Блог PT ESC Threat Intelligence

В этом блоге вы можете найти информацию об актуальных атаках хакерских группировок по всему миру, разбор их инструментов, информацию об инцидентах, TTP группировок, индикаторы компрометации и названия детектов в наших продуктах

Если вас взломали, обратитесь за расследованием инцидента к команде экспертного центра безопасности PT ESC

Связаться с нами

Выбор редакции

22 мая 2024

Дайджест трендовых уязвимостей. Апрель 2024 года

22 мая 2024

Актуальные киберугрозы: I квартал 2024 года

22 апреля 2024

Актуальные киберугрозы для организаций: итоги 2023 года

Смотреть все

Хакерские группировки

Space Pirates

Шпионаж
Кража конфиденциальной информации

ChamelGang

Шпионаж

Смотреть все

Positive Hack Media

Первое в России научпоп-медиа про цифровое устройство мира и его кибербезопасности на понятном для всех языке

Перейти в канал

14 ноября 2024

DarkHotel. Зоопарк группировок и общих техник

В начале сентября 2024 года специалисты группы киберразведки Threat Intelligence (TI) департамента PT Expert Security Center (PT ESC) обнаружили подозрительный образ виртуального диска формата VHDX, что является крайне редким событием при просмотре потока данных. Анализ VHDX и всех связанных файлов позволил атрибутировать эту атаку к группировке APT-C-60. Одну из последних похожих кампаний в июле 2023 года описали в своей статье эксперты компании ThreatBook. Однако при сравнении удалось выделить различия как в файловой иерархии на диске, так и в используемых командах, инструментах. В этой статье мы описали структуру файлов на виртуальном диске, анализ цепочки атаки, поиск дополнительных файлов, а также почему данная атака принадлежит, по нашему мнению, именно к группировке APT-C-60 и как эти злоумышленники связаны с группировкой DarkHotel.

1 ноября 2024

Дети, не списываем! «Новые» техники группировки PhaseShifters

В процессе мониторинга атак на российские организации специалистами департамента Threat Intelligence экспертного центра безопасности Positive Technologies были обнаружены фишинговые письма и файлы, адресованные различным российским компаниям, в том числе и государственным. Проанализировав контекст атаки, а также загружаемое ВПО, удалось атрибутировать данные файлы к группировке PhaseShifters.

15 октября 2024

Фальшивый аттач. Атаки на почтовые серверы Roundcube с использованием уязвимости CVE-2024-37383.

Roundcube Webmail — клиент для электронной почты с открытым исходным кодом, написанный на PHP. Обширный функционал, а также возможность удобного доступа к почтовым аккаунтам из браузера без необходимости установки полноценных почтовых клиентов обусловила его популярность в том числе среди коммерческих и государственных организаций многих стран. Широкое использование делает его привлекательной целью для злоумышленников, которые адаптируют эксплойты через достаточно короткое время, после появления сведений о них в открытом доступе. Пример одной из подобных атак мы хотим привести в этой статье.

11 июля 2024

СМС-стилеры Азии: 1000 ботов и одно исследование

В последнее время злоумышленники все чаще используют в качестве управляющего сервера (C2) Telegram. Группировка Lazy Koala, недавно обнаруженная и изученная нашими специалистами, — одна из них. Исследуя ботов в Telegram, мы обнаружили множество чатов индонезийского происхождения. Колоссальное количество сообщений, огромное число жертв и каждодневное появление новых ботов и чатов в Telegram привлекло наше внимание, и мы занялись исследованием этого «индонезийского всплеска».

6 июня 2024

ExCobalt: GoRed — техника скрытого туннеля

В ходе реагирования на инцидент у одного из наших клиентов командой PT ESC CSIRT был обнаружен раннее неизвестный бэкдор, написанный на языке Go, который мы атрибутировали к группе ExCobalt.

23 мая 2024

Hellhounds: Операция Lahat. Часть 2

В ноябре 2023 года специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) выпустили свое первое исследование об атаках ранее неизвестной группировки Hellhounds на инфраструктуру российских компаний — «Операция Lahat». Отчет был посвящен атакам группировки на узлы под управлением ОС Linux с использованием нового бэкдора Decoy Dog. Hellhounds продолжили атаки на организации на территории России, и ко второму кварталу 2024 года число подтвержденных жертв группировки составило по меньшей мере 48 организаций.

17 мая 2024

Эксперты Positive Technologies обнаружили серию атак через Microsoft Exchange Server

В процессе реагирования на инцидент команда Incident Response экспертного центра безопасности Positive Technologies (PT Expert Security Center) обнаружила у одного из наших клиентов ранее неизвестный кейлоггер, который был встроен в главную страницу Microsoft Exchange Server и собирал вводимые данные учетных записей в файле, доступном по специальному пути из интернета. В свою очередь команда Threat Intelligence PT ESC провела анализ и обнаружила более 30 жертв, большинство из которых относятся к правительственным структурам разных стран. По полученным данным, самая ранняя компрометация была осуществлена в 2021 году. Из-за отсутствия дополнительных данных мы не смогли атрибутировать эти атаки, однако большинство жертв относятся к африканскому и ближневосточному регионам.

15 апреля 2024

Операция SteganoAmor: TA558 массово атакует компании и государственные учреждения по всему миру

Специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) обнаружили более трехсот атак по всему миру, которые с высокой степенью уверенности атрибутировали, связав их с уже известной группировкой TA558. Группировка использует длинные цепочки атаки, которые включают различные инструменты и известное вредоносное ПО: Agent Tesla, FormBook, Remcos, Lokibot, Guloader, SnakeKeylogger, XWorm, NjRAT, EkipaRAT. В качестве С2-серверов атакующие используют взломанные легитимные FTP-серверы, в качестве С2 и сервисов для фишинга — SMTP-серверы, а для хранения вредоносного ПО — легитимные сервисы. В исследованных атаках группа активно использовала технику стеганографии: файлы полезной нагрузки (в виде VBS- и PowerShell-скриптов, RTF-документов со встроенным эксплойтом) передавались внутри картинок и текстовых файлов. Примечательно, что большинство RTF-документов и VB-скриптов имеют названия, связанные со словом «любовь», поэтому мы и назвали эту операцию SteganoAmor.

4 апреля 2024

LazyStealer: сложно не значит лучше

В первом квартале 2024 года специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) обнаружили серию атак, направленных на государственные структуры России, Беларуси, Казахстана, Узбекистана, Кыргызстана, Таджикистана, Армении. Связей с уже известными группировками, использующими такие же техники, нам установить не удалось. Основной целью атаки была кража учетных записей от различных сервисов с компьютеров работников государственных структур. Эту группировку мы назвали Lazy Koala из-за простых техник и имени пользователя, который управлял телеграм-ботами с украденными данными. ВПО, которое использовала группа для своих атак, мы назвали LazyStealer из-за простоты реализации, но в тоже время атаки с его использованием оказались продуктивными. Точный вектор заражения нам установить не удалось, однако по всем признакам это был фишинг. Все жертвы были напрямую уведомлены нами о компрометации.

30 ноября 2023

Hellhounds: операция Lahat

В октябре 2023 года команда Positive Technologies по расследованию инцидентов PT CSIRT обнаружила компрометацию одной энергетической компании с использованием трояна Decoy Dog. Согласно расследованию PT CSIRT, Decoy Dog активно используется в атаках на российские компании и правительственные организации по меньшей мере с сентября 2022 года. Ранее об этом трояне в своих исследованиях рассказывали НКЦКИ, Infoblox, CyberSquatting и Solar 4RAYS. Однако образец, обнаруженный нами на хосте жертвы, представлял собой новую модификацию троянского ПО, которую злоумышленники доработали, усложнив его обнаружение и анализ. По имеющимся у нас данным, группа Hellhounds, стоящая за использованием Decoy Dog, в своих атаках нацелена исключительно на организации на территории Российской Федерации. Примечательно, что атакующие были замечены за использованием управляющего сервера maxpatrol[.]net, так они маскировались под продукты компании Positive Technologies серии MaxPatrol. Продукты Positive Technologies содержат все индикаторы компрометации из данного материала в своих базах.

Экспертный центр безопасности Positive Technologies (PT ESC)

Экспертный центр безопасности Positive Technologies занимается обнаружением, реагированием и расследованием сложных инцидентов, а также мониторингом защищенности корпоративных систем.

+200

экспертов

+150

реализованных проектов

Услуги PT ESC

Реагирование на инциденты информационной безопасности и их расследование
Ретроспективный анализ на выявление следов компрометации

Подробнее о сервисе