Positive Technologies (@Positive_Technologies) — Telegram-канал | Telegram Dialogs
Все каналы
Positive Technologies

Positive Technologies

@Positive_Technologies

28.4K подписчиков технологии 💬 Комментарии открыты

Уже более 20 лет наша основная задача — предотвращать хакерские атаки до того, как они причинят неприемлемый ущерб бизнесу и целым странам. Регистрация в перечне РКН: https://knd.gov.ru/license?id=673b47eab7aeb106ceff4f97&registryType=bloggersPermission

Последние публикации

Positive Technologies
17.07.2026 15:43 · 👁 1.4K
Финал ЧМ-2026 уже близко Пока весь мир обсуждает, кто заберет кубок — Аргентина или Испания, специалисты по кибербезу играют свой матч. Он не ограничен 90 минутами, а ставки в нем тоже высокие — на кону безопасность компании. В футболе есть не только красивые голы, но и фолы, и спорные эпизоды. В кибербезе вместо них — уязвимости. Пока инфраструктура небольшая, их еще можно отслеживать вручную. Но когда сервисов становятся сотни, а CVE — тысячи, начинается настоящий чемпионат мира для команды защиты: понять, где действительно опасный момент, все сложнее. Для таких ситуаций в футболе есть Video Assistant Referee (VAR). А в кибербезе уже давно есть свой VAR (Vulnerability Assistant Referee) — и это MaxPatrol VM 😉 Он сканирует инфраструктуру, учитывает важность активов и помогает быстро расставить приоритеты. Вместо списка CVE — понятная картина: где уже пора показывать красную карточку, где достаточно желтой, а где нарушений нет. На картинках выше показываем, какие уязвимости тянут на красную, а какие — на желтую карточку 🟥 Красные — трендовые уязвимости. Они уже эксплуатируются злоумышленниками или имеют высокий риск эксплуатации. Здесь нужна немедленная реакция: изменить настройки, отключить сервис или ускорить установку патча. Следить за списком таких уязвимостей почти в прямом эфире можно на нашем сайте. 🟨 Желтые — уязвимости критической и высокой степени опасности. Не каждая из них приведет к последствиям, но если она находится на важном активе, игнорировать ее нельзя. Как и футбольный VAR, MaxPatrol VM помогает разобраться с действительно опасным моментом — до того, как он решит исход матча кибератаки. #MaxPatrolVM @Positive_Technoloiges
Positive Technologies
16.07.2026 20:08 · 👁 4.5K
⚡Атаки через ViPNet MFTP: что известно Специалисты экспертного центра безопасности Positive Technologies (PT ESC) зафиксировали признаки реализации злоумышленниками атаки через штатную функциональность службы ViPNet MFTP (уязвимость PT-2026-19). По данным на момент публикации, активность наблюдается с 1 июня по 14 июля этого года. Под ударом оказались как минимум 8 организаций. Эксплуатация уязвимости возможна при условии предварительной компрометации узла ViPNet Administrator в доверенной сети. Злоумышленник рассылает специально сформированный файл-конверт, имитирующий легитимное обновление ПО, с вредоносной нагрузкой, эксплуатирующей технику обработки относительных путей. Разобрали, какие инструменты использовали злоумышленники и как защититься — все детали уже в канале ESCalator и материале на нашем сайте. Что важно знать: 🔹 MaxPatrol SIEM и MaxPatrol EDR обнаруживают попытки эксплуатации уязвимости в ViPNet с помощью правила DLL_Side_Loading (подробности — здесь). 🔹 MaxPatrol VM обнаруживает данную уязвимость и дает рекомендации по ее оперативному закрытию. Чтобы защититься: 1️⃣ Обновите ViPNet Client до версии 4.5.3 сборки 65211 и выше или до версии 4.5.5 сборки 24733 (будет доступна в ближайшее время), а также ViPNet Administrator до версии 4.6.11.5113 и выше. 2️⃣ Если обновление пока невозможно — воспользуйтесь рекомендациями из публикации PT ESC. 3️⃣ При подозрении на инцидент — пишите нам, поможем с расследованием. @Positive_Technologies
Positive Technologies
16.07.2026 07:30 · 👁 3.6K
В PT ISIM 6 появилась технология безагентного сбора событий безопасности в технологическом сегменте В кибербезе есть важные события. И это как раз одно из них — собрали про него пост 😎 Чтобы находить угрозы в технологических сетях, PT ISIM анализирует сетевой трафик и выявляет подозрительную активность. А когда нужно заглянуть глубже — на уровень отдельных узлов, — помогают агенты. Нет, это не ребята из «Матрицы», которые следят за порядком (хотя сходство есть). В кибербезе агенты — это цифровые разведчики: небольшие программы, которые устанавливают на устройства, чтобы они собирали события безопасности и передавали их в средство защиты для дальнейшего анализа. Но даже разведчика не всегда можно отправить на задание: оборудование может быть слишком старым, установить дополнительное ПО — невозможно, а внутренние правила предприятия вообще могут запрещать это делать. При этом события безопасности все равно собирать нужно. А для объектов критической инфраструктуры это еще и обязательное требование. 🏭 Поэтому в шестой версии PT ISIM появились технологии класса SIEM — они расширили возможности системы по сбору и анализу данных о технологической сети. Что изменилось: ▶️ Теперь PT ISIM умеет собирать события из журналов Windows (WinEvent Log) и по протоколу Syslog. В дальнейшем список источников будет расширяться. ▶️ За счет этого система может мониторить события безопасности на серверах инфраструктуры и АСУ ТП, операторских и инженерных рабочих станциях, а также на сетевом оборудовании — включая устаревшее. ▶️ За поиск подозрительной активности отвечает встроенная база правил и индикаторов угроз промышленной кибербезопасности PT ISTI, которую развивает Центр промышленной экспертизы Positive Technologies. ▶️ Модуль сбора и анализа событий входит в состав PT ISIM Collector. Это позволяет отслеживать подозрительную активность в распределенных системах управления и изолированных сегментах инфраструктуры. ▶️ Мы обновили интерфейс поиска событий: добавили группировку и фильтрацию с помощью текстового языка запросов. Теперь находить признаки атак среди большого потока данных стало проще, а сохраненные настройки поиска можно использовать для регулярного мониторинга. ▶️ С новыми возможностями PT ISIM становится полноценным источником информации для корпоративных SIEM-систем и озер данных (Data Lake). В них поступает информация о событиях безопасности и активах, что позволяет специалистам по кибербезу централизованно контролировать защищенность промышленного объекта. Больше подробностей — в материале на нашем сайте. #PTISIM @Positive_Technologies
Positive Technologies
15.07.2026 13:10 · 👁 3.5K
Что будет, если разрешить белым хакерам В С Ё Кибербитва Standoff каждый раз выходит за рамки привычных форматов — мы создаем новые интересные активности для исследователей. В июне на Standoff 17 впервые появилась Endpoint Hack Zone: мы собрали в одном месте шесть команд атакующих и дали им задачу — найти способ обойти наше решение для защиты конечных устройств MaxPatrol Endpoint Security. И такого формата раньше не было в индустрии. Для участников было только одно правило: действуйте как угодно, никаких запретов. Во-первых, так гораздо интереснее самим исследователям. Во-вторых, нам было важно проверить защиту решения в условиях, максимально приближенных к реальным атакам, а не в формате «сюда не ходите, это не трогайте, а тут у нас вообще технический перерыв». Предоставление устойчивой и непробиваемой защиты для нас — приоритет номер один. Поэтому мы устроили максимально трушную проверку: дали исследователям те же возможности, что есть у настоящих атакующих, и посмотрели, что из этого получится. Результаты нас удивили — расскажем о них дальше. Что мы дали командам 😐 • Актуальную версию MaxPatrol Endpoint Security с новыми модулями — «АнтиШифровальщик» и «контроль устройств». Решение включает два продукта: MaxPatrol EDR — для защиты от сложных и целевых атак, и MaxPatrol EPP — для защиты от массовых угроз, который мы относительно недавно вывели на рынок. • Инфраструктуру из пяти виртуальных машин и одного физического устройства — ноутбука, к которому можно было подключить USB-накопитель. • Девять критических для нашего решения событий, которые команды должны были попытаться реализовать: 1. Шифрование данных 2. Повреждение резервной копии 3. Создание файла в защищенной директории агента 4. Принудительное завершение процесса агента 5. Внедрение кода в процесс агента 6. Удаленное отключение Linux-агента 7. Запуск вредоносного семпла malware.exe из папки C:\Users\Administrator\Desktop\ 8. Установка руткита в систему 9. Копирование файла с целевой системы на съемный USB-носитель У исследователей был доступ в интернет, они могли приходить со своими ноутбуками и инструментами, скачивать все необходимое — главное было успеть реализовать сценарии за 3,5 часа. Какие результаты мы получили 🧐 • Ни одной команде не удалось реализовать все критические события. Отметим, что именно с попыток отключить средства защиты устройств часто начинаются реальные атаки. • Некоторые критические события все же удалось реализовать: суммарно команды выполнили пять заложенных сценариев. При этом был важный нюанс: мы никак не вмешивались в работу исследователей. В реальной атаке такие действия были бы замечены и остановлены. • Все найденные векторы атак забрали в разработку — часть уже закрыта в текущей версии, а остальные исправления доставим в следующем минорном релизе в течение нескольких недель. Кроме того, исследователи использовали разные подходы и инструменты, а значит, наши эксперты получили более широкий взгляд на возможные сценарии атак. • И, конечно, мы получили крутой фидбэк: участники отметили, что раньше никто не проводил проверки в подобном формате, а сам подход оказался действительно интересным. Теперь команды хотят протестировать в таком формате и другие наши продукты. 😎 В общем, подобных проверок мы не боимся — для нас важнее уверенность в том, что наши продукты действительно непробиваемы. Мы открыты к новым форматам тестирования и готовы делать то, на что другие не решаются. Скоро опубликуем технический разбор: что именно удалось реализовать белым хакерам и как они это сделали — stay tuned. #MaxPatrolEndpointSecurity @Positive_Technologies
Positive Technologies
14.07.2026 14:03 · 👁 3.2K
ИИ может создать вредоносный клон Android-приложения всего за рубль Что? Да. И даже дешевле. Наши эксперты взяли 90 приложений из разных категорий — еда, образование, финансы и другие — и с помощью семи ИИ-моделей проверили, насколько такие приложения устойчивы к появлению измененных версий, которые внешне могут напоминать оригинал. Проще говоря, к созданию рабочих клонов, внутри которых потенциально могло бы скрываться что-то опасное. Цель эксперимента — понять, сколько времени и денег потребуется не самому опытному злоумышленнику, чтобы провернуть такой сценарий. Дисклеймер: все проводилось в лабораторных условиях, а код изменялся на нейтральный. Не повторяйте эти трюки дома — эксперимент проходил под наблюдением профессионалов и юристов 😏 Ну что же, к результатам: 1️⃣ Проприетарные нейросети (языковые модели, которые принадлежат конкретным компаниям) в среднем успешно справлялись с задачей в 84% попыток. Модели с открытыми весами (нейросети, чьи числовые параметры выложены в открытый доступ) — в 61% случаев. Попытка считалась успешной, если после работы LLM был получен собранный APK-файл, приложение запускалось в тестовом окружении, а в логах появлялась заранее заданная строка. 2️⃣ В контролируемой среде модели проходили проверочный сценарий в среднем за 14 итераций взаимодействия. 3️⃣ Среднее время выполнения задачи составило от 5 минут 38 секунд до 9 минут 9 секунд (в зависимости от модели). 4️⃣ Стоимость одного успешного результата в эксперименте составила от 0,88 до 40,89 рубля. То есть всего за несколько тысяч рублей злоумышленник потенциально может провести попытки модификации сотен популярных Android-приложений. В чем опасность 😱 В реальности такой сценарий может нести риски для компаний, которые развивают мобильные сервисы, но не используют достаточную защиту кода. Модифицированный APK-файл может распространяться под видом оригинального приложения — через неофициальные магазины, тематические сайты, мессенджеры или как «улучшенная» версия с дополнительными функциями. Риск особенно высок, когда приложение недоступно в официальном магазине или пользователи сами ищут альтернативные сборки (знакомо, да?). Что делать 🥰 • Если вы компания (здратути) — проверьте, насколько ваши мобильные приложения устойчивы к анализу, изменению клиентского кода и созданию клонов. Для таких задач мы развиваем PT Maze — сервис защиты мобильных приложений от реверс-инжиниринга. Шансы пробить такую защиту в автономном режиме для ИИ-агента стремятся к нулю. Ну а еще внедряйте AppSec в разработку — лучше устранить слабые места еще на этапе написания кода. Даже вайбкода. • Если вы юзер — будьте внимательны к тому, какой APK вы скачиваете. Откуда. И зачем. ➡️ Полную версию увлекательного исследования со скриншотами и частичками промптов — ищите на нашем сайте. #PTMaze @Positive_Technologies
Positive Technologies
14.07.2026 09:32 · 👁 3.2K
👁 Чтобы увидеть то, что скрыто, не нужно быть супергероем Паучье чутье не обнаружит атаку в зашифрованном трафике, а вероятности будущего не подскажут, какие легитимные инструменты злоумышленники используют для маскировки. Зато в этом отлично помогут дополнительные возможности и встроенные механизмы защиты PT NGFW, которые мы обсудим на вебинаре 16 июля в 11:00. На примерах реальных атак вы узнаете, какие технологии обнаруживают угрозы до того, как те приведут к последствиям для бизнеса, и как именно они это делают. Пять причин прийти на вебинар: 1️⃣ Расскажем, какие сценарии закрывает тандем PT NGFW и PT Sandbox, и как они помогают выявлять сложные и неизвестные угрозы. 2️⃣ Покажем, как устроен профиль предклассификации IPS (и что это вообще такое), а также научим пользоваться встроенными в него механизмами защиты. 3️⃣ На примере механизма, который применяют реальные киберпреступники, продемонстрируем методы обнаружения атак в TLS без расшифровки данных. 4️⃣ Обсудим результаты тестирования IXIA Coverage 2025–2026 и покрытие современных атак. 5️⃣ Никакой сухой теории и максимум практических знаний, пользу которых вы сможете проверить, запустив свой PT NGFW прямо во время вебинара. Регистрируйтесь заранее и поставьте себе напоминание, чтобы ничего не пропустить. #PTNGFW @Positive_Technologies
Positive Technologies
13.07.2026 13:09 · 👁 3.1K
CloudAtlas: новая волна кибератак на организации в России и Ираке с использованием цепочек легитимных веб-ресурсов В мае 2026 года департамент Threat Intelligence экспертного центра безопасности Positive Technologies выявил новую кампанию APT-группировки CloudAtlas. Под удар попали российские организации энергетического, оборонно-промышленного и транспортного секторов, преимущественно расположенные на территории Крымского полуострова. 📄 Группировка использовала документы Microsoft Office, вредоносные шаблоны которых загружались со скомпрометированных легитимных ресурсов в национальных доменных зонах Бразилии, Аргентины и Индонезии. Об использовании данной техники группа киберразведки PT ESC сообщала ранее в исследовании связи группировки CloudAtlas с брокером первоначального доступа Mustard Tempest. Открытие документов приводило к запуску многоступенчатой цепочки HTA- и VBS-компонентов, извлекавших закодированный VBS-код лоадера из JFM-файла. На финальном этапе разворачивались загрузчики VBShower и PowerCloud, использующие Google Sheets в качестве канала связи с C2. Отдельный VBS-скрипт очищал следы компрометации. 🚂🚃👾🚃🚃 Ключевым новшеством кампании стало использование цепочек из легитимных ресурсов, выступавших транспортным слоем для доставки полезной нагрузки. Вместо прямых HTTP-запросов к скомпрометированным веб-ресурсам группировка использовала oEmbed-запросы для доставки полезной нагрузки через промежуточные легитимные WordPress-сайты с открытыми API-эндпоинтами. Данная техника позволила маскировать сетевые соединения под легитимный трафик и усложнить сигнатурное детектирование. [LEGITIMATE_DOMAIN]/?wp-json/oembed/1.0/embed/url=[COMPROMISED_DOMAIN_URL] Для эксфильтрации сведений о пользователе и домене скомпрометированного хоста группировка использовала HTTP-заголовок User-Agent в сетевых соединениях с C2. Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 ([USERDOMAIN], like [USERNAME]) Chrome/141.0.0.0 Safari/537.36 Edg/141.0.3405.86 Еще одной особенностью кампании стала ее географическая направленность: часть использованных документов по внешним признакам предназначена для аудитории из Ирака, что является нетипичной географией кибератак для группировки CloudAtlas. 👉 Подробнее — в исследовании на нашем сайте и в блоге на Хабре. #TI #APT #CloudAtlas @Positive_Technologies
Positive Technologies
12.07.2026 10:34 · 👁 4.1K
👽 Разработчики — одна из самых выгодных целей для злоумышленников (сразу после сотрудников, любящих пароли 1234 и переходящих по всем ссылкам в письмах). Удивляться тут нечему, ведь именно у разработчиков есть доступ ко многим внутренним инструментам (например, GitLab, тестовым и продуктовым средам, артефакториям), кодовой базе компании, непубличной проектной документации и другим ресурсам, ценным для киберпреступников. Кроме того, их учетками очень удобно прикрываться при атаке. Потому что бухгалтер или маркетолог вряд ли будет экспериментировать с новыми библиотеками и инструментами или запускать сторонний код, а разработчик — запросто! ☺️ Чтобы уменьшить риски, Станислав Раковский, руководитель группы Supply Chain Security департамента киберразведки PT ESC, написал статью о кибергигиене для тех, кто кодит и тестит. Ее уже можно прочитать на сайте Positive Research. В ней — все шокирующие подробности: портреты потенциальных злоумышленников, их инструменты, цели, точки входа, типы атак и методы маскировки. А также самое главное — технические и организационные способы защиты: от карантина и управления доступами до обычной внимательности. Читайте и мойте руки перед едой не забывайте о кибергигиене. #PositiveЭксперты #PositiveResearch @Positive_Technologies
Positive Technologies
10.07.2026 12:27 · 👁 4.3K
😎 Как наши эксперты спасли слона Это не кликбейт и не выдумка. Слон по имени ElePHPant вот уже больше 25 лет является неофициальным символом PHP — одного из популярных мировых языков программирования. Именно в нем нашли и помогли устранить две опасных уязвимости эксперты PT SWARM Алексей Соловьев и Никита Свешников. Если посчитать, PHP и правда тот еще слоняра, — держит на своих плечах 5,2 млн проектов на GitHub, архитектуру многих известных маркетплейсов, популярную у ретейлеров e-сommerce-платформу Magento 2, а еще — CMS-системы WordPress и Drupal, на которых работает большинство сайтов в глобальной сети. Только в России таких ресурсов больше 1,8 млн, и каждый из них оказался под угрозой. Что произошло Разве можно взломать целый язык программирования? Оказалось, что да. Причем, такие уязвимости куда опаснее дефектов в отдельном продукте, ведь пострадать могли миллионы систем на основе PHP по всему миру — от публичных веб-ресурсов до внутренних автоматизированных скриптов и серверных утилит. Бреши обнаружены в расширении PDO (PHP Data Objects) и драйвере pdo_firebird — ключевом механизме, который отвечает за безопасное взаимодействие приложений с базами данных, в нашем случае — PostgreSQL и Firebird. По иронии судьбы, именно эти компоненты были созданы в том числе и для защиты от SQL-инъекций, но сами оказались уязвимыми. Учитывая, что PostgreSQL в 2025 году была самой распространенной СУБД в мире, возможный сбой потребовал бы не только времени и вложений на восстановление процессов, но и стал бы сильным ударом по репутации сервиса. Делимся подробностями 1️⃣ В первом случае нарушители могли бы зайти через недостаток безопасности PT-2026-39443 (CVE-2025-14179) в драйвере pdo_firebird, который нужен для подключения PHP к системе управления базами данных Firebird. Из-за недостаточно корректной обработки NUL-байта (\x00) на этапе подготовки запроса появлялась возможность внедрить произвольный SQL-код. В итоге атакующий получал возможность выполнять любые деструктивные операции с базой данных — от скрытого чтения конфиденциальных таблиц до их модификации или полного удаления. Дальше, в зависимости от архитектуры системы, были возможны захват панели администратора, компрометация персональных данных и даже полный контроль над серверной инфраструктурой. 2️⃣ Используя уязвимость PT-2025-52599 (CVE-2025-14180), злоумышленники могли бы добиться завершения процесса PHP на уровне операционной системы. Брешь возникает при работе PHP с СУБД PostgreSQL в режиме эмуляции запросов. Один из примеров ее потенциальной эксплуатации — абстрактный интернет-магазин, в который разработчики забыли добавить поддержку транзакций при выполнении важных операций с СУБД. На любом из этапов мог произойти сбой и смерть процесса, которая привела бы к десинхронизации данных. Например, при заказе вместо нормального адреса доставки в текстовом поле передавались бы поврежденные символы. Сайт не смог бы нормально их обработать из-за поломки механизма PHP, а операционная система мгновенно завершила бы этот процесс. Что в итоге? Деньги списаны, а вот физически создать заказ, оформить накладные и отправить купленную вещь на склад и в доставку сервис из-за ошибки не успел бы. Финалом такой истории могли бы быть долгие разбирательства с заказчиками и пострадавшая репутация. К счастью, все это гипотетические вероятности, которые не случатся. Мы уведомили об опасности команду разработки PHP, которая уже выпустила обновления. Так что просто обновите версию языка до актуальной, чтобы устранить ошибки. #PositiveЭксперты @Positive_Technologies
Positive Technologies
08.07.2026 15:05 · 👁 5K
Быстрее. Проще. Точнее. MaxPatrol Carbon 26.2 Запустили новый релиз нашей интеллектуальной системы проактивного управления киберустойчивостью, которая моделирует пути атак, подсвечивает слабые места и помогает закрывать их еще до того, как туда дойдут руки злоумышленников. Цель проста: сделать атаку настолько дорогой и сложной, чтобы злоумышленникам было выгоднее просто закрыть ноут и пойти пить кофе. Что нового в версии 26.2: 🏎 В 20 раз быстрее считаем маршруты атак. Оптимизировали граф атак и алгоритмы расчета — теперь можно оперативно смотреть, как меняется защищенность, и анализировать большие и сложные инфраструктуры. 🥷 Покрытие MITRE ATT&CK выросло до 81%. Добавили еще больше техник и тактик: от банального подбора паролей до компрометации Active Directory через захват центра сертификации. Плюс система научилась моделировать компрометацию серверов управления конечными устройствами — сценариев стало больше, от самых простых до самых сложных. 😐 Упростили жизнь пользователям. Сделали быстрее и понятнее первичную настройку точек входа атакующих. Теперь не обязательно помнить синтаксис запросов — достаточно задать параметры в поиске и выбрать подходящий вариант из списка. 🖥 Обновили интерфейс и дашборды. Переписали страницу рекомендаций, чтобы проще расставлять приоритеты и закрывать источники угроз. Добавили дашборд «Инфраструктура» — единое окно, где видно потенциальную площадь атаки, качество аудита и полноту данных по активам. Подробности о новой версии — в материале на нашем сайте 💠 #MaxPatrolCarbon @Positive_Technologies
Чат поддержки
Ответим здесь же, обычно быстро
Здравствуйте! Напишите ваш вопрос — оператор ответит в этом чате.