Минцифры Сахалинской области и Алтайского края впервые провели совместные киберучения на киберполигоне Ampire
📆 28 мая прошли совместные киберучения в онлайн-формате среди работников подведомственного учреждения Министерства цифрового и технологического развития Сахалинской области «Центр региональной цифровой трансформации», а также представителей органов исполнительной власти и подведомственных учреждений Алтайского края.
🥇 Межрегиональные киберучения прошли на киберполигоне Ampire под руководством преподавателей ПМ.
Совместные киберучения ИБ-специалистов Сахалинской области и Алтайского края проходили в формате CSIRT (Computer Security Incident Response Team). В результате киберучений региональные команды отработали навыки выявления компьютерных атак и расследования инцидентов информационной безопасности, улучшили взаимодействие между подразделениями, а также изучили новые способы нейтрализации и предупреждения компьютерных атак.
🔗 Подробнее
Фото: Минцифры Алтайского края
Совместные киберучения ИБ-специалистов Сахалинской области и Алтайского края проходили в формате CSIRT (Computer Security Incident Response Team). В результате киберучений региональные команды отработали навыки выявления компьютерных атак и расследования инцидентов информационной безопасности, улучшили взаимодействие между подразделениями, а также изучили новые способы нейтрализации и предупреждения компьютерных атак.
«Кибербезопасность сегодня — это не просто технологический вопрос, а основа цифрового суверенитета региона. Под руководством губернатора Сахалинской области Валерия Игоревича Лимаренко мы активно развиваем компетенции наших специалистов, и совместные учения с Алтайским краем — отличная возможность обменяться опытом и отработать действия в условиях реальных киберугроз», — прокомментировал министр цифрового и технологического развития Сахалинской области Александр Снегирев.
Фото: Минцифры Алтайского края
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Специалисты направления исследований киберугроз проанализировали активность ранее неизвестного ВПО GemoDL
❗️ Вектор-атаки:
В качестве первоначального доступа злоумышленники используют фишинговую рассылку на почтовые адреса организации. Письмо содержит ZIP-архив "60ZWZ2uhB1LpC2g16uKp3nBZmHomS0keQkan00iJ. zip", внутри которого находится вредоносный файл "Список ко дню России.exe".
После запуска вредоносной программы производится операция XOR для расшифрования строк и дальнейшего исполнения в системе с обращением к внешнему ресурсу "
Далее на основе полученных строк и случайно сгенерированного целочисленного значения формируется URL-адрес "
После успешной загрузки в систему шеллкод с помощью атрибута
Следующим этапом происходит извлечение полезной нагрузки в виде импланта С2-фреймворка Sliver.
Имплантом Sliver реализуется следующий функционал:
🟠 после запуска порождается подпроцесс conhost.exe;
🟠 закрепление в системе происходит через ветвь реестра "
🟠 выполняется ослабление политики безопасности IE/Edge, путем изменения параметров "AutoDetect" и "UNCAsIntranet";
🟠 производится размещение приманочных HTML-файлов в каталоге "VirtualStore" и "$Recycle.Bin", что позволяет замаскировать активность и уничтожить процессы при перезагрузке
❗️ Финальным этапом вредоносной активности является взаимодействие зараженного хоста с С2-сервером злоумышленника. Предположительно, мотивацией атакующих является кибершпионаж. Основной задачей, характерной для подобных групп, является эксфильтрация данных из системы и удаленное управление скомпрометированными узлами.
❗️ Индикаторы компрометации:
IP:
Domains:
URLs:
SHA256:
❗️ В базах решающих правил AM Rules ПМ присутствуют детектирующие правила, позволяющие обнаружить не только конкретную описанную угрозу, но и предотвратить аналогичную активность злоумышленника в дальнейшем. Проверить собственные индикаторы компрометации на вредоносность можно с помощью AM TIP
#AM_Rules
В качестве первоначального доступа злоумышленники используют фишинговую рассылку на почтовые адреса организации. Письмо содержит ZIP-архив "60ZWZ2uhB1LpC2g16uKp3nBZmHomS0keQkan00iJ. zip", внутри которого находится вредоносный файл "Список ко дню России.exe".
После запуска вредоносной программы производится операция XOR для расшифрования строк и дальнейшего исполнения в системе с обращением к внешнему ресурсу "
https://new[.]systeme-electric[.]tech/news.html" для получения ключа шифрования (скриншот 1)Далее на основе полученных строк и случайно сгенерированного целочисленного значения формируется URL-адрес "
http://lk[.]systeme-electric[.]tech:8080/kukuruza.7z", к которому ВПО инициирует сетевое подключение для загрузки второго этапа – шеллкода Donut. Подтверждением загрузки дополнительных модулей являются строки WebClient, DownloadData (скриншот 2)После успешной загрузки в систему шеллкод с помощью атрибута
[UnmanagedFunctionPointer(CallingConvention.StdCall)] внедряется в легитимные процессы за счет динамического вызова WinAPI через специальные указатели stdcall (скриншот 3 и 4)Следующим этапом происходит извлечение полезной нагрузки в виде импланта С2-фреймворка Sliver.
Имплантом Sliver реализуется следующий функционал:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run";IP:
46.8.220[.]151 (C2 sliver)
Domains:
systeme-electric[.]tech
vostok-eleclra[.]ru
ufadializ[.]ru
689856.cloud4box[.]ru
URLs:
https[:]//new.systeme-electric[.]tech/news.html
http[:]//lk.systeme-electric[.]tech:8080/kukuruza.7z
https[:]//new.systeme-electric[.]tech/news.html
http[:]//lk.systeme-electric[.]tech:8080/kukuruza.7z
http[:]//46.8.220[.]151/oauth/oauth2/php/api/oauth/database/register.html?hl=64922z208&i=38656024
https[:]//lk.systeme-electric[.]tech/oauth2/database/login.html?_=u63842650&vm=941f84746
https[:]//46.8.220[.]151/oauth/oauth2/database/api/db/php/oauth2callback/login.html?cw=649r2220_8&t=90125495
http[:]//46.8.220[.]151/db/database/index.html?a=92q73833&aq=12279097
http[:]//lk.systeme-electric[.]tech/api/api/api/api/oauth2/database/index.html?do=80885693&r=61387308
https[:]//46.8.220[.]151/oauth2callback/database/php/oauth2callback/register.html?j=50d22046c3&wk=d12279b097
SHA256:
66d4982d72e01f27f7c9c993fba308ef5fcb035cddffcae83c327695374f6fd2 (Список ко Дню России.exe)
460a3dfa839376aed1f340f4def871a7c207113a6fc252971fbf94395f2cfe2f (Gemodializrb.exe)
f04e39d67bc3d11dc1592cad9188377ab1c0808631ec450fc133fa940c821985 (Gemodializrb.exe var2)
64148edf25e50b9d62880e0e1e2466b992639d7f6889eb1a88fd199272ba8bcb (Donut shellcode)
5c21fb6c33a7a74c3d7fceb1488b6531c20510ef17d330eefe07b18b086d97b9 (Donut shellcode kukuruza.exe)
90e765a6648a10f3fc332284e59a05ad32c2ca2437795388e6b406b6d8dc79ac (Sliver implant)
#AM_Rules
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤19🔥7👏4🤩2
Forwarded from Криптография в финтехе
Как «Перспективный мониторинг» влияет на безопасность финтеха в России. Часть 1
Рассказываем истории из практики компании «Перспективный мониторинг» (ГК «ИнфоТеКС»), чьи эксперты стояли у истоков нормативной базы информационной безопасности в финансовом секторе. Сотрудники компании участвовали в разработке практически всех ключевых стандартов — от первых версий СТО БР ИББС до ГОСТ 57580.
На практике — десятки проектов:
🔘 28 проектов по консалтинговому сопровождению внедрения ГОСТ Р 57580
🔘 53 оценки соответствия по ГОСТ Р 57580
🔘 3 проекта по построению ИТ-инфраструктуры «с нуля» в соответствии с ГОСТ Р 57580.1 и нормативными актами Банка России.
Одна из практик, которая особенно показала, как теория превращается в конкретную защиту, — это пентест банкоматов. Об этом расскажем в следующей публикации.
Рассказываем истории из практики компании «Перспективный мониторинг» (ГК «ИнфоТеКС»), чьи эксперты стояли у истоков нормативной базы информационной безопасности в финансовом секторе. Сотрудники компании участвовали в разработке практически всех ключевых стандартов — от первых версий СТО БР ИББС до ГОСТ 57580.
На практике — десятки проектов:
Одна из практик, которая особенно показала, как теория превращается в конкретную защиту, — это пентест банкоматов. Об этом расскажем в следующей публикации.
Please open Telegram to view this post
VIEW IN TELEGRAM
Мониторинг утечек данных за май 2025 года
В мае зафиксированы почти 40 инцидентов, затронувших как крупные государственные структуры, так и частный бизнес. Общий объём утечек составил более 39,5 млн записей и почти 33 Гб данных, включая корпоративные и учетные данные, а также конфиденциальную информацию о клиентах и сотрудниках.
❗️ Основные пострадавшие сферы и объёмы утечек:
🟧 Государственный сектор — 5,4 млн записей
🟧 Неатрибутированные учетные данные — 12 млн записей
🟧 Медицина — более 1,5 млн записей и 4,2 тыс. документов
🟧 Образование — 1,4 млн записей
🟧 Онлайн-платформы и интернет-магазины — 4,6 млн записей
🟧 Банковская сфера — 787 тыс. записей
🟧 Инженерные, юридические и строительные компании — более 20 Гб данных
🟧 IT и телеком — 71,4 тыс. записей
🟧 Бизнес (разные отрасли) — более 15 компаний, утекли свыше 6 Гб данных и сотни тысяч записей
❗️ Общие цифры:
🟧 Общее количество утечек: более 39,5 млн записей и 32,9 Гб файлов
🟧 Медиана по числу записей: 60 тыс.
❗️ Что важно знать:
🟧 Массовые сливы подборок «email/телефон + пароль» — риски фишинга и неправомерного доступа к аккаунтам.
🟧 Коммерческие компании продолжают терять большие объёмы внутренних данных: крупнейшая утечка месяца — 18,8 Гб различных внутренних файлов.
🟧 В медицинской сфере скомпрометированы как данные пациентов, так и внутренние документы организаций.
🟧 Утечки в сфере образования затронули крупные вузы России.
❗️ Как защититься:
🟧 Проверяйте, не были ли ваши данные скомпрометированы — воспользуйтесь сервисом НКЦКИ 🔗 «Безопасность пользователей в сети Интернет».
🟧 Не используйте один и тот же пароль на разных платформах, особенно если ваша почта фигурирует в слитых базах.
🟧 Включите двухфакторную/многофакторную аутентификацию.
🟧 Обратите внимание на возможный фишинг: утёкшие данные могут использоваться для персонализированных атак.
#мониторинг_угроз
В мае зафиксированы почти 40 инцидентов, затронувших как крупные государственные структуры, так и частный бизнес. Общий объём утечек составил более 39,5 млн записей и почти 33 Гб данных, включая корпоративные и учетные данные, а также конфиденциальную информацию о клиентах и сотрудниках.
❗️ Основные пострадавшие сферы и объёмы утечек:
❗️ Общие цифры:
❗️ Что важно знать:
❗️ Как защититься:
#мониторинг_угроз
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10❤4👏2
Новые уловки мошенников с ИИ и не только
Технологии становятся умнее — и, к сожалению, мошенники тоже. Их последние схемы смотрите в карточках.
Вот ещё несколько схем
🟧 Фейковые ИИ-сервисы
Злоумышленники создают фейковые сайты или приложения под видом популярных ИИ-сервисов — чат-ботов, голосовых помощников и переводчиков.
Пользователь, попадая на фейковый сайт, думает, что общается с легитимным ИИ-агентом «Юрист-бот», «Госуслуги-бот», «Банк-бот», — всё это может быть подделкой. Через такие псевдочаты просят паспорт, карту, CVV и другие данные, чтобы подтвердить личность.
🟧 «Официальный аккаунт Госуслуг» в Telegram
Мошенники выдают себя за Госуслуги и обещают выплаты. Это фейк. Настоящие Госуслуги в мессенджерах не пишут первыми.
🟧 Поддельные письма от «Госуслуг»
Ошибки в названии, странные номера поддержки, звонки с угрозами — всё это часть схемы, чтобы убедить жертву перевести деньги на «безопасный счёт».
🟧 Развод на маркетплейсах
Товар по низкой цене → «Пиши в WhatsApp» → оплата по ссылке → тишина. Всегда покупайте только через официальные платформы.
🟧 Фейковая доставка
Звонят якобы из пункта выдачи → просят код из СМС/СНИЛС → потом «полиция» требует перевести деньги.
🟧 Мошенничество через такси-сервисы
Взламывают аккаунт таксиста и клиента → создают подставной заказ → списывают деньги. Не сообщайте коды авторизации никому!
❗️ Наши рекомендации:
🟠 Используйте исключительно официальные сервисы.
🟠 Не переходите по подозрительным ссылкам, а также не скачивайте файлы, присланные неизвестными контактами.
🟠 При оформлении заказов и доставок с маркетплейсов не переводите общение в сторонние мессенджеры.
🟠 Не сообщайте никому из посторонних коды, полученные через пуш-уведомления или SMS.
#мониторинг_угроз
Технологии становятся умнее — и, к сожалению, мошенники тоже. Их последние схемы смотрите в карточках.
Вот ещё несколько схем
Злоумышленники создают фейковые сайты или приложения под видом популярных ИИ-сервисов — чат-ботов, голосовых помощников и переводчиков.
Пользователь, попадая на фейковый сайт, думает, что общается с легитимным ИИ-агентом «Юрист-бот», «Госуслуги-бот», «Банк-бот», — всё это может быть подделкой. Через такие псевдочаты просят паспорт, карту, CVV и другие данные, чтобы подтвердить личность.
Мошенники выдают себя за Госуслуги и обещают выплаты. Это фейк. Настоящие Госуслуги в мессенджерах не пишут первыми.
Ошибки в названии, странные номера поддержки, звонки с угрозами — всё это часть схемы, чтобы убедить жертву перевести деньги на «безопасный счёт».
Товар по низкой цене → «Пиши в WhatsApp» → оплата по ссылке → тишина. Всегда покупайте только через официальные платформы.
Звонят якобы из пункта выдачи → просят код из СМС/СНИЛС → потом «полиция» требует перевести деньги.
Взламывают аккаунт таксиста и клиента → создают подставной заказ → списывают деньги. Не сообщайте коды авторизации никому!
#мониторинг_угроз
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13👏4
Forwarded from Криптография в финтехе
Продолжаем серию публикации "истории из практики".
Часть 2
Вместе с одним из заказчиков специалисты «Перспективного мониторинга» провели исследование уязвимостей банкоматов — устройств, которые ежедневно работают вне защищенного периметра.
▫ Эксперты разработали методику и маршрутную карту работ, провели пентест и обнаружили, что банкомат можно вывести из строя с помощью простых средств. Хотя доступ к чувствительным компонентам требует усилий, это вполне реально. На основе результатов был сформирован конкретный план по усилению защиты.
Но не только устройства требуют внимания — важен и баланс между нормативной и реальной безопасностью. Следующая история будет про то, как Перспективный мониторинг помогал банку выстроить защищенную инфраструктуру.
Часть 2
Вместе с одним из заказчиков специалисты «Перспективного мониторинга» провели исследование уязвимостей банкоматов — устройств, которые ежедневно работают вне защищенного периметра.
В соответствии с 851-П банки должны ежегодно проводить тестирование на предмет наличия возможностей проникновения и анализ уязвимости.
Но не только устройства требуют внимания — важен и баланс между нормативной и реальной безопасностью. Следующая история будет про то, как Перспективный мониторинг помогал банку выстроить защищенную инфраструктуру.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥4
ПМ проведёт киберучения на Международном IT-Форуме в Ханты-Мансийске
📆 25-27 июня в Ханты-Мансийске пройдёт XVI Международный IT-Форум с участием стран БРИКС и ШОС.
«Перспективный мониторинг» проведёт на форуме киберучения для специалистов и студентов на Ampire.
🔗 Программа мероприятия доступна по ссылке.
ℹ️ Основная цель Форума — продолжение многолетнего диалога, проводимого на югорской земле по вопросам технологического развития как в прикладном, так и научно-теоретическом значении. Форум обеспечивает условия всестороннего обмена опытом и знаниями по обширному списку тем цифровой трансформации и экономики, выступает важным элементом для поиска решений в области межгосударственных отношений и внутринациональных реформ.
«Перспективный мониторинг» проведёт на форуме киберучения для специалистов и студентов на Ampire.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7👍1
ПМ и Минцифра Кузбасса подпишут соглашение о сотрудничестве на «Инфофоруме»
📆 1–4 июля в г. Кемерово пройдёт II Межрегиональная конференция по информационной безопасности в Сибирском федеральном округе «Инфофорум-Кузбасс».
Главные темы — развитие информационного суверенитета и информационной безопасности в промышленно-энергетическом комплексе, защищённых электронных сервисов для организаций и граждан, подготовка нового поколения кадров.
😀 😀 😀 😀 😀
На конференции в Кемерове специалисты «Перспективного мониторинга» в течение трёх дней будут проводить киберучения на Ampire для специалистов и студентов, а также соревнования на Ampire Junior для школьников.
❗️ На мероприятии состоится подписание соглашения о взаимодействии между Министерством цифрового развития и связи Кузбасса и АО «Перспективный мониторинг».
🔗 Программа мероприятия доступна по ссылке.
ℹ️ Конференция проходит в рамках Национального форума информационной безопасности «Инфофорум». Форум проводится с 2001 года, инициаторами его проведения выступили Аппарат Совета Безопасности Российской Федерации и Комитет Государственной Думы Российской Федерации по безопасности. Инфофорум стал первым отечественным мероприятием в сфере информационной безопасности и за время своего существования превратился в знаковое событие отрасли.
Главные темы — развитие информационного суверенитета и информационной безопасности в промышленно-энергетическом комплексе, защищённых электронных сервисов для организаций и граждан, подготовка нового поколения кадров.
На конференции в Кемерове специалисты «Перспективного мониторинга» в течение трёх дней будут проводить киберучения на Ampire для специалистов и студентов, а также соревнования на Ampire Junior для школьников.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3🔥2
ПМ проведёт киберучения для ИБ-специалистов на конференции «ИнфоХаб 2025»
📆 3–4 июля конференция пройдёт в Хабаровске в четвертый раз при поддержке Министерства цифрового развития и связи Хабаровского края, организатор — системный интегратор «МАСКОМ-Техлайн».
🥇 4 июля участников конференции ждёт большая практическая часть — трек «Киберполигон», где традиционно пройдут учения на киберполигоне Ampire.
🔗 Регистрация на конференцию по ссылке.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3
Разбираем сценарии атак через Telegram
Мошеннические схемы как с использованием ВПО, так и без него становятся всё более изощрёнными, злоумышленники активно пользуются всеми возможностями мессенджера, включая последние обновления. Наиболее частые векторы — заражённые APK-файлы, ссылки на фишинговые формы и скомпрометированные боты, выдающие себя за технические сервисы.
🔗 Подробные кейсы в нашей новой статье на Хабре
Мошеннические схемы как с использованием ВПО, так и без него становятся всё более изощрёнными, злоумышленники активно пользуются всеми возможностями мессенджера, включая последние обновления. Наиболее частые векторы — заражённые APK-файлы, ссылки на фишинговые формы и скомпрометированные боты, выдающие себя за технические сервисы.
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Telegram как канал доставки ВПО: сценарии атак, IoC и практический разбор
Telegram давно превратился из просто мессенджера в полноценную экосистему — с ботами, файлами, внешними ссылками и тысячами активных сообществ. Всё это делает его удобной средой не только для общения,...
🔥11
Forwarded from ИнфоТеКС
Media is too big
VIEW IN TELEGRAM
XVI Международный IT-Форум с участием стран БРИКС и ШОС
▫️ Иван Щербак, руководитель обособленного подразделения, принял участие в презентации проектов участников хакатона в качестве эксперта.
▫️ Сергей Дурягин, вице-президент, в рамках профориентационного митапа со школьниками рассказал о кибербезопасности как об основе безопасного поведения в сети Интернет.
▫️ Эксперты компании «Перспективный мониторинг» провели мастер-классы для студентов на базе киберполигона Ampire.
Подробнее — в ролике
Подробнее — в ролике
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3👍3🔥2
Forwarded from ИнфоТеКС
Форум был организован ФГБУ «Национальный медицинский исследовательский центр терапии и профилактической медицины» Министерства здравоохранения Российской Федерации в партнерстве с ФГБНУ РНЦХ им. акад. Б.В. Петровского и собрал более 3000 участников: представителей федеральных и региональных органов власти, научных и медицинских учреждений, бизнеса и ведущих экспертов в области здравоохранения.
Участники круглого стола обсудили актуальные вызовы в сфере обработки специальных категорий персональных данных в условиях цифровизации медицины, риски и последствия утечек, требования регуляторов, повышение доверия пациентов к цифровым сервисам, а также реальные кейсы компрометации и работающие технические и организационные решения.
Сергей Акимов, заместитель генерального директора по спецпроектам и стандартизации, Игорь Гридин, вице-президент и Артем Савчук, технический директор компании «Перспективный мониторинг».
По итогам заседания подготовлена резолюция с практическими рекомендациями для медицинских организаций.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8❤4🤩4🔥2👏1