Обнаружен очередной массовый взлом сайтов

Обнаружен очередной массовый взлом сайтов

Обнаружен очередной массовый взлом сайтов

ИТ-компания SafeScan сообщила об обнаружении факта массового взлома более 2000 сайтов. Из тысяч легитимных сайтов киберпреступники сделали источники распространения различного вредоносного программного обеспечения.



По словам Мери Ландесман, старшего специалиста по безопасности SafeScan, в отличие от предыдущих массовых атак на сайты, проведенных при помощи злонамеренного кода Gumblar, в текущем раунде атак эксплоит для взлома размещался прямо на сервере, который обслуживает конкретный сайт. Любопытно, что в каждом конкретном случае взлома вредоносный файл размещался под уникальным именем, которое в большинстве случаев походило на какой-либо реально существующий файл на веб-сервере. Данный трюк существенно затруднял факт обнаружения взлома.

"После взлома на серверах размещался ядовитый коктейль из вредоносных кодов. Мы не исключаем, что злоумышленники продолжат совершенствовать методы атак при помощи Gumblar, для дальнейшего затруднения обнаружения", - говорит Ландесман.

По ее словам, ранее Gumblar уже заразил несколько тысяч сайтов, которые после взлома выполняли роль редиректоров на хакерские ресурсы. Теперь злоумышленники начали размещать вредоносные коды прямо на сервере, дабы ускорить процесс заражения компьютеров пользователей.

"Большинство взламываемых сайтов - это проекты малого бизнеса, которые не слишком утруждаются обеспечением должной безопасности своих ресурсов", - говорит она.

В нынешней версии атаки людям, которым не повезло посетить данные сайты, не видят чего-либо необычного. Однако на заднем фоне при подключении активируется PHP-файл, проверяющий версии Adobe Flash или Adobe Reader на компьютере. Если обнаруживается уязвимая версия данного софта, то программа пытается взломать ее при помощи известных эксплоитов. В дальнейшем взломанный ПК превращается в бекдор.

Источник

Solar SIEM получил правила Solar JSOC, TI Feeds и расширенного ИИ-агента

ГК «Солар» выпустила Solar SIEM 2026.2. Главное изменение — в продукт добавили полную библиотеку правил детектирования Solar JSOC, сформированную за 14 лет мониторинга и расследования инцидентов в инфраструктурах примерно 300 заказчиков.

Идея проста: компаниям больше не нужно месяцами собирать собственную базу правил под конкретную инфраструктуру. Готовые сценарии должны помочь обнаруживать сложные атаки уже на первых этапах внедрения системы.

По данным Solar JSOC, в 2025 году центр зафиксировал 1,16 млн событий информационной безопасности после фильтрации ложных срабатываний. Заказчики подтвердили более 33 тыс. инцидентов. Чаще всего встречались вредоносное ПО — 36% случаев — и попытки несанкционированного доступа — 23%.

В обновлении также появилась поддержка TI Feeds. Solar SIEM может загружать индикаторы компрометации из базы Solar 4RAYS и сторонних источников клиента, а затем автоматически сопоставлять их с событиями в инфраструктуре.

Расширили и возможности ИИ-агента. Раньше он анализировал только информацию из карточки инцидента, теперь может самостоятельно обращаться к исходным данным, изучать их и предлагать дальнейшие действия. Это должно ускорить первичный разбор и снять часть рутины с аналитиков.

Ещё одно нововведение — мультитенантность. Несколько организаций можно подключить к одной инсталляции SIEM, разделив их потоки событий. Такой вариант рассчитан прежде всего на холдинги, MSSP-провайдеров и структуры с большим количеством подразделений.

В пилотировании новой версии приняли участие более 40 компаний разного масштаба. По сути, Solar SIEM пытается сместить акцент с бесконечной ручной настройки на готовую базу знаний, которую можно использовать без собственного огромного SOC и армии аналитиков.

RSS: Новости на портале Anti-Malware.ru