Дорогие подписчики!

🎄Благодарим вас за то, что вы с нами, всех вас — и тех, кто читает наши новости весь этот год, и тех, кто подписался совсем недавно. Мы стараемся делать контент интересным и полезным для вас, и ваши реакции на посты показывают, что мы стараемся не зря.

❄️ ❄️ На новогодних каникулах мы не будем ничего публиковать — давайте отдыхать! Пусть ваши выходные пройдут именно так, как вы этого захотите, пусть каждый день подарит вам радость и поможет набраться сил для новых рабочих или учебных будней. А чтобы они были веселей, дарим вам новый стикерпак с нашим персонажем 👍.

С Новым годом!

😀😀😀😀
Вредоносное ПО FireScam обнаружено исследователями Cyfirma на веб-ресурсе, мимикрирующим под RuStore. Доменное имя страницы:

rustore-apk.github.io

Распространяемое ПО в свою очередь было замаскировано и названо "Telegram Premium", что могло заинтересовать пользователей независимо от сферы их деятельности.

Вектор атаки:
Как было упомянуто ранее, для доставки использовалась фишинговая веб-страница RuStore. При попытке загрузки приложения пользователь устанавливал программу-дроппер "GetAppsRu.apk", который впоследствии запрашивает от жертвы множество разрешений на работу с системными данными. После получения соответствующих прав устанавливается основной модуль полезной нагрузки "child.apk", который приветствует пользователя и снова запрашивает некоторые подтверждения. Финальным этапом является перенаправление жертвы на официальный сайт Telegram для прохождения авторизации. Именно в этот момент можно считать систему скомпрометированной, поскольку агент шпионского ПО был успешно установлен.

Целевой возможностью ПО является способность "перехватывать" телефонию, SMS и сообщения мессенджеров. Собранная агентом информация отправлялась на выделенный С2-сервер:

androidscamru-default-rtdb.firebaseio.com

После данные временно сохранялись в Firebase Realtime Database, фильтровались и анализировались оператором.

❗️ Помимо двух упомянутых в статье образцов специалистами направления исследований киберугроз ПМ были найдены еще 2 APK-файла со схожими названиями, связанные с сетевым индикатором "rustore-apk.github[.]io"

🟠Рекомендуем не выполнять установку приложений из неофициальных источников и внимательно проверять веб-адреса, прежде чем взаимодействовать с ними.
🟠Обнаружить угрозу возможно с помощью детектирующих правил AM Rules, поставляемых в составе продуктов ИнфоТеКС и хранящихся в базах AM Threat Intelligence Portal. #AM_Rules

IoCs:

b041ff57c477947dacd73036bf0dee7a0d6221275368af8b6dbbd5c1ab4e981b
12305b2cacde34898f02bed0b12f580aff46531aa4ef28ae29b1bf164259e7d1
6e4818fb866251dc38b62a42b630207bcdc4bacf3b04af702fb41e95de089bd2
0314c353e705f1d66b48d160f53a3440e472af8cc0a5872c8c745de29073e2cd
rustore-apk.github.io
androidscamru-default-rtdb.firebaseio.com

😀😀😀
Александр Пушкин примет участие в эфире AM Live

📆15 января в 11:00 (мск) на AM Live начнётся прямой эфир «Повышение квалификации специалистов по информационной безопасности».

В формате дискуссии спикеры обсудят тему обучения и повышения квалификации на всех уровнях. Вы узнаете, какие программы обучения доказали свою эффективность на практике, как оптимизировать затраты, сохраняя при этом высокую эффективность учебных программ, каких ошибок важно избежать при планировании и проведении обучения.

🟠Какие варианты обучения существуют в России для повышения квалификации в области ИБ?
🟠Какие компетенции в ИБ можно и нужно прокачивать самостоятельно, чтобы оставаться востребованными в быстро меняющихся условиях?
🟠Какие будущие вызовы и угрозы требуют пересмотра существующих методик обучения Blue Team?

Ответы на эти и другие вопросы вы услышите в эфире AM Live.
🔗 Регистрация по ссылке.

⏰ Уже через час, в 11:00, начнётся прямой эфир AM Live «Повышение квалификации специалистов по информационной безопасности» с участием Александра Пушкина, заместителя генерального директора ПМ.

🔗 Чтобы подключиться к эфиру, регистрируйтесь по ссылке.

🟣ИнфоТеКС ТехноФест возвращается в Екатеринбург 13 марта!

Эксперты ИнфоТеКС вновь посетят столицу Урала, чтобы рассказать ИБ-специалистам Свердловской области про сетевую безопасность, решения для организации защищенных коммуникаций, защиту рабочих станций и серверов, про встраиваемую криптографию и многое другое.

На стендах будут представлены актуальные версии популярных продуктов ViPNet, а эксперты компании-разработчика готовы ответить на любые вопросы.

◻️ Как проходит ИнфоТеКС ТехноФест, смотрите в видео

Участие в конференции бесплатное, количество мест ограничено. Требуется предварительная регистрация.

#ИнфоТеКСТехноФест_Екб

😀😀😀😀
Уязвимость переполнения буфера в Ivanti Connect Secure (CVE-2025-0282)

Эксплуатация уязвимостей в веб-приложениях (T1190) с целью удаленного выполнения кода (T1059) остается одной из ключевых техник злоумышленников для нарушения конфиденциальности и целостности системы. Переполнение буфера, вызванное некорректным использованием функции strncpy(), позволяет перезаписывать адрес возврата и исполнять произвольный код, что делает уязвимость крайне опасной.

Коротко о продукте:

Ivanti Connect Secure (ранее известный как Pulse Connect Secure) — это корпоративное решение для обеспечения безопасного удаленного доступа к корпоративным сетям и ресурсам.

Критическая уязвимость (CVE-2025-0282)

CVE-2025-0282 получила 9.0 баллов по шкале CVSS и классифицируется как критическая. Уязвимость заключается в переполнении буфера обработчика пользовательского ввода при запросе к конечному адресу '/dana-na/auth/url_default/welcome.cgi' системы. Отправка полезной нагрузки, которая превышает размер выделенного буфера приводит к перезаписи адрес возврата в стеке, что позволяет выполнить произвольные команды.

Для эксплуатации уязвимости удалённый неаутентифицированный злоумышленник должен отправить специально сформированный POST-запрос с вредоносной полезной нагрузкой. Данный payload отправляет вредоносный скрипт, который подменяет адрес возврата в стеке и направляет выполнение кода на системную функцию system().

Данный недостаток затрагивает версии Ivanti Connect Secure до 22.7R2.5.

Методы обнаружения и эксплуатации

Уязвимость может быть идентифицирована с помощью Integrity Checker Tool (ICT). Злоумышленники, такие как APT-группы (например, UNC5337), используют уязвимость для:
🟠 Установки веб-оболочек;
🟠 Отключения механизмов безопасности;
🟠 Выполнения команд с помощью вредоносного ПО.

Меры противодействия

Обновите программное обеспечение до:
🟠 Ivanti Connect Secure 22.7R2.5
🟠 Ivanti Policy Secure 22.7R1.2
🟠 Ivanti Neurons for ZTA 22.7R2.3

ℹ️ Индикаторы компрометации и правила обнаружения данной CVE можно найти на портале AM TIP.

#AM_Rules

Прогнозы на 2025 год: кибератаки становятся ещё более изощрёнными

Специалисты ПМ подготовили прогнозы по киберугрозам на ближайший год. Кибератаки продолжают эволюционировать, и в 2025 году можно ожидать усиления нескольких ключевых трендов.

❗️ИИ для создания атак
Искусственный интеллект продолжит оставаться мощным инструментом для киберпреступников, и в 2025 году тренд укрепится. Злоумышленники активно используют эти технологии для проведения мошеннических атак. Генерация фальшивых писем, синтез голосов и Deepfake-видео делают атаки максимально убедительными.

❗️ Цепочки поставок под ударом
Компании продолжат быть уязвимыми через партнёров и поставщиков. Атаки на цепочки поставок сохранят место одной из основных стратегий для злоумышленников:
вредоносные обновления и компрометация сторонних сервисов станут частыми способами проникновения в системы крупных организаций.

❗️ Атаки через уязвимости ПО
Программное обеспечение продолжает оставаться привлекательной мишенью. Популярные системы и сервисы могут стать объектом новых атак, направленных на эксплуатацию известных уязвимостей, а ИИ поможет злоумышленникам автоматизировать этот процесс.

❗️ Социальная инженерия
ИИ также будет анализировать поведение, сообщения, интересы жертв для создания персонализированных атак и обхода систем безопасности. Атакующие смогут с лёгкостью подделать голос или внешний вид доверенного лица. В 2025 году ожидаем усиление тенденции использования злоумышленниками мессенджеров для проведения атак.

❗️Атаки на облачные инфраструктуры
С ростом популярности облачных сервисов злоумышленники будут всё активнее искать уязвимости в облачных платформах.
🟠Цель — не только крупные компании, но и малый бизнес, который часто не уделяет должного внимания безопасности в облаке.
🟠Проблемы с конфигурациями и слабой настройкой безопасности останутся основными точками входа для атак. Например, незащищённые API или неверно настроенные права доступа могут стать причиной серьёзных утечек данных.

❓ Что делать?
Организациям необходимо не только усилить защиту от известных угроз, но и активно проводить обучение сотрудников. Особое внимание стоит уделить защите данных подрядчиков.

📆 В 1 квартале 2025 года вы сможете ознакомиться с полным отчётом 🐶 ПМ о ландшафте киберугроз.

ПМ — участник конференции «Кузбасс в цифре»

📆 30 и 31 января в Кемерове пройдёт региональный форум «Кузбасс в цифре», в котором примут участие представители региональных органов исполнительной власти и бизнеса. Сотрудники «Перспективного мониторинга» примут активное участие в форуме.

На площадке форума пройдут киберучения для участников.

ℹ️ «Перспективный мониторинг» активно сотрудничает с администрацией Кузбасса. SOC ПМ обеспечивает круглосуточный мониторинг компьютерных атак на техническую инфраструктуру ОГВ Кузбасса. Региональный киберполигон Кузбасса открыт на базе флагманского продукта ПМ — киберполигона Ampire.

Ampire 1.6: новые сценарии Red Team, уязвимые узлы для конфигуратора и сценарий геопространственной разведки Junior

В новой версии киберполигона 🥇 Ampire разработчики добавили два новых сценария тренировок в формате Red Team, один сценарий в Ampire Junior и сосредоточились на точечных изменениях в пользовательском опыте, повысив удобство и эффективность выполнения регулярных задач на киберполигоне.

🟠 Новые сценарии Red Team
🟠атака на интернет-магазин компании: получение атакующим доступа к внутренним файлам веб-сервера и последующего его использования в качестве плацдарма для движения внутрь инфраструктуры.
🟠атака на СУБД: компания установила СУБД для интеграции с новым продуктом, однако системные администраторы не успели настроить параметры безопасности в СУБД. В результате атакующий получает возможность компрометации базы данных и продолжения вредоносного воздействия внутри корпоративной сети.

🟠 Новые уязвимые узлы
🟠корпоративный почтовый сервер
🟠eCommerce-платформа с открытым исходным кодом
🟠инструмент для визуализации данных
🟠платформа для работы с заявками и инцидентами

🧑‍🏫🧑‍🏫🧑‍🏫🧑‍🏫🧑‍🏫🧑‍🏫
Новый сценарий GEOINT (от англ. geospatial intelligence) — геопространственная разведка, основанная на анализе открытых источников данных и позволяющая точно определить местоположение объекта по фотографии или видео. Сценарий GEOINT знакомит обучаемых с типовыми инструментами геопространственной разведки и наглядно демонстрирует важность соблюдения осторожности при публикации фотографий и видеороликов в Интернете.

🔗 Подробнее об обновлении читайте на сайте AmpireTeam

Итоги мониторинга утечек данных за январь 2025 года

В ходе мониторинга специалисты 🐶 ПМ обнаружили более 30 утечек данных. Скомпрометированная информация затронула такие сферы, как медицина, образование, государственный сектор, крупный и средний бизнес, деятельность автодилеров, онлайн-платформы по поиску работы и ведению бизнеса.

❗️ За самые крупные утечки в январе 2025 года ответственность взяла на себя украинская хакерская группировка Silent Crow.
🟠 Часть данных могла быть сгенерирована автоматически (например, нерелевантные email, адреса, телефоны).

Общий объём утечек составил более 89 миллионов строк.
Среднее арифметическое: 2.41 млн
Медиана: 120 тыс.

Скомпрометированные данные включают в себя номера телефонов, адреса, личные и корпоративные e-mail, социальные сети и другую информацию.

ℹ️ Будьте внимательными к защите личных данных:
🟠 обновляйте пароли;
🟠 используйте многофакторную аутентификацию;
🟠 не передавайте конфиденциальную информацию третьим лицам;
🟠 не стоит регистрироваться на сторонних ресурсах, используя корпоративную почту.

😀😀😀😀
Уязвимость удалённого выполнения кода в Microsoft Windows (CVE-2025-21298)

Фишинговые письма с вредоносным вложением (T1566.001), цель которых эксплуатация уязвимостей в клиентском ПО (T1203) и дальнейшее удалённое выполнение кода (T1059), всегда были одной из ключевых техник злоумышленников для полной компрометации системы.

Одной из возможностей выполнения произвольного кода может являться использование ненулевого указателя вследствие неправильной работы с памятью, что делает уязвимость крайне опасной.

Критическая уязвимость (CVE-2025-21298)

CVE-2025-21298 получила 9.8 баллов по шкале CVSS и классифицируется как критическая. Уязвимость заключается в функции обработки встроенных объектов ‘UtOlePresStmToContentsStm’ библиотеки ‘ole32.dll’ для RTF-файлов в OS Windows. Данная функция неправильно высвобождает память, не обнуляя указатель ‘pstmContents’ при его обработке, что позволяет использовать ненулевой указатель для записи произвольного кода вместо высвобождённого объекта.

Для эксплуатации уязвимости удалённый не аутентифицированный злоумышленник должен отправить специально сформированный RTF-файл на почтовый клиент Outlook, что позволяет исполнить произвольный код без активных действий со стороны пользователя.

Данный недостаток затрагивает следующие версии ОС Windows:

- Microsoft Windows 10
- Microsoft Windows 11 21H2
- Microsoft Windows 11 22H2
- Microsoft Windows 11 23H2
- Microsoft Windows 11 24H2
- Microsoft Windows Server 2008
- Microsoft Windows Server 2012
- Microsoft Windows Server 2016
- Microsoft Windows Server 2019
- Microsoft Windows Server 2022
- Microsoft Windows Server 2025

Меры противодействия

Следовать указаниям из раздела 'Workarounds' бюллетеня безопасности Microsoft

ℹ️ Индикаторы компрометации и правила обнаружения данной CVE можно найти на портале AM TIP.

#AM_Rules