Positive Technologies

Блог PT ESC Threat Intelligence

В этом блоге вы можете найти информацию об актуальных атаках хакерских группировок по всему миру, разбор их инструментов, информацию об инцидентах, TTP группировок, индикаторы компрометации и названия детектов в наших продуктах

Если вас взломали, обратитесь за расследованием инцидента к команде экспертного центра безопасности PT ESC

Связаться с нами

  • Crypters And Tools. Один инструмент для тысяч вредоносных файлов

    После выхода статьи про хакерскую группировку PhaseShifters, атаковавшую российские компании и государственные органы, специалисты департамента Threat Intelligence экспертного центра безопасности Positive Technologies продолжили активно изучать инфраструктуру злоумышленников и используемые ими сервисы. Через некоторое время после начала поисков удалось обнаружить открытую директорию с экземпляром (приватным приложением) криптора, распространяемого по подписке, — Crypters And Tools. Тщательное изучение позволило расширить кластер активности, связанной с этим CaaS, найти новые узлы инфраструктуры и понять принцип работы криптора. Расширение кластера показало, что инструмент пользуется спросом у нескольких других группировок. Часть из них мы уже упоминали в статье о PhaseShifters: это TA558 и Blind Eagle.
    Crypters And Tools

  • Desert Dexter. Атаки на страны Ближнего Востока

    В феврале специалисты группы киберразведки департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC) обнаружили вредоносную кампанию, нацеленную на жителей стран Ближнего Востока и Северной Африки и активную с сентября 2024 года. Для распространения ВПО злоумышленники создают поддельные новостные группы в социальных сетях и публикуют посты с рекламой, содержащие ссылки на файлообменник или Telegram-канал. По этим ссылкам располагается ВПО AsyncRAT, модифицированное для поиска криптокошельков и взаимодействия с Telegram-ботом. Похожую кампанию в 2019 году описали эксперты из компании Check Point, но сейчас наблюдается изменение некоторых техник в цепочке атаки.
    Desert Dexter. Атаки на страны Ближнего Востока

  • Эволюция инструментов Dark Caracal: анализ кампании с использованием Poco RAT

    В первом квартале 2024 года в поле зрения сотрудников департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC) попал вредоносный семпл. Сообщество назвало его Poco RAT — по наименованию используемых библиотек POCO для C++. На момент обнаружения семпл не был атрибутирован к какой-либо известной группировке.
    Обложка

  • Вредоносные пакеты deepseeek и deepseekai были опубликованы в Python Package Index

    В рамках исследования и отслеживания угроз группа Supply Chain Security департамента Threat Intelligence экспертного центра Positive Technologies (PT ESC) обнаружила и предотвратила вредоносную кампанию в главном репозитории пакетов Python Package Index (PyPI). Атака была нацелена на разработчиков, ML-специалистов и простых энтузиастов, которым могла быть интересна интеграция DeepSeek в свои системы.
    Фон

  • DarkGaboon
    Российские компании атакует ранее не известная APT-группировка, остававшаяся незамеченной более полутора лет

    В середине октября 2024 года департамент киберразведки экспертного центра безопасности Positive Technologies (PT Expert Security Center) зафиксировал таргетированную рассылку Revenge RAT, нацеленную на сотрудников финансовых подразделений российских компаний. Особое внимание привлекли необычные африканские названия управляющей инфраструктуры злоумышленников. Углубившись в исследование, мы выявили и отследили новую, ранее не описанную APT-группировку, атакующую российские компании как минимум с мая 2023 года. В связи с использованием африканских названий, регулярными обновлениями семплов и приманок, «пятнистостью» названий вредоносных файлов и продолжительной скрытностью в киберпространстве мы назвали группировку DarkGaboon — в честь африканской габонской гадюки, которую можно встретить в окрестностях стратовулкана Килиманджаро.
    Фон

  • Cloud Atlas: sheet happens

    В ноябре 2024 года сотрудники одной из российских государственных организаций обнаружили фишинговую рассылку и обратились к команде PT ESC IR для помощи в расследовании вредоносной активности.
    Фон

  • TaxOff: кажется, у вас... бэкдор

    В третьем квартале 2024 года специалисты TI-департамента экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) в рамках исследования угроз обнаружили серию атак, направленных на государственные структуры России. Связей с уже известными группами, использующими такие же техники, нам установить не удалось. Основной целью киберпреступников был шпионаж и закрепление в системе для развития последующих атак. Эту группировку мы назвали TaxOff из-за использования писем на правовые и финансовые темы в качестве приманок. В своих атаках злоумышленники использовали написанный на C++17 бэкдор, который мы назвали Trinper из-за артефакта, используемого при связи с C2.
    Фон

  • DarkHotel. Зоопарк группировок и общих техник

    В начале сентября 2024 года специалисты группы киберразведки Threat Intelligence (TI) департамента PT Expert Security Center (PT ESC) обнаружили подозрительный образ виртуального диска формата VHDX, что является крайне редким событием при просмотре потока данных. Анализ VHDX и всех связанных файлов позволил атрибутировать эту атаку к группировке APT-C-60. Одну из последних похожих кампаний в июле 2023 года описали в своей статье эксперты компании ThreatBook. Однако при сравнении удалось выделить различия как в файловой иерархии на диске, так и в используемых командах, инструментах. В этой статье мы описали структуру файлов на виртуальном диске, анализ цепочки атаки, поиск дополнительных файлов, а также почему данная атака принадлежит, по нашему мнению, именно к группировке APT-C-60 и как эти злоумышленники связаны с группировкой DarkHotel.
    image

  • Дети, не списываем! «Новые» техники группировки PhaseShifters

    В процессе мониторинга атак на российские организации специалистами департамента Threat Intelligence экспертного центра безопасности Positive Technologies были обнаружены фишинговые письма и файлы, адресованные различным российским компаниям, в том числе и государственным. Проанализировав контекст атаки, а также загружаемое ВПО, удалось атрибутировать данные файлы к группировке PhaseShifters.
    image

  • Фальшивый аттач. Атаки на почтовые серверы Roundcube с использованием уязвимости CVE-2024-37383.

    Roundcube Webmail — клиент для электронной почты с открытым исходным кодом, написанный на PHP. Обширный функционал, а также возможность удобного доступа к почтовым аккаунтам из браузера без необходимости установки полноценных почтовых клиентов обусловила его популярность в том числе среди коммерческих и государственных организаций многих стран. Широкое использование делает его привлекательной целью для злоумышленников, которые адаптируют эксплойты через достаточно короткое время, после появления сведений о них в открытом доступе. Пример одной из подобных атак мы хотим привести в этой статье.
    Фон
  • 1
  • 2
  • 3
  • 4
  • 5

Экспертный центр безопасности Positive Technologies (PT ESC)

Экспертный центр безопасности Positive Technologies занимается обнаружением, реагированием и расследованием сложных инцидентов, а также мониторингом защищенности корпоративных систем.

+200

экспертов

+150

реализованных проектов

Услуги PT ESC

  • Реагирование на инциденты информационной безопасности и их расследование
  • Ретроспективный анализ на выявление следов компрометации
Подробнее о сервисе