Данный документ содержит выдержки из магистерской диссертации Майкла Шмидта. Здесь отражены рассмотренные в диссертации аспекты HTML5, касающиеся безопасности.
Коротко говоря, веб-сокеты (Web Sockets) являются полнодуплексными TCP/IP соединениями, но не являются простыми TCP-сокетами. Соединение устанавливается путем превращения протокола HTTP в протокол Web Socket. В отличие от AJAX, который нуждается в двух соединениях: одного для исходящих данных (запросов), а второго для входящих (ответов), веб-сокеты устанавливают полнодуплексное соединение. Традиционный AJAX-запрос связан со значительными накладными расходами: для каждого запроса и ответа приходится передавать полные HTTP-заголовки. Накладные расходы веб-сокетов после установления соединения составляют лишь два байта (на запрос/ответ). “[…] веб-сокеты HTML5 могут уменьшить в 500 или даже в 1000 раз количество информации, передаваемой в HTTP-заголовках, и в три раза сократить время ожидания […]” [44]. Соединения веб-сокетов могут устанавливаться между различными доменами подобно CORS. Рисунок 9 показывает диаграмму последовательности, которая илюстрирует рукопожатие протокола веб-сокетов.
Подробности процедуры рукопожатия можно найти в разделе 5.2.8. Кроме того, в этом разделе показано POC-приложение и соответствующий дамп сетевого трафика.
Проблемы безопасности, связанные с Web Socket API, схожи с проблемами безопасности CORS. Здесь имеет место та же фундаментальная проблема, состоящая в возможности установить соединение между доменами, не спрашивая разрешения у пользователя; кроме того, запрос посылается без уведомления пользователя. Атакующему достаточно выполнить некоторый JavaScript-код в ПА жертвы, чтобы заставить его установить соединение с произвольным сервером по протоколу веб-сокетов. Это соединение может злоупотребляться атакующим для обмена данными с ПА. Таким образом, нарушаются требования безопасности “Безопасное управление сессиями” и “Контроль доступа”.
С появлением Web Socket API становится возможным нарушение требования безопасности “Безопасное кэширование”. Поскольку не все прокси-серверы корректно понимают протокол веб-сокетов, атакующий может заставить веб-прокси кэшировать навязанные данные. Это, в свою очередь, может применяться для нарушения всех других требований безопасности, путем навязывания JavaScript-кода Пользовательскому Агенту жертвы.
С Web Socket API связана проблема безопасности, заключающаяся в необходимости проверки данных с чужих доменов. Она также связана с CORS и Web Messaging. Как упоминалось в разделе 2.2.1, эта проблема рассматривается лишь однажды, в разделе 2.5.1.
Фундаментальная проблема, описанная в разделе 2.7.1, порождает несколько угроз. Для данных угроз далее приводятся сценарии атаки, демонстрирующие то, как атакующий может их эксплуатировать.
Для этого сценария атаки предполагается, что атакующий может либо обманом заставить пользователя посетить его вредоносный сайт, либо эксплуатировать XSS-уязвимость в посещаемом пользователем веб-приложении.
После того, как атакующий сможет запустить JavaScript-код в ПА, он сможет установить соединение по протоколу веб-сокетов. После установления соединения он может запустить в Пользовательском Агенте произвольный JavaScript-код. Помимо прочего, это позволяет атакующему получить доступ ко всем данным (в контексте соответствующего домена – политику ограничения домена обойти нельзя) или перенаправить ПА на другие сайты для рассылки спама или установки в ПА вредоносных компонентов. Удаленный шелл действует до закрытия ПА. В течении этого времени атакующий может контролировать поведение ПА, используя весь доступный в JavaScript функционал.
PoC-приложение, эксплуатирующее данную уязвимость, описано в разделе 5.2.8. В разделе показан сайт, который устанавливает удаленный шелл к командному серверу и запускает JavaScript-код, получаемый с этого сервера. Сервер имеет возможность злоупотреблять ПА в своих интересах.
Для этой атаки необходимо сделать в целом те же, но более сильные предположения, что и для предыдущей. Атакующий должен иметь возможность либо обманом завлечь большое число пользователей на свой сайт, либо эксплуатировать уязвимость на очень популярных сайтах. В разделе 5.1.5 дана высокоуровневая диаграмма, иллюстрирующая эту атаку.
Атакующий затем сможет запускать атаки, используя всю мощь JavaScript. Помимо прочего, такой ботнет можно использовать для проведения DDoS-атак. Определение настоящего источника атаки будет затруднено, поскольку явными источниками атаки будут ПА.
В декабре 2010 года компания Mozilla Foundation решила исключить поддержку веб-сокетов из своего браузера Firefox 4 [45]. Причиной этому стала серьезная эксплуатирующая веб-сокеты атака отравления кэша, продемонстрированная Адамом Бартом и его командой [46]. Адам и его команда продемонстрировали способ отравления кэша прокси, который не понимает веб-сокеты. Диаграмма последовательности, показанная на рисунке 10, обобщает и объясняет эту атаку отравления кэша, основанную на API веб-сокетов.
Возможность отравления кэша прозрачного прокси существует не из-за изъянов в протоколе веб-сокетов. Причина здесь в том, что прозрачный прокси не понимает рукопожатия данного протокола и действует лишь на основании доменного имени, указанного в поле Host заголовка, которое в этом случае, очевидно, ложно.
Эта атака похожа на описанную в разделе 2.2.2.3 атаку сканирования на основе времени отклика на запрос. Сканирование портов с использованием Web Socket API также определяет состояние порта по времени отклика. На основании этого времени отклика возможно определить, является ли порт открытым, закрытым или фильтрующимся.
Если атакующий хочет просканировать внутреннюю сеть компании, ему нужно завлечь внутреннего сотрудника на свой сайт. Сайт атакующего содержит JavaScript-код, который производит сканирование портов на основе Web Socket API. PoC-приложение, демонстрирующее эту атаку, можно найти в [47].
Контрмеры можно применить только против угрозы отравления кэша. Нужно обновить веб-прокси, чтобы они корректно обрабатывали рукопожатие протокола веб-сокетов. Дальнейшее кэширование ресурсов не должно быть основано лишь на значении поля Host HTTP-заголовка. Всегда нужно учитывать IP-адрес, соответствующий имени хоста.
Других угроз (удаленный шелл, веб-ботнет и сканирование портов) нельзя избежать путем безопасной реализации серверной стороны. Для этого нужно провести комплексную работу вроде ручного отключения поддержки веб-сокетов в ПА.
HTML5 Geolcation API предоставляет возможность определять физическое местоположение пользователя на основе GPS-положения. До HTML5 определить положение пользователя можно было лишь через плагины вроде Java-апплетов. С приходом HTML5 поддержка определения положения будет встроена в браузеры, которые смогут вычислять положение по широте и долготе. Geolocation API позволяет определить положение с помощью следующих возможностей (с различной точностью):
PoC-приложение, использующее HTML5 Geolocation API, можно найти в разделе 5.2.9. Это приложение определяет положение ПА, используя HTML5 Geolocation API. В разделе также приводится JavaScript-код для определения положения и скриншоты браузера.
С Geolocation API связаны в основном проблемы приватности. Каждый сайт может определять положение пользователя, которое может использоваться поставщиками веб-приложений для идентификации и отслеживания пользователей. Это нарушает требование безопасности “Защита личных сведений”.
В следующем списке перечислены угрозы, связанные с Geolocation API, и то, как они могут быть использованы в ходе атаки. Все эти угрозы нарушают требование безопасности “Защита личных сведений”.
Проблемы приватности касаются в основном пользователей, поэтому пользователям необходимо научиться давать лишь ограниченный доступ к информации о местоположении и лишь доверенным поставщикам веб-приложений. Все упомянутые угрозы не могут быть смягчены путем безопасной реализации серверной стороны.
Этот раздел покрывает те возможности HTML5, которые не имеют прямого влияния на безопасность, но в комбинации с другими возможностями могут быть использованы для запуска или упрощения атак на веб-приложения. В разделе дано краткое описание таких возможностей и объяснены связанные с ними проблемы безопасности.
До появления Web Workers использование Java-скриптов не годилось для запуска долго обрабатывающихся задач, поскольку это занимало у JavaScript больше времени, чем у нативного кода, и подвешивало браузер до окончания обработки. Web Workers предоставляют Java-скриптам возможность фонового запуска [49]. Эта технология имеет некоторое сходство с потоками, использующихся в других языках программирования. С Web Workers JavaScript может выполнять некоторую работу вроде обновления данных или доступа к ресурсам, в то время как сайт продолжает реагировать на действия пользователя. Технология Web Workers сама по себе не рождает новых уязвимостей, но облегчает эксплуатирование существующих. Например, Web Workers упрощает установление и использование веб-ботнета или обратного шелла на основе веб-сокетов и уменьшает вероятность их обнаружения пользователем: вся обработка может делаться в фоне.
В качестве примера, демонстрирующего возможности Web Workers, далее описаны две потенциальные атаки:
Введение в HTML5 новых элементов и атрибутов расширяет возможности атакующего по запуску атак внеднения кода, например, атак типа “межсайтовый скриптинг” (Cross-Site-Scripting или XSS). Веб-приложения, которые на данный момент сами по себе неуязвимы к XSS могут стать уязвимыми из-за новых атрибутов и элементов HTML5. XSS-Фильтры веб-приложений можно будет обойти, если им не известны новые HTML-тэги.
Помимо этих новых тэгов, новая версия CSS3 (Cascading Style Sheets 3 или Каскадные таблицы стилей 3) также предоставляет возможности для новых атак. Становится возможным внедрять JavaScript-код в атрибут style и появляются новые способы влияния на внешний вид сайта. Это, к примеру, открывает возможности для Кликджекинга.
В разделе 5.3.4 дано несколько примеров новых элементов и атрибутов и перечислено то, как они могут быть использованы в атаках внедрения кода.
В HTML5 появилась новая возможность, связанная с Iframe-ами и называемая “песочницей” [53]. Она может использоваться для ограничения привилегий загруженного Iframe-а: например, запрета на запуск JavaScript или всплывающих окон. Кроме того, Iframe-у в песочнице можно вернуть некоторые привилегии вроде allow-same-origin, allow-top-navigation, allow-forms и allow-scripts.
Проблема здесь кроется в том, что старые ПА не понимают атрибуты песочницы, и результатом может стать неожиданное поведение ПА. Поэтому перекладывать всю безопасность на значение атрибута песочницы не стоит; атрибуты песочницы следует использовать как дополнительный слой защиты, а не как основной. Если разработчик загружает с помощью Iframe-ов на свой сайт ненадежный контент и полагается только на значение атрибута песочницы, то в ПА жертвы, который не умеет работать с песочницей, может быть запущен вредоносный JavaScript-код. Если необходимо запустить Iframe в песочнице, нужно сначала проверить, поддерживает ли браузер песочницы для Iframe-ов. В случае, когда браузер не поддерживает песочницу, загружать ненадежный контент не следует.
События, посылаемые сервером (Server-Sent Events, SSE), – это способ установления однонаправленного канала между сервером и ПА [54]. По этому каналу сервер может посылать клиенту данные и предоставлять ему в любое время информацию о доступных обновлениях. Помимо веб-сокетов, это еще одна возможность HTML5, которую можно использовать для создания удаленного канала или ботнет-атак, как это описано в разделе 2.7.2. Тем не менее, Server-Sent Events более ограничены, поскольку канал работает лишь в направлении от сервера к клиенту. Однако, SSE обладают тем преимуществом, что используют для взаимодействия обычный HTTP, а не новый протокол, который имеет место в случае веб-сокетов. В разделе 5.2.4 показано PoC-приложение, реализующее SSE, дана дополнительная информация о SSE и скриншот приложения.
Как видно из данной главы, в HTML5 присутствует множество изъянов безопасности. HTML5 не только вводит новые угрозы, но и ухудшает существующие в HTML 4.01 и облегчает их эксплуатацию. Возможности атакующего расширяются. Ухудшилась ситуация с XSS, являющимся примером фундаментальной проблемы веб-приложений [55]. Все, что было возможно с XSS, осталось и в HTML5, но добавились и новые возможности, например, получение доступа к Локальному Хранилищу. JavaScript по прежнему обладает большой мощью, а весь JavaScript-код, запускаемый в ПА, имеет полный доступ к глобальным объектам. HTML5 усложняет строение браузеров, а сложность, как известно из разработки ПО, отрицательно влияет на безопасность [56]. Существующие механизмы уже не могут обеспечить эффективную защиту от атак, использующих возможности HTML5.
В HTML5 ПА получают новые способности, что рождает вектора атак, направленные прямо на ПА. В защите нуждается не только серверная, но и клиентская сторона. Защита должна осуществляться либо разработчиками веб-приложений, либо производителями ПА. Не все уязвимости могут быть закрыты путем безопасной реализации серверной стороны: некоторые оказывают влияние на стороне клиента, и сервер ничего не может сделать для защиты клиентской части. Примером таких уязвимостей является отравление кэша оффлайнового приложения. Поскольку некоторые атаки нацелены прямо на ПА, сервисы безопасности должны применяться и на стороне клиента.
Следующий список резюмирует общие принципы безопасности, описанные в последних разделах, которые изменились в HTML5 по сравнению с HTML 4.01:
Внедрение HTML5 повлияет на безопасность веб-приложений. В HTML5 появляются новые возможности, которые, как показывает глава 2, рождают новые проблемы безопасности. Эти возможности либо приводят к появлению новых уязвимостей, либо делают более критичным влияние существующих угроз. При разработке HTML5 уделялось внимание безопасности, но предложенные меры борьбы с угрозами веб-приложений не достаточны. В HTML5 возросли возможности для атак не только из-за появления нового функционала, но также и за счет существующих нерешенных угроз.
Вследсвтвие этого, HTML5 усложняет как разработку веб-приложений, так и защиту. Появилось несколько возможностей для атаки, которые затрудняют как безопасную реализацию, так и поиск уязвимостей через тестирование на проникновение. Поставщики веб-приложений должны быть готовы защитить свои веб-приложения, даже если они не используют HTML5, поскольку HTML5 в любом случае повлияет на их безопасность. Эксперты по безопасности веб-приложений предыдущего поколения не будут иметь опыта работы с HTML5 и не будут знать об уязвимостях и порождаемых ими угрозах. HTML5 повлияет и на конечных пользователей. Находясь в Интернет, они должны будут концентрироваться на безопасности, особенно когда дело касается приватности. В противном случае они могут невольно раскрыть веб-приложению больше информации, чем хотели бы, или стать целью атак, которые могли бы заметить.
Довольно трудно делать какие-нибудь подробные предсказания по поводу того, как HTML5 повлияет на безопасность веб-приложений. Вероятнее всего, HTML5 повлияет на безопасность на веб-приложений техническим образом, при этом он может не затронуть социальное поведение пользователей. Новые технологии могут повлиять на то, как конечные пользователи будут использовать веб-приложения, но не всегда новые веб-стандарты являлись “пробивными” технологиями (см. главу 1). Если HTML5 будет введен в действие, а соответствующие уязвимости не будут исправлены, большую роль станут играть поставщики сервисов безопасности. Будут ли это относительно простые решения вроде предоставления защищенного браузера по запросу или применение решений полностью защищенного доступа к Интернет, зависит от пользователя. В любом случае поставщикам веб-приложений нужно будет приложить колоссальные усилия, чтобы гарантировать конфиденциальность, целостность и доступность. Далее, традиционные приложения, которые до сих пор запускались непосредственно в ОС, могут переместиться во Всемирную паутину. Приложения вроде почтовых клиентов, текстовых процессоров или редакторов изображений смогут полноценно запускаться из браузера. Также будет возможно использовать HTML5 для запуска этих приложений в оффлайн-режиме. Это открывает новые пути для вредоносного ПО. Все, что понадобится пользователю для запуска веб-приложения HTML5, – браузер, поддерживающий данный стандарт. Это идеальная возможность для вредоносного ПО внедриться однажды, чтобы выполняться повсеместно – HTML5 платформонезависим. С введением HTML5 появится множество вредоносного ПО, использующего лишь JavaScript и возможности HTML5. Цели вредоносного ПО теперь не будут ограничены лишь серверами веб-приложений, а будут также включать ПА (не считая эксплуатауции уязвимостей браузеров, имевшей место и ранее), поскольку HTML5 предоставляет ПА богатые возможности. Атаки на ПА смогут стать непрерывными во времени, не эксплуатируя никаких уязвимостей ПА, а лишь за счет использования, например, Web Storage. В целом можно сказать, что осуществление безопасности веб-приложений за счет лишь технических решений – очень сложная задача и не может быть выполнена всеми поставщиками веб-приложений. Таким образом, конечные пользователи крайне ответственны за осторожное использование веб-приложений и предоставление персональных и конфиденциальных данных только доменам с большой степенью доверия.
Глядя на процесс стандартизации HTML5 и находящиеся на подходе веб-стандарты, хотелось бы, чтобы серьезные комитеты по стандартизации вроде W3C и WHATWG обратили внимание на существующие фундаментальные проблемы безопасности веб-приложений. Решить эти проблемы непросто, поскольку корни некоторых проблем находятся в архитектуре HTML. HTML нуждается в фундаментальных изменениях, которые могут привести к тому, что многие веб-приложения перестанут работать должным образом. Однако, игнорирование фундаментальных проблем безопасности в новых стандартах HTML сделает данную ситуацию еще хуже. Как только стандарты будут утверждены, станет крайне трудно исправить потенциальные изъяны безопасности, которые они порождают. Поэтому новый HTML стандарт должен обращать внимание на комплексную безопасность веб-приложений, а не фокусироваться лишь на новых возможностях. Если производители браузеров и комитеты по стандартизации будут работать вместе, они могут договориться о переходной фазе для введения нового безопасного протокола. В течение этой переходной фазы браузеры будут поддерживать оба протокола: стандартный HTML и новый, безопасный HTML. В зависимости от предоставляемого веб-приложениями контента браузеры будут решать, какой протокол использовать. Либо пользователь сможет конфигурировать браузер так, чтобы разрешать доступ только к тем страницам, которые поддерживают безопасную версию HTML.
В статье мы расскажем о наиболее интересных стартапах в области кибербезопасности, на которые следует обратить внимание.
Хотите узнать, что происходит нового в сфере кибербезопасности, – обращайте внимание на стартапы, относящиеся к данной области. Стартапы начинаются с инновационной идеи и не ограничиваются стандартными решениями и основным подходом. Зачастую стартапы справляются с проблемами, которые больше никто не может решить.
Обратной стороной стартапов, конечно же, нехватка ресурсов и зрелости. Выбор продукта или платформы стартапа – это риск, требующий особых отношений между заказчиком и поставщиком . Однако, в случае успеха компания может получить конкурентное преимущество или снизить нагрузку на ресурсы безопасности.
Ниже приведены наиболее интересные стартапы (компании, основанные или вышедшие из «скрытого режима» за последние два года).
Компания Abnormal Security, основанная в 2019 году, предлагает облачную платформу безопасности электронной почты, которая использует анализ поведенческих данных для выявления и предотвращения атак на электронную почту. Платформа на базе искусственного интеллекта анализирует поведение пользовательских данных, организационную структуру, отношения и бизнес-процессы, чтобы выявить аномальную активность, которая может указывать на кибератаку. Платформа защиты электронной почты Abnormal может предотвратить компрометацию корпоративной электронной почты, атаки на цепочку поставок , мошенничество со счетами, фишинг учетных данных и компрометацию учетной записи электронной почты. Компания также предоставляет инструменты для автоматизации реагирования на инциденты, а платформа дает облачный API для интеграции с корпоративными платформами, такими как Microsoft Office 365, G Suite и Slack.
Копания Apiiro вышла из «скрытого режима» в 2020 году. Ее платформа devsecops переводит жизненный цикл безопасной разработки «от ручного и периодического подхода «разработчики в последнюю очередь» к автоматическому подходу, основанному на оценке риска, «разработчики в первую очередь», написал в блоге соучредитель и генеральный директор Идан Плотник . Платформа Apiiro работает, соединяя все локальные и облачные системы управления версиями и билетами через API. Платформа также предоставляет настраиваемые предопределенные правила управления кодом. Со временем платформа создает инвентарь, «изучая» все продукты, проекты и репозитории. Эти данные позволяют лучше идентифицировать рискованные изменения кода.
Axis Security Application Access Cloud – облачное решение для доступа к приложениям , построенное на принципе нулевого доверия. Он не полагается на наличие агентов, установленных на пользовательских устройствах. Поэтому организации могут подключать пользователей – локальных и удаленных – на любом устройстве к частным приложениям, не затрагивая сеть или сами приложения. Axis вышла из «скрытого режима» в 2020 году.
BreachQuest, вышедшая из «скрытого режима» 25 августа 2021 года, предлагает платформу реагирования на инциденты под названием Priori. Платформа обеспечивает большую наглядность за счет постоянного отслеживания вредоносной активности. Компания утверждает, что Priori может предоставить мгновенную информацию об атаке и о том, какие конечные точки скомпрометированы после обнаружения угрозы.
Cloudrise предоставляет услуги управляемой защиты данных и автоматизации безопасности в формате SaaS. Несмотря на свое название, Cloudrise защищает как облачные, так и локальные данные. Компания утверждает, что может интегрировать защиту данных в проекты цифровой трансформации. Cloudrise автоматизирует рабочие процессы с помощью решений для защиты данных и конфиденциальности. Компания Cloudrise была запущена в октябре 2019 года.
Cylentium утверждает, что ее технология кибер-невидимости может «скрыть» корпоративную или домашнюю сеть и любое подключенное к ней устройство от обнаружения злоумышленниками. Компания называет эту концепцию «нулевой идентичностью». Компания продает свою продукцию предприятиям, потребителям и государственному сектору. Cylentium была запущена в 2020 году.
Компания Deduce , основанная в 2019 году, предлагает два продукта для так называемого «интеллектуального анализа личности». Служба оповещений клиентов отправляет клиентам уведомления о потенциальной компрометации учетной записи, а оценка риска идентификации использует агрегированные данные для оценки риска компрометации учетной записи. Компания использует когнитивные алгоритмы для анализа конфиденциальных данных с более чем 150 000 сайтов и приложений для выявления возможного мошенничества. Deduce заявляет, что использование ее продуктов снижает ущерб от захвата аккаунта более чем на 90%.
Автоматизированная платформа безопасности и соответствия Drata ориентирована на готовность к аудиту по таким стандартам, как SOC 2 или ISO 27001. Drata отслеживает и собирает данные о мерах безопасности, чтобы предоставить доказательства их наличия и работы. Платформа также помогает оптимизировать рабочие процессы. Drata была основана в 2020 году.
FYEO – это платформа для мониторинга угроз и управления доступом для потребителей, предприятий и малого и среднего бизнеса. Компания утверждает, что ее решения для управления учетными данными снимают бремя управления цифровой идентификацией. FYEO Domain Intelligence («FYEO DI») предоставляет услуги мониторинга домена, учетных данных и угроз. FYEO Identity будет предоставлять услуги управления паролями и идентификацией, начиная с четвертого квартала 2021 года. FYEO вышла из «скрытого режима» в 2021 году.
Kronos – платформа прогнозирующей аналитики уязвимостей (PVA) от компании Hive Pro , основанная на четырех основных принципах: предотвращение, обнаружение, реагирование и прогнозирование. Hive Pro автоматизирует и координирует устранение уязвимостей с помощью единого представления. Продукт компании Artemis представляет собой платформу и услугу для тестирования на проникновение на основе данных. Компания Hive Pro была основана в 2019 году.
Израильская компания Infinipoint была основана в 2019 году. Свой основной облачный продукт она называет «идентификация устройства как услуга» или DIaaS , который представляет собой решение для идентификации и определения положения устройства. Продукт интегрируется с аутентификацией SSO и действует как единая точка принуждения для всех корпоративных сервисов. DIaaS использует анализ рисков для обеспечения соблюдения политик, предоставляет статус безопасности устройства как утверждается, устраняет уязвимости «одним щелчком».
Компания Kameleon , занимающаяся производством полупроводников, не имеет собственных фабрик и занимает особое место среди поставщиков средств кибербезопасности. Компания разработала «Блок обработки проактивной безопасности» (ProSPU). Он предназначен для защиты систем при загрузке и для использования в центрах обработки данных, управляемых компьютерах, серверах и системах облачных вычислений. Компания Kameleon была основана в 2019 году.
Облачная платформа безопасности данных Open Raven предназначена для обеспечения большей прозрачности облачных ресурсов. Платформа отображает все облачные хранилища данных, включая теневые облачные учетные записи, и идентифицирует данные, которые они хранят. Затем Open Raven в режиме реального времени отслеживает утечки данных и нарушения политик и предупреждает команды о необходимости исправлений. Open Raven также может отслеживать файлы журналов на предмет конфиденциальной информации, которую следует удалить. Компания вышла из «скрытого режима» в 2020 году.
Компания Satori, основанная в 2019 году, называет свой сервис доступа к данным “DataSecOps”. Целью сервиса является отделение элементов управления безопасностью и конфиденциальностью от архитектуры. Сервис отслеживает, классифицирует и контролирует доступ к конфиденциальным данным. Имеется возможность настроить политики на основе таких критериев, как группы, пользователи, типы данных или схема, чтобы предотвратить несанкционированный доступ, замаскировать конфиденциальные данные или запустить рабочий процесс. Сервис предлагает предварительно настроенные политики для общих правил, таких как GDPR , CCPA и HIPAA .
Компания Scope Security недавно вышла из «скрытого режима», будучи основана в 2019 году. Ее продукт Scope OmniSight нацелен на отрасль здравоохранения и обнаруживает атаки на ИТ-инфраструктуру, клинические системы и системы электронных медицинских записей . Компонент анализа угроз может собирать индикаторы угроз из множества внутренних и сторонних источников, представляя данные через единый портал.
Основным продуктом Strata является платформа Maverics Identity Orchestration Platform . Это распределенная мультиоблачная платформа управления идентификацией. Заявленная цель Strata – обеспечить согласованность в распределенных облачных средах для идентификации пользователей для приложений, развернутых в нескольких облаках и локально. Функции включают в себя решение безопасного гибридного доступа для расширения доступа с нулевым доверием к локальным приложениям для облачных пользователей, уровень абстракции идентификации для лучшего управления идентификацией в мультиоблачной среде и каталог коннекторов для интеграции систем идентификации из популярных облачных систем и систем управления идентификацией. Strata была основана в 2019 году.
SynSaber , запущенная 22 июля 2021 года, предлагает решение для мониторинга промышленных активов и сети. Компания обещает обеспечить «постоянное понимание и осведомленность о состоянии, уязвимостях и угрозах во всех точках промышленной экосистемы, включая IIoT, облако и локальную среду». SynSaber была основана бывшими лидерами Dragos и Crowdstrike.
Traceable называет свой основной продукт на основе искусственного интеллекта чем-то средним между брандмауэром веб-приложений и самозащитой приложений во время выполнения. Компания утверждает, что предлагает точное обнаружение и блокирование угроз путем мониторинга активности приложений и непрерывного обучения, чтобы отличать обычную активность от вредоносной. Продукт интегрируется со шлюзами API. Traceable была основана в июле 2020 года.
Компания Wiz, основанная командой облачной безопасности Microsoft, предлагает решение для обеспечения безопасности в нескольких облаках, рассчитанное на масштабную работу. Компания утверждает, что ее продукт может анализировать все уровни облачного стека для выявления векторов атак с высоким риском и обеспечивать понимание, позволяющее лучше расставлять приоритеты. Wiz использует безагентный подход и может сканировать все виртуальные машины и контейнеры. Wiz вышла из «скрытого режима» в 2020 году.
Работает на CMS “1С-Битрикс: Управление сайтом”
buy fullz trusted cvv shop 2021
Хакеры выложили в сеть сценарий будущей серии «Игры престолов» 48 shop online with credit card number only no cvv, buying fullz
Хакеры опубликовали в интернете ссылку на внутренние документы кабельного канала HBO, включая сценарий следующего эпизода «Игры престолов».
Об этом сообщает издание Hollywood Reporter .
Киберпреступники прислали изданию ссылку на документы. Некоторые файлы были помечены как «Конфиденциально» и «Сценарий Игры престолов 7».
В письме хакеры заявили, что на взлом HBO у них ушло полгода.
Взломщики также записали видеoпослание для гендиректора HBO Ричарда Плефера, в котором они требуют деньги от канала, при этом сумма не указывается.
На прошлой неделе хакеры взломали внутреннюю сеть кабельного канала НВО и похитили сценарий эпизода популярного сериала «Игра престолов» с официальной датой выхода 6 августа и позже выложили его в сеть.
shop online with credit card number only no cvv buying fullz
Ghana needs to upgrade cyber security systems – Antwi Danso card dumps, dumps store
Institute For Ethical Hacking Course and Ethical Hacking Training in Pune – India
Extreme Hacking | Sadik Shaikh | Cyber Suraksha Abhiyan
Credits: citifmonline
International Relations analyst, Dr. Vladimir Antwi Danso has urged the government to improve systems to fight cyber attacks.
His call follows reports in the French media of China bugging and stealing data from the $200 million African Union (AU) Headquarters in Ethiopia it funded and built.
Speaking to Citi News on the reports, Dr. Antwi Danso called on the government to as a matter of urgency, build a robust system to avert any such attacks since they were a threat to the country’s security.
“The Chinese, the Americans and several other countries have cyber commands, proper cyber commands… whose work is always to look at the internet and see which country is trying to target or attack their country.”
“Let’s take cyber awareness very seriously. Let’s let the people know that it is now a weapon. Let us take it as that. It is no longer a computer kind of detection. It is now real warfare. If we take like that, then we can have people trained to know how to deal with cyber warfare.”
Plans for Cyber Security Centre
President Nana Akufo-Addo, in October 2017, said his government intended to establish a National Cyber Security Centre though no concrete plan has been outlined as yet.
President Akufo-Addo said this would be key to safeguard the national identification system, the digital addressing system, e-payments, digital financial services and the various e-government initiatives.
He assured that the government will enforce existing legislation and will empower the Data Protection Commission to ensure enforcement of the provisions of the Data Protection Act, 2012 (Act 843).
Denials from China
China has since dismissed the reports it bugged the AU headquarters as “preposterous”.
The Chinese ambassador to the AU told reporters the media in Ethiopia that claims, first reported by French news outlet, Le Monde was “very difficult to understand”.
The article said the discovery resulted in all the AU servers being switched.
Le Monde spoke to a number of anonymous sources, who claimed the alleged transfer was taking place late at night and was only spotted in January 2017 due to the spike in activity between midnight and 02:00, despite no-one being in the building.
It was suggested the alleged data transfer had been taking place since 2012 when the building was opened.
AU officials brought in security experts from Algeria to sweep the entire headquarters for potential bugs leading to the discovery of microphones in desks, according to Le Monde.
card dumps dumps store
A MyKings Retrospective Using the MITRE ATT&CK Matrix for Increased Visibility buying cc for carding, buy cc for carding
Categorizing the behavior of threats in a clear and easily understandable manner has always been a challenge for cybersecurity researchers. To understand the specifics of an attack, professionals normally need to analyze indicators, search for findings from other security researchers, and read reports, articles, and papers describing similar threats.
Analysis and investigation can be daunting and resource intensive for cybersecurity professionals, especially if a threat shows a high sophistication level and several components. This is further complicated by the fact that a threat actor can modify these components — hashes, command-and-control (C&C) servers, IP addresses — making threats not only more efficient but also more difficult to detect and analyze. However, attacks and campaigns typically display certain patterns depending on the attacker’s motivations and targets — patterns that have allowed the attribution of attacks to specific threat actor groups. The challenge is how to cross-check findings against data from various sources.
In 2013, The MITRE Corporation, a federally funded not-for-profit company that counts cybersecurity among its key focus areas, came up with MITRE ATT&CK ™ (short for adversarial tactics, techniques, and common knowledge), a curated knowledge base that tracks adversary behavior and tactics. ATT&CK has seen widespread adoption over the past year as organizations try to keep up with the volume of cyberthreats and collate and make sense of threat data.
Akin to the parlance of TTPs (tactics, techniques, procedures) , the main elements of ATT&CK are tactics and techniques. Within the ATT&CK framework, they are defined as follows:
The relationship between tactics and techniques are visualized in the ATT&CK Matrix, a set of matrices composed of Pre-ATT&CK, enterprise, and mobile. As its name implies the Pre-ATT&CK matrix shows the behavior of a threat actor before an attack actually occurs. Conversely, the enterprise and mobile matrices provide information on threats that affect each platform.
An advantage of using the ATT&CK Matrix is that it allows for the swift identification of the TTPs used in an attack via a standardized format. It’s essentially a common language and resource for security researchers and IT personnel not just for specific threat details — it also enables correlation to see the bigger picture of an attack. It draws from real-world examples, with references to actual attacks per technique, making it easier for researchers to find analysis on similar threats.
An actual incident involving the MyKings botnet illustrates how ATT&CK can be used in threat investigation.
Last August, Trend Micro researchers detailed the case of a company that was infected with the MyKings botnet. What made this incident particularly interesting was that the botnet had been in the company’s system for approximately two years. This particular MyKings variant contained plenty of moving parts and components, including the following:
The figure below shows the Trend Micro™ Deep Discovery™ Inspector detections for a backdoor, a trojan, and a cryptocurrency miner. A person without intimate knowledge of the threat might have concluded that these detections were unrelated since they are different kinds of malware. Further complicating matters is the fact that this MyKings variant had constantly changing components and multiple payloads that depended on what the C&C server sent. When these factors were combined with the length of time the threat had stayed in the system, it became fairly difficult to provide an accurate infection chain for the attack.
In the case of the MyKings incident, the components can be plotted on the enterprise ATT&CK matrix as follows:
The chart shown above is a modified version of the standard ATT&CK matrix, adding a color-coded scheme indicating which MyKings components were flagged by the behavior monitoring feature (Aegis) of the Trend Micro product and the Trend Micro MDR team and at what stages they were discovered and analyzed. It also shows which components have multiple functions for the malware. Knowing these enabled defenders to zoom in on points of compromise and stop further risks.
Looking at the diagram, one can see that the different functions of MyKings neatly correspond to a technique — even several ones, such as in the case of the bootkit. Knowing the malware was able to stay undetected for two years, the techniques under Persistence are worth looking into. The MyKings variant has a set of fileless persistence mechanisms. In the matrix, each persistence mechanism points directly to its counterpart. Even without labels, understanding what each component does becomes intuitive. For example, the component “Mysa” (in gray box) analyzed during Forensics was used for the “ Scheduled Task ” technique (T1053). The dedicated page for the technique in the ATT&CK knowledge base gives the following description:
From the description (and procedure examples), analysts and defenders looking at the matrix will already have an idea of how this technique is used — a mechanism for persistence, defense evasion, and execution. In this particular case of MyKings, the attack used the technique for persistence as well as execution.
One of the challenges when it comes to traditional threat intelligence is that it is often a time-consuming endeavor that requires sifting through reports, articles, news stories, and even social media posts to find and analyze indicators as well as determine which information is useful for a current investigation or worth adding to an internal knowledge base. Given enough time, a dedicated security researcher would probably be able to piece together the details of the story. But in cybersecurity, time is always of the essence. Threat investigation needs to be as quick as possible to properly categorize a threat and identify where the security gaps are and how they can be addressed.
This is where ATT&CK can help threat investigation: It allows security researchers to narrow down their search to specific tactics and techniques, cutting down on the time needed to map out the details of an attack. For example, a security researcher analyzing an incident can start by looking into the technique used by a malware variant to gain initial access into the system (found under the tactic “Initial Access”). From there, security researchers can go down the line, comparing the malware variant’s tactics and techniques with the ones listed in the ATT&CK framework to see where they match up. The eventual goal, with the help of ATT&CK, is not only to tell the story of the why, how, and what of an attack but also to help pinpoint security weaknesses within the system that a security team can work on strengthening.
One of the key takeaways from the MyKings incident is that digital forensics and incident response aren’t always clear-cut and the pieces don’t always fit cleanly into the puzzle — at first. A tool like ATT&CK can help shed light on the missing parts to create a more complete picture of an attack. However, this does not mean that ATT&CK by itself is enough — it’s just another tool in a good security researcher’s toolbox.
The best security teams will know how to make use of all of these tools to make threat investigation and analysis more effective. The Trend Micro™ Managed XDR service allows organizations to benefit from a combination of expert knowledge of frameworks like ATT&CK with security analytics that integrate detection and response features across networks, endpoints, emails, servers, and cloud workloads to gain an understanding of how attacks are initiated, how far they spread in the network, and what remediation steps need to be taken.
Like it? Add this infographic to your site:1. Click on the box below. 2. Press Ctrl+A to select all. 3. Press Ctrl+C to copy. 4. Paste the code into your page (Ctrl+V).
Image will appear the same size as you see above.
In the first half of this year, cybersecurity strongholds were surrounded by cybercriminals waiting to pounce at the sight of even the slightest crack in defenses to ravage valuable assets. View the report
The upheavals of 2020 challenged the limits of organizations and users, and provided openings for malicious actors. A robust cybersecurity posture can help equip enterprises and individuals amid a continuously changing threat landscape. View the 2020 Annual Cybersecurity Report
buying cc for carding buy cc for carding
These things may be cool, but are they safe cvv sites, cvv store
In the rush to embrace IoT devices, we shouldn’t trade in our privacy and security for the added convenience
Ours is an interconnected world. We have smart doorbells, so we can check on our smartphones who rang, smartwatches to track our children’s locations, and fitness trackers to see how we are doing with our physical health. The Internet of Things revolution has even swept our households with a whole range of smart home appliances ranging from smart tea kettles to smart washing machines to smart fridges.
All of this makes life easier, but it doesn’t necessarily mean that it makes our life more secure. Being able to manage most of your household from your smartphone may be convenient, but are the gadgets you choose safe? Here are some of the Internet of Things (IoT) gizmos that may, for convenience’s sake, infringe on your privacy.
The priority of any parent is to keep their children safe. In a bid to keep track of their offspring in a steadily more digitized world, some parents opt for smartwatches with tracking capabilities, so they can see where their little ones are if they go out on a playdate, and even communicate with them if need be. But not all kid trackers are a great choice – if you want to buy an off-brand smartwatch, you should most definitely be picky about what you’re choosing.
Unfortunately, manufacturers may have gaping holes in, for example, the security of their servers … and that could inadvertently put your children at risk instead of keeping them safe. Case in point: with one smartwatch model, researchers were able to access the location, phone number, photos, and conversations of well over 5,000 children, due to the manufacturer not securing their servers properly . By no means is that an isolated case, children’s smartwatches have raised privacy concerns before; in fact, the European Commission even ordered a recall of one such product.
These days, you needn’t even get up from your bed or couch to see who’s at the door or even to open it. Well, that’s the convenience a smart doorbell in combination with a smart lock affords you; you can just check from your smartphone. You might think that the convenience is usually worth the price, with an extra safety boon that some doorbells record all of the movement that takes place in front of them.
While everyone can appreciate the effort to keep your family and home safe, you have to do your due diligence on smart doorbells before buying one. For example, researchers have found that some smart doorbells perform unexpected tasks . One particular model uploaded snapshots every time someone moved in front of them; you’d think that was normal but, curiously, there was no way to access these snapshots or find out where they were being uploaded. It’s better to thoroughly research what you are buying so you reduce the odds of being the one that’s eventually spied upon.
Keeping up with the security theme, another popular type of IoT device is the smart security camera. People tend to install them to keep track of what is happening inside and outside of their homes or small businesses. Since they are IoT devices, logically they are connected to the internet and their safety depends solely on how well the connection and the data are secured. If a cybercriminal is able to hack the device and gain remote access to it, they have a direct feed into your home, which is safe to say the worst-case scenario.
Unfortunately, cheap IP camera models aimed at protecting your family and belongings are among the most-hacked devices . And since cheap devices are manufactured in a similar manner, they share similar vulnerabilities. It isn’t just direct attacks customers should worry about, but bugs as well. One such bug in a Xiaomi device shared random images from strangers’ homes with other camera owners.
The smart home hub is at the center of your connected home devices — metaphorically speaking, we can call it the brain of the whole operation. It unifies all of the IoT devices under it – such as your security cameras, your smart doorbell, lights, and whatever other smart gadgets – and helps control them from one convenient place. And smart hubs aren’t just used to monitor and control smart homes, but they’re used to control environments in businesses as well.
By now you may have an inkling of where this is going. If a vulnerability is found and exploited it could mean that the bad actors could gain full access to devices in these monitored systems and to the sensitive data they contain. ESET IoT Research has found numerous serious vulnerabilities in three hubs , some of which would open up their systems to attack.
If you are in the market for IoT devices that will make your life easier and more convenient, there are a number of rules that you should follow:
cvv sites cvv store
Holiday Risks Shopping Scams in Retail, Travel and Hospitality cvvstore, valid cc shop
UPS, FedEx, USPS and other delivery workers have been on overdrive for weeks. Online shopping can ease the stress of the season, but is it safer to confront the crowds?
Let’s be honest, consumers are not waiting until off hours to fill their digital carts. Hackers prey on the knowledge that it’s ever more difficult for end users to distinguish the difference between fraudulent and valid emails, which presents security issues to the enterprise as well. For the cybersecurity of end users (and the companies where they work) many headlines this week, have shared tips on how to avoid falling victim to a scam.
Since Black Friday and Cyber Monday , we’ve seen a lot of news highlighting the threats to consumer data with online shopping. As the holiday shopping season comes to a close, shoppers are still being warned to heed caution. Yes, phishing scams pose real threats to consumers and enterprises alike.
It’s easy to get swept away in the fear, uncertainty and doubt the security of e-commerce . Here are just a few highlights of buyer beware stories that may very well be security vulnerabilities. It’s worth noting, though, that some present very little actual risk, particularly to those who click with caution.
Dec. 18. Yes, phishing scams increase at this time of year, but the reality is that online threats to privacy and data exist around the clock every day of the year. It’s good to be vigilant now, but it’s also important to remain on alert and practice good digital hygiene all year long .
Dec. 19. Buyers weren’t really being aware of the risks when they saw the promise of a great online deal . The holidays are not a time when anyone wants to learn the hard way, but these shoppers sat waiting for gifts that never came.
Dec. 20. Malicious emails about package delivery issues have increased for both Amazon and UPS as well. This shopping guide comprises several popular scams to be cautious of in ordering and waiting for the delivery of packages.
The Better Business Bureau warns about the prevalence of these scams , which makes it more difficult to realize the security measures that are in place to protect against online threats.
Dec. 21. The FedEx email scam in which the subject line reads: “FedEx: Delivery Problems Notification preys on shopper anxiety and does pose actual risk. If a user clicks on the attachment, it delivers a virus when opened.
Online retailers are not the only way that scammers are trying to lure consumers into scams. There’s also a growing black market trade in heavily discounted travel services .
In this episode of “The Source”, experts weigh in on whether Shoppers are more vulnerable to cyberattacks during holidays and offer advice on how to protect private data.
cvvstore valid cc shop
Data Of 2.8 Million Users From MeetMindful Dating Site Compromised buy cvv, feshop cc
The ShinyHunters hacker has been on the news lately, as he has been involved in series of data leaks within the past week.
A recent report revealed that the hacker has exposed data from yet another company. This time, the victim is the MeetMindful dating site, with data of 2.8 million user records from the site leaked on the dark web.
A report from a security researcher who detailed the incident shows that the leaked data was packed in a 1.2GB file, and has been shared for free on a darknet forum .
“The content of this file includes a wealth of information that users provided when they set up profiles on the MeetMindful site and mobile apps,” the report explains.
The content of the file includes information provided by the users when they were signing up for the platform’s services.
The sensitive details include the real names of the users, their body details, state and ZIP details, dates of birth, dating references, email addresses, marital status, Facebook user IDs, Bcrypt-hashed account passwords, as well as their IP addresses.
ShinyHunters have been mentioned in several data breaches recently. The hacker was also involved in the leak of sensitive data of 3.25 million users of the BuyUcoin crypto exchange.
And only last week, the hacker leaked data of 1.9 million users from photo editing firm Pixlr . Reports also revealed that ShinyHunters also leaked the data from India’s BigBasket and ChqBook.
Other Indian firms were victims of cyberattacks by the same hacker. Wedding planning website WedMeGood and e-marketplace ClickIndia are other firms that have suffered a data breach from ShinyHunters, as reported in the media.
For the affected MeetMindful users, the exposed data could be used by threat actors to launch future phishing and extortion attacks. It could also provide information for a threat actor to trace their real-world identities.
The leaked data is still available to the public on the darknet forum where it was originally leaked.
Hackers are using any avenue to extort money from their victims, with many engaged in sextortion.
The normal tactic is to contact the dating site users, especially those who are married and threaten to expose them if they don’t pay a stated ransom .
At the time of writing, the data theft at MeetMindful has not been addressed publicly by the dating site.
However, the leaked file doesn’t contain shared messages by the users, but it doesn’t make it less sensitive than it already is.
Some of the leaked accounts do not have the complete details, but the data they provided is enough for a threat actor to start hatching plans against the user.
Presently, the threat where the leaked data was posted has had over 1,500 views. Since it’s a darknet forum, it’s believed that the majority of those that viewed the thread have also downloaded the data. It puts the affected users at risk of a phishing attack.
It’s not clear how the data was compromised on MeetMindful, but Shinyhunters is notorious for getting data from misconfigured Amazon Web Services Inc. S3 buckets and databases.
Pravin Rasiah, Vice president of CloudSphere, a cloud management platform, stated that one of the most common causes of data breaches is improperly secured AWS S3 buckets.
He further stated that S3 buckets are more frequently exposed, and hackers are always ready to pounce at the opportunity of stealing data when it happens.
Once an experienced user ticks the ‘all users’ access option, it leaves the S3 bucket exposed to the public . As a result, hackers are always waiting on the sidelines for such mistakes, when they will have the opportunity to attack.
Rasiah stated that it’s necessary to prevent such incidents from happening. According to him, companies need to promote massive awareness about the cloud environment. They should set aside a budget for training users on the basics when it comes to using the cloud environment and making it safe.
buy cvv feshop cc
The Most Common Types of Cybercrime on Campus and How to Avoid Them dump shop, buying cvv
As a college student,
you probably have some personal information stored in your computer or laptop,
your smartphone, other devices, in your wallet, and in your dorm room. It’s
essential to make sure that this information is well-protected from thieves who
may steal your devices and personal information. If it falls into the wrong
hands, your personal information could be used to commit crimes in your name,
borrow money and affect your credit score, and turn your college life and life
after graduation into a nightmare.
You can never be too careful when it comes to cybersecurity as a college
student. Here are some common threats on college campuses, and what you can do
to protect yourself.
Wi-Fi that’s available
all over campus is essential for colleges today. Students use it on a daily
basis to stay connected to each other, professors, friends, and family, along
with research and other educational resources. However, campus Wi-Fi isn’t
typically any more secure than other public Wi-Fi, leaving whoever’s using it
vulnerable to malware attacks, identity theft and more.
The best ways to
protect yourself when using campus Wi-Fi include:
Communal workstations
and computer labs can be risky. Keylogging, which uses a shadowing device to
record keystrokes, allows cyber criminals to steal passwords and gain access to
software and other personal information. And, working at a communal workstation
may expose you to infected files or software.
If you need to use a communal computer, you should avoid inputting any sensitive information, or visiting any sites that seem suspicious. Use communal computers for things like essay writing or research , and your personal laptop for things like online banking or checking your emails.
Make sure that you verify any emails coming from what appears to be a trusted
source if they are asking you to reply with sensitive information, such as
passwords or user names. Whether you receive an email that appears to be from
campus or from an online service you’re using like EssaysWriting.org, if you’re
asked to provide anything sensitive, it’s always better to be safe than sorry.
Finally, theft is one
of the most common types of crime on college campuses. You can never be too
careful; don’t leave your bags in the library when you get up to use the
bathroom, or leave your dorm room unlocked when visiting a friend down the
hall. It only takes a couple of seconds for a thief to take your devices – and
the information on them.
Be vigilant and make
sure to:
Hopefully these tips
will help you to stay safe on campus!
dump shop buying cvv
From SIMjacking to Bad Decisions cvv dump, credit card dumps
cvv dump credit card dumps
RedCurl APT Uses Spear Phishing to Conduct Corporate Espionage dumps with pin, cc buy
Here, have a cookie! See our Privacy Policy to learn more.
A previously unobserved APT group called “RedCurl” has been launching cyber espionage campaigns against organizations around the world since at least 2018, according to researchers at Group-IB. The researchers say the group has launched at least 26 attacks against 14 organizations located in Canada, Germany, Norway, Russia, Ukraine, and the United Kingdom. Based on RedCurl’s seemingly arbitrary targeting pattern and the type of material it steals, the researchers suspect that the group consists of hackers-for-hire conducting corporate espionage for clients.
“[RedCurl] has conducted 26 targeted attacks on commercial organizations alone, including companies in the fields of construction, finance, consulting, retail, banking, insurance, law, and travel,” the researchers write. “In all campaigns, RedCurl’s main goal was to steal confidential corporate documents such as contracts, financial documents, employee personal records, and records of legal actions and facility construction.”
RedCurl sends spear phishing emails posing as real employees to induce victims into downloading the group’s custom malware.
“As with all subsequent campaigns, the initial compromise vector was a well-written phishing email,” Group-IB says. “The group performed in-depth intelligence of the victim’s infrastructure: each email targeted a specific team rather than the organization as a whole. Most often, the attackers posed as HR staff at the targeted organization and sent emails to multiple employees in the same department, which made the victims less vigilant. For example, the employees would receive the same email about annual bonuses. The spear-phishing email content was always carefully drafted. For instance, the emails displayed the targeted company’s address and logo, while the sender address featured the company’s domain name.”
The links in the emails led to malware downloads hosted on legitimate cloud services so users wouldn’t suspect that the links were malicious. Once the malware was installed, its operators would begin exfiltrating data from the infected system. The malware also replaces files on network drives with tampered shortcut files so that whenever one of the files is opened, the malware’s dropper is launched in the background. This enables the malware to spread to other hosts on the network.
Rustam Mirkasymov, the head of Group-IB’s Malware Dynamic Analysis Team, pointed out that corporate espionage is an extremely costly problem.
“As an element of unfair competition, corporate espionage is a relatively rare phenomenon in the APT world,” Mirkasymov said. “For RedCurl, it makes no difference whether to attack a Russian bank or a consulting company in Canada. Such groups focus on corporate espionage and employ various techniques to cover their activity, including the use of legitimate tools that are difficult to detect. The contents of the victim’s documents and records can be much more valuable than the contents of their own wallets. Despite the lack of direct financial damage, which is typical of financially motivated cybercriminal groups, the consequences of espionage can amount to tens of millions of dollars.”
New-school security awareness training can enable your employees to recognize and report any suspicious emails. In this case, the attackers sent the same spear phishing emails to multiple employees within the same department, and only one of them had to click the link for the attack to succeed.
Group-IB has the story .
Would your users fall for convincing phishing attacks? Take the first step now and find out before bad actors do. Plus, see how you stack up against your peers with phishing Industry Benchmarks. The Phish-prone percentage is usually higher than you expect and is great ammo to get budget.
dumps with pin cc buy