PT NAD 11.1 научился выявлять ещё шесть вредоносных активностей

Екатерина Быстрова 04 Июля 2023 - 20:14

Малый и средний бизнес

Корпорации

Positive Technologies

PT Network Attack Discovery

Сетевая безопасность

Системы анализа трафика (NTA)

...

PT NAD 11.1 научился выявлять ещё шесть вредоносных активностей

Positive Technologies выпустила новую версию системы PT Network Attack Discovery (PT NAD) под номером PT NAD 11.1. Разработчики добавили новые статистические и поведенческие модули, которые позволяют обнаруживать ранее неизвестные ICMP-туннели, аномалии в SMB-трафике, а также работы хакерских инструментов Cobalt Strike и Brute Ratel С4.

Помимо этого, специалисты добавили модуль, который подтверждает успешное использование уязвимостей на узлах.

Основной акцент в новом релизе был сделан на точном обнаружении атак при помощи поведенческого анализа трафика. Команда разработчиков PT NAD внедрила сложные алгоритмы, основанные на профилировании каждого устройства в сети, сборе данных и поиске отклонений, помимо традиционных сигнатурных методов. Это позволяет обнаруживать угрозы и аномалии с большей точностью, а также дает возможность настраивать продукт под конкретную инфраструктуру каждой компании.

PT NAD 11.1 способен обнаруживать скрытые каналы передачи данных через ICMP-туннели, которые используются злоумышленниками для поддержки связи со взломанной инфраструктурой. Также система определяет шифрованный протокол SMB и появление новых SMB-пайпов в трафике, которые используются киберпреступниками для обхода обнаружения.

Специалисты Positive Technologies разработали статистические модули, которые обнаруживают работу фреймворков Cobalt Strike и Brute Ratel C4, широко используемых в целевых атаках. Фреймворки позволяют атакующим взаимодействовать со скомпрометированными узлами и продвигаться внутри инфраструктуры. Новый модуль PT NAD также позволяет обнаруживать успешные попытки эксплуатации уязвимостей на узлах.

В новой версии PT NAD улучшен механизм исключений из ленты активностей, что позволяет операторам быстро удалять типичные для их инфраструктуры срабатывания и уменьшить количество ложноположительных срабатываний. Также были добавлены другие нововведения, включая возможность создания общих фильтров, проверки корректности захвата и обработки трафика, а также инженерные и UX-улучшения. Мастер настройки в новой версии помогает быстрее установить основные параметры работы PT NAD и упрощает развертывание продукта.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Татьяна Никитина 11 Февраля 2026 - 21:02

Фишинг Мошенничество Онлайн-мошенничество Домашние пользователи Лаборатория Касперского

Мошенники угоняют аккаунты Telegram с помощью встроенных приложений

Специалисты «Лаборатории Касперского» выявили новую схему массового угона телеграм-аккаунтов. Авторы атак используют встроенные в мессенджер вредоносные приложения, собирающие коды аутентификации на вход с нового устройства.

Мошеннические сообщения-приманки, как правило, распространяются в многолюдных группах. Получателей извещают о переносе чата из-за потери доступа к админ-аккаунту.

Ложное уведомление содержит ссылку «Перейти в новосозданный чат». При ее активации открывается окно встроенной телеграм-проги с полем для ввода пятизначного кода.

Если пользователь выполнит это действие, в его аккаунт будет добавлено устройство злоумышленников, и они смогут продолжить провокационные рассылки — уже от имени жертвы.

Эксперты не преминули отметить, что обманом полученный доступ к учетной записи Telegram будет вначале ограниченным: мошенники сразу не смогут изучить всю переписку жертвы и заблокировать его устройства. Эти возможности появятся позже, как и блокировка законного владельца аккаунта.

Характерной особенностью данной схемы является иллюзия легитимности: фишинговые ресурсы не используются, мошенническая ссылка привязана к Telegram и ведет в приложение в этом мессенджере. Известие о пересоздании чата тоже вряд ли вызовет подозрения из-за участившихся взломов.

По данным Kaspersky, вредоносные приложения, нацеленные на сбор кодов верификации, объявились в Telegram в конце прошлой недели. Если жертва будет действовать быстро, она сможет вернуть контроль над учётной записью через настройки мессенджера (=> «Конфиденциальность» => «Активные сессии» => «Завершить все другие сеансы»).

«Аккаунты в популярных мессенджерах остаются лакомым куском для злоумышленников, — комментирует Сергей Голованов, главный эксперт ИБ-компании. — Мы напоминаем о необходимости быть крайне внимательными, не переходить по подозрительным ссылкам и ни при каких условиях нигде не вводить код аутентификации, полученный от Telegram, а также устанавливать на все используемые устройства надёжные защитные решения».

Отметим, похожую схему угона телеграм-аккаунтов, тоже с использованием легитимной функциональности мессенджера и социальной инженерии, недавно обнародовала CYFIRMA. Выявленный метод тоже не предполагает взлома, обхода шифрования либо эксплойта уязвимостей; умело спровоцированный юзер сам выдает разрешение на доступ к его учетной записи.

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »