К взлому была причастна хакерская группировка PhantomCore, которая на момент обнаружения уже две недели владела сетью организации
Облачное решение для мониторинга безопасности и реагирования на кибератаки РТ Х компании Positive Technologies в январе 2026 года выявило вредоносную активность в инфраструктуре клиента. Команда продукта и специалисты департамента комплексного реагирования на киберугрозы экспертного центра Positive Technologies (PT ESC IR) помогли оперативно принять меры — локализовать APT-атаку1 и минимизировать риски. Сейчас компания полностью восстановилась после атаки.
1 Атака типа advanced persistent threat (APT-атака) — это хорошо организованная, тщательно спланированная кибератака, которая направлена на конкретную компанию или целую отрасль. За APT-атакой, как правило, стоят преступные группировки, имеющие значительные финансовые ресурсы и технические возможности.
В январе 2026 года решение PT X еще на этапе инсталляции продукта в инфраструктуру клиента обнаружило нетипичную активность на защищаемых с применением MaxPatrol EDR хостах. Уже через 15 минут с момента обнаружения клиент получил рекомендации от PT X заблокировать доменную учетную запись подозрительного администратора. Еще через 1,5 часа компания подтвердила факт инцидента. Клиент и команда PT X приступили к совместным мероприятиям по локализации и сдерживанию инцидента.
Параллельно к расследованию подключилась команда PT ESC IR, которая провела атрибуцию злоумышленников, — ими оказалась группировка PhantomCore, которая впервые была обнаружена в марте 2024 года. Кибератаки группировки направлены преимущественно на российские организации в сферах госуправления, судостроительства, добывающей промышленности, ИТ. Основная мотивация — кибершпионаж. Согласно результатам расследования, в этот раз точкой входа для злоумышленников стала платформа видео-конференц-связи, в которой была обнаружена уязвимость.
Расследование команды PT ESC IR и работы по локализации инцидента велись на протяжении нескольких дней. Параллельно специалисты Positive Technologies продолжали внедрение PT X и помогали компании усилить защищенность ИТ-инфраструктуры, в том числе исправляя ошибки конфигураций и повышая стойкость паролей. Меньше чем за сутки совместными силами удалось заблокировать доступ до управляющего сервера (C2) и сбросить пользовательские пароли скомпрометированных атакующими учетных записей.
Как удалось выяснить впоследствии, атакующие, используя недостатки безопасности ИТ-инфраструктуры, запустили вредоносное ПО с C2 сервера и похитили пароли доменного администратора2. Недостаточно корректное сетевое сегментирование и отсутствие разделения привилегий для административных учетных записей позволили злоумышленникам продолжить движение по инфраструктуре, используя утилиту atexec.py. Среди скомпрометированных активов оказались один из контроллеров домена и служба сертификации Active Directory.
Злоумышленникам удавалось оставаться незамеченными на протяжении двух недель до попадания скомпрометированных хостов под защиту PT X. Этот инцидент показывает: важность обеспечения покрытия ИТ-активов средствами мониторинга и защиты для своевременного выявления киберпреступников и остановки их действий до того, как они достигнут своей цели и нанесут существенный ущерб бизнесу и репутации компании.
2 Администратор домена — пользователь с наивысшими привилегиями, позволяющими управлять ресурсами доменной сети.
«В нашей практике нередко встречаются компании, убежденные, что построение кибербезопасности — это задача, решение которой можно отложить на потом. Аргументы чаще всего одни и те же: „мы не интересны хакерам“, „есть более крупные компании“, „внедрение защиты — это сложно и дорого“. Однако это самое большое заблуждение. В фокусе злоумышленников — и средний, и даже малый бизнес. При этом ответственный подход к обеспечению информационной безопасности, как в этом кейсе, позволил избежать наиболее критичного сценария развития событий. Ответом на современные реалии и на потребность компаний в обеспечении защиты в режиме 24/7, а также ее гарантированности при соблюдении киберминимума становятся решения, не требующие штата специалистов по ИБ и затрат на построение собственного SOC, такие как PT X».
Алексей НовиковУправляющий директор Positive Technologies
По результатам реагирования на инцидент эксперты Positive Technologies не только остановили кибератаку, но и дали свои рекомендации по усилению безопасности ИТ-инфраструктуры. Клиент их применил, чтобы минимизировать возможность повторения подобного инцидента.
Компания Positive Technologies предлагает клиентам PT X выход на кибериспытания, которые предусматривают постоянное измерение защищенности компании. В рамках кибериспытаний независимые исследователи изучают возможность реализации недопустимых событий. В случае их реализации Positive Technologies выплатит вознаграждение белым хакерам.
