КИБ СёрчИнформ усилен модулем проверки подлинности изображений

Александр Панасенко 08 Декабря 2016 - 10:52

Контур информационной безопасности СёрчИнформ

Системы защиты от утечек конфиденциальной информации (DLP)

...

КИБ СёрчИнформ усилен модулем проверки подлинности изображений

Компания «СёрчИнформ» интегрировала технологию экспертизы цифровых изображений Oz PhotoExpert в DLP-систему «КИБ Сёрчинформ». Новый модуль ImageControl в режиме реального времени проверяет изображения на подлинность по заданным условиям и предупреждает о том, что изображение было отредактировано.

Это первое подобное решение на российском рынке средств информационной безопасности. Подделка изображений входит в число наиболее распространенных способов мошенничества – сегодня с этим справится любой пользователь с помощью самого простого редактора. В то же время распознать внесенные изменения без специальных инструментов и знаний непросто. Чтобы в потоке данных оперативно выявлять изменения цифровых изображений, специалисты «СёрчИнформ» разработали модуль ImageControl, основанный на программном комплексе Oz PhotoExpert.

Программное решение Oz PhotoExpert при проверке подлинности цифрового изображения использует девять алгоритмов. Учитываются наиболее распространенные способы мошенничества: модуль ImageControl выявляет клонирование и перенос участков изображения, вставку фрагментов других изображений, добавление и удаление деталей на изображении, создание изображения паспортов с помощью специального ПО и другие действия злоумышленников. Проверка включает также анализ метаданных и выявление несоответствий в EXIF-полях. Результаты проверки предоставляются в удобной форме – в виде графических эскизов с указанием места подделки.

Модуль ImageControl в «КИБ Сёрчинформ» выявляет факты редактирования изображений и определяет характер изменений на двух уровнях: в режиме быстрого анализа и детальной экспертизы. Преимущество решения «СёрчИнформ» – комплексный анализ изображений. В случае быстрой экспертизы изображение анализируется базовыми алгоритмами. При детальном экспертном анализе подключаются все доступные алгоритмы проверки.

«Несмотря на возросший цифровой документооборот в компаниях, на российском рынке средств информационной безопасности до сих пор не было надежного инструмента, способного «на лету» детектировать подделку изображений. Благодаря сотрудничеству с Oz PhotoExpert мы получили рабочее антифрод-решение, которое успешно интегрировали в «КИБ СёрчИнформ» и усилили таким образом защиту от мошенничества», – отметил технический директор компании «СёрчИнформ» Иван Мершков.

«Функционал OZ PhotoExpert востребован банками, страховыми компаниями и другими организациями, активно использующими и внедряющими ЭДО. Мы рады, что сотрудничество с «СёрчИнформ» сделает наши технологии доступными еще большему количеству российских компаний», – прокомментировал новость генеральный директор Oz PhotoExpert Артем Герасимов.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Екатерина Быстрова 13 Февраля 2026 - 14:14

Бэкдоры Трояны Кибершпионаж Целевые атаки Таргетированные атаки Корпорации Государство Лаборатория Касперского

Head Mare атакует российские госструктуры новым бэкдором PhantomHeart

Хактивистская группировка Head Mare снова активизировалась. Аналитики Cyber Threat Intelligence «Лаборатории Касперского» в конце 2025 года зафиксировали новую волну целевых атак на российские госструктуры, строительные и промышленные компании. И судя по всему, инструментарий группы стал более продуманным и автоматизированным.

Главная находка — новый бэкдор PhantomHeart. Изначально он распространялся как DLL-библиотека, но позже злоумышленники переработали его в PowerShell-скрипт.

Это вписывается в стратегию Living-off-the-Land (LOTL), когда атакующие используют штатные инструменты Windows, чтобы не привлекать лишнего внимания. Чем меньше стороннего «зловреда» на диске, тем сложнее его обнаружить.

Вектор первоначального доступа остаётся прежним. Head Mare продолжает эксплуатировать уязвимость BDU:2025-10114 в TrueConf Server. В отдельных случаях используются и фишинговые рассылки. То есть проверенные способы проникновения сочетаются с обновлённой «начинкой» внутри сети.

PhantomHeart после запуска разворачивает SSH-туннель по команде с сервера управления. Это даёт операторам устойчивый удалённый доступ к системе. Параллельно бэкдор собирает базовую информацию: имя компьютера, домен, внешний IP и уникальный идентификатор.

Закрепление в системе тоже продумано: в одной из атак вредонос запускался через планировщик заданий под видом легитимного скрипта обновления в директории LiteManager — популярного инструмента удалённого администрирования. Фактически активность маскировалась под обычную работу ПО.

Кроме того, эксперты отмечают рост автоматизации. Head Mare добавила новые скрипты и утилиты для постэксплуатации. Они помогают автоматически закрепляться в системе, управлять привилегиями и организовывать сетевой доступ. Такой подход снижает «ручную» нагрузку на операторов и позволяет проводить больше атак с большей скоростью и повторяемостью.

Продукты «Лаборатории Касперского» детектируют используемые инструменты под различными вердиктами, включая HEUR:Trojan-Ransom.Win32., Backdoor.PowerShell.Agent.gen и Trojan.PowerShell.Agent..

Подробный технический разбор новой активности Head Mare опубликован на Securelist. Аналитики также отмечают, что тактики и процедуры этой группировки вписываются в более широкую картину угроз, описанную в отчёте «Записки цифрового ревизора: три кластера угроз в киберпространстве».

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »