Компания Falcongaze выпустила очередное обновление системы SecureTower

Новая версия системы SecureTower 3.1 позволяет в полной мере реализовать обновленный системный подход к процессу внедрения DLP-решения в сеть компании с минимальными затратами и изменениями инфраструктуры. По новой логике, установка программ-агентов на компьютеры пользователей теперь вариативна и в полной мере использует интеграцию с Active Directory, а также возможность установки через групповые политики домена.

При этом система предоставляет информацию о способе установки агента и всю статистику по принятым от программ-агентов данным для каждого пользователя с сегментацией по протоколам.

Новая версия SecureTower 3.1 содержит самораспаковывающийся дистрибутив программы-агента с собственным графическим интерфейсом и возможностью установки на компьютеры пользователей вручную. Это позволяет контролировать рабочие станции не находящиеся, к примеру, в домене или в рабочей группе, а это чаще всего портативные переносные устройства (рабочие ноутбуки, нетбуки и т.д.).

В новой версии появилась возможность установки MSI-версии агента через групповые политики домена (GPO), а это максимально упрощает и ускоряет развертывание DLP-системы даже в сетях с разветвленной доменной структурой. Также это позволяет произвести предварительную инсталляцию и настройку программ-агентов на компьютеры пользователей, даже если система SecureTower еще не установлена. Необязательно ждать окончания установки и настройки серверных компонентов для последующей расстановки программ-агентов в корпоративной сети, а можно сделать эти процессы параллельными.

С выходом новой версии, система SecureTower перешла на принципиально новую платформу работы с программами-агентами. В рамках реализации был обновлен и усовершенствован протокол взаимодействия с серверными компонентами, снижена нагрузка на сеть, повышена устойчивость и надежность работы системы в целом, а также обеспечена поддержка корректной работы с Windows 8 и Windows 2012 Server.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Фейковый PoC устанавливает на машину ИБ-экспертов Cobalt Strike Beacon

На GitHub обнаружены два вредоносных файла, выдаваемых за PoC-эксплойты. Авторы находки из Cyble полагают, что это задел под очередную киберкампанию, мишенью которой являются участники ИБ-сообщества.

На хакерских форумах тоже обсуждают эти PoC к уязвимостям CVE-2022-26809 и CVE-2022-24500, которые Microsoft пропатчила в прошлом месяце. Как оказалось, оба репозитория GitHub принадлежат одному и тому же разработчику.

Проведенный в Cyble анализ показал, что расшаренные PoC на самом деле представляют собой вредоносный Net-банарник, упакованный с помощью ConfuserEX — обфускатора с открытым исходным кодом для приложений .Net. Зловред не содержит заявленного кода, но поддерживает эту легенду, выводя с помощью функции Sleep() поддельные сообщения, говорящие о попытке выполнения эксплойта.

Усыпив бдительность жертвы, вредонос запускает скрытую PowerShell-команду для доставки с удаленного сервера основной полезной нагрузки — маячка Cobalt Strike.

 

Этот бэкдор можно впоследствии использовать для загрузки дополнительных файлов в рамках атаки и для ее развития путем горизонтального перемещения по сети.

Похожая вредоносная кампания была зафиксирована полтора года назад. Злоумышленники вступали в контакт с баг-хантерами, пытаясь с помощью замаскированного IE-эксплойта 0-day и бэкдора добраться до информации об актуальных уязвимостях.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru