#бэкдор — Public Fediverse posts

Бэкдор вместо тестового

В качестве тестового задания была прислана ссылка на репозиторий, который, как оказалось при внимательном рассмотрении, содержал бэкдор в конфиге Tailwind. В статье приводится разбор этого случая, кода вредоноса и даются рекомендации по безопасной работе с чужими репозиториями.

https://habr.com/ru/articles/1033468/

#бэкдор #тестовое_задание #тестовое #безопасность #информационная_безопасность #tailwind

Бэкдор вместо тестового

В качестве тестового задания была прислана ссылка на репозиторий, который, как оказалось при внимательном рассмотрении, содержал бэкдор в конфиге Tailwind. В статье приводится разбор этого случая, кода вредоноса и даются рекомендации по безопасной работе с чужими репозиториями.

https://habr.com/ru/articles/1033468/

#бэкдор #тестовое_задание #тестовое #безопасность #информационная_безопасность #tailwind

Бэкдор вместо тестового

В качестве тестового задания была прислана ссылка на репозиторий, который, как оказалось при внимательном рассмотрении, содержал бэкдор в конфиге Tailwind. В статье приводится разбор этого случая, кода вредоноса и даются рекомендации по безопасной работе с чужими репозиториями.

https://habr.com/ru/articles/1033468/

#бэкдор #тестовое_задание #тестовое #безопасность #информационная_безопасность #tailwind

Бэкдор вместо тестового

В качестве тестового задания была прислана ссылка на репозиторий, который, как оказалось при внимательном рассмотрении, содержал бэкдор в конфиге Tailwind. В статье приводится разбор этого случая, кода вредоноса и даются рекомендации по безопасной работе с чужими репозиториями.

https://habr.com/ru/articles/1033468/

#бэкдор #тестовое_задание #тестовое #безопасность #информационная_безопасность #tailwind

Реализация модульной архитектуры прошивки методом ручной динамической линковки на примере STM32

Рассмотрен подход к созданию управляемого "бэкдора", позволяющего подгружать функции без остановки и перезагрузки. С помощью манипуляций с линкер-скриптом и средств языка C создаются "точки расширения" в прошивке, позволяющие в будущем внедрять новые функциональные модули без пересборки и перезаписи всей программы. Такой подход может быть полезен при разработке отказоустойчивых систем для оптимизации жизненного цикла встроенного ПО, так как позволяет заложить гибкость при непредвиденных модификациях.

https://habr.com/ru/articles/1030752/

#Бутлоадер #линкер #бэкдор #системное_программирование

PhantomRShell: бэкдор, который маскируется с помощью дизассемблера

У вирусных аналитиков есть небольшая профессиональная трагедия: работать с вредоносами обычно скучнее, чем может казаться по их вычурным названиям. За каждым ShadowSomething RAT/Loader/Stealer почти всегда скрывается один и тот же набор знакомых техник: загрузчик, закрепление в системе, канал связи с C2, немного обфускации «для галочки». Но иногда попадаются образцы, которые действительно удивляют. В недавнем расследовании нам встретился именно такой. Речь пойдет о PhantomRShell — бэкдоре группировки PhantomCore (Head Mare), атакующей компании из России и Беларуси. Главная «фишка» PhantomRShell — в том, как он маскирует свое присутствие в системе. Вредонос использует встроенный дизассемблер, чтобы перехватывать системные вызовы и скрывать свои файлы от пользователя и защитных инструментов. Проще говоря: файл лежит на диске, но для средств анализа его как будто не существует. На связи Александр, вирусный аналитик отдела реагирования Бастиона и автор телеграм-канала @section_remadev . Сегодня разберем, как устроен PhantomRShell: от цепочки заражения до механизма сокрытия, который делает этот бэкдор заметно интереснее большинства его «коллег по цеху».

https://habr.com/ru/companies/bastion/articles/1027224/

#дизассемблер #индикаторы_компрометации #бэкдор #таргетированные_атаки #threat_intelligence #анализ_угроз #PhantomCore #phantomrshell #вредоносное_по #threat_research

PhantomRShell: бэкдор, который маскируется с помощью дизассемблера

У вирусных аналитиков есть небольшая профессиональная трагедия: работать с вредоносами обычно скучнее, чем может казаться по их вычурным названиям. За каждым ShadowSomething RAT/Loader/Stealer почти всегда скрывается один и тот же набор знакомых техник: загрузчик, закрепление в системе, канал связи с C2, немного обфускации «для галочки». Но иногда попадаются образцы, которые действительно удивляют. В недавнем расследовании нам встретился именно такой. Речь пойдет о PhantomRShell — бэкдоре группировки PhantomCore (Head Mare), атакующей компании из России и Беларуси. Главная «фишка» PhantomRShell — в том, как он маскирует свое присутствие в системе. Вредонос использует встроенный дизассемблер, чтобы перехватывать системные вызовы и скрывать свои файлы от пользователя и защитных инструментов. Проще говоря: файл лежит на диске, но для средств анализа его как будто не существует. На связи Александр, вирусный аналитик отдела реагирования Бастиона и автор телеграм-канала @section_remadev . Сегодня разберем, как устроен PhantomRShell: от цепочки заражения до механизма сокрытия, который делает этот бэкдор заметно интереснее большинства его «коллег по цеху».

https://habr.com/ru/companies/bastion/articles/1027224/

#дизассемблер #индикаторы_компрометации #бэкдор #таргетированные_атаки #threat_intelligence #анализ_угроз #PhantomCore #phantomrshell #вредоносное_по #threat_research

PhantomRShell: бэкдор, который маскируется с помощью дизассемблера

У вирусных аналитиков есть небольшая профессиональная трагедия: работать с вредоносами обычно скучнее, чем может казаться по их вычурным названиям. За каждым ShadowSomething RAT/Loader/Stealer почти всегда скрывается один и тот же набор знакомых техник: загрузчик, закрепление в системе, канал связи с C2, немного обфускации «для галочки». Но иногда попадаются образцы, которые действительно удивляют. В недавнем расследовании нам встретился именно такой. Речь пойдет о PhantomRShell — бэкдоре группировки PhantomCore (Head Mare), атакующей компании из России и Беларуси. Главная «фишка» PhantomRShell — в том, как он маскирует свое присутствие в системе. Вредонос использует встроенный дизассемблер, чтобы перехватывать системные вызовы и скрывать свои файлы от пользователя и защитных инструментов. Проще говоря: файл лежит на диске, но для средств анализа его как будто не существует. На связи Александр, вирусный аналитик отдела реагирования Бастиона и автор телеграм-канала @section_remadev . Сегодня разберем, как устроен PhantomRShell: от цепочки заражения до механизма сокрытия, который делает этот бэкдор заметно интереснее большинства его «коллег по цеху».

https://habr.com/ru/companies/bastion/articles/1027224/

#дизассемблер #индикаторы_компрометации #бэкдор #таргетированные_атаки #threat_intelligence #анализ_угроз #PhantomCore #phantomrshell #вредоносное_по #threat_research

PhantomRShell: бэкдор, который маскируется с помощью дизассемблера

У вирусных аналитиков есть небольшая профессиональная трагедия: работать с вредоносами обычно скучнее, чем может казаться по их вычурным названиям. За каждым ShadowSomething RAT/Loader/Stealer почти всегда скрывается один и тот же набор знакомых техник: загрузчик, закрепление в системе, канал связи с C2, немного обфускации «для галочки». Но иногда попадаются образцы, которые действительно удивляют. В недавнем расследовании нам встретился именно такой. Речь пойдет о PhantomRShell — бэкдоре группировки PhantomCore (Head Mare), атакующей компании из России и Беларуси. Главная «фишка» PhantomRShell — в том, как он маскирует свое присутствие в системе. Вредонос использует встроенный дизассемблер, чтобы перехватывать системные вызовы и скрывать свои файлы от пользователя и защитных инструментов. Проще говоря: файл лежит на диске, но для средств анализа его как будто не существует. На связи Александр, вирусный аналитик отдела реагирования Бастиона и автор телеграм-канала @section_remadev . Сегодня разберем, как устроен PhantomRShell: от цепочки заражения до механизма сокрытия, который делает этот бэкдор заметно интереснее большинства его «коллег по цеху».

https://habr.com/ru/companies/bastion/articles/1027224/

#дизассемблер #индикаторы_компрометации #бэкдор #таргетированные_атаки #threat_intelligence #анализ_угроз #PhantomCore #phantomrshell #вредоносное_по #threat_research

Держим руку на Pulse. Кибератаки группировки Mythic Likho на критическую инфраструктуру России

Привет, Хабр! Хотим поделиться новым расследованием. На этот раз в поле зрения нашего экспертного центра безопасности (PT ESC) попала хакерская группировка Mythic Likho, атакующая крупные (читайте — платежеспособные) объекты инфраструктуры: неудивительно, ведь целью злоумышленников было вымогательство за расшифровку украденной информации. В рамках данного исследования мы объединили экспертизу департаментов киберразведки (Threat Intelligence) и комплексного реагирования на киберугрозы (Incident Response) экспертного центра безопасности PositiveTechnologies, соединили разрозненные следы активности группировки Mythic Likho в единый кластер и провели его комплексное исследование. Наша цель — сформировать исчерпывающее понимание тактик, техник, средств нападения группировки. Подробности ищите под катом.

https://habr.com/ru/companies/pt/articles/1005466/

#критическая_инфраструктура #кибератаки #группировка #хакеры #расследование_инцидентов_иб #бэкдор #loki #cobaltstrike

[Перевод] Data poisoning: бэкдоры в данных, RAG и инструментах

В 2025 году отравление данных перестало быть академической гипотезой и превратилось в практическую поверхность атаки для LLM-систем. «Яд» может прятаться в репозиториях, веб-контенте, инструментах агентов и синтетических пайплайнах, переживать дообучение и срабатывать спустя месяцы в виде триггеров и бэкдоров. В статье разберём реальные кейсы, исследования и выводы для тех, кто строит или защищает решения на базе GenAI. Узнать про риски

https://habr.com/ru/companies/otus/articles/1003482/

#отравление_данных #data_poisoning #безопасность_ИИ #LLM #бэкдор #RAG #prompt_injection

[Перевод] Небольшое количество примеров может отравить LLM любого размера

Команда AI for Devs подготовила перевод исследования в котором учёные показали: чтобы встроить «бэкдор» в большую языковую модель, вовсе не нужно контролировать огромную долю обучающих данных — достаточно около 250 вредоносных документов . Этот результат переворачивает представления о масштабируемости атак через отравление данных и ставит новые вопросы к безопасности ИИ.

https://habr.com/ru/articles/956948/

#LLM #безопасность #отравление_данных #бэкдор #Anthropic #ИИ #исследование #уязвимость #обучение #модели

Фантомные боли. Масштабная кампания кибершпионажа и возможный раскол APT-группировки PhantomCore

Впервые о группировке PhantomCore стало известно в начале 2024 года. За прошедшие полтора года она существенно нарастила наступательный арсенал, расширив его инструментами собственной разработки, и отметилась многочисленными кибератаками на критически значимую инфраструктуру России с целью шпионажа. Экспертиза, накопленная нами в процессе тщательного изучения группировки, и внутренние системы киберразведки обеспечили оперативное обнаружение активности PhantomCore невзирая на эволюцию вредоносных инструментов. Принятые меры позволили в начале мая этого года обнаружить новую масштабную кампанию кибершпионажа в отношении российских организаций. В рамках ее исследования удалось установить ключевую инфраструктуру PhantomCore, изучить обновленный арсенал, в том числе ранее не встречавшиеся образцы собственной разработки, изучить TTP и kill chain кибератак, а также идентифицировать жертв из числа российских организаций, корпоративные сети которых подверглись компрометации, и предотвратить реализацию недопустимых событий. Подробности

https://habr.com/ru/companies/pt/articles/939942/

#вредоносное_программное_обеспечение #aptатаки #кибератаки #phantomcore #цепочка_атаки_хакера #kill_chain #rat #remote_access #троян #бэкдор

Фантомные боли. Масштабная кампания кибершпионажа и возможный раскол APT-группировки PhantomCore

Впервые о группировке PhantomCore стало известно в начале 2024 года. За прошедшие полтора года она существенно нарастила наступательный арсенал, расширив его инструментами собственной разработки, и отметилась многочисленными кибератаками на критически значимую инфраструктуру России с целью шпионажа. Экспертиза, накопленная нами в процессе тщательного изучения группировки, и внутренние системы киберразведки обеспечили оперативное обнаружение активности PhantomCore невзирая на эволюцию вредоносных инструментов. Принятые меры позволили в начале мая этого года обнаружить новую масштабную кампанию кибершпионажа в отношении российских организаций. В рамках ее исследования удалось установить ключевую инфраструктуру PhantomCore, изучить обновленный арсенал, в том числе ранее не встречавшиеся образцы собственной разработки, изучить TTP и kill chain кибератак, а также идентифицировать жертв из числа российских организаций, корпоративные сети которых подверглись компрометации, и предотвратить реализацию недопустимых событий. Подробности

https://habr.com/ru/companies/pt/articles/939942/

#вредоносное_программное_обеспечение #aptатаки #кибератаки #phantomcore #цепочка_атаки_хакера #kill_chain #rat #remote_access #троян #бэкдор

Фантомные боли. Масштабная кампания кибершпионажа и возможный раскол APT-группировки PhantomCore

Впервые о группировке PhantomCore стало известно в начале 2024 года. За прошедшие полтора года она существенно нарастила наступательный арсенал, расширив его инструментами собственной разработки, и отметилась многочисленными кибератаками на критически значимую инфраструктуру России с целью шпионажа. Экспертиза, накопленная нами в процессе тщательного изучения группировки, и внутренние системы киберразведки обеспечили оперативное обнаружение активности PhantomCore невзирая на эволюцию вредоносных инструментов. Принятые меры позволили в начале мая этого года обнаружить новую масштабную кампанию кибершпионажа в отношении российских организаций. В рамках ее исследования удалось установить ключевую инфраструктуру PhantomCore, изучить обновленный арсенал, в том числе ранее не встречавшиеся образцы собственной разработки, изучить TTP и kill chain кибератак, а также идентифицировать жертв из числа российских организаций, корпоративные сети которых подверглись компрометации, и предотвратить реализацию недопустимых событий. Подробности

https://habr.com/ru/companies/pt/articles/939942/

#вредоносное_программное_обеспечение #aptатаки #кибератаки #phantomcore #цепочка_атаки_хакера #kill_chain #rat #remote_access #троян #бэкдор

Фантомные боли. Масштабная кампания кибершпионажа и возможный раскол APT-группировки PhantomCore

Впервые о группировке PhantomCore стало известно в начале 2024 года. За прошедшие полтора года она существенно нарастила наступательный арсенал, расширив его инструментами собственной разработки, и отметилась многочисленными кибератаками на критически значимую инфраструктуру России с целью шпионажа. Экспертиза, накопленная нами в процессе тщательного изучения группировки, и внутренние системы киберразведки обеспечили оперативное обнаружение активности PhantomCore невзирая на эволюцию вредоносных инструментов. Принятые меры позволили в начале мая этого года обнаружить новую масштабную кампанию кибершпионажа в отношении российских организаций. В рамках ее исследования удалось установить ключевую инфраструктуру PhantomCore, изучить обновленный арсенал, в том числе ранее не встречавшиеся образцы собственной разработки, изучить TTP и kill chain кибератак, а также идентифицировать жертв из числа российских организаций, корпоративные сети которых подверглись компрометации, и предотвратить реализацию недопустимых событий. Подробности

https://habr.com/ru/companies/pt/articles/939942/

#вредоносное_программное_обеспечение #aptатаки #кибератаки #phantomcore #цепочка_атаки_хакера #kill_chain #rat #remote_access #троян #бэкдор

27 миллионов абонентов под угрозой: разбор крупнейшей кибератаки на корейский телеком

Что нужно, чтобы скомпрометировать данные 27 миллионов абонентов, обрушить акции телеком-гиганта и поставить под угрозу национальную безопасность одной из самых технологически развитых стран мира? Свежий zero-day? Квантовый компьютер? Гениальная социальная инженерия? Всего лишь веб-шелл, почти три года преступной халатности и один хитрый бэкдор. Неизвестные злоумышленники с июня 2022 года хозяйничали в критической инфраструктуре крупнейшего корейского сотового оператора. Под катом мы разберем эту громкую историю.

https://habr.com/ru/companies/bastion/articles/930716/

#атака #кибербезопасность #телеком #смартфоны #сотовая_связь #информционная_безопасность #тестирование_itсистем #BPFDoor #бэкдор

(Не) безопасный дайджест: бабушка-хакер, псевдо-ТП и клондайк краденных кредов

По традиции продолжаем делиться необычными и поучительными ИБ-инцидентами. В июльской подборке: настойчивые африканские вымогатели, шифровальщик, перечеркнувший вековую историю, и очередная «величайшая утечка в истории».

https://habr.com/ru/companies/searchinform/articles/923730/

#утечка_данных #слив #инсайдер #компроментация #компрометация #служба_поддержки #взлом #бэкдор #becатаки #массив_данных

Математика бэкдора в Dual EC DRBG

Dual EC DRBG - нашумевшая схема генератора псевдослучайных чисел, который был стандартизован, несмотря на потенциальный бэкдор. Математическая часть данного бэкдора интересна и сама по себе, но особенно - как важная веха в истории современной криптографии. Статья посвящена математической части бэкдора и в деталях объясняет то, почему он работает. Для понимания потребуется хотя бы минимальное знакомство с основными понятиями алгебры и криптографии.

https://habr.com/ru/articles/920752/

#бэкдор #криптография #случайности_не_случайны #случайные_числа #эллиптические_кривые

Вредоносы против песочницы на Standoff 15

Каждый год мы проводим масштабные международные соревнования по кибербезопасности Standoff, которые собирают сильнейших специалистов blue team и red team. Очередная кибербитва Standoff 15 проходила на киберфестивале Positive Hack Days 21–24 мая. Формат соревнований предполагает столкновение команд защитников и атакующих в рамках максимально реалистичной инфраструктуры, которая имитирует компании из различных отраслей. В ходе соревнования защитники используют средства защиты информации (СЗИ) не только для обнаружения и расследования, но и для реагирования и отражения атак. В числе средств защиты была и PT Sandbox — продвинутая песочница для защиты от неизвестного вредоносного программного обеспечения (ВПО), использующая почти все современные методы обнаружения вредоносов. На Standoff песочница подсвечивает почтовые угрозы и помогает остальным средствам защиты понять, является ли тот или иной файл, найденный в сети или на конечных точках, вредоносным. Кибербитва — это важное испытание для экспертизы PT Sandbox, своего рода ежегодный экзамен. На Standoff мы проверяем способность песочницы обнаруживать техники злоумышленников и корректируем ее экспертизу. А в этой статье мы решили поделиться с вами тем, что же наловила песочница и какие инструменты наиболее популярны у красных команд. Это интересно, потому что атакующие в ходе соревнований ограничены по времени, у них нет возможности месяцами готовить атаку на инфраструктуру, а значит, в соревновании точно будут задействованы самые надежные, ходовые инструменты и методы, доступные и реальным злоумышленникам. Покопаться

https://habr.com/ru/companies/pt/articles/919358/

#sandbox #песочница #вредоносы #впо #бэкдор #хакерские_инструменты #троян #банковский_троян #cobalt_strike #вебшелл

Цифровые домофоны. Гость из Польши в российских подъездах

Приветствую всех! Уверен, эти девайсы знакомы многим из вас. Даже если вы не живёте в Москве или Питере, где расположена большая их часть, вероятность, что в вашем городе есть хотя бы один такой экземпляр, весьма высока. В своё время их ставили повсеместно: от «элитных» жилых комплексов до простых панельных пятиэтажек. И, конечно же, я никак не мог обойти их вниманием. Сложно найти ряд насколько разных, настолько же и идентичных между собой домофонов. Сейчас мы поговорим об этих, казалось бы, простых, но на деле скрывающих много примечательного штуках. Увидим много интересного от Arduino в продакшне до бэкдоров и секретных кодов, заставим работать несколько экземпляров и посмотрим, как они устроены.

https://habr.com/ru/companies/timeweb/articles/909108/

#timeweb_статьи #домофон #cyfral #raikmann #laskomex #rainmann #счётчик #дешифратор #блок_управления #перемычки #arduino #бэкдор

Группировки Team46 и TaxOff: две стороны одной медали

Привет! На связи отдел исследования киберугроз. В марте 2025 года нас заинтересовала одна атака, в которой использовалась уязвимость нулевого дня для браузера Chrome. Мы атрибутировали инцидент к группировке TaxOff, о которой писали ранее . В процессе изучения мы обнаружили более ранние атаки, все проанализировали и пришли к выводу – TaxOff и другая найденная нами группировка Team46 являются одной и той же группой киберпреступников. Почему мы так решили, читайте под катом.

https://habr.com/ru/companies/pt/articles/902058/

#cybersecurity #apt #кибератака #вредоносное_по #фишинг #бэкдор #уязвимости_и_их_эксплуатация

Как один разработчик предотвратил крупнейшую кибератаку: история взлома XZ Utils

Прошел ровно год с момента, когда мир с открытым ртом следил за расследованием одного из самых изощрённых бэкдоров в истории Linux. История с библиотекой xz Utils напоминала триллер: внедрение под реальным именем, доверие сообщества, закладки в коде — и случайное обнаружение в самый обычный рабочий день. 29 марта 2024 года программист Андрес Фройнд проснулся, как обычно, рано. На кухне уже фыркала кофемашина, а ноутбук мигал знакомым индикатором обновлений. Андрес любил утренние часы: пока город только-только просыпался, он уже погружался в привычную рутину — тесты, логи, графики загрузки процессора. Утром он запустил стандартный набор тестов. Всё выглядело штатно: графики ровные, CPU не перегружен, багов не видно. И вдруг — странность. Незначительная ошибка, но не из тех, что просто игнорируешь. Андрес нахмурился. «Что это было?» — пробормотал он. Он подключился по SSH к серверу, чтобы проверить детали, и заметил ещё одно отклонение: задержка отклика в 500 миллисекунд. Полсекунды. Для большинства — ерунда. Но для Андреса — первый тревожный звонок. Он начал копать глубже.

https://habr.com/ru/companies/first/articles/897764/

#devops #linux #программирование #opensourse #информационная_безопасность #опенсорс #xz_utils #уязвимость #бэкдор #безопасность

Государства хотят бэкдоры в мессенджерах

В феврале 2025 года компания Apple удалила функцию сквозного шифрования в Великобритании в ответ на секретный запрос Министерства внутренних дел (Home Office) об установке бэкдора. Функцию шифрования Advanced Data Protection (ADP) в iCloud можно активировать для защиты своих данных. У британских пользователей больше нет такой опции. Таким образом, Apple предпочла удалить функцию вообще, но не предоставлять её своим со скрытой уязвимостью, что подрывает фундамент безопасности платформы. Не только в Великобритании государственные органы пытаются получить доступ к приватной информации граждан со смартфонов и облачных сервисов. То же самое наблюдается в других странах.

https://habr.com/ru/companies/globalsign/articles/895830/

#Advanced_Data_Protection #Apple #iCloud #Signal #сквозное_шифрование #бэкдор #неприкосновенность_личной_жизни #приватность

Государства хотят бэкдоры в мессенджерах

В феврале 2025 года компания Apple удалила функцию сквозного шифрования в Великобритании в ответ на секретный запрос Министерства внутренних дел (Home Office) об установке бэкдора. Функцию шифрования Advanced Data Protection (ADP) в iCloud можно активировать для защиты своих данных. У британских пользователей больше нет такой опции. Таким образом, Apple предпочла удалить функцию вообще, но не предоставлять её своим со скрытой уязвимостью, что подрывает фундамент безопасности платформы. Не только в Великобритании государственные органы пытаются получить доступ к приватной информации граждан со смартфонов и облачных сервисов. То же самое наблюдается в других странах.

https://habr.com/ru/companies/globalsign/articles/895830/

#Advanced_Data_Protection #Apple #iCloud #Signal #сквозное_шифрование #бэкдор #неприкосновенность_личной_жизни #приватность

Государства хотят бэкдоры в мессенджерах

В феврале 2025 года компания Apple удалила функцию сквозного шифрования в Великобритании в ответ на секретный запрос Министерства внутренних дел (Home Office) об установке бэкдора. Функцию шифрования Advanced Data Protection (ADP) в iCloud можно активировать для защиты своих данных. У британских пользователей больше нет такой опции. Таким образом, Apple предпочла удалить функцию вообще, но не предоставлять её своим со скрытой уязвимостью, что подрывает фундамент безопасности платформы. Не только в Великобритании государственные органы пытаются получить доступ к приватной информации граждан со смартфонов и облачных сервисов. То же самое наблюдается в других странах.

https://habr.com/ru/companies/globalsign/articles/895830/

#Advanced_Data_Protection #Apple #iCloud #Signal #сквозное_шифрование #бэкдор #неприкосновенность_личной_жизни #приватность

Государства хотят бэкдоры в мессенджерах

В феврале 2025 года компания Apple удалила функцию сквозного шифрования в Великобритании в ответ на секретный запрос Министерства внутренних дел (Home Office) об установке бэкдора. Функцию шифрования Advanced Data Protection (ADP) в iCloud можно активировать для защиты своих данных. У британских пользователей больше нет такой опции. Таким образом, Apple предпочла удалить функцию вообще, но не предоставлять её своим со скрытой уязвимостью, что подрывает фундамент безопасности платформы. Не только в Великобритании государственные органы пытаются получить доступ к приватной информации граждан со смартфонов и облачных сервисов. То же самое наблюдается в других странах.

https://habr.com/ru/companies/globalsign/articles/895830/

#Advanced_Data_Protection #Apple #iCloud #Signal #сквозное_шифрование #бэкдор #неприкосновенность_личной_жизни #приватность

Бэкдор Auto-color: разбор угрозы, технический анализ и способы защиты

Вредоносное программное обеспечение для Linux продолжает развиваться, становясь всё более сложным и скрытным. Бэкдор Auto-сolor, обнаруженный исследователями из Palo Alto Networks, представляет собой продвинутую малварь с механизмами уклонения от обнаружения и возможностью полного захвата системы. В этом материале мы детально разберём её работу, методы распространения, угрозы для корпоративных пользователей и эффективные стратегии защиты.

https://habr.com/ru/companies/inferit/articles/892028/

#Autoсolor #os_linux #бэкдор

Red Team против умного замка: взламываем биометрическую СКУД при помощи скрепки и магнита

Один из самых «вкусных» моментов в работе пентестера — red-team тестирование, позволяющее ненадолго ощутить себя эдаким Джейсоном Борном от мира кибербезопасности. Подобно героям боевиков, мы постоянно проникаем на объекты разной степени защищенности: ломаем замки, обходим системы видеонаблюдения — разве что не спускаемся в серверную на тросе с вертолета. Поработав на таких проектах, начинаешь смотреть на любую дверь с перспективы потенциального нарушителя и выискивать уязвимости в каждой встречной СКУД. Поэтому первое, что бросилось нам в глаза, когда Бастион переехал в новый офис — это биометрические терминалы, установленные на дверях нескольких особо важных кабинетов. Словом, пока сисадмины распаковывали сервера и ломали голову над тем, как расставить офисную технику по правилам фэн-шуя, мы решили провести небольшой внутренний пентест…

https://habr.com/ru/companies/bastion/articles/873850/

#взлом_СКУД #взлом_электронного_замка #взлом_умного_замка #биометрическая_СКУД #биометрический_терминал #пентестинг #бэкдор #реверсинжиниринг #хакинг

Очередная китай-камера с бэкдором

Как можно догадаться, на этот раз речь пойдёт об очередном поделии китайского IoT-гения, а именно о цифровой камере для третьего "глаза" микроскопа (можно ли назвать камеру для микроскопа IoT-ом?). Не знаю, может у них там сверху наказ такой: в каждую камеру по бэкдору совать (и чем больше, тем лучше), но это в самом деле треш. За какую камеру не возьмись: будь она для видеонаблюдения, либо, как в моём случае, для вывода картинки с микроскопа на монитор/смартфон - по факту вы получаете не только девайс, выполняющий свои основные функции, но и как " премиум-фичу " - потенциально следящее (конечно же, за Вами) устройство. Об одном таком девайсе я и хочу рассказать.

https://habr.com/ru/articles/872592/

#бэкдор #камера #hdmi #защита

В тихом омуте… или интересный режим работы смартфона OnePlus 6T

Несколько лет назад один из членов нашей команды заказал себе OnePlus 6T прямо из Китая. Телефон пришел в оригинальной упаковке и типовой комплектации: с зарядным устройством, кабелем и чехлом. Смартфон без проблем проработал год, ничем, на первый взгляд, не отличаясь от тех, что продаются в России. Но однажды приложения начали предупреждать о наличии root-доступа, а некоторые, особенно банковские, вообще перестали запускаться. При этом прошивка никаким образом не модифицировалась, а обновления устанавливались исключительно из официальных источников, относящихся к ОС. Такое странное поведение смартфона побудило нас провести исследование, результаты которого описаны в этой статье.

https://habr.com/ru/companies/ntc-vulkan/articles/867960/

#информационная_безопасность #бэкдор #реверсинжиниринг #android #системное_программирование #oneplus

Погружаемся в матрицу: как MITRE ATT&CK помогает бороться с APT-группировками

Многие из вас слышали про APT (advanced persistent threat) — тщательно спланированные кибератаки, как правило, нацеленные на определенную компанию или отрасль. Логично предположить, что за ними стоят хорошо организованные группировки с солидными бюджетами и высокотехнологичными инструментами. Тактики и техники APT-группировок описаны в матрице MITRE ATT&CK. Исследователи и специалисты по кибербезопасности постоянно пополняют ее новыми данными, а также используют знания из нее при разработке средств защиты информации. Так делают и наши эксперты. В этой статье мы хотим показать, как данные из MITRE ATT&CK помогают MaxPatrol EDR защищать компании от продвинутых угроз. Для этого мы проанализировали реальные атаки четырех известных APT-группировок и теперь расскажем, как MaxPatrol EDR сможет их остановить. Детальный разбор ждет вас под катом 👇

https://habr.com/ru/companies/pt/articles/864274/

#apt #edr #yara #hellhounds #space_pirates #excobalt #cve #бэкдор #dark_river #mitre

Атаки новой группировки TaxOff: цели и инструменты

C начала осени 2024 года мы в отделе исследования киберугроз активно наблюдаем за одной любопытной группировкой. Она атаковала государственные структуры в России, а ее основными целями были шпионаж и закрепление в системе для развития последующих атак. Связей с уже известными группировками мы установить не смогли, поэтому решили назвать ее TaxOff из-за использования писем на правовые и финансовые темы в качестве приманок. В статье рассказываем про фишинг, работу бэкдора Trinper и почему он так называется. Подробности

https://habr.com/ru/companies/pt/articles/861940/

#cybersecurity #расследование #apt #кибергруппировки #шпионаж #бэкдор #backdoor #Trinper #c2 #фишинг

[Перевод] Новый бэкдор WolfsBane: аналог Gelsemium для Linux от Gelsevirine

Исследователи ESET проанализировали ранее неизвестные бэкдоры Linux, связанные с известным вредоносным ПО для Windows группы Gelsemium.

https://habr.com/ru/companies/cloud4y/articles/860616/

#информационная_безопасность #бэкдор #linux #исследование #windows #кибербезопасность

Ключ от всех дверей: как нашли бэкдор в самых надежных* картах доступа

Вы прикладываете ключ-карту к считывателю, и дверь офиса открывается. Но что, если такой пропуск может взломать и скопировать любой желающий? В 2020 году Shanghai Fudan Microelectronics выпустила новые смарт-карты FM11RF08S. Производитель заявил об их полной защищенности от всех известных методов взлома. Группа исследователей проверила эти заявления и обнаружила встроенный бэкдор, позволяющий получить полный доступ к данным карты. В этой статье я расскажу захватывающую историю о том, как нашли этот бэкдор, и разберу катастрофические последствия его внедрения. Этот случай наглядно демонстрирует опасность слепого доверия маркетинговым заявлениям о безопасности и важность независимого аудита критических систем.

https://habr.com/ru/companies/bastion/articles/854974/

#mifare_classic #бэкдор #взлом_смарткарт #взлом_ключкарт #взлом_Mifare #взлом_электронного_замка #уязвимость_Mifare_classic #устаревшие_технологии #тестирование_инфраструктуры

Группировка ExCobalt снова в обойме и обзавелась новым бэкдором на Go

Спустя месяц в копилку расследований экспертного центра безопасности Positive Technologies (PT Expert Security Center) добавилось еще одно, причем о группировке ExCobalt, за которой мы следим с ноября прошлого года. Напомним: тогда наша команда выяснила, что в составе ExCobalt есть участники небезызвестной APT-группы Cobalt (ее профайл можно посмотреть здесь ), которые активны как минимум с 2016 года. ExCobalt поменяла сферу интересов и, в отличие от предшественника, специализируется на кибершпионаже и краже данных. Этой весной группировка вновь стала заметна на киберпреступной арене и занесла в актив любопытную вредоносную программу, ранние версии которой нам уже встречались во время реагирования на инциденты в ряде российских компаний. Мы назвали найденный бэкдор GoRed — такое имя носил его первый образец, обнаруженный нашей командой. О главных особенностях хакерского инструмента по традиции рассказываем здесь, на Хабре, а за подробностями приглашаем вас в полный отчет . Больше о бэкдоре

https://habr.com/ru/companies/pt/articles/825256/

#apt #cybercrime #бэкдор #расследование #cobalt_strike #c2 #go #кибершпионаж #впо #хакеры

Hellhounds: Операция Lahat. Атаки на ОС Windows

Привет, Хабр. С небольшим перерывом на связи снова специалисты из экспертного центра безопасности Positive Technologies. Если помните, в ноябре мы рассказывали об атаках ранее неизвестной группировки Hellhounds на инфраструктуру российских компаний. Статья была посвящена атакам группировки на узлы под управлением ОС Linux с использованием нового бэкдора Decoy Dog. Так вот, Hellhounds продолжают атаковать организации на территории России. Причем команде PT ESC CSIRT в процессе реагирования на инцидент в одной из компаний удалось обнаружить успешные атаки на Windows-инфраструктуру, о которых ранее не сообщалось. Рассказываем о ранее неизвестном инструментарии группировки. К расследованию

https://habr.com/ru/companies/pt/articles/816455/

#decoy_dog #hellhounds #windows #linux #pupy_rat #троян #бэкдор #впо #itкомпании #госсектор

[Перевод] Бэкдор в основной версии xz/liblzma, ведущий к компрометации SSH-сервера

В последние недели я, работая в системах с установленным дистрибутивом Debian Sid, столкнулся с несколькими странностями, связанными с liblzma (это — часть пакета xz ). При входе в систему с использованием SSH очень сильно нагружался процессор, Valgrind выдавал ошибки. И вот я, наконец, нашёл причину всего этого: в основной репозиторий xz и в tar‑архивы xz был встроен бэкдор. Сначала я подумал, что это — взлом Debian‑пакета, но оказалось, что речь идёт именно о библиотеке.

https://habr.com/ru/companies/wunderfund/articles/810173/

#Безопасность #xz #бэкдор

От HTTP к RCE. Как оставить бекдор в IIS

Всем добрый день! Меня зовут Михаил Жмайло, я пентестер в команде CICADA8 Центра инноваций МТС. На проектах часто встречаются инстансы Internet Information Services (IIS). Это очень удобный инструмент, используемый в качестве сервера приложений. Но знаете ли вы, что даже простое развёртывание IIS может позволить злоумышленнику оставить бекдор в целевой среде? В статье я покажу закрепление на системе, используя легитимный продукт Microsoft — Internet Information Services. Мы попрактикуемся в программировании на C++, изучим IIS Components и оставим бекдор через IIS Module. Договоримся сразу: я рассказываю это всё не для того, чтобы вы пошли взламывать чужие системы, а чтобы вы знали, где могут оставить бекдор злоумышленники. Предупреждён — значит вооружён.

https://habr.com/ru/companies/ru_mts/articles/804789/

#iis #бэкдор #системное_администрирование #информационная_безопасность

Бэкдор в архиваторе XZ 5.6.0 и 5.6.1 (CVE-2024-3094)

Спустя месяц после выпуска новой версии архиватора XZ 5.6.0 исследователи из Red Hat обнаружили в нём бэкдор (тайный вход).

https://habr.com/ru/articles/804129/

#xz #бэкдор #red_hat

Microsoft Defender ATP принял обновление для Chrome за троянское ПО #обновление, #ошибка, #браузер, #троян, #бэкдор, #Microsoft, #Chrome, #Funvalget https://t.co/h1Ty2mTY4L https://t.co/H2vGNgO5sa

Источник: https://twitter.com/SecurityLabnews/status/1357221129568534528

Microsoft Defender ATP принял обновление для Chrome за троянское ПО #обновление, #ошибка, #браузер, #троян, #бэкдор, #Microsoft, #Chrome, #Funvalget https://t.co/h1Ty2mTY4L https://t.co/H2vGNgO5sa

Источник: https://twitter.com/SecurityLabnews/status/1357221129568534528

Обнаружен ранее неизвестный бэкдор, использовавшийся APT-группой в течение 5 лет #бэкдор, #APT, #Turla, #Dropbox, #Crutch https://www.securitylab.ru/news/514523.php https://twitter.com/SecurityLabnews/status/1334144048202977280/photo/1

Предлагаемые на Amazon и eBay дешевые маршрутизаторы содержат бэкдоры #Wavlink, #маршрутизатор, #бэкдор, #Mirai https://www.securitylab.ru/news/514332.php https://twitter.com/SecurityLabnews/status/1331528069564276736/photo/1

Спецслужбы Швейцарии почти 30 лет знали о связи Crypto AG с ЦРУ #Швейцария, #шпионаж, #шифрование, #бэкдор, #ЦРУ, #BND https://www.securitylab.ru/news/514053.php https://twitter.com/SecurityLabnews/status/1327164307646386177/photo/1

Американские шпионы увиливают от ответа на вопрос о бэкдорах #АНБ, #бэкдор, #Juniper, #ScreenOS, #NetScreen https://www.securitylab.ru/news/513514.php https://twitter.com/SecurityLabnews/status/1321741069424431105/photo/1

Американские шпионы увиливают от ответа на вопрос о бэкдорах #АНБ, #бэкдор, #Juniper, #ScreenOS, #NetScreen https://www.securitylab.ru/news/513514.php https://twitter.com/SecurityLabnews/status/1321741069424431105/photo/1

В видеокодерах с чипами от Huawei обнаружены критические уязвимости #HiSilicon, #Huawei, #видеокодер, #бэкдор https://www.securitylab.ru/news/512260.php https://twitter.com/SecurityLabnews/status/1306876876422623233/photo/1