Solar Dozor обзавелся облачным краулером

Solar Dozor обзавелся облачным краулером

Компания Solar Security представила Solar Dozor 6.6, новую версию системы контроля коммуникаций сотрудников, выявления ранних признаков корпоративного мошенничества и проведения расследований. Solar Dozor 6.6 контролирует действия привилегированных пользователей и защищает конфиденциальные данные в облаке.

Шаг за шагом реализуя стратегию по движению в облака, компания Solar Security встроила в новую версию Solar Dozor облачный краулер. Это специализированный инструмент, позволяющий офицеру безопасности сканировать облачные хранилища, которые используют сотрудники.

«В корпоративном сегменте широкое распространение получил Microsoft Office 365 – поэтому в первую очередь мы реализовали именно аудит OneDrive – в отношении как корпоративных, так и публичных облачных хранилищ. В будущем мы планируем масштабировать эту технологию и на другие облачные сервисы. Офицер безопасности должен иметь возможность контролировать информацию вне зависимости от того, где она хранится», – рассказал Василий Лукиных, менеджер по развитию бизнеса Solar Dozor компании Solar Security.

Кроме того, в новой версии возможности Solar Dozor существенно расширены за счет функций собственной безопасности DLP-системы. Проблема контроля привилегированных пользователей стоит достаточно остро: по данным недавнего исследования Solar JSOC, примерно в трети случаев виновниками внутренних инцидентов являются штатные администраторы компаний. Solar Dozor 6.6 предлагает бизнесу инструменты, позволяющие «контролировать контролёров», – это управление правами доступа и аудит действий пользователей DLP-системы.

Гибкая система управления правами доступа пользователей позволяет легко управлять учетными записями и ролями пользователей. Решение поддерживает гранулированное управление доступом, разграничивающее права на отдельные разделы интерфейса, объекты и функции системы.

Журнал действий пользователей Solar Dozor 6.6 содержит максимально детализированные записи о том, кто, когда и что делал в системе. С его помощью можно контролировать действия как конкретных ИБ-специалистов, так и всех пользователей DLP-системы. Если кто-либо попытается совершить недопустимые действия в системе, заинтересованным лицам немедленно будет отправлено уведомление об инциденте. Оперативное информирование и реакция на происшествие позволит владельцам бизнеса минимизировать возможный ущерб от нелегитимных действий сотрудников.

Как и каждое обновление Solar Dozor, версия 6.6 включает новые усовершенствования интерфейса. В данном случае речь идет о новой справочной системе. Теперь из любого окна DLP-системы пользователю доступна контекстная справка, содержащая всю информацию о разделе, в котором он находится. Справка оформлена в едином стиле Solar Dozor и поддерживает моментальный поиск нужной информации. Данные улучшения направлены на то, чтобы изучение функциональности системы проходило быстрее и проще, а работа с Solar Dozor не отнимала больше времени, чем это необходимо.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Программа-вымогатель Cuba заручилась поддержкой нового RAT-вредоноса

Операторы программы-вымогателя Cuba используют ранее не встречавшиеся экспертам техники, включая новую вредоносную программу, открывающую удалённый доступ к устройству жертвы (RAT). Троян получил имя “Tropical Scorpius“.

На интересную киберугрозу обратили внимание специалисты из подразделения Unit 42, принадлежащего Palo Alto Networks. Именно они и связали троян с операциями киберпреступников, стоящих за распространением Cuba.

Известно, что в первом квартале 2022 года программа-вымогатель Cuba получила небольшие, но весомые нововведения: обновлённый компонент шифровальщика, оснащённый дополнительными опциями, и quTox для связи с жертвами в режиме реального времени.

Тем не менее Tropical Scorpius ещё усилил операции киберпреступников, сделав их опаснее, а также продемонстрировал новую тактику злоумышленников.

Tropical Scorpius использует стандартный пейлоад Cuba, который остаётся преимущественно неизменным с 2019 года. Однако новизна заключается в том, что с июня 2022 года используется легитимный сертификат NVIDIA, украденный LAPSUS (стоит отметить, что сертификат не проходит валидацию).

С помощью упомянутого сертификата операторы Cuba подписывают драйвер уровня ядра, который выступает дроппером на начальном этапе заражения.

 

Задача драйвера — вычислить процессы антивирусных продуктов и завершить их, чтобы атакующие как можно дольше оставались в системе. Вот список процессов, на которые охотится дроппер:

 

Следующим шагом Tropical Scorpius задействует инструмент для локального повышения прав, который эксплуатирует уязвимость CVE-2022-24521 (была пропатчена в апреле). По словам специалистов Unit 42, киберпреступники использовали стратегию, похожую на то, что описывал Сергей Корниенко.

Далее Tropical Scorpius загружает инструменты ADFind и Net Scan для латерального передвижения по сети жертвы. На этом этапе в дело также вступает новая тулза, собирающая учётные данные Kerberos. Кроме того, злоумышленники начали использовать ZeroLogon для эксплуатации CVE-2020-1472.

В заключительной фазе Tropical Scorpius запускает троян “ROMCOM RAT“, ранее не встречавшийся экспертам. Он обеспечивает взаимодействие с командным сервером с помощью ICMP-запросов.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru