной такой ссылки и на его основе предсказать значение, присвоенное будущим ссылкам (CVE-2019-15688). Это позволяет веб-сайтам запускать действия со специальных страниц программно, не заставляя пользователя нажимать на них с помощью кликджекинга или социальной инженерии.

    Удаление любого расширения браузера

    Kaspersky Internet Security установит свои расширения во все ваши браузеры, что должно сделать ваш просмотр более безопасным. Эти расширения имеют совсем немного функциональности. Одна особенность привлекла мое внимание: возможность удалять другие расширения браузера, по какой-то причине присутствующие только в расширении для Google Chrome, но не в его аналоге Firefox. Предположительно, это используется для удаления известных вредоносных расширений.

    Этот код запускается страницей ext_remover.html всякий раз, когда нажимается элемент с идентификатором dbutton. Обычно это тот момент, когда я прекращаю расследование, поскольку страницы расширений недоступны для веб-сайтов. Но эта конкретная страница указана в разделе web_accessible_resources в манифесте расширения. Это означает, что любому веб-сайту разрешено загружать эту страницу во фрейме.

    Как вы можете догадаться, здесь не выполняется проверка личности отправителя. Таким образом, любой веб-сайт может сообщить этой странице, какое расширение он должен удалить и какой текст он должен отображать. Да, и стили CSS также определяются страницей встраивания через параметр URL-адреса cssSrc. Но на тот случай, если пользователь не нажмет кнопку добровольно, можно использовать кликджекинг и обманом заставить его это сделать.

    Вот полная страница проверки концепции, которая автоматически удаляет расширение Kaspersky Protection, если пользователь щелкает в любом месте страницы.

    Обработчик события mousemove гарантирует, что невидимая рамка всегда находится под указателем мыши. А стили CSS, указанные в параметре cssSrc, гарантируют, что кнопка заполнит все пространство внутри фрейма. Любой щелчок неизбежно вызовет действие удаления. Заменив параметр id, можно было бы удалить и другие расширения, а не только саму Kaspersky Protection. К счастью, Chrome не позволит расширениям делать это автоматически, а запросит дополнительное подтверждение.

    Запрос, отображаемый браузером при запуске Kaspersky Protection пытается удалить другое расширение

    Таким образом, злоумышленникам нужно будет заставить пользователя с помощью социальной инженерии поверить в то, что это расширение действительно нужно удалить, например. потому что это злонамеренно. Обычно это довольно сложная задача, но «Лаборатория Касперского» делает ее намного проще.

    В июле 2019 года «Лаборатория Касперского» уведомила меня о решении этой проблемы. Они не просили меня проверить, и я не стал этого делать. Однако, когда я писал этот пост в блоге, я хотел посмотреть, как выглядит их исправление. Итак, я получил новое расширение для браузера от Kaspersky Internet Security 2020, распаковал его и просмотрел исходный код. Но этот подход меня ни к чему не привел, логика выглядела точно так же, как и старая.

    Поэтому я попытался увидеть расширение в действии. Я открыл свою страницу проверки концепции и увидел следующее сообщение:

    Kaspersky блокирует страницу проверки концепции как HEUR:Exploit.Script.Generic

    Я решил, что добавление эвристики для подтверждения концепции — это мера предосторожности, а может быть, временное решение для более старых версий, которые еще не получили должного исправления. Эвристика искала строки contentWindow , postMessage и background/ext_remover.html в исходном коде страницы и срабатывала только в том случае, если все они были найдены. Конечно, это тривиально обойти, например. превратив косую черту в обратную, чтобы получилось background\ext_remover.html .

    Хорошо, страница загружается, а фрейм нет. Оказывается, в новой версии изменился идентификатор расширения, который легко обновляется. Щелчок по странице… Что? Расширение пропало? Означает ли это, что эта эвристика на самом деле является их решением? Мой мозг просто взорвался.

    Когда я уведомил об этом «Лабораторию Касперского», они немедленно подтвердили мои выводы. Они также пообещали, что расследуют, как это могло произойти. Хотя маловероятно, что кто-либо когда-либо узнает результаты их расследования, я просто не могу отделаться от мысли, что кто-то где-то в их организации, должно быть, подумал, что маскировки проблемы с помощью эвристики будет достаточно, чтобы проблема исчезла. И их сверстники не подвергали сомнению этот вывод.

    Несколько недель назад Касперский снова уведомил меня о решении проблемы. На этот раз исправление было очевидно из исходного кода:

    Отслеживание пользователей с помощью Kaspersky

    В августе этого года Heise Online продемонстрировал, как программное обеспечение «Лаборатории Касперского» предоставляет веб-сайтам уникальные идентификаторы пользователей, которые могут использоваться для отслеживания — независимо от режима приватного просмотра и даже в разных браузерах. Что я заметил в своем предыдущем исследовании: программное обеспечение «Лаборатории Касперского» генерирует ряд различных пользовательских идентификаторов, многие из которых находятся в пределах досягаемости веб-страниц. Я посмотрел, и все эти идентификаторы были либо преобразованы в константы (одинаковые для всех установок), либо остаются действительными только для одного сеанса.

    То есть почти все. Скрипт main.js, который Kaspersky Internet Security внедряет в веб-страницы, начинается так:

    SIGNATURE и CSP_NONCE меняются при каждом перезапуске Kaspersky Internet Security, INJECT_ID одинаков для всех установок. А как насчет WORK_IDENTIFIERS? Этот ключ содержит четыре значения. Первый явно является подстрокой SIGNATURE, что означает, что он в значительной степени бесполезен для целей отслеживания. Но оказалось, что остальные три значения относятся к конкретной установке.

    Как веб-сайт может получить значение WORK_IDENTIFIERS? Он не может просто скачать main.js, это запрещено политикой того же происхождения.Но на самом деле есть более простой способ, благодаря тому, как его обрабатывает этот скрипт:

    Объяснение: каждое значение в WORK_IDENTIFIERS становится свойством объекта окна (он же глобальная переменная в JavaScript), по-видимому, для защиты от многократного выполнения этого скрипта. И именно там веб-страницы также могут получить к ним доступ.

    Приведенный ниже фрагмент кода ищет все свойства, содержащие - в их имени. Этого достаточно, чтобы удалить все свойства по умолчанию, останутся только свойства, добавленные «Лабораторией Касперского».

    Из соображений простоты это злоупотребляет деталями реализации в механизмах JavaScript Chrome и Firefox. Хотя теоретически порядок, в котором свойства возвращаются функцией Object.keys(), не определен, в этом конкретном сценарии они будут возвращены в том порядке, в котором они были добавлены. Это упрощает удаление первого свойства, которое не подходит для целей отслеживания пользователей.

    Идентификатор отслеживания, отображаемый веб-сайтом на основе на Касперском

    Еще одно замечание: даже если Kaspersky Internet Security установлен, его скрипт может не внедряться на веб-страницы. Это особенно актуально, если установлено расширение для браузера Kaspersky Protect. Но это не значит, что тогда эту проблему нельзя использовать. Веб-сайт может просто загрузить этот скрипт сам по себе, его местоположение предсказуемо, начиная с Kaspersky Internet Security 2020.

    Начиная с Kaspersky Internet Security 2020 Patch E (предположительно, также с Kaspersky Internet Security 2019 Patch I, который я не тестировал) обработка кода WORK_IDENTIFIERS по-прежнему является частью скрипта, но само значение исчезло. Таким образом, для объекта окна не устанавливаются никакие свойства.

    Управление функционалом "Лаборатории Касперского" с помощью ссылок

    Страница предупреждения о сертификате при установке Касперского

    Я уже продемонстрировал, что ссылка с заголовком «Я понимаю риски» здесь подвержена атакам кликджекинга, веб-сайты могут заставить пользователя щелкнуть по ней, не осознавая, что они нажимают. Однако если вы посмотрите, как работает эта ссылка, станет очевидна еще большая проблема.

    Предупреждение, отображаемое

    И это не единственное, что мы можем сделать, подобные ссылки используются и в других местах. Например, в Kaspersky Internet Security есть функция «Безопасные платежи», которая гарантирует, что банковские сайты открываются в отдельном профиле браузера. Поэтому при первом открытии банковского сайта вы увидите подсказку, подобную приведенной ниже.

    Безопасные платежи запрашивают у пользователя откройте сайт в защищенном браузере

    Как работают эти кнопки? Как вы уже догадались, они используют ссылки, точно такие же, как на страницах с предупреждениями о сертификатах. И это тот же инкрементный счетчик. Таким образом, используя тот же подход, что и выше, мы также можем отключить Безопасные платежи на банковских веб-сайтах, и эта функция даже не будет запрашивать дополнительное подтверждение.

    На этом я остановлюсь, чтобы не утомлять вас, я расскажу обо всех функциях этого приложения, опираясь на ссылки такого типа.

    Kaspersky Internet Security 2019 Patch F заменил временную метку в ссылках на случайно сгенерированный GUID. Это гарантирует, что ссылки не предсказуемы, поэтому атака больше не работает. Однако он не полностью решает сценарий кликджекинга, поэтому, вероятно, Kaspersky Internet Security 2020 на какое-то время вообще перестал отображать страницы с предупреждениями о сертификатах. Вместо этого за пределами браузера отображалось сообщение. Вероятно, это хороший выбор, но по какой-то причине это изменение было отменено.

    См. также:

    Комментарии

    Concerned_Customer 2020-01-05 15:50

    Нет, я исследовал не эту функциональность. Я рассмотрел только функциональность на основе браузера, тогда как эти запросы предположительно выполняются самим приложением.


    Что такое фишинговые наборы (фишкиты), что они включают, кто ими пользуется и где они продаются? Отчет и статистика по фишинговым наборам.

    < бр />

    CVE-2022-0847, также известная как уязвимость Dirty Pipe в ядре Linux


    Вебинар о кибератаках в Украине – резюме и ответы на вопросы

    < бр />

    Ландшафт угроз для систем промышленной автоматизации, второе полугодие 2021 г.

    < бр />

    Выборы GoRansom — дымовая завеса для атаки HermeticWiper

    < бр />

    Финансовые киберугрозы в 2021 году


    Эволюция мобильных вредоносных программ в 2021 году


    DDoS-атаки в четвертом квартале 2021 года

    Угрозы
    Последние сообщения


    Спам и фишинг в 2021 году

    < бр />

    Бродячий богомол добрался до Европы


    Телемедицина: новый рубеж в медицине и безопасности

    < бр />

    MoonBounce: темная сторона прошивки UEFI

    Последние вебинары

    < бр />

    10 марта 2022 г., 18:00

    Обзор текущих кибератак в Украине


    13 января 2022 г., 10:00

    Событие CCB Q4 2021: сведения о деталях атаки Log4Shell

    < бр />

    13 января 2022 г., 10:00

    Событие CCB Q4 2021: подробное описание охоты на криптовалюту BlueNoroff

    < бр />

    18 января 2022 г., 17:00

    Ландшафт угроз для банкоматов и точек продаж: эволюция и последствия карантина из-за COVID-19

    Зарегистрируйтесь, чтобы получить доступ ко всем веб-семинарам "Лаборатории Касперского"

    Категории

    < бр />

    Кампании, злоупотребляющие корпоративной доверенной инфраструктурой, ищут корпоративные учетные данные в сетях ICS

    Kaspersky ICS CERT обнаружил ряд шпионских кампаний, нацеленных на промышленные предприятия.

    < бр />

    Охота за криптовалютой BlueNoroff продолжается


    Выбираем новогодние подарки для детей: в тренде игры Squid Game и Huggy Wuggy


    Kaspersky Security Bulletin 2021. Статистика

    Ключевая статистика за 2021 год: майнеры, программы-вымогатели, банковские трояны и другое финансовое вредоносное ПО, уязвимости нулевого дня и эксплойты, веб-атаки, угрозы для macOS и Интернета вещей.

    Отчеты

    MoonBounce: темная сторона прошивки UEFI

    В конце 2021 года мы проверили прошивку UEFI, в которую был вставлен вредоносный код, получивший название MoonBounce.В этом отчете мы описываем, как работает имплантат MoonBounce и как он связан с APT41.

    Охота за криптовалютой BlueNoroff продолжается

    Похоже, что BlueNoroff переключил внимание с атак на банки и серверы, подключенные к SWIFT, на исключительно криптовалютный бизнес как основной источник незаконного дохода группы.

    ScarCruft следит за северокорейскими перебежчиками и правозащитниками

    Группа ScarCruft (также известная как APT37 или Temp.Reaper) – это действующая организация APT, спонсируемая государством. Недавно у нас была возможность провести более глубокое исследование хоста, скомпрометированного этой группой.

    Кампания WIRTE на Ближнем Востоке «живет за счет земли» как минимум с 2019 года

    В этом отчете мы представляем подробную информацию о вредоносном VBS-импланте, распространяемом через дропперы MS Excel, и поддельном «Агенте обновлений Kaspersky», который мы связываем с WIRTE APT, который может быть связан с Gaza Cybergang.

    Читайте также: