Positive_Technologies

Аватар легенда о слитом мультфильме На днях в сети появилась полная версия мультфильма Легенда об Аанге Последний маг воздуха за полгода до официального релиза который должен был состояться 9 октября Такое мы осуждаем но мультфильм получился достойным Что произошло Все началось 12 апреля когда в сети появились фрагменты из будущего мультика до этого было известно только его название и дата релиза не было даже трейлера Есть две версии как это вышло обе неофициальные компании Paramount Nickelodeon и Avatar Studios пока что не прокомментировали утечку Серьезная версия к краже причастна группировка PeggleCrew Она решила отомстить Paramount за то что та отказалась показывать мультфильм в кинотеатрах и решила выпустить его только на платформе Paramount доступной в основном в США Как пишут СМИ группировка получила доступ к серверам Nickelodeon откуда и смогла загрузить мультфильм который еще был в стадии постпродакшна Забавная версия пользователь ImStillDissin опубликовавший фрагменты сообщил что получил фильм случайно по электронной почте от Nickelodeon Где правда мы не знаем Но художники и аниматоры мультфильма очень недовольны Уверены что и студии тоже Мне не нравится когда люди используют ужасное решение Paramount для того чтобы оправдывать утечку Это невероятное неуважение по отношению к тем усилиям которые все художники вложили в этот фильм написала художник аниматор Джулия Шоэль в своем аккаунте X А что пираты ImStillDissin заявил что не ожидал такого резонанса Российские кинотеатры сообщили что будут показывать мультфильм уже в апреле хотя он был слит в качестве неподходящем для показа на больших экранах Такое уже было 1 Одна из самых громких утечек фильмов случилась в 2009 году хакеры слили в сеть Люди Икс Начало Росомаха за месяц до релиза В этой версии отсутствовала большая часть спецэффектов и некоторые сцены Кстати случилось это тоже в апреле первого числа что изначально посчитали шуткой Сообщалось что утечка произошла не из за внешнего взлома а из за недостаточной защиты передачи превью версии фильма 2 В 2014 году у Sony Pictures украли и слили в сеть несколько фильмов среди которых были Ярость и Интервью про лидера КНДР Официально ФБР сообщило что за взломом стояли хакеры из КНДР которые были недовольны выходом фильма однако эта версия оспаривалась специалистами по кибербезопасности 3 Квентин Тарантино чуть не отказался от съемок фильма Омерзительная восьмерка из за утечки сценария в 2014 году Когда он был готов PDF файл с ним начал распространяться в сети скорее всего из за человеческого фактора Фильм все же сняли но после того как сценарий был переписан Что посоветуем не отправляйте копии фильмов и сценариев по электронной почте и не злите фанатов P S Фильм Как получить доступ ко всему реверс инжиниринг в сеть мы слили самостоятельно смотрите его на любых удобных для вас платформах бесплатно Positive Technologies

Что там с MAX Сегодня каналы в Telegram написали что в Max были обнаружены десятки уязвимостей Только многие из них не договорили как они были выявлены и что все они исправлены до того как ими могли бы воспользоваться плохие парни Рассказываем эти уязвимости были найдены исследователями безопасности в рамках программы багбаунти в том числе на нашей платформе Standoff Bug Bounty Это стандартная мировая практика уже ставшая нормой в России проверять защищенность приложений систем и продуктов с помощью привлечения белых хакеров Так компании закрывают уязвимости в своих решениях а белые хакеры они же багхантеры получают вознаграждение На нашей платформе зарегистрированы тысячи багхантеров а программы есть у Ozon Wildberries Т Банка VK и других крупных компаний у нас тоже В том числе и у национального мессенджера MAX который с учетом внимания к себе должен быть максимально защищен Так с запуска программы в июле прошлого года багхантеры нашли в MAX десятки уязвимостей до того как ими воспользовались злоумышленники и быстрее чем они И получили за это суммарно и легально около 22 млн рублей А MAX стал безопаснее быстро устранив недостатки Positive Technologies

Что произошло с банками пока не знаем Зато можем рассказать о вредоносном коде в Axios В последний день марта стало известно об атаке на одну из самых популярных JavaScript библиотек Axios Это HTTP клиент с более чем 100 млн загрузок в неделю из npm сервиса распространения программных модулей для разработчиков Злоумышленник скомпрометировал аккаунт главного специалиста ответственного за развитие и работоспособность IT проекта мейнтейнера и опубликовал две вредоносные версии пакета содержащие троян удаленного доступа RAT Инцидент обнаружили исследователи StepSecurity Подробностями делится Владимир Кочетков руководитель исследований AppSec в Positive Technologies Атакующий получил доступ к npm аккаунту мейнтейнера jasonsaayman сменил привязанный email и опубликовал версии axios 1 14 1 и axios 0 30 4 напрямую в npm минуя CI CD пайплайн и GitHub Именно поэтому зараженные релизы не появились среди тегов репозитория на GitHub что стало одним из первых признаков подмены В обе версии была добавлена фантомная зависимость plain crypto js 4 2 1 пакет обманка маскирующийся под легитимную библиотеку crypto js с идентичным описанием и ссылкой на оригинальный репозиторий Эта зависимость нигде не импортировалась в исходном коде Axios Ее единственное назначение выполнить postinstall скрипт setup js при установке пакета Как работает вредоносная нагрузка Скрипт setup js использовал двухслойную обфускацию XOR шифр с ключом OrDeR 7077 и base64 После деобфускации он обращался к C2 серверу sfrclak com и загружал платформенно специфичный RAT macOS бинарник маскировался под системный процесс Apple и размещался в Library Caches com apple act mond Windows через VBScript и PowerShell разворачивался исполняемый файл wt exe в PROGRAMDATA с механизмом персистентности Linux Python бэкдор сохранялся во временной директории tmp ld py После выполнения вредоносный модуль зачищал следы удалял собственные файлы а package json подменял на чистую заглушку с номером версии 4 2 0 вместо 4 2 1 намеренное расхождение для затруднения расследования Масштаб и последствия Вредоносные версии были доступны в npm менее трех часов axios 1 14 1 около 2 часов 53 минут axios 0 30 4 около 2 часов 15 минут Тем не менее любой проект в котором зависимость была указана как 1 14 0 или 0 30 0 мог автоматически установить зараженную версию при сборке А учитывая 100 млн загрузок Axios в неделю потенциальный охват атаки огромен По данным Malwarebytes любой CI CD процесс запустивший установку с включенными скриптами мог привести к утечке всех инжектированных секретов Что важно конечные пользователи браузерных приложений напрямую не затронуты заражение происходило на этапе установки и сборки а не в рантайме приложения Как защититься Проверьте lock файлы package lock json yarn lock на наличие axios 1 14 1 axios 0 30 4 или plain crypto js 4 2 1 Обратите внимание что npm audit может не выявить компрометацию вредонос зачищает следы после установки Если вредоносные версии обнаружены откатитесь к безопасным axios 1 14 0 или axios 0 30 3 а затронутые машины локальные и CI CD раннеры считайте потенциально скомпрометированными Ротируйте все секреты API ключи облачные токены deploy ключи npm токены все к чему мог получить доступ вредоносный процесс Проверьте наличие IoCs сетевые обращения к sfrclak com IP 142 11 206 73 порт 8000 и характерные файлы на диске Уроки для разработчиков Этот инцидент очередное напоминание о том что без AppSec инструментов под реальной угрозой оказываются качество кода и его защищенность Одного скомпрометированного аккаунта мейнтейнера достаточно для внедрения вредоносного кода в проекты по всему миру Для снижения рисков стоит использовать фиксированные версии зависимостей вместо диапазонов включить двухфакторную аутентификацию 2FA на npm применять ignore scripts при установке пакетов и мониторить изменения зависимостей специализированными инструментами SCA анализаторами Positive Technologies

В прошлом году 43 багхантера нашей платформы Standoff Bug Bounty стали МИЛЛИОНЕРАМИ То есть заработали более миллиона рублей за обнаруженные недостатки безопасности в разных компаниях Кстати шестеро из них заработали каждый больше пяти миллионов рублей за год а максимальная единовременная выплата составила 4 97 млн рублей Платформа показала рост по всем показателям Багхантеры суммарно получили 160 924 226 рублей на 49 больше чем за 2024 год Компании запустили 233 новые программы в 2 2 раза больше чем в 2024 м Количество пользователей достигло 32 000 это на целых 74 больше чем было годом ранее Исследователи сдали 2909 уникальных и принятых отчетов на 34 больше прошлого года Средняя выплата выросла на 12 и составила 65 000 рублей Отдельно отметим формат кибериспытаний который мы запустили в прошлом году это когда исследователи не просто ищут отдельные уязвимости а демонстрируют сценарии которые могут привести к реализации недопустимого события Например к краже крупной суммы денег со счетов тут каждая компания сама определяет для себя измеримую цель По итогам прошлого года 95 принятых отчетов были получены именно в рамках кибериспытаний Причем 61 из них относились к критическому и высокому уровню опасности этот показатель выше чем в стандартных программах Суммарный объем выплат багхантерам в рамках кибериспытаний превысил 42 млн рублей а максимальная единоразовая выплата составила 1 млн рублей Наша практика показывает что компании используют багбаунти прежде всего как превентивную меру и элемент системной защиты И ожидания бизнеса от запуска программ в подавляющем числе случаев оправдываются раньше выявляются опасные уязвимости повышается видимость поверхности атаки улучшается взаимодействие между ИБ и разработкой а уровень рисков снижается Подробнее про итоги работы Standoff Bug Bounty в 2025 году читайте в нашем большом исследовании Standoff365 Positive Technologies

Группа киберразведки PT ESC представила обзор кибератак за III квартал 2025 года В отчете рассмотрены хакерские атаки на инфраструктуры российских организаций и типовые цепочки группировок от первоначального доступа до закрепления За период отмечена активность таких групп как PseudoGamaredon TA Tolik XDSpy PhantomCore Rare Werewolf Goffee IAmTheKing Telemancon DarkWatchman и Black Owl Фишинговые кампании шли непрерывно и маскировались под деловую переписку Использовались Запароленные архивы с LNK SCR COM загрузчиками и документами приманками fake CAPTCHA c запуском PowerShell RMM и удаленный доступ UltraVNC AnyDesk REST C2 и многоступенчатые загрузчики Редирект логика прошел проверку скачивается полезная нагрузка не прошел происходит переадресация на заглушку легитимного сервиса Zero day уязвимости эксплуатация CVE 2025 8088 группировкой Goffee Полный отчет на нашем сайте TI APT Malware Phishing ptescalator

Эксперты Positive Technologies рекомендуют срочно обновить ОС на устройствах Apple до последней версии В обновлениях компания Apple устранила уязвимость PT 2025 34177 CVE 2025 43300 которая была обнаружена во фреймворке ImageIO Он позволяет приложениям считывать и записывать файлы изображений в большинстве форматов а также дает доступ к метаданным изображения Apple уточнила что обработка файла вредоносного изображения может привести к повреждению памяти Вендор сообщил что уязвимость была устранена за счет улучшения проверки границ памяти в версиях iOS 18 6 2 iPadOS 18 6 2 iPadOS 17 7 10 MacOS Sequoia 15 6 1 MacOS Sonoma 14 7 8 MacOS Ventura 13 7 8 Такие уязвимости потенциально могут приводить к сбоям повреждению данных или даже удаленному выполнению кода Выполнив произвольный код злоумышленник потенциально может повысить права в системе получить данные с устройства и зашифровать его Кроме того атакующий мог бы использовать устройство как точку входа для дальнейшего развития атаки на инфраструктуру компании уточняет Александр Леонов ведущий эксперт PT Expert Security Center Под угрозой iPhone XS и более поздние модели iPad разных поколений а также устройства на macOS Подобные уязвимости являются основой для zero или 1 click атак когда не требуется вообще никаких действий пользователя картинка открывается автоматически при получении сообщения в мессенджере или необходимо минимальное простое действие например открыть картинку Конкретно эта уязвимость в системном компоненте и в теории злоумышленник может проэксплуатировать ее через любое приложение в котором этот компонент используется отмечает Николай Анисеня руководитель разработки PT Maze в Positive Technologies Для защиты наши эксперты рекомендуют как можно быстрее установить обновления а в случае корпоративного использования устройств подключить решения класса EDR Похожие недостатки безопасности могут встречаться и в приложениях которые обновляются чаще чем системные компоненты В таких случаях необходима защита от реверс инжиниринга обязательного этапа любой атаки на мобильное приложение Это позволит выиграть время для самостоятельного обнаружения и исправления уязвимости а также повысить стоимость атаки для злоумышленника и как итог спасти пользователей от взлома Защитить приложения можно с помощью PT Maze PositiveЭксперты Positive Technologies

Мы расширили линейку аппаратных платформ PT NGFW новыми моделями — 1005 и 1020 В ответ на запросы со стороны клиентов, которым не требуется высокая скорость обработки трафика, мы специально разработали новые модели PT NGFW для небольших офисов и филиалов. Они не уступают старшим моделям по функциональности, обладают достаточной пропускной способностью и доступной ценой. «Мы видим потребность рынка в более доступных моделях PT NGFW, поэтому расширяем модельный ряд продукта новыми аппаратными платформами. При этом новые модели PT NGFW не отличаются от других моделей линейки по набору функций, а значит, также позволяют построить защищенные распределенные сети благодаря новой функциональности, такой как поддержка защищенного VPN-соединения», — отметила Анна Комша, руководитель продуктовой практики PT NGFW в Positive Technologies. → Производительность PT NGFW 1005, самой бюджетной модели в линейке, со всеми включенными функциями безопасности составляет 100 Мбит/с на EMIX-трафике. Основной акцент в модели сделан на компактности устройства: глубина PT NGFW 1005 — всего 15 см, что позволяет устанавливать его в места с ограниченным пространством. → Производительность PT NGFW 1020 со всеми включенными модулями безопасности — 1 Гбит/с, а значит, его можно использовать не только в небольших филиалах, но и в крупных офисах. Как и старшие модели, новые устройства поддерживают весь набор экспертизы PT Expert Security Center PT ESC — модули системы предотвращения вторжений IPS , контроля приложений, антивируса и URL-фильтрации. Теперь в младшую линейку PT NGFW входят четыре модели: 1005, 1010, 1020 и 1050. Модели серии 10ХХ могут быть установлены не только в центрах обработки данных, но и в офисах компаний, поэтому наши специалисты уделили особое внимание дизайну линейки. Модели PT NGFW 1005 и 1010 бесшумные и имеют пассивное охлаждение, а PT NGFW 1020 и 1050 — активное, но благодаря использованию малошумных вентиляторов работа устройств не будет заметна. Узнать больше о линейке аппаратных платформ PT NGFW вы можете на нашем сайте. #PTNGFW