МТС и Group-IB будут сотрудничать в сфере кибербезопасности

МТС и Group-IB будут сотрудничать в сфере кибербезопасности

МТС и Group-IB будут сотрудничать в сфере кибербезопасности

МТС и компания Group-IB подписали соглашение о сотрудничестве в области предотвращения компьютерных преступлений и расследования инцидентов, а также защиты МТС и ее клиентов в интернете. Конечной целью совместных проектов компаний является повышение общего уровня информационной безопасности в России.

В рамках соглашения МТС и Group-IB будут обмениваться данными в сфере киберугроз, предоставлять друг другу организационную и методологическую поддержку, оказывать содействие техническими, финансовыми и кадровыми ресурсами. В частности, МТС предоставит доступ к базе знаний своего центра информационной безопасности (Security Operations Center, SOC), созданного для оказания услуг сторонним заказчикам, а Group-IB обеспечит его экспертную поддержку. Кроме того, Group-IB предоставит МТС услуги по предотвращению и расследованию инцидентов с использованием своих аппаратно-программных решений и сервисов. 

«МТС постепенно превращается в ИТ-компанию. Мы уже вышли на рынок системной интеграции и в этом году начнем оказывать компаниям и организациям услуги по противодействию киберугрозам на базе своего собственного SOC. Его наличие позволяет МТС получить преимущество не только за счет повышения безопасности компании и её клиентов, но и за счет предоставления услуг нового типа. Сотрудничество с Group-IB усилит наши компетенции в сфере ИТ-безопасности, сделает наших абонентов и клиентов более защищенными. В свою очередь наши партнеры, пользуясь нашим SOC в рамках соглашения, могут нарастить свой потенциал. Так совместными усилиями мы вносим вклад в борьбу с киберпреступностью в России», - отметил вице-президент по корпоративной безопасности и режиму МТС Иван Гайченя.

«Количество киберинцидентов в России постоянно растет. По нашим оценкам, в 2016 году объем российского рынка киберпреступности превысил 5,5 млрд рублей, увеличившись за год на 44%. Сотрудничество позволит компаниям повысить общий уровень кибербезопасности и эффективность борьбы с преступлениями, совершенными с использованием высоких технологий. Group-IB обладает уникальным опытом, и этот опыт мы успешно используем для создания решений по раннему обнаружению и предотвращению актуальных угроз для различных типов бизнеса. Сотрудничество с МТС позволит клиентам компании оперативно получать релевантные данные нашей системы Threat Intelligence и услуги, защищающие как от распространенных, так и от ранее неизвестных вредоносных программ и действий группировок киберпреступников. Кроме того, мы будем защищать бренд оператора и его клиентов в интернете», - сказал генеральный директор Group-IB Илья Сачков.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru