Positive Technologies

Блог PT ESC Threat Intelligence

В этом блоге вы можете найти информацию об актуальных атаках хакерских группировок по всему миру, разбор их инструментов, информацию об инцидентах, TTP группировок, индикаторы компрометации и названия детектов в наших продуктах

Если вас взломали, обратитесь за расследованием инцидента к команде экспертного центра безопасности PT ESC

Связаться с нами

DarkGaboon
Российские компании атакует ранее не известная APT-группировка, остававшаяся незамеченной более полутора лет

В середине октября 2024 года департамент киберразведки экспертного центра безопасности Positive Technologies (PT Expert Security Center) зафиксировал таргетированную рассылку Revenge RAT, нацеленную на сотрудников финансовых подразделений российских компаний. Особое внимание привлекли необычные африканские названия управляющей инфраструктуры злоумышленников. Углубившись в исследование, мы выявили и отследили новую, ранее не описанную APT-группировку, атакующую российские компании как минимум с мая 2023 года. В связи с использованием африканских названий, регулярными обновлениями семплов и приманок, «пятнистостью» названий вредоносных файлов и продолжительной скрытностью в киберпространстве мы назвали группировку DarkGaboon — в честь африканской габонской гадюки, которую можно встретить в окрестностях стратовулкана Килиманджаро.
Фон

Cloud Atlas: sheet happens

В ноябре 2024 года сотрудники одной из российских государственных организаций обнаружили фишинговую рассылку и обратились к команде PT ESC IR для помощи в расследовании вредоносной активности.
Фон

TaxOff: кажется, у вас... бэкдор

В третьем квартале 2024 года специалисты TI-департамента экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) в рамках исследования угроз обнаружили серию атак, направленных на государственные структуры России. Связей с уже известными группами, использующими такие же техники, нам установить не удалось. Основной целью киберпреступников был шпионаж и закрепление в системе для развития последующих атак. Эту группировку мы назвали TaxOff из-за использования писем на правовые и финансовые темы в качестве приманок. В своих атаках злоумышленники использовали написанный на C++17 бэкдор, который мы назвали Trinper из-за артефакта, используемого при связи с C2.
Фон

DarkHotel. Зоопарк группировок и общих техник

В начале сентября 2024 года специалисты группы киберразведки Threat Intelligence (TI) департамента PT Expert Security Center (PT ESC) обнаружили подозрительный образ виртуального диска формата VHDX, что является крайне редким событием при просмотре потока данных. Анализ VHDX и всех связанных файлов позволил атрибутировать эту атаку к группировке APT-C-60. Одну из последних похожих кампаний в июле 2023 года описали в своей статье эксперты компании ThreatBook. Однако при сравнении удалось выделить различия как в файловой иерархии на диске, так и в используемых командах, инструментах. В этой статье мы описали структуру файлов на виртуальном диске, анализ цепочки атаки, поиск дополнительных файлов, а также почему данная атака принадлежит, по нашему мнению, именно к группировке APT-C-60 и как эти злоумышленники связаны с группировкой DarkHotel.
image

Дети, не списываем! «Новые» техники группировки PhaseShifters

В процессе мониторинга атак на российские организации специалистами департамента Threat Intelligence экспертного центра безопасности Positive Technologies были обнаружены фишинговые письма и файлы, адресованные различным российским компаниям, в том числе и государственным. Проанализировав контекст атаки, а также загружаемое ВПО, удалось атрибутировать данные файлы к группировке PhaseShifters.
image

Фальшивый аттач. Атаки на почтовые серверы Roundcube с использованием уязвимости CVE-2024-37383.

Roundcube Webmail — клиент для электронной почты с открытым исходным кодом, написанный на PHP. Обширный функционал, а также возможность удобного доступа к почтовым аккаунтам из браузера без необходимости установки полноценных почтовых клиентов обусловила его популярность в том числе среди коммерческих и государственных организаций многих стран. Широкое использование делает его привлекательной целью для злоумышленников, которые адаптируют эксплойты через достаточно короткое время, после появления сведений о них в открытом доступе. Пример одной из подобных атак мы хотим привести в этой статье.
Фон

СМС-стилеры Азии: 1000 ботов и одно исследование

В последнее время злоумышленники все чаще используют в качестве управляющего сервера (C2) Telegram. Группировка Lazy Koala, недавно обнаруженная и изученная нашими специалистами, — одна из них. Исследуя ботов в Telegram, мы обнаружили множество чатов индонезийского происхождения. Колоссальное количество сообщений, огромное число жертв и каждодневное появление новых ботов и чатов в Telegram привлекло наше внимание, и мы занялись исследованием этого «индонезийского всплеска».
Фон

ExCobalt: GoRed — техника скрытого туннеля

В ходе реагирования на инцидент у одного из наших клиентов командой PT ESC CSIRT был обнаружен раннее неизвестный бэкдор, написанный на языке Go, который мы атрибутировали к группе ExCobalt.
Фон

Hellhounds: Операция Lahat. Часть 2

В ноябре 2023 года специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) выпустили свое первое исследование об атаках ранее неизвестной группировки Hellhounds на инфраструктуру российских компаний — «Операция Lahat». Отчет был посвящен атакам группировки на узлы под управлением ОС Linux с использованием нового бэкдора Decoy Dog. Hellhounds продолжили атаки на организации на территории России, и ко второму кварталу 2024 года число подтвержденных жертв группировки составило по меньшей мере 48 организаций.
image

Эксперты Positive Technologies обнаружили серию атак через Microsoft Exchange Server

В процессе реагирования на инцидент команда Incident Response экспертного центра безопасности Positive Technologies (PT Expert Security Center) обнаружила у одного из наших клиентов ранее неизвестный кейлоггер, который был встроен в главную страницу Microsoft Exchange Server и собирал вводимые данные учетных записей в файле, доступном по специальному пути из интернета. В свою очередь команда Threat Intelligence PT ESC провела анализ и обнаружила более 30 жертв, большинство из которых относятся к правительственным структурам разных стран. По полученным данным, самая ранняя компрометация была осуществлена в 2021 году. Из-за отсутствия дополнительных данных мы не смогли атрибутировать эти атаки, однако большинство жертв относятся к африканскому и ближневосточному регионам.

Фон
  • 1
  • 2
  • 3
  • 4

Экспертный центр безопасности Positive Technologies (PT ESC)

Экспертный центр безопасности Positive Technologies занимается обнаружением, реагированием и расследованием сложных инцидентов, а также мониторингом защищенности корпоративных систем.

+200

экспертов

+150

реализованных проектов

Услуги PT ESC

  • Реагирование на инциденты информационной безопасности и их расследование
  • Ретроспективный анализ на выявление следов компрометации
Подробнее о сервисе