Блог PT ESC Threat Intelligence

В этом блоге вы можете найти информацию об актуальных атаках хакерских группировок по всему миру, разбор их инструментов, информацию об инцидентах, TTP группировок, индикаторы компрометации и названия детектов в наших продуктах

Если вас взломали, обратитесь за расследованием инцидента к команде экспертного центра безопасности PT ESC

Связаться с нами
PT story

Dragons in Thunder

Во время расследования инцидентов командой Positive Technologies Expert Security Center Incident Response (PT ESC IR) при поддержке команды департамента Threat Intelligence (PT ESC TI) были обнаружены следы использования вредоносного ПО KrustyLoader. Впервые ВПО было описано в январе 2024 года экспертами из команд Volexity и Mandiant. Оно было замечено в атаках с использованием RCE-уязвимостей нулевого дня в продукте Ivanti Connect Secure. Тогда же было указано, что KrustyLoader написан под Linux, однако позже появились версии под Windows. Примечательно, что на момент исследования загрузчик использовался только одной группировкой, которую мы называем QuietCrabs.
Фон

Атаки разящей панды: APT31 сегодня

APT31 — кибершпионская группа, нацеленная в основном на промышленный шпионаж и кражу интеллектуальной собственности. Группа маскирует свои инструменты под легитимное программное обеспечение. Для создания двухстороннего канала связи с ВПО использует легитимные сервисы.
Фон

Анализ активности хакерских группировок, III квартал 2025 г.

В III квартале 2025 года департамент Threat Intelligence Positive Technologies продолжил мониторинг и анализ активности хакерских группировок, нацеленных на российские организации. Настоящий отчет систематизирует выявленные эпизоды и демонстрирует типовые цепочки атак — от первоначального проникновения до развертывания вредоносного ПО и закрепления в инфраструктуре.
Анализ активности хакерских группировок

Гадание на Goffeeной гуще: актуальные инструменты и особенности группировки Goffee в атаках на Россию

В течение 2024 года несколько российских организаций обращались к команде PT ESC IR для расследования инцидентов, между которыми удалось обнаружить сходство. В рамках анализа вредоносная активность инцидентов была объединена в один кластер и связана с группой Goffee, атакующей российские организации с помощью фишинга с 2022 года. В одном из инцидентов был замечен неизвестный ранее руткит под Linux — Sauropsida.
GOCOFFT баннер

Фантомные боли. Масштабная кампания кибершпионажа и возможный раскол APT-группировки PhantomCore

Впервые о группировке PhantomCore стало известно в начале 2024 года. За прошедшие полтора года группировка существенно нарастила наступательный арсенал, расширив его инструментами собственной разработки, и отметилась многочисленными кибератаками на критически значимую инфраструктуру России с целью шпионажа.
Фантомные боли

Квартальный отчет июнь 2025

Во втором квартале 2025 года группа киберразведки TI департамента Positive Technologies провела мониторинг и анализ активности хакерских группировок и сообществ, нацеленных на российские компании и организации. В результате сформирован отчет, систематизирующий выявленные инциденты и демонстрирующий примеры цепочек атак: какая группировка и каким образом осуществляет свои операции — от начального проникновения до развертывания вредоносного ПО.
Главный баннер

Exchange Mutations. Вредоносный код в страницах Outlook

В мае 2024 года специалисты команды Incident Response экспертного центра безопасности Positive Technologies (PT Expert Security Center) обнаружили атаку с использованием неизвестного кейлоггера, внедренного в главную страницу зараженного Exchange Server. В текущем году специалисты команды киберразведки при участии команды анализа уязвимостей экспертного центра фиксировали те же атаки без модификации исходного кода кейлоггера. Дальнейшее изучение Javascript-кода главной страницы Outlook Web App и ее сравнение с исходным кодом скомпрометированных страниц позволило выявить ряд аномалий, не свойственных стандартной реализации Exchange Server. Благодаря этому удалось обнаружить другие образцы вредоносного кода.
Exchange

Операция Phantom Enigma

В начале 2025 года специалистами группы киберразведки TI-департамента экспертного центра безопасности Positive Technologies было обнаружено вредоносное письмо, предлагающее скачать файл с подозрительного сайта. Выявленная цепочка атаки приводит к установке вредоносного расширения для браузера Google Chrome, нацеленного на пользователей из Бразилии.

Квартальный отчет март 2025

В первом квартале 2025 года российские организации столкнулись с рядом целевых кибератак, инициированных различными хакерскими группировками. В этом отчете рассматриваются наиболее значимые кибератаки за этот период, а также раскрываются методы, инструменты и инфраструктура, используемые злоумышленниками.
Фон

Crypters And Tools. Часть 2: Разные лапы — один клубок

В первой части мы рассказали о крипторе Crypters And Tools, который мы обнаружили в процессе исследования атак различных группировок. Отчет концентрировался на внутреннем устройстве и инфраструктуре самого криптора. В этой части мы расскажем о хакерских группировках, которые использовали его в атаках, их связях, уникальных особенностях, а также о пользователях Crypters And Tools, некоторые из которых связаны с рассматриваемыми группировками.
Crypters And Tools. Часть 2: Разные лапы — один клубок

Экспертный центр безопасности Positive Technologies (PT ESC)

Экспертный центр безопасности Positive Technologies занимается обнаружением, реагированием и расследованием сложных инцидентов, а также мониторингом защищенности корпоративных систем.

+200

экспертов

+150

реализованных проектов

Услуги PT ESC

  • Реагирование на инциденты информационной безопасности и их расследование
  • Ретроспективный анализ на выявление следов компрометации
Подробнее о сервисе