Kaspersky и Security Vision объявили о совместимости своих продуктов

Kaspersky и Security Vision объявили о совместимости своих продуктов

Kaspersky и Security Vision объявили о совместимости своих продуктов

«Лаборатория Касперского» и Security Vision подтвердили совместимость SIEM-системы Kaspersky Unified Monitoring and Analysis Platform (KUMA) и автоматизированной платформы информационной безопасности Security Vision в ходе всестороннего тестирования.

Интеграция включает в себя два потока взаимодействия:

  • информация по IT-активам: Security Vision обогащает внутреннюю базу активов данными из KUMA;
  • информация по подозрениям на инцидент (алертам) и исходным событиям передаётся в рамках двунаправленной схемы взаимодействия.

Работая в связке, продукты дополняют функциональность друг друга: KUMA реализует мониторинг событий на предмет нарушений принятых политик безопасности, а Security Vision автоматизирует процесс расследования и реагирования на выявленные события ИБ. Результат интеграции будет наиболее востребован в компаниях с высоким уровнем зрелости процессов ИБ в рамках их Security Operation Center.

«Российские компании всё чаще сталкиваются с критичными киберинцидентами. Своевременно отразить атаку и минимизировать её последствия возможно при оперативной реакции на неё. По статистике Kaspersky Global Emergency Response Team, в 2021 году более половины инцидентов были выявлены только после наступления неблагоприятных последствий, и в 37% случаев потребовалось более месяца на восстановление бизнес-процессов. Существенно сократить время обнаружения и реагирования позволит автоматизация основных ИБ-функций. Для крупных же компаний, которые работают с большими объёмами данных из множества разных источников, автоматизация — это уже необходимость, — комментирует Дмитрий Стеценко, руководитель направления развития единой платформы кибербезопасности «Лаборатория Касперского». — KUMA — ядро нашей XDR-платформы, один из принципов которой — открытость внешним интеграциям. Взаимодействие с Security Vision IRP дополнит имеющиеся в KUMA коробочные интеграции и значительно расширит возможности наших заказчиков по автоматизации даже самых сложных и ресурсоёмких ИБ-процессов, позволяя, например, выстроить многоэтапные цепочки реагирования на инциденты».

«В современном мире очень важно своевременно и качественно реагировать на возникающие угрозы информационной безопасности, а в текущей геополитической ситуации это особенно актуально. Поэтому возрастает актуальность ИБ-решений от надёжных отечественных поставщиков. Применение комплекса решений KUMA и Security Vision позволит осуществлять непрерывный мониторинг и выявление потенциальных инцидентов кибербезопасности, а также выполнять автоматическое реагирование с целью минимизации их влияния и снижения потерь», — сказал Роман Овчинников, руководитель отдела исполнения Security Vision.

Kaspersky Unified Monitoring and Analysis Platform (KUMA) — решение класса SIEM (Security Information and Event Management), которое предназначено для централизованного сбора, анализа и корреляции ИБ-событий из различных источников данных для выявления потенциальных киберинцидентов и их своевременной нейтрализации. В основе системы лежит микросервисная архитектура, открывающая широкие возможности для гибкого масштабирования и быстрого обновления отдельных модулей. KUMA обладает высокой производительностью — более 300 тысяч событий в секунду (EPS) на один узел, и при этом относительно невысокими системными требованиями для её развертывания.

Security Vision — платформа автоматизации процессов информационной безопасности, мониторинга и реагирования на инциденты кибербезопасности, впервые позволяющая роботизировать исполнение программно-технических функций оператора с долей автоматизации до 95% за счёт:

  • создания элементов саморегулирующихся программных средств с использованием математических методов для высвобождения человека от участия в рутинных операциях и процессах получения, преобразования, передачи и использования информации;
  • использования алгоритмов и методов машинного обучения;
  • использования алгоритмов предиктивной аналитики больших данных и когнитивного поиска информации.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Найден Android-бэкдор в фейковом Telegram X: заражены 58 тысяч устройств

Специалисты «Доктор Веб» нашли опасный бэкдор Android.Backdoor.Baohuo.1.origin в модифицированных вариантах мессенджера Telegram X. Зловред распространяется в формате APK, обеспечивает полнофункциональный удалённый контроль над аккаунтом и умеет красть и модифицировать данные — от логинов и паролей до истории чатов.

Что умеет троян:

  • Скрывать от пользователя подключённые устройства в списке активных сеансов Telegram, чтобы компрометация не бросалась в глаза.
  • Добавлять и удалять пользователя из каналов, вступать в чаты от его имени и выходить из них — злоумышленники могут накручивать подписчиков и управлять активностью аккаунта.
  • Перехватывать содержимое буфера обмена, загружать СМС и контакты, вытаскивать историю сообщений и токены аутентификации.
  • Работать через классический C2 и — что необычно для Android — через базу данных Redis: злоумышленники публикуют команды в Redis, а бэкдор подхватывает их как второй канал управления.
  • Создавать прокси-сервисы на заражённых устройствах (NPS), загружать обновления трояна и показывать фишинговые окна прямо в интерфейсе мессенджера.

По оценкам «Доктор Веб», число заражённых устройств превысило 58 000, при этом аналитики фиксируют примерно 20 000 активных подключений одновременно. Под удар попали около 3 000 моделей устройств — это не только смартфоны и планшеты, но и ТВ-приставки, а иногда и автомобили с Android-бортовыми системами.

Распространяется бэкдор главным образом через рекламные баннеры в приложениях: жертве предлагают скачать «Telegram X» с сайта, где мессенджер подаётся как сервис для знакомств или видеочатов. Сайт выглядит как магазин приложений с фиктивными отзывами и кнопкой загрузки APK.

 

Авторы кампании готовят шаблоны на португальском (ориентир — Бразилия) и индонезийском — эти страны в приоритете, но атаки могут выйти и на другие регионы.

 

Кроме вредоносных сайтов, модификации были найдены и в сторонних каталогах приложений — APKPure, ApkSum, AndroidP — иногда даже под подписью настоящего разработчика, хотя цифровые подписи не совпадают с оригиналом. «Доктор Веб» уведомил площадки о проблеме.

Как встроен бэкдор

Обнаружены три основных подхода злоумышленников: встраивание бэкдора прямо в DEX-файл приложения, динамический патч через LSPatch и загрузка дополнительного DEX-файла из ресурсов. При запуске модифицированного Telegram X бэкдор инициализируется незаметно — для пользователя приложение выглядит обычным, но при этом злоумышленники получают полный контроль.

 

Для изменения поведения используют и фреймворк Xposed, и зеркала методов приложения, чтобы подсовывать фальшивые окна и перехватывать действия.

Какие команды выполняет троян

Список возможностей длинный: скрывать чаты, блокировать уведомления, показывать фишинговые сообщения, подписывать и отписывать от каналов, выгружать базы данных чатов, слать на сервер содержимое буфера обмена, присылать список установленных приложений и многое другое. Команды приходят и через C2, и через Redis — при этом реализована дублирующая логика, если один канал недоступен.

Что делать пользователям:

  • Не скачивайте APK с сомнительных сайтов и не переходите по рекламным баннерам с предложениями «удобных видеочатов».
  • Загружайте приложения только из официальных магазинов и проверяйте цифровые подписи.
  • Включите двухфакторную аутентификацию в Telegram и регулярно проверяйте список активных сеансов (Settings → Devices). Если видите неизвестные устройства — разлогиньтесь на них.
  • Не храните пароли и критичные фразы в буфере обмена, используйте менеджеры паролей.
  • Обновляйте ОС и приложения, ставьте официальные обновления безопасности; при сомнении — переустановите приложение из официального источника.
  • Рассмотрите установку мобильного антивируса и проверку устройства на наличие вредоносные программы.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru