Блог PT ESC Threat Intelligence

В этом блоге вы можете найти информацию об актуальных атаках хакерских группировок по всему миру, разбор их инструментов, информацию об инцидентах, TTP группировок, индикаторы компрометации и названия детектов в наших продуктах

Если вас взломали, обратитесь за расследованием инцидента к команде экспертного центра безопасности PT ESC

Связаться с нами

Квартальный отчет март 2025

В первом квартале 2025 года российские организации столкнулись с рядом целевых кибератак, инициированных различными хакерскими группировками. В этом отчете рассматриваются наиболее значимые кибератаки за этот период, а также раскрываются методы, инструменты и инфраструктура, используемые злоумышленниками.
Фон

Crypters And Tools. Часть 2: Разные лапы — один клубок

В первой части мы рассказали о крипторе Crypters And Tools, который мы обнаружили в процессе исследования атак различных группировок. Отчет концентрировался на внутреннем устройстве и инфраструктуре самого криптора. В этой части мы расскажем о хакерских группировках, которые использовали его в атаках, их связях, уникальных особенностях, а также о пользователях Crypters And Tools, некоторые из которых связаны с рассматриваемыми группировками.
Crypters And Tools. Часть 2: Разные лапы — один клубок

Team46 и TaxOff: две стороны одной медали

В марте 2025 года специалисты TI-департамента экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) исследовали атаку, в которой использовалась зарегистрированная примерно в это же время уязвимость нулевого дня CVE-2025-2783 для браузера Chrome (выход из песочницы). Использование этой уязвимости и саму атаку описали исследователи из «Лаборатории Касперского», однако последующая цепочка заражения осталась без атрибуции.
Фон

Новая волна кибератак APT-группировки Cloud Atlas на государственный сектор России

В ноябре 2024 года одно из российских государственных учреждений привлекло к расследованию кибератаки на свои информационные системы команду реагирования на инциденты экспертного центра безопасности Positive Technologies (PT ESC IR). Результаты расследования позволили выйти на след APT-группировки Cloud Atlas, о которых мы подробно рассказывали в исследовании «Cloud Atlas: sheet happens»
Новая волна кибератак APT-группировки Cloud Atlas на государственный сектор России

Онлайн-запуск PT NAD 12.3

Узнайте, как PT NAD трансформирует подход
к обнаружению сетевых атак

Зарегистрироваться

Crypters And Tools. Один инструмент для тысяч вредоносных файлов

После выхода статьи про хакерскую группировку PhaseShifters, атаковавшую российские компании и государственные органы, специалисты департамента Threat Intelligence экспертного центра безопасности Positive Technologies продолжили активно изучать инфраструктуру злоумышленников и используемые ими сервисы. Через некоторое время после начала поисков удалось обнаружить открытую директорию с экземпляром (приватным приложением) криптора, распространяемого по подписке, — Crypters And Tools. Тщательное изучение позволило расширить кластер активности, связанной с этим CaaS, найти новые узлы инфраструктуры и понять принцип работы криптора. Расширение кластера показало, что инструмент пользуется спросом у нескольких других группировок. Часть из них мы уже упоминали в статье о PhaseShifters: это TA558 и Blind Eagle.
Crypters And Tools

Desert Dexter. Атаки на страны Ближнего Востока

В феврале специалисты группы киберразведки департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC) обнаружили вредоносную кампанию, нацеленную на жителей стран Ближнего Востока и Северной Африки и активную с сентября 2024 года. Для распространения ВПО злоумышленники создают поддельные новостные группы в социальных сетях и публикуют посты с рекламой, содержащие ссылки на файлообменник или Telegram-канал. По этим ссылкам располагается ВПО AsyncRAT, модифицированное для поиска криптокошельков и взаимодействия с Telegram-ботом. Похожую кампанию в 2019 году описали эксперты из компании Check Point, но сейчас наблюдается изменение некоторых техник в цепочке атаки.
Desert Dexter. Атаки на страны Ближнего Востока

Эволюция инструментов Dark Caracal: анализ кампании с использованием Poco RAT

В первом квартале 2024 года в поле зрения сотрудников департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC) попал вредоносный семпл. Сообщество назвало его Poco RAT — по наименованию используемых библиотек POCO для C++. На момент обнаружения семпл не был атрибутирован к какой-либо известной группировке.
Обложка

Вредоносные пакеты deepseeek и deepseekai были опубликованы в Python Package Index

В рамках исследования и отслеживания угроз группа Supply Chain Security департамента Threat Intelligence экспертного центра Positive Technologies (PT ESC) обнаружила и предотвратила вредоносную кампанию в главном репозитории пакетов Python Package Index (PyPI). Атака была нацелена на разработчиков, ML-специалистов и простых энтузиастов, которым могла быть интересна интеграция DeepSeek в свои системы.
Фон

DarkGaboon
Российские компании атакует ранее не известная APT-группировка, остававшаяся незамеченной более полутора лет

В середине октября 2024 года департамент киберразведки экспертного центра безопасности Positive Technologies (PT Expert Security Center) зафиксировал таргетированную рассылку Revenge RAT, нацеленную на сотрудников финансовых подразделений российских компаний. Особое внимание привлекли необычные африканские названия управляющей инфраструктуры злоумышленников. Углубившись в исследование, мы выявили и отследили новую, ранее не описанную APT-группировку, атакующую российские компании как минимум с мая 2023 года. В связи с использованием африканских названий, регулярными обновлениями семплов и приманок, «пятнистостью» названий вредоносных файлов и продолжительной скрытностью в киберпространстве мы назвали группировку DarkGaboon — в честь африканской габонской гадюки, которую можно встретить в окрестностях стратовулкана Килиманджаро.
Фон

TaxOff: кажется, у вас... бэкдор

В третьем квартале 2024 года специалисты TI-департамента экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) в рамках исследования угроз обнаружили серию атак, направленных на государственные структуры России. Связей с уже известными группами, использующими такие же техники, нам установить не удалось. Основной целью киберпреступников был шпионаж и закрепление в системе для развития последующих атак. Эту группировку мы назвали TaxOff из-за использования писем на правовые и финансовые темы в качестве приманок. В своих атаках злоумышленники использовали написанный на C++17 бэкдор, который мы назвали Trinper из-за артефакта, используемого при связи с C2.
Фон
  • 1
  • 2
  • 3
  • 4

Экспертный центр безопасности Positive Technologies (PT ESC)

Экспертный центр безопасности Positive Technologies занимается обнаружением, реагированием и расследованием сложных инцидентов, а также мониторингом защищенности корпоративных систем.

+200

экспертов

+150

реализованных проектов

Услуги PT ESC

  • Реагирование на инциденты информационной безопасности и их расследование
  • Ретроспективный анализ на выявление следов компрометации
Подробнее о сервисе