Специалисты направления исследования киберугроз ПМ зафиксировали новые модификации ВПО, связанные с APT-группировкой Core Werewolf
😀 😀 😀 😀
Атаки Core Werewolf, также известных как Awaken Likho и PseudoGamaredon, направлены на органы государственной власти, а также российские организации, связанные с оборонной промышленностью и критически важной информационной инфраструктурой.
❗️ Вектор атаки:
Обнаруженный вектор атаки схож с предыдущими кампаниями данной группировки. Так, в процессе получения первоначального доступа злоумышленники использовали вредоносное вложение в формате RAR-архива «
При запуске исполняемого файла выполняется распаковка во временную директорию следующих файлов:
🟠 decoy-файл «
🟠 исполняемый файл с функционалом WinRAR
🟠 RAR-архив
🟠 CMD-файл
После запуска
Далее
На данном этапе через
Кроме этого,
Финальным этапом вредоносной активности является взаимодействие зараженного хоста с С2-сервером злоумышленника через ранее запущенный образец
❗️ Индикаторы компрометации:
IP:
Domains:
SHA256:
❗️ В базах решающих правил AM Rules ПМ присутствуют детектирующие правила, позволяющие обнаружить не только конкретную описанную угрозу, но и предотвратить аналогичную активность злоумышленника в дальнейшем. Проверить собственные индикаторы компрометации на вредоносность можно с помощью AM TIP
#AM_Rules
Атаки Core Werewolf, также известных как Awaken Likho и PseudoGamaredon, направлены на органы государственной власти, а также российские организации, связанные с оборонной промышленностью и критически важной информационной инфраструктурой.
Обнаруженный вектор атаки схож с предыдущими кампаниями данной группировки. Так, в процессе получения первоначального доступа злоумышленники использовали вредоносное вложение в формате RAR-архива «
Методические рекомендации по ведению воинского учета в организациях.rar», внутри которого находился вредоносный файл-дроппер с таким же наименованием «Методические рекомендации по ведению воинского учета в организациях.exe». При запуске исполняемого файла выполняется распаковка во временную директорию следующих файлов:
Методические рекомендации по ведению воинского учета в организациях.pdf» (скриншот 1)selfterminating.exelipspreading.rargreenyellow.cmdПосле запуска
greenyellow.cmd, а также PDF-файла, с помощью вышеупомянутого selfterminating.exe выполняется распаковка lipspreading.rar, который содержит bat-файлы Syrohittite.bat и creativities.bat, а также исполняемый файл PnPHost.exe с функционалом UltraVNC (скриншот 2)Далее
greenyellow.cmd передает управление одному из bat-файлов %ComSpec% /c C:\Users\Public\Documents\Syrohittite.batНа данном этапе через
Syrohittite.bat в скрытом режиме запускается creativities.bat, а также создаются конфигурационные файлы morish.ini и ultravnc.ini (скриншот 3)Кроме этого,
Syrohittite.bat, используя PowerShell-команды, создает запланированную задачу для запуска creativities.bat через conhost.exe (скриншот 4). При этом данная задача выполняется каждые 6 минут с повторным стартом в течение каждого нового дня после создания. Функционалом creativities.bat является проверка доступности C2-сервера deshevorus[.]ru, а также запуск PnPHost.exe. Стоит заметить, что запуск выполнялся несколько раз, в одном из которых присутствовали опции автоматического восстановления соединение с С2 (скриншот 5)Финальным этапом вредоносной активности является взаимодействие зараженного хоста с С2-сервером злоумышленника через ранее запущенный образец
UltraVNCIP:
95.81.115[.]225
Domains:
deshevorus[.]ru
SHA256:
f802f04b9d835060bebfdacf235b219163c32321837a2d78f60ea20a2d816f29 (Методические рекомендации по ведению воинского учета в организациях.exe)
636b06d74f2622096fe0596a8bae3785f1fc425ed0e4ec74369b3a018e26dc55 (greenyellow.cmd)
5d779fe05087e40f3c1d3f6734acf912516bca02568565194fb09dfe6604e98e (creativities.bat)
5c9dbcc95baafa3e7e1806f2ec6e5ce8f6bff336e583bfac814d1bca60e36fcb (Syrohittite.bat)
f7d4080ad8259b0aac2504f8b5d8fab18e5124321c442c8bcb577598059d0b24 (PnPHost.exe)
602916f65d920ebef3f5d7bc8e1076e4848f3235242cd968f0659ff97daf0e8e (Методические рекомендации по ведению воинского учета в организациях.exe)
575ab600f7410362b91da0816e1190b6b0a42127fab796fccedee4fb318b291b (lipspreading.rar)
#AM_Rules
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥19❤8🤩5
Кража NFT-подарков в Telegram: механизмы, инструменты и рекомендации по защите
Последние обновления в мессенджере Telegram расширили пользовательские возможности, которые открыли новые двери для злоумышленников.
В приложении мессенджера появились новый функционал — открытый рынок подарков в Telegram, и на этом фоне тема NFT стала вновь популярна.
Сегодня разберемся с трендом на NFT-подарки: их довольно сложно получить из-за конкуренции с ботами, а потерять — проще простого.
Мы расскажем и покажем:
🟠 как мошенники могут забрать все NFT, даже без участия жертвы;
🟠 как они находят пользователей для осуществления схемы;
🟠 какие инструменты используют;
🟠 как уберечь свои уникальные цифровые продукты.
Читайте статью Артура Слепнева, старшего аналитика данных ПМ.
🔗 Читать статью
Последние обновления в мессенджере Telegram расширили пользовательские возможности, которые открыли новые двери для злоумышленников.
В приложении мессенджера появились новый функционал — открытый рынок подарков в Telegram, и на этом фоне тема NFT стала вновь популярна.
Сегодня разберемся с трендом на NFT-подарки: их довольно сложно получить из-за конкуренции с ботами, а потерять — проще простого.
Мы расскажем и покажем:
Читайте статью Артура Слепнева, старшего аналитика данных ПМ.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13❤10👏7
Ampire — лучшее автоматизированное решение управления рисками
Такой статус киберполигон Ampire получил в 2024 году по результатам ежегодного конкурса «Лучший риск-менеджмент в России», который проводит Ассоциация риск-менеджмента «Русское общество управления рисками» (РусРиск). За год киберполигон обновился с версии 1.4 до 1.7, значительно расширив возможности применения в образовательной сфере.
🥇 Сегодня в вузах работают 11 брендированных лабораторий Ampire.
🥇 Киберполигоном постоянно пользуются для образования, повышения квалификации и практических занятий 34 организации.
🥇 Всего проведено более 550 киберучений, в которых в целом приняли участие более 5 000 специалистов и студентов.
Такой статус киберполигон Ampire получил в 2024 году по результатам ежегодного конкурса «Лучший риск-менеджмент в России», который проводит Ассоциация риск-менеджмента «Русское общество управления рисками» (РусРиск). За год киберполигон обновился с версии 1.4 до 1.7, значительно расширив возможности применения в образовательной сфере.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9🔥3❤1
Forwarded from ИнфоТеКС Академия
В 2023 году в ТУСУРе открылась лаборатория «Учебный научно-производственный центр "Кибербезопасность критической информационной инфраструктуры"». Центр был создан в сотрудничестве университета и компании «ИнфоТеКС».
Лаборатория оснащена современным учебным и технологическим оборудованием, в том числе:
Занятия на базе центра интегрированы в образовательный процесс всех направлений и специальностей Факультета безопасности, включая магистерскую программу «Информационная безопасность объектов критической информационной инфраструктуры». Студенты изучают дисциплины, связанные с выявлением и анализом инцидентов, обеспечением непрерывности бизнеса, защитой информации в сетях и управлением средствами ИБ.
Помимо образовательной функции, лаборатория служит площадкой для реализации программ дополнительного профессионального образования, а также научно-практических задач. В их числе — моделирование угроз и атак, разработка методов защиты КИИ и технологий доверенного взаимодействия, позволяющих оценивать и поддерживать необходимый уровень доверия между участниками информационного обмена.
Подробнее
#лаборатории #тусур
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10❤3🎉1
За июль мошенники придумали новые схемы и адаптировали старые. Всё, чтобы выманить коды, пароли и доступы🔗 .
🟠 Тестирование тарифа — под видом оператора связи предлагают «премиум-услугу» и просят код из SMS с целью захвата аккаунта Госуслуг.
🟠 Фейковые сайты платных дорог — маскируются под МСД (Московский скоростной диаметр), требуют оплату «долга» и крадут данные банковских карт.
🟠 От имени «Золотого яблока» — присылают фейковые промокоды и просят перейти по фишинговой ссылке.
🟠 «Приёмная комиссия» — запугивают ошибками в документах и крадут доступ к Госуслугам.
🟠 «Вам отправили подарок» — под видом бота Telegram Premium просят логин и пароль и крадут аккаунт.
❗️ Наши рекомендации:
🟠 Используйте исключительно официальные сервисы.
🟠 Не переходите по подозрительным ссылкам, а также не скачивайте файлы, присланные неизвестными контактами.
🟠 При оформлении заказов и доставок с маркетплейсов не переводите общение в сторонние мессенджеры.
🟠 Не сообщайте никому из посторонних коды, полученные через пуш-уведомления или SMS.
#мониторинг_угроз
#мониторинг_угроз
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12👏7❤4
Мониторинг утечек данных за июль 2025 года
В июле зафиксировано более 30 инцидентов, затронувших государственные структуры, коммерческие компании, медицинские организации, образовательные учреждения и онлайн-платформы. Суммарный объём утечек превысил 13 млн записей и сотни гигабайт конфиденциальных данных, включая персональные сведения, медицинскую информацию, финансовые документы и учётные записи пользователей.
❗️ Основные пострадавшие сферы и объёмы утечек:
🟧 Образование — 8,04 млн записей.
🟧 Онлайн-платформы и интернет-магазины — 2,11 млн записей + 2,11 Гб.
🟧 Коммерческий и промышленный сектор — более 1,5 млн записей.
🟧 Телекоммуникации — 552 тыс. записей.
🟧 Медицина — 320 тыс. записей.
🟧 Государственный сектор — 303 тыс. записей.
🟧 Соцсети — 250 тыс. записей.
🟧 Финансовый сектор — 85,1 тыс. записей.
Также зафиксирована информация о распространении на Darkweb-форумах и тематических telegram-каналах нескольких крупных утечек, связанных с государственным сектором, сферой здравоохранения и промышленностью. Информация о количестве записей в данных утечках остается неподтверждённой.
❗️ Общие цифры:
🟧 Общее количество утечек: более 13 млн записей.
🟧 Медиана по числу записей: ~85 тыс.
🟧 Средний размер утечки: ~430 тыс. записей (без учёта утечек в гигабайтах).
❗️ Что важно знать:
🟧 Наибольший удар пришёлся на сферу образования.
🟧 Утечки в медицинской сфере остаются критичными из-за высокой ценности персональной информации.
🟧 Некоторые крупные утечки продаются на тематических платформах.
❗️ Тренды:
🟧 Коммерческий сектор сохраняет тенденцию к множественным, но относительно небольшим по объёму инцидентам.
🟧 Продолжается рост утечек, связанных с соцсетями и онлайн-торговлей.
🟧 Увеличилось количество смешанных утечек — в виде как баз данных, так и файловых архивов.
🟧 Сохраняется интерес атакующих к образовательным ресурсам.
🟧 Количество утечек в государственном секторе снизилось.
🟧 Утечки из коммерческих CRM-систем и онлайн-магазинов остаются регулярными.
❗️ Как защититься:
🟧 Проверяйте, не были ли ваши данные скомпрометированы — воспользуйтесь сервисом НКЦКИ 🔗 «Безопасность пользователей в сети Интернет».
🟧 Не используйте один и тот же пароль на разных платформах, особенно если ваша почта фигурирует в слитых базах.
🟧 Включите двухфакторную/многофакторную аутентификацию.
🟧 Обратите внимание на возможный фишинг: утёкшие данные могут использоваться для персонализированных атак.
#мониторинг_угроз
В июле зафиксировано более 30 инцидентов, затронувших государственные структуры, коммерческие компании, медицинские организации, образовательные учреждения и онлайн-платформы. Суммарный объём утечек превысил 13 млн записей и сотни гигабайт конфиденциальных данных, включая персональные сведения, медицинскую информацию, финансовые документы и учётные записи пользователей.
❗️ Основные пострадавшие сферы и объёмы утечек:
Также зафиксирована информация о распространении на Darkweb-форумах и тематических telegram-каналах нескольких крупных утечек, связанных с государственным сектором, сферой здравоохранения и промышленностью. Информация о количестве записей в данных утечках остается неподтверждённой.
❗️ Общие цифры:
❗️ Что важно знать:
❗️ Тренды:
❗️ Как защититься:
#мониторинг_угроз
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13👏4👍3
Киберполигон Ampire для вузов и госучреждений
🥲 🥲 🥲 🥲
📆 14 августа в 15:00 (мск)
🟧 Спикер: Иван Бугай, руководитель направления по работе с ключевыми заказчиками ПМ
🔗 Регистрация
Киберполигон🥇 Ampire — учебно-тренировочная платформа для отработки навыков обнаружения, анализа и устранения последствий компьютерных атак. Она позволяет специалистам практиковаться в условиях, приближенных к реальным компьютерным атакам на виртуальной модели своей инфраструктуры. Участники отрабатывают сценарии, реагируют на инциденты, учатся выявлять уязвимости и ликвидировать последствия.
Преимущества практической подготовки:
🟠 сокращение времени устранения последствий атак до 50%;
🟠 рост точности выявления угроз на 70% (по результатам киберучений ПМ).
На вебинаре вместе с компанией «Эгида Телеком»:
🟠 расскажем, что представляет собой киберполигон Ampire;
🟠 покажем, как он применяется в образовании, повышении квалификации и для регулярных тренировок действующих специалистов;
🟠 поделимся кейсами, как Ampire применяется в вузах и госорганизациях.
🔗 Зарегистрироваться на вебинар
Киберполигон
Преимущества практической подготовки:
На вебинаре вместе с компанией «Эгида Телеком»:
Please open Telegram to view this post
VIEW IN TELEGRAM
👏7❤4
ПМ проведёт киберучения в Сочи на конференции «Код ИБ ПРОФИ»
📆 12 сентября
📍 Сочи
Старший специалист по информационной безопасности ПМ Александр Сальников будет руководить киберучениями для участников конференции «Код ИБ ПРОФИ».
Киберучения на учебно-тренировочной платформе Ampire будут проводиться в командном формате CSIRT (Computer Security Incident Response Team). CSIRT позволяет участникам пройти полный цикл работы над инцидентом информационной безопасности и отработать навыки обнаружения, расследования, устранения уязвимостей и последствий хакерской атаки.
В ходе учений на киберполигоне Ampire будет запущена тренировка — смоделированный процесс целевых компьютерных атак на виртуальную ИТ-инфраструктуру.
Участникам предстоит:
🟠 В режиме реального времени анализировать действия виртуального нарушителя с помощью предоставленных средств обнаружения компьютерных атак;
🟠 Устранить уязвимости, которые были проэксплуатированы нарушителем, и последствия хакерской атаки;
🟠 Лидер команды CSIRT будет координировать действия и распределять инциденты среди участников, определять ответственных и управлять процессом реагирования.
Сценарии атак разработаны на основе реальных практических кейсов, тренировка проходит на шаблоне типовой современной ИТ-инфраструктуры со встроенными актуальными средствами защиты информации (СЗИ).
ℹ️ «Код ИБ ПРОФИ» — это сплав кэмпа и конференции по кибербезопасности. Участников ждут мастер-классы от признанных экспертов отрасли, киберучения в штабе и на киберполигоне, поход в горы, досуг на море, барбекю-пати, и всё это — в прекрасных локациях Сочи.
Старший специалист по информационной безопасности ПМ Александр Сальников будет руководить киберучениями для участников конференции «Код ИБ ПРОФИ».
Киберучения на учебно-тренировочной платформе Ampire будут проводиться в командном формате CSIRT (Computer Security Incident Response Team). CSIRT позволяет участникам пройти полный цикл работы над инцидентом информационной безопасности и отработать навыки обнаружения, расследования, устранения уязвимостей и последствий хакерской атаки.
В ходе учений на киберполигоне Ampire будет запущена тренировка — смоделированный процесс целевых компьютерных атак на виртуальную ИТ-инфраструктуру.
Участникам предстоит:
Сценарии атак разработаны на основе реальных практических кейсов, тренировка проходит на шаблоне типовой современной ИТ-инфраструктуры со встроенными актуальными средствами защиты информации (СЗИ).
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8❤5
Перспективный мониторинг
Киберполигон Ampire для вузов и госучреждений 🥲 🥲 🥲 🥲 📆 14 августа в 15:00 (мск) 🟧 Спикер: Иван Бугай, руководитель направления по работе с ключевыми заказчиками ПМ 🔗 Регистрация Киберполигон 🥇 Ampire — учебно-тренировочная платформа для отработки навыков…
В преддверии вебинара, на котором Иван Бугай расскажет о киберполигоне Ampire, «Эгида-Телеком» проводит розыгрыш мерча
Для участия в розыгрыше нужно подписаться на два канала, правильно ответить на вопросы викторины и зарегистрироваться на вебинар.
🔗 Принять участие в розыгрыше мерча
Для участия в розыгрыше нужно подписаться на два канала, правильно ответить на вопросы викторины и зарегистрироваться на вебинар.
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
Секреты ИБ|Эгида-Телеком
РОЗЫГРЫШ МЕРЧА к вебинару «Киберполигон Ampire для вузов и госучреждений»
Совместно с коллегами из «Перспективного мониторинга» мы приготовили для вас конкурс с полезными подарками!
📌 Как участвовать:
1️⃣ Зарегистрируйтесь на вебинар
2️⃣ Подпишитесь на…
Совместно с коллегами из «Перспективного мониторинга» мы приготовили для вас конкурс с полезными подарками!
📌 Как участвовать:
1️⃣ Зарегистрируйтесь на вебинар
2️⃣ Подпишитесь на…
🔥13
Хабр
Используем Python и metasploit для автоматизации рутинных задач эксплуатации
Всем привет, у нас выходила статья по автоматизации действий атакующего, но идет время, Python уже получил много новых версий, да и metasploit не стоит на месте. Поэтому я постараюсь...
Используем Python и metasploit для автоматизации рутинных задач эксплуатации
В процессе изучения Offensive Security (например, на курсах вроде OSCP), практики на CTF-платформах или участии в Bug Bounty-программах рано или поздно сталкиваешься с повторяющимися действиями: одни и те же команды, однотипные модули/утилиты, привычные скрипты. Постоянно запускать все вручную долго, шумно и неэффективно. Решением может стать написание собственных утилит, которые избавят от однотипных рутинных действий. Эта статья будет полезна в первую очередь студентам, изучающим offensive security, практикующимся на CTF-платформах или в рамках подготовки к курсам по информационной безопасности.
Читайте статью нашего специалиста Дмитрия Кузнецова на📝 Хабре
#хабр
В процессе изучения Offensive Security (например, на курсах вроде OSCP), практики на CTF-платформах или участии в Bug Bounty-программах рано или поздно сталкиваешься с повторяющимися действиями: одни и те же команды, однотипные модули/утилиты, привычные скрипты. Постоянно запускать все вручную долго, шумно и неэффективно. Решением может стать написание собственных утилит, которые избавят от однотипных рутинных действий. Эта статья будет полезна в первую очередь студентам, изучающим offensive security, практикующимся на CTF-платформах или в рамках подготовки к курсам по информационной безопасности.
Читайте статью нашего специалиста Дмитрия Кузнецова на
#хабр
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13
Forwarded from ИнфоТеКС Академия
Лаборатории Ampire — пространства для практики в ИБ
💚 Три кита образования — знания, умения и навыки. Один из способов обеспечить качественную отработку знаний, развитие умений и закрепление навыков в области информационной безопасности — тренировки на киберполигоне.
Киберполигон Ampire позволяет комплексно реализовать полученные в ходе учебного процесса знания, применять их на практике, получая умения и формируя в ходе тренировок на комплексе твердые навыки противодействия компьютерным атакам.
🟣 Лаборатории Ampire в вузах — это пространства, в которых студенты могут регулярно практиковаться, применяя свои фундаментальные знания в условиях, приближенных к реальным.
В следующих постах мы расскажем подробнее о некоторых лабораториях Ampire, которые действуют в вузах.
🐶 Перспективный мониторинг
Киберполигон Ampire позволяет комплексно реализовать полученные в ходе учебного процесса знания, применять их на практике, получая умения и формируя в ходе тренировок на комплексе твердые навыки противодействия компьютерным атакам.
«Это специализированная площадка для подготовки специалистов ИБ. Она предоставляет вузу ряд возможностей: моделировать атаки, отрабатывать техники защиты от различного типа атак, развивать взаимодействия в команде и проводить исследования. Наличие различных шаблонов виртуальной инфраструктуры позволяет познакомить студентов на практике с теми инструментами, которые присущи определенным информационным системам. Вуз может самостоятельно формировать киберфизические стенды, интегрированные с платформой Ampire. Мы также поддерживаем студенческие проекты по созданию уязвимых узлов», — Александр Фефилов, руководитель учебно-методического направления Ampire.
В следующих постах мы расскажем подробнее о некоторых лабораториях Ampire, которые действуют в вузах.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8👍3
Как защитить медицинские данные от инцидентов информационной безопасности?
С каждым годом интерес злоумышленников к медицинской сфере растет. Кибератаки приводят к утечке персональных данных пациентов и нарушению работы медучреждений. Важной задачей для медорганизации должна стать подготовка административного и врачебного персонала в области цифровой гигиены, а также усиление защищённости информационной инфраструктуры.
Мы с коллегами из компании ЕМП подготовили статью о том, почему хакерам интересны медицинские данные и как защититься от злоумышленников.
🔗 Читайте статью на медтех-портале Zdrav.Expert.
С каждым годом интерес злоумышленников к медицинской сфере растет. Кибератаки приводят к утечке персональных данных пациентов и нарушению работы медучреждений. Важной задачей для медорганизации должна стать подготовка административного и врачебного персонала в области цифровой гигиены, а также усиление защищённости информационной инфраструктуры.
Мы с коллегами из компании ЕМП подготовили статью о том, почему хакерам интересны медицинские данные и как защититься от злоумышленников.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5