Определены заявки-победители второго потока программы Акселератора «ИнфоТеКС Академии»

Завершился второй поток программы Акселератора заявок на конкурс «ИнфоТеКС Академии», которую «ИнфоТеКС» проводит среди профильных вузов. Финал конкурса и церемония награждения прошли 12 декабря в Конгресс-центре МТУСИ.

ℹ️В конкурсе приняли участие 10 проектных команд из 9 вузов, участники которых подали заявку на соискание гранта «ИнфоТеКС Академии» по следующим направлениям: информационная безопасность киберфизических систем, обнаружение и предотвращение компьютерных атак, методы машинного обучения в задачах информационной безопасности, квантовые вычисления, разработка виртуальных шаблонов для киберполигона Ampire, блокчейн и смарт-контракты.

Среди победителей — команда МГТУ им. Н.Э. Баумана с заявкой «Создание уязвимых виртуальных шаблонов системы дистанционного банковского обслуживания». Ментором команды был менеджер продукта 🥇 Ampire Георгий Мелихов.

👍 Поздравляем победителей и желаем успешной работы над проектом!

Студенты, вступайте в 😀😀😀😀😀🥇 Ampire

❗️ Здесь вы можете внести собственный вклад в развитие продукта, а заодно написать курсовую или даже ВКР.

Одно из взаимодействий в сообществе Ampire — это разработка уязвимых узлов для киберполигона.

Флагманский продукт ПМ киберполигон 🥇Ampire — это программный комплекс обучения методам обнаружения, анализа и устранения последствий компьютерных атак. Тренировки проходят на виртуальной модели ИТ-инфраструктуры организации, на которую производится атака по смоделированному сценарию. Фактически в процессе атаки нарушитель эксплуатирует уязвимости, имеющиеся в инфраструктуре — уязвимые узлы.

🔗О том, как они разрабатываются и как создать собственный узел для Ampire в качестве внешнего разработчика, читайте в статье.

🔗 Чтобы вступить в сообщество, заполняйте форму.

😀😀😀На следующей неделе опубликуем кейс по разработке уязвимого узла внешним разработчиком из ТУСУРа.

🪲🪲🪲🪲🪲🪲
Как именно происходит разработка уязвимого узла для 🥇 Ampire, когда этим занимается внешний разработчик?

В версии Ampire 1.5, релиз которой состоялся в октябре 2024 года, появился первый уязвимый узел от внешнего разработчика — студента ТУСУР Александра Коваленко. Уязвимый узел содержит платформу MajorDoMo, предназначенную для построения системы «Умный дом». Это бесплатное кроссплатформенное ПО с открытым исходным кодом, которое поддерживает большое количество протоколов и оборудования.

Александр делится с сообществом Ampire опытом разработки уязвимого узла.

🔗 Читать

Дорогие подписчики!

🎄Благодарим вас за то, что вы с нами, всех вас — и тех, кто читает наши новости весь этот год, и тех, кто подписался совсем недавно. Мы стараемся делать контент интересным и полезным для вас, и ваши реакции на посты показывают, что мы стараемся не зря.

❄️ ❄️ На новогодних каникулах мы не будем ничего публиковать — давайте отдыхать! Пусть ваши выходные пройдут именно так, как вы этого захотите, пусть каждый день подарит вам радость и поможет набраться сил для новых рабочих или учебных будней. А чтобы они были веселей, дарим вам новый стикерпак с нашим персонажем 👍.

С Новым годом!

😀😀😀😀
Вредоносное ПО FireScam обнаружено исследователями Cyfirma на веб-ресурсе, мимикрирующим под RuStore. Доменное имя страницы:

rustore-apk.github.io

Распространяемое ПО в свою очередь было замаскировано и названо "Telegram Premium", что могло заинтересовать пользователей независимо от сферы их деятельности.

Вектор атаки:
Как было упомянуто ранее, для доставки использовалась фишинговая веб-страница RuStore. При попытке загрузки приложения пользователь устанавливал программу-дроппер "GetAppsRu.apk", который впоследствии запрашивает от жертвы множество разрешений на работу с системными данными. После получения соответствующих прав устанавливается основной модуль полезной нагрузки "child.apk", который приветствует пользователя и снова запрашивает некоторые подтверждения. Финальным этапом является перенаправление жертвы на официальный сайт Telegram для прохождения авторизации. Именно в этот момент можно считать систему скомпрометированной, поскольку агент шпионского ПО был успешно установлен.

Целевой возможностью ПО является способность "перехватывать" телефонию, SMS и сообщения мессенджеров. Собранная агентом информация отправлялась на выделенный С2-сервер:

androidscamru-default-rtdb.firebaseio.com

После данные временно сохранялись в Firebase Realtime Database, фильтровались и анализировались оператором.

❗️ Помимо двух упомянутых в статье образцов специалистами направления исследований киберугроз ПМ были найдены еще 2 APK-файла со схожими названиями, связанные с сетевым индикатором "rustore-apk.github[.]io"

🟠Рекомендуем не выполнять установку приложений из неофициальных источников и внимательно проверять веб-адреса, прежде чем взаимодействовать с ними.
🟠Обнаружить угрозу возможно с помощью детектирующих правил AM Rules, поставляемых в составе продуктов ИнфоТеКС и хранящихся в базах AM Threat Intelligence Portal. #AM_Rules

IoCs:

b041ff57c477947dacd73036bf0dee7a0d6221275368af8b6dbbd5c1ab4e981b
12305b2cacde34898f02bed0b12f580aff46531aa4ef28ae29b1bf164259e7d1
6e4818fb866251dc38b62a42b630207bcdc4bacf3b04af702fb41e95de089bd2
0314c353e705f1d66b48d160f53a3440e472af8cc0a5872c8c745de29073e2cd
rustore-apk.github.io
androidscamru-default-rtdb.firebaseio.com

😀😀😀
Александр Пушкин примет участие в эфире AM Live

📆15 января в 11:00 (мск) на AM Live начнётся прямой эфир «Повышение квалификации специалистов по информационной безопасности».

В формате дискуссии спикеры обсудят тему обучения и повышения квалификации на всех уровнях. Вы узнаете, какие программы обучения доказали свою эффективность на практике, как оптимизировать затраты, сохраняя при этом высокую эффективность учебных программ, каких ошибок важно избежать при планировании и проведении обучения.

🟠Какие варианты обучения существуют в России для повышения квалификации в области ИБ?
🟠Какие компетенции в ИБ можно и нужно прокачивать самостоятельно, чтобы оставаться востребованными в быстро меняющихся условиях?
🟠Какие будущие вызовы и угрозы требуют пересмотра существующих методик обучения Blue Team?

Ответы на эти и другие вопросы вы услышите в эфире AM Live.
🔗 Регистрация по ссылке.

⏰ Уже через час, в 11:00, начнётся прямой эфир AM Live «Повышение квалификации специалистов по информационной безопасности» с участием Александра Пушкина, заместителя генерального директора ПМ.

🔗 Чтобы подключиться к эфиру, регистрируйтесь по ссылке.

🟣ИнфоТеКС ТехноФест возвращается в Екатеринбург 13 марта!

Эксперты ИнфоТеКС вновь посетят столицу Урала, чтобы рассказать ИБ-специалистам Свердловской области про сетевую безопасность, решения для организации защищенных коммуникаций, защиту рабочих станций и серверов, про встраиваемую криптографию и многое другое.

На стендах будут представлены актуальные версии популярных продуктов ViPNet, а эксперты компании-разработчика готовы ответить на любые вопросы.

◻️ Как проходит ИнфоТеКС ТехноФест, смотрите в видео

Участие в конференции бесплатное, количество мест ограничено. Требуется предварительная регистрация.

#ИнфоТеКСТехноФест_Екб

😀😀😀😀
Уязвимость переполнения буфера в Ivanti Connect Secure (CVE-2025-0282)

Эксплуатация уязвимостей в веб-приложениях (T1190) с целью удаленного выполнения кода (T1059) остается одной из ключевых техник злоумышленников для нарушения конфиденциальности и целостности системы. Переполнение буфера, вызванное некорректным использованием функции strncpy(), позволяет перезаписывать адрес возврата и исполнять произвольный код, что делает уязвимость крайне опасной.

Коротко о продукте:

Ivanti Connect Secure (ранее известный как Pulse Connect Secure) — это корпоративное решение для обеспечения безопасного удаленного доступа к корпоративным сетям и ресурсам.

Критическая уязвимость (CVE-2025-0282)

CVE-2025-0282 получила 9.0 баллов по шкале CVSS и классифицируется как критическая. Уязвимость заключается в переполнении буфера обработчика пользовательского ввода при запросе к конечному адресу '/dana-na/auth/url_default/welcome.cgi' системы. Отправка полезной нагрузки, которая превышает размер выделенного буфера приводит к перезаписи адрес возврата в стеке, что позволяет выполнить произвольные команды.

Для эксплуатации уязвимости удалённый неаутентифицированный злоумышленник должен отправить специально сформированный POST-запрос с вредоносной полезной нагрузкой. Данный payload отправляет вредоносный скрипт, который подменяет адрес возврата в стеке и направляет выполнение кода на системную функцию system().

Данный недостаток затрагивает версии Ivanti Connect Secure до 22.7R2.5.

Методы обнаружения и эксплуатации

Уязвимость может быть идентифицирована с помощью Integrity Checker Tool (ICT). Злоумышленники, такие как APT-группы (например, UNC5337), используют уязвимость для:
🟠 Установки веб-оболочек;
🟠 Отключения механизмов безопасности;
🟠 Выполнения команд с помощью вредоносного ПО.

Меры противодействия

Обновите программное обеспечение до:
🟠 Ivanti Connect Secure 22.7R2.5
🟠 Ivanti Policy Secure 22.7R1.2
🟠 Ivanti Neurons for ZTA 22.7R2.3

ℹ️ Индикаторы компрометации и правила обнаружения данной CVE можно найти на портале AM TIP.

#AM_Rules