РТ-ИБ
1.24K subscribers
1.34K photos
50 videos
3 files
140 links
РТ-Информационная безопасность

Актуальные новости, советы и обзоры технологий для защиты данных. Будьте в курсе киберугроз и научитесь эффективно защищать свои цифровые ресурсы с нами!

Наш официальный сайт — https://rt-ib.ru
Download Telegram
Бета-доступ как приманка

В 2025 году киберпреступники всё чаще используют социальную инженерию и игровые платформы для атак. Новый инфостилер AgeoStealer распространяется, используя интерес геймеров к бета-доступу и неофициальным релизам.

Злоумышленники используют методы социальной инженерии для распространения ВПО как в крупных тематических каналах, посвященных играм, так и в личных сообщениях на соответствующих платформах.


📢 Что произошло?
Специалисты по информационной безопасности выявили активное распространение нового вредоносного ПО — AgeoStealer, ориентированного на игровое сообщество. Распространяется стилер через прямые сообщения в Discord* — социальную сеть с одним из крупнейших охватов среди любителей мультиплатформенных игр (запрещена на территории РФ), где жертвам предлагают протестировать «новую видеоигру в раннем доступе».

Пользователю отправляют архив, защищённый паролем, якобы с инсталлятором на базе движка Unity. На самом деле — это модифицированный инсталлятор, собранный на базе NSIS (Nullsoft Scriptable Install System), в который встроен вредоносный JavaScript-код. Код AgeoStealer использует комбинированные методы обфускации JavaScript-кода, что существенно усложняет его статический анализ.

Как работает AgeoStealer
После запуска вредонос:
📎определяет параметры среды запуска для отслеживания использования технологий виртуализации/песочниц (T1497)
📎выполняет PowerShell-код для отключения системных процессов мониторинга безопасности, а также процессов для работы отладчиков
📎выполняет закрепление в системе с помощью добавления в автозагрузку
📎производит действия по Process Discovery (T1057) в системе и отслеживает запущенные процессы Web-браузеров, которые хранят или передают пользовательские данные
📎переходит к сбору данных с устройства, сканируя содержимое файловой системы (T1547)

Для файлов большого объема или файлов проприетарного формата используется отдельная функция сканирования "scanDirectoriesForLargeFiles()"

Цель — извлечение учётных данных из браузеров:
🟡 Chrome
🟡 Firefox
🟡 Edge
🟡 Opera

Инфостилер ищет:
🟡 Cookies
🟡 Сохранённые пароли
🟡 Сессионные токены
🟡 Данные автозаполнения
🟡 Информацию об установленных расширениях/плагинах
🟡 Файлы из стандартных пользовательских папок, включая рабочий стол и загрузки

После сбора данные сжимаются и загружаются на файловый сервис GoFile.io, позволяя злоумышленнику удалённо получить их без необходимости взаимодействия с системой напрямую.

Почему это важно
По данным Flashpoint, инфостилеры обеспечили до 75% всех случаев компрометации учётных данных в 2024 году — это около 2,4 млрд логинов.

РТ-Информационная безопасность рекомендует:
1️⃣ Не скачивать файлы из непроверенных источников, даже если их отправляют «знакомые»
2️⃣ Игнорировать предложения протестировать игры без официальных анонсов
3️⃣ Получать доступ к beta-тестированию или ключи от игр только с официальных ресурсов разработчика или на онлайн-сервисах цифрового распространения игр и программ
4️⃣ Использовать антивирусное ПО с поведенческим анализом
5️⃣ Хранить пароли в менеджерах, а не в браузерах
6️⃣ Включить двухфакторную аутентификацию на всех платформах

#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
12👍641
Вспомни своего героя

До конца подачи заявок остаётся неделя.
Наши деды и прадеды воевали за страну, за будущее, за нас. Сейчас наша очередь — сохранить память о них.

Подать заявку можно до 6 мая на 2025.polkrf.ru, а также через мини-приложения:
🟡 ВКонтакте
🟡 Одноклассники

Фотографии будут показаны 9 мая — в День Победы.

Это больше, чем память.
Please open Telegram to view this post
VIEW IN TELEGRAM
13
Луки-луки-луки Новый способ борьбы с cookie

📢 Brave выпустила инструмент с открытым исходным кодом для борьбы с уведомлениями о согласии на использование cookie — Cookiecrumbler.

Ранее Brave уже блокировал баннеры с cookie автоматически, но это иногда вызывало сбои в работе сайтов. Новый подход позволяет решать проблему, не влияя на их функциональность.

Особенности инструмента:
📎Применяет большие языковые модели (LLM) для поиска и блокировки cookie-уведомлений.
📎Работает только на сервере Brave — без доступа к пользовательским данным.
📎Использует прокси и сканеры вместо реальных сессий, чтобы имитировать просмотры.
📎Открыт для использования разработчиками через GitHub.
📎Используется как внутренний инструмент анализа.

Как работает Cookiecrumbler:
1️⃣ Сканирует сайты через региональные прокси.
2️⃣ Использует Puppeteer для загрузки страниц и обнаружения cookie-уведомлений.
3️⃣ Передаёт найденные элементы в ИИ для классификации и предложений по исправлению.
4️⃣ Публикует результаты на GitHub для обсуждения и проверки сообществом.

Его интеграция в браузер возможна только после завершения полной проверки безопасности и соблюдения стандартов конфиденциальности.

#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
129👍72
Досье: ГРУППА «LAZARUS»

Объект исследования:
Государственная кибергруппировка, предположительно спонсируемая Северной Кореей.

Группа Lazarus известна своими масштабными и разрушительными кибератаками по всему миру. Ее арсенал включает сложное вредоносное ПО, методы социальной инженерии и изощренные техники обхода защитных механизмов.

Основные факты:
Происхождение и мотивация:
группа связывается с государственными структурами Северной Кореи. Ее цели варьируются от финансового ущерба до стратегического кибершпионажа.

Знаковые атаки:
📎Атака на Sony Pictures (2014)
📎Кража средств из центрального банка в Бангладеш (2016)
📎Массовая атака WannaCry (2017)

Методы работы:
🟡 Использование фишинговых кампаний и целевых рассылок
🟡 Применение эксплойтов для заражения систем через уязвимости
🟡 Распространение сложного вредоносного ПО, способного обходить традиционные антивирусные решения

Технические детали:
Группа применяет многоступенчатые схемы проникновения:
1️⃣ Первичный вектор — социальная инженерия, направленная на заманивание жертв в ловушку
2️⃣ Второй этап — использование эксплойтов и модификация системных настроек для закрепления доступа
3️⃣ Третий этап — организация удаленного управления зараженными устройствами посредством скрытых командных серверов

Рекомендации по защите:
📎Обучение персонала: объясните сотрудникам правила безопасного поведения в сети и методы распознавания фишинговых атак.
📎Системы защиты: используйте современные EDR-решения (например, RT Protect EDR) и регулярно обновляйте антивирусное ПО.
📎Мониторинг сети: настройте системы обнаружения аномалий для своевременного выявления подозрительной активности.
📎Обновление ПО: следите за выходом и процессом своевременной установки патчей безопасности для всех используемых информационных систем.

#ПрофильПреступника
Please open Telegram to view this post
VIEW IN TELEGRAM
👍752
Мир, труд, кибербезопасность!

🎉 Товарищи, поднимем знамя цифровой защиты!
Пусть наши данные будут неприступной крепостью, а киберугрозы — лишь отголоском прошлого.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
1366
Внимание на экран

То, на что мы закрываем глаза каждый день, может нести реальные риски. Рабочий стол — не исключение. Он может стать точкой входа для угроз или отражением цифровой гигиены.

А теперь — честно:
Как выглядит ваш рабочий стол прямо сейчас?

💛 — 1 вариант
🔥 — 2 вариант

#ВиртуальныеДуэли
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
117😐6👀3👍1🎉1
Время почтить память

Сегодня — последний день, когда можно подать фотографию своего героя в онлайн-шествие «Бессмертного полка».

Это не просто акция. Это возможность сказать «спасибо» тем, кто воевал, выстоял, победил. Это возможность показать миру лицо вашего родственника и его вклад в нашу общую историю.

Подать заявку можно здесь:
🟡 2025.polkrf.ru
🟡 ВКонтакте
🟡 Одноклассники

Расскажите, кем был ваш герой. Где воевал. За что был награждён.
Дайте ему снова пройти в строю — пусть вся страна увидит, кому мы обязаны.
Please open Telegram to view this post
VIEW IN TELEGRAM
76👍52
Май. Лужники. PHD 2025

🔥 РТ-Информационная безопасность готовится к Positive Hack Days Fest — и вы тоже должны быть там.

Это международный фестиваль про кибербезопасность, технологии и digital-культуру. Если вы хоть немного интересуетесь ИБ или просто хотите понять, как устроен мир «по ту сторону экрана» — мы уже ждем вас на нашем стенде!

Что вас ждет?
1️⃣ Стенд (А3) — технологичный, интерактивный, с уютной переговорной.
2️⃣ Покажем экосистему RT Protect — все ключевые решения и услуги в действии.
3️⃣ Запускаем CyberMatch — новый формат быстрых собеседований для поиска талантливых кандидатов прямо на фестивале.
4️⃣ Много докладов от экспертов РТ-Информационная безопасность — особенно из SOC-центра.
5️⃣ Розыгрыши призов — готовьтесь к участию!

Когда: 22–24 мая
Где: Лужники, Москва

Технологии становятся ближе. А ты — умнее и защищённее.
Увидимся на PHD!

#PHD
Please open Telegram to view this post
VIEW IN TELEGRAM
21288
So call me, maybe? Фишинговые звонки от Luna Moth

С марта 2025 года специалисты по информационной безопасности фиксируют новую волну атак от хак-группы Luna Moth (также известной как Silent Ransom Group). Цель — юридические и финансовые компании в США, метод — социальная инженерия без вредоносного кода.

Ключевые факты:
📎Жертве приходит e-mail с просьбой связаться с «ИТ-отделом»
📎Через звонок атакующие уговаривают установить легальные RMM-инструменты (RMM — это программное обеспечение для удалённого мониторинга и управления компьютерами и сетевыми устройствами)
📎Доступ получен — злоумышленники начинают использовать инструменты для разведки, такие как SharpShares, SoftPerfect Network Scanner
📎Используются фальшивые домены техподдержки (зарегистрированы через GoDaddy, минимум 37 штук)
📎Размер выкупа: от $1 до $8 млн
📎Все действия — через официальные каналы и ПО, что усложняет обнаружение

После компрометации происходит эксфильтрация данных через WinSCP и Rclone, а пострадавших шантажируют утечкой.

Почему это важно:
⚫️ Нет вирусов, нет подозрительных вложений — только звонок и доверие
⚫️ Атаки обходят традиционные системы защиты
⚫️ Установку ПО осуществляет сам пользователь

Рекомендовано:
1️⃣ Заблокировать неиспользуемые инструменты удалённого доступа
2️⃣ Добавить известные фишинговые домены в черные списки
3️⃣ Провести тренинги для сотрудников
4️⃣ Настроить строгий контроль за удалённым доступом и логами подключений

Вредоносные IP-адреса
· 185.228.234[.]231
· 81.200.148[.]140
· 46.173.214[.]122
· 192[.]119[.]110[.]166
· 104[.]168[.]201[.]87
· 192[.]236[.]176[.]199
· 192[.]236[.]195[.]83
· 192[.]236[.]193[.]151

Фишинговые домены:
· Cisohelpdesk[.]com
· scotiabank-help[.]com
· scotiabankhelpdesk[.]com
· vorys-helpdesk[.]com
· cibc-helpdesk[.]com
· bc-helpdesk[.]com
· kobrekim-helpdesk[.]com
· irell-helpdesk[.]com
· bakerbotts-helpdesk[.]com
· nerc-helpdesk[.]com
· pinetree-helpdesk[.]com
· mortgage-helpdesk[.]com
· paulhastings-helpdesk[.]com
· law-helpdesk[.]com
· citylegalservices-helpdesk[.]com
· blankrome-helpdesk[.]com
· irell-helpdesk[.]com
· gmlaw-helpdesk[.]com
· bradley-helpdesk[.]com
· kobrekim-helpdesk[.]com
· telephoneorange1.godaddysites[.]com
· support-helpdesk[.]com
· ss-recovery[.]com
· global-helpdesk[.]com
· masterclass-design[.]com
· yourduolingo[.]com
· duolingo-it[.]com
· zohomclass[.]com
· volutpat[.]xyz


#Новости
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
109🫡65
Анонимности не существует

📢 Вы всё ещё думаете, что Tor делает вас невидимым?
Это представление все дальше от реальности. Новое исследование «The Onions Have Eyes: A Comprehensive Structure and Privacy Analysis of Tor Hidden Services» из Университета Деусто показало: даже в скрытой сети вы оставляете следы.

Что обнаружили исследователи, проанализировав 1,5 миллиона страниц, размещенных в ~7000 .onion-доменах:
📎Почти 20% страниц имеют в своем коде ресурсы (изображения, скрипты и т.д.) с обычных сайтов.
📎На около 30% сайтов работают трекеры — скрипты, отслеживающие перемещения пользователя по странице.
📎Около 14% сайтов используют компоненты Google. Даже в Deep WEB-сегментах ваш трафик может попасть под наблюдение рекламных и аналитических систем.

Если сайт, хостинг которого размещен на .onion-домене, использует те же скрипты и блоки динамического кода, что и сайт, размещенный в Интернете, деанонимизация становится возможной.

Особый риск — использование Tor-прокси (вроде Tor2Web):
⚫️ Они позволяют открывать .onion-сайты без Tor-браузера — через обычный Интернет. В этом случае ваш реальный IP-адрес становится видимым.
⚫️ При загрузке внешних ресурсов ваш браузер обходит Tor-маршрутизацию, нарушая анонимность.

Что нужно знать о Tor-браузере:
📎Он построен на базе Firefox ESR, а значит, наследует его уязвимости.
📎В истории Tor уже были случаи, когда уязвимости в браузере позволяли точечно деанонимизировать пользователей (например, через SVG-эксплойты).
📎Да, обновления важны. Но даже они не делают вас невидимым.

Как действительно минимизировать риски:
1️⃣ Используйте только официальный Tor Browser
2️⃣ Не открывайте .onion через прокси — это прямой путь к утечке IP
3️⃣ Не используйте расширения и плагины в браузере Tor
4️⃣ Не открывайте файлы, загруженные через Tor, пока подключены к сети
5️⃣ Не вводите персональные данные, даже косвенно — любая утечка может стоить вам анонимности

В следующем посте «Техноразбора» — практика: как правильно настроить Tor, чтобы снизить риски до минимума.

#УголокТехнаря
Please open Telegram to view this post
VIEW IN TELEGRAM
654👍3
Media is too big
VIEW IN TELEGRAM
Кибербез — это не только про атаки и защиту. Это ещё и про комьюнити, драйв и большие идеи.
И именно поэтому команда РТ-Информационная безопасность участвует в Positive Hack Days 2025!

🔥Смотрите видео, делайте репосты, задавайте вопросы в комментариях — и до встречи на нашем стенде (А3)!

#PHD2025
Please open Telegram to view this post
VIEW IN TELEGRAM
11676
CyberMatch — поймай свой оффер

Лужники, стенд РТ-Информационная безопасность
23 мая | PHdays 2025


📢 Если ты хочешь работать в ИБ, но обычные собеседования кажутся скучными — встречай Speed Dating Job Interview на PHdays 2025!

В чём суть:
📎5–7 минут на знакомство с потенциальным работодателем
📎Прямой контакт с HR-специалистами РТ-Информационная безопасность
📎Обратная связь на месте: никаких «Мы вам перезвоним»
📎Автоматически участвуешь в розыгрыше призов, просто зарегистрировавшись (может, выиграешь не только подарок, но и оффер мечты)

Обязательно прихвати резюме, расскажи о своих скиллах, проектах и почему ты — идеальный кандидат.

🔥 Регистрируйся на CyberMatch по ссылке твой staRT в мир ИБ

#PHD2025
Please open Telegram to view this post
VIEW IN TELEGRAM
12129👍3
🎉 С Днём Великой Победы!

9 мая — день, который объединяет поколения. День, когда тишина звучит громче любых слов, а память становится живой.

Глава Ростеха Сергей Чемезов в поздравлении с 80-летним юбилеем Победы отметил, что сегодня, как и в годы Великой Отечественной, каждый из нас вносит вклад в укрепление страны – своим трудом, достижениями в науке и культуре, в экономике, в промышленности, на ратном поприще.

«В годы Великой Отечественной войны старейшие предприятия Ростеха сделали все возможное и невозможное для приближения Победы. Они выпускали оружие и боеприпасы, которые помогали советским воинам отстаивать свободу и независимость страны. Работники наших оборонных предприятий не только ударно трудились в тылу, но и героически сражались на фронте», – сказал Чемезов.


Также он добавил, что защита и служение Отечеству во все времена были и останутся для россиян священным долгом.

«Сколько бы лет ни прошло – 9 мая 1945 года навсегда останется в истории нашей страны, как день национального триумфа, всенародной радости и торжества справедливости. Мы будем помнить мужество и отвагу наших отцов, дедов и прадедов, освободивших мир от нацизма, подаривших нам будущее. Эта память делает нас сильнее, позволяет еще больше объединить наше общество», – подчеркнул глава Госкорпорации.


Мир — не данность, а завоёванное право. Цените, берегите, не забывайте.
Please open Telegram to view this post
VIEW IN TELEGRAM
21👍993