Это что за покемон?

Самым популярным методом проникновения злоумышленников в инфраструктуру остается эксплуатация уязвимостей на периметре. При этом большинство пробивов, обнаруженных PT NAD в 2024 г., были связаны с устаревшими версиями ПО.

• Чаще всего PT NAD обнаруживал уязвимости в модуле vote в CMS «1С-Битрикс» (CVE-2022-27228), а также аналогичную, но чуть более свежую уязвимость в html_editor_action.
• Активнее стали эксплуатироваться уязвимости в Atlassian Confluence: CVE-2023-22515, CVE-2023-22518, CVE-2023-22527.
• Несмотря на свой почтенный возраст, все еще остаются актуальными уязвимости 2021 г. — ProxyLogon и ProxyShell — в почтовых серверах Microsoft Exchange.

После того как атакующие попадают в сеть, они используют фреймворки постэксплуатации, инструменты туннелирования трафика и средства удаленного управления скомпрометированными узлами.

• Раньше в арсенале злоумышленников доминировали известные коммерческие фреймворки вроде Cobalt Strike и Brute Ratel C4. Теперь атакующие все чаще используют альтернативные открытые решения, например Sliver или Havoc. Отмечу, что местами бесплатные инструменты даже превосходят коммерческие по функциональности и гибкости настройки.
• Аналогичная ситуация наблюдается с решениями для туннелирования трафика. Вместо популярного сервиса ngrok, в бесплатной версии которого есть существенные ограничения, злоумышленники все чаще используют LocalToNet и Cloudflare Tunnel.