В «Школе 21» Ярославской области прошли киберучения Ampire

📆 20 мая на площадке АНО «Школа 21. Ярославия» сотрудники Министерства цифрового развития Ярославской области, специалисты по ИБ и студенты приняли участие в киберучениях на киберполигоне Ampire. Студенческие команды на соревнованиях были представлены Ярославским градостроительным колледжем, ЯрГУ имени П. Г. Демидова, Ярославским государственным техническим университетом, Академией МУБиНТ. Всего к тренировке присоединились около 50 человек.

Организаторы мероприятия — ИнфоТеКС, «Перспективный мониторинг», «Стандарт безопасности» и АНО «Школа 21. Ярославия».

Олег Иванов, менеджер продуктов ИнфоТеКС, выступил с докладом «ViPNet QCS: от обучения до построения магистральных квантовых сетей».

Иван Бугай, руководитель направления по работе с ключевыми заказчиками, подробно рассказал гостям мероприятия о киберполигоне Ampire, его основном функционале и возможностях для практического обучения специалистов по ИБ и студентов профильных направлений.

Александр Фефилов, руководитель учебно-методического направления, провёл киберучения в формате CSIRT (Computer Security Incident Response Team), в котором каждый участник одновременно выполнял функции сотрудника групп мониторинга и реагирования.

Сценарий для киберучений был собран на Конфигураторе с использованием шаблона «Офис». Участники защищали сервер автоматизации процессов компании.

ПМ выступил в Биробиджане на семинаре «Кибербезопасность и импортозамещение в 2025 году»

📆 21 мая на базе Приамурского государственного университета имени Шолом-Алейхема прошёл межрегиональный семинар, посвящённый вопросам защиты информации в условиях роста компьютерных атак на инфраструктуру органов власти, подготовке специалистов по информационной безопасности и обеспечению технологической независимости от иностранного программного обеспечения.

Организаторы — Правительство Еврейской автономной области и департамент цифрового развития и связи Еврейской автономной области.

🟧Анна Хромова, руководитель направления исследования информационного пространства, выступила на Межрегиональном семинаре с докладом «Новые горизонты кибербезопасности: векторы атак и вызовы».

Обсудили, как меняется ландшафт киберугроз: меньше хаоса — больше точных, продуманных атак. Теперь не ломают стены — входят через дверь, которую сам откроешь. ИБ сегодня — это не про реакцию, а про упреждение.

Также на мероприятии прошли киберучения на Ampire.

ℹ️ Использование киберполигона Ampire в учебном процессе Приамурского государственного университета имени Шолом-Алейхема началось в 2025 году. В апреле этого года семь преподавателей вуза прошли обучение под руководством Александра Фефилова, руководителя учебно-методического направления ПМ.

ПГУ имени Шолом-Алейхема в Биробиджане впервые набирает студентов на специальность «Информационная безопасность»

Приамурский государственный университет имени Шолом-Алейхема в 2025 году стал пользователем киберполигона 🥇 Ampire, предназначенного для тренировки специалистов ИБ. Семь преподаваталей вуза в апреле прошли обучение по работе с Ampire. На киберполигоне будут отрабатывать свои навыки первые в истории вуза студенты ИБ-специальности.

О новом наборе было объявлено на межрегиональном семинаре «Кибербезопасность и импортозамещение», который проводило Правительство Еврейской автономной области на базе ПГУ имени Шолом-Алейхема.

ПМ — в Ижевске на межрегиональном форуме по ИБ в медицине

28 и 29 мая проходил IV Межрегиональный форум «Цифровая трансформация госуправления в парадигме информационной безопасности. Обмен опытом — 2025». Его организаторы — Министерство здравоохранения Удмуртской Республики, Правительство Удмуртской Республики, ФСТЭК по ПФО, Республиканский медицинский информационно-аналитический центр. «Перспективный мониторинг» — в числе партнёров форума.

🟧Сергей Нейгер, директор по развитию бизнеса, выступил с докладом «Мониторинг ИБ для региональных медицинских информационно-аналитических центров».

«Обеспечение защищённости инфраструктуры МИАЦ и региональных министерств здравоохранения является критически важным элементом их деятельности, учитывая наличие большого объёма высокочувствительных данных. Каждое подозрительное событие потенциально может представлять собой серьёзный ИБ-инцидент. Центр управления безопасностью (SOC) „Перспективного мониторинга“ обеспечивает комплексную защиту инфраструктуры, осуществляя детальный, в том числе ручной, анализ и расследование всех выявленных подозрительных событий и инцидентов», — отметил Сергей Нейгер.

🔗 Узнать больше об услугах SOC ПМ можно на сайте.

Минцифры Сахалинской области и Алтайского края впервые провели совместные киберучения на киберполигоне Ampire

📆 28 мая прошли совместные киберучения в онлайн-формате среди работников подведомственного учреждения Министерства цифрового и технологического развития Сахалинской области «Центр региональной цифровой трансформации», а также представителей органов исполнительной власти и подведомственных учреждений Алтайского края.

🥇 Межрегиональные киберучения прошли на киберполигоне Ampire под руководством преподавателей ПМ.

Совместные киберучения ИБ-специалистов Сахалинской области и Алтайского края проходили в формате CSIRT (Computer Security Incident Response Team). В результате киберучений региональные команды отработали навыки выявления компьютерных атак и расследования инцидентов информационной безопасности, улучшили взаимодействие между подразделениями, а также изучили новые способы нейтрализации и предупреждения компьютерных атак.

«Кибербезопасность сегодня — это не просто технологический вопрос, а основа цифрового суверенитета региона. Под руководством губернатора Сахалинской области Валерия Игоревича Лимаренко мы активно развиваем компетенции наших специалистов, и совместные учения с Алтайским краем — отличная возможность обменяться опытом и отработать действия в условиях реальных киберугроз», — прокомментировал министр цифрового и технологического развития Сахалинской области Александр Снегирев.

🔗 Подробнее

Фото: Минцифры Алтайского края

Специалисты направления исследований киберугроз проанализировали активность ранее неизвестного ВПО GemoDL

❗️Вектор-атаки:
В качестве первоначального доступа злоумышленники используют фишинговую рассылку на почтовые адреса организации. Письмо содержит ZIP-архив "60ZWZ2uhB1LpC2g16uKp3nBZmHomS0keQkan00iJ. zip", внутри которого находится вредоносный файл "Список ко дню России.exe".

После запуска вредоносной программы производится операция XOR для расшифрования строк и дальнейшего исполнения в системе с обращением к внешнему ресурсу "https://new[.]systeme-electric[.]tech/news.html" для получения ключа шифрования (скриншот 1)

Далее на основе полученных строк и случайно сгенерированного целочисленного значения формируется URL-адрес "http://lk[.]systeme-electric[.]tech:8080/kukuruza.7z", к которому ВПО инициирует сетевое подключение для загрузки второго этапа – шеллкода Donut. Подтверждением загрузки дополнительных модулей являются строки WebClient, DownloadData (скриншот 2)

После успешной загрузки в систему шеллкод с помощью атрибута [UnmanagedFunctionPointer(CallingConvention.StdCall)] внедряется в легитимные процессы за счет динамического вызова WinAPI через специальные указатели stdcall (скриншот 3 и 4)

Следующим этапом происходит извлечение полезной нагрузки в виде импланта С2-фреймворка Sliver.
Имплантом Sliver реализуется следующий функционал:
🟠после запуска порождается подпроцесс conhost.exe;
🟠закрепление в системе происходит через ветвь реестра "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run";
🟠выполняется ослабление политики безопасности IE/Edge, путем изменения параметров "AutoDetect" и "UNCAsIntranet";
🟠производится размещение приманочных HTML-файлов в каталоге "VirtualStore" и "$Recycle.Bin", что позволяет замаскировать активность и уничтожить процессы при перезагрузке

❗️Финальным этапом вредоносной активности является взаимодействие зараженного хоста с С2-сервером злоумышленника. Предположительно, мотивацией атакующих является кибершпионаж. Основной задачей, характерной для подобных групп, является эксфильтрация данных из системы и удаленное управление скомпрометированными узлами.

❗️Индикаторы компрометации:
IP:

46.8.220[.]151 (C2 sliver)

Domains:

systeme-electric[.]tech
vostok-eleclra[.]ru
ufadializ[.]ru
689856.cloud4box[.]ru

URLs:

https[:]//new.systeme-electric[.]tech/news.html
http[:]//lk.systeme-electric[.]tech:8080/kukuruza.7z
https[:]//new.systeme-electric[.]tech/news.html
http[:]//lk.systeme-electric[.]tech:8080/kukuruza.7z
http[:]//46.8.220[.]151/oauth/oauth2/php/api/oauth/database/register.html?hl=64922z208&i=38656024
https[:]//lk.systeme-electric[.]tech/oauth2/database/login.html?_=u63842650&vm=941f84746
https[:]//46.8.220[.]151/oauth/oauth2/database/api/db/php/oauth2callback/login.html?cw=649r2220_8&t=90125495
http[:]//46.8.220[.]151/db/database/index.html?a=92q73833&aq=12279097
http[:]//lk.systeme-electric[.]tech/api/api/api/api/oauth2/database/index.html?do=80885693&r=61387308
https[:]//46.8.220[.]151/oauth2callback/database/php/oauth2callback/register.html?j=50d22046c3&wk=d12279b097

SHA256:

66d4982d72e01f27f7c9c993fba308ef5fcb035cddffcae83c327695374f6fd2 (Список ко Дню России.exe)
460a3dfa839376aed1f340f4def871a7c207113a6fc252971fbf94395f2cfe2f (Gemodializrb.exe)
f04e39d67bc3d11dc1592cad9188377ab1c0808631ec450fc133fa940c821985 (Gemodializrb.exe var2)
64148edf25e50b9d62880e0e1e2466b992639d7f6889eb1a88fd199272ba8bcb (Donut shellcode)
5c21fb6c33a7a74c3d7fceb1488b6531c20510ef17d330eefe07b18b086d97b9 (Donut shellcode kukuruza.exe)
90e765a6648a10f3fc332284e59a05ad32c2ca2437795388e6b406b6d8dc79ac (Sliver implant)

❗️В базах решающих правил AM Rules ПМ присутствуют детектирующие правила, позволяющие обнаружить не только конкретную описанную угрозу, но и предотвратить аналогичную активность злоумышленника в дальнейшем. Проверить собственные индикаторы компрометации на вредоносность можно с помощью AM TIP

#AM_Rules