PT ESC Threat Intelligence

Экспертный центр безопасности Positive Technologies занимается обнаружением, реагированием и расследованием сложных инцидентов, а также мониторингом защищенности корпоративных систем.

Если вы обнаружили уязвимость в продукте Positive Technologies, напишите нам об этом на secserv@ptsecurity.com

Написать нам

Выбор редакции

22 мая 2024

Дайджест трендовых уязвимостей. Апрель 2024 года

22 мая 2024

Актуальные киберугрозы: I квартал 2024 года

22 апреля 2024

Актуальные киберугрозы для организаций: итоги 2023 года

Смотреть все

Хакерские группировки

Space Pirates

Шпионаж
Кража конфиденциальной информации

ChamelGang

Шпионаж

Смотреть все

6 июня 2024

ExCobalt: GoRed — техника скрытого туннеля

В ходе реагирования на инцидент у одного из наших клиентов командой PT ESC CSIRT был обнаружен раннее неизвестный бэкдор, написанный на языке Go, который мы атрибутировали к группе ExCobalt.

23 мая 2024

Hellhounds: Операция Lahat. Часть 2

В ноябре 2023 года специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) выпустили свое первое исследование об атаках ранее неизвестной группировки Hellhounds на инфраструктуру российских компаний — «Операция Lahat». Отчет был посвящен атакам группировки на узлы под управлением ОС Linux с использованием нового бэкдора Decoy Dog. Hellhounds продолжили атаки на организации на территории России, и ко второму кварталу 2024 года число подтвержденных жертв группировки составило по меньшей мере 48 организаций.

17 мая 2024

Эксперты Positive Technologies обнаружили серию атак через Microsoft Exchange Server

В процессе реагирования на инцидент команда Incident Response экспертного центра безопасности Positive Technologies (PT Expert Security Center) обнаружила у одного из наших клиентов ранее неизвестный кейлоггер, который был встроен в главную страницу Microsoft Exchange Server и собирал вводимые данные учетных записей в файле, доступном по специальному пути из интернета. В свою очередь команда Threat Intelligence PT ESC провела анализ и обнаружила более 30 жертв, большинство из которых относятся к правительственным структурам разных стран. По полученным данным, самая ранняя компрометация была осуществлена в 2021 году. Из-за отсутствия дополнительных данных мы не смогли атрибутировать эти атаки, однако большинство жертв относятся к африканскому и ближневосточному регионам.

15 апреля 2024

Операция SteganoAmor: TA558 массово атакует компании и государственные учреждения по всему миру

Специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) обнаружили более трехсот атак по всему миру, которые с высокой степенью уверенности атрибутировали, связав их с уже известной группировкой TA558. Группировка использует длинные цепочки атаки, которые включают различные инструменты и известное вредоносное ПО: Agent Tesla, FormBook, Remcos, Lokibot, Guloader, SnakeKeylogger, XWorm, NjRAT, EkipaRAT. В качестве С2-серверов атакующие используют взломанные легитимные FTP-серверы, в качестве С2 и сервисов для фишинга — SMTP-серверы, а для хранения вредоносного ПО — легитимные сервисы. В исследованных атаках группа активно использовала технику стеганографии: файлы полезной нагрузки (в виде VBS- и PowerShell-скриптов, RTF-документов со встроенным эксплойтом) передавались внутри картинок и текстовых файлов. Примечательно, что большинство RTF-документов и VB-скриптов имеют названия, связанные со словом «любовь», поэтому мы и назвали эту операцию SteganoAmor.

4 апреля 2024

LazyStealer: сложно не значит лучше

В первом квартале 2024 года специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) обнаружили серию атак, направленных на государственные структуры России, Беларуси, Казахстана, Узбекистана, Кыргызстана, Таджикистана, Армении. Связей с уже известными группировками, использующими такие же техники, нам установить не удалось. Основной целью атаки была кража учетных записей от различных сервисов с компьютеров работников государственных структур. Эту группировку мы назвали Lazy Koala из-за простых техник и имени пользователя, который управлял телеграм-ботами с украденными данными. ВПО, которое использовала группа для своих атак, мы назвали LazyStealer из-за простоты реализации, но в тоже время атаки с его использованием оказались продуктивными. Точный вектор заражения нам установить не удалось, однако по всем признакам это был фишинг. Все жертвы были напрямую уведомлены нами о компрометации.

30 ноября 2023

Hellhounds: операция Lahat

В октябре 2023 года команда Positive Technologies по расследованию инцидентов PT CSIRT обнаружила компрометацию одной энергетической компании с использованием трояна Decoy Dog. Согласно расследованию PT CSIRT, Decoy Dog активно используется в атаках на российские компании и правительственные организации по меньшей мере с сентября 2022 года. Ранее об этом трояне в своих исследованиях рассказывали НКЦКИ, Infoblox, CyberSquatting и Solar 4RAYS. Однако образец, обнаруженный нами на хосте жертвы, представлял собой новую модификацию троянского ПО, которую злоумышленники доработали, усложнив его обнаружение и анализ. По имеющимся у нас данным, группа Hellhounds, стоящая за использованием Decoy Dog, в своих атаках нацелена исключительно на организации на территории Российской Федерации. Примечательно, что атакующие были замечены за использованием управляющего сервера maxpatrol[.]net, так они маскировались под продукты компании Positive Technologies серии MaxPatrol. Продукты Positive Technologies содержат все индикаторы компрометации из данного материала в своих базах.

15 ноября 2023

Уже не те: атаки (Ex)Cobalt на российские компании в 2023 году

Деятельность киберпреступной группы Cobalt отслеживается с 2016 года и направлена на атаки кредитно-финансовых организаций для кражи средств. Однако в последние несколько лет группа сместила акцент атак с банков и теперь больше похожа на группу, которая занимается кибершпионажем. Несмотря на отсутствие громких кампаний с 2020 года, нами в последние несколько лет регулярно фиксируются фишинговые рассылки вредоносных файлов, вложенных в архив, запуск которых приводит к загрузке модуля CobInt. Это ВПО является одним из основных инструментов группы, и ранее не фиксировалось использование этого инструмента другими группами.

25 октября 2023

Скачивание пиратской программы из торрентов привело к заражению сотен тысяч пользователей

В поиске нужного софта пользователи часто заходят на сайты и торрент-трекеры, кажущиеся им безопасными, скачивают с них программы, устанавливают и пользуются. Но действительно ли безопасны эти программы? С пиратским ПО можно «подцепить» угрозу любого уровня: от майнера до сложного руткита. Проблема распространения ВПО через серое ПО не нова и имеет на сегодняшний день мировой масштаб. Расскажем о ней на примере исследования одной атаки. В августе 2023 года наш SOC с помощью MaxPatrol SIEM зафиксировал аномальную сетевую активность. Была привлечена команда по расследованию инцидентов (PT CSIRT). В результате обработки инцидента нами было установлено, что пользователь компании Х был скомпрометирован достаточно простым, но неизвестным ранее ВПО. В ходе расследования не было обнаружено следов фишинга, взлома внешнего контура и других техник — пользователь всего лишь установил программу, скачанную через торрент.

27 сентября 2023

Dark River. Их не видишь, а они есть

В октябре 2022 года в ходе расследования инцидента командой PT CSIRT на одном из российских промышленных предприятий были обнаружены образцы ранее не встречавшегося вредоносного программного обеспечения, функционирующего на скомпрометированных элементах инфраструктуры организации. Имена исполняемых файлов этого вредоноса были похожи на имена легального ПО, установленного на зараженных устройствах; ряд образцов имел действительную цифровую подпись. Также выявленные исполняемые файлы и библиотеки были обработаны протектором Themida для усложнения их анализа и обнаружения. Последующий анализ указанных образцов показал, что выявленное ПО представляет собой достаточно сложный модульный бэкдор, названный нами MataDoor, ориентированный на долговременное скрытое функционирование в скомпрометированной системе.

17 июля 2023

Space Pirates: исследуем нестандартные техники, новые векторы атак и инструменты группировки

В конце 2019 года специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) обнаружили новую группировку, которую назвали Space Pirates. К тому моменту она была активна уже как минимум с 2017 года. Первое полноценное исследование, описывающее группу, выпущено в начале 2022-го. К сегодняшнему дню она усилила свою активность в отношении российских компаний: в течение года мы часто сталкивались со Space Pirates во время расследований кибератак. Тактики группировки практически не поменялись, однако она разработала новые инструменты и улучшила старые. Основными целями злоумышленников по-прежнему являются шпионаж и кража конфиденциальной информации. Однако Space Pirates расширила географию атак и сферу своих интересов. В России за год атакованы по крайней мере 16 организаций, а в Сербии — одна. Среди новых жертв нам удалось выявить государственные и образовательные учреждения, охранные предприятия, предприятия авиационной, ракетно-космической и сельскохозяйственной промышленности, военно-промышленного и топливно-энергетического комплекса и компании, занимающиеся информационной безопасностью в России и Сербии.

Экспертный центр безопасности Positive Technologies

35

СПЕЦИАЛИСТОВ

150+

РЕШЕННЫХ КЕЙСОВ

Услуги PT ESC

Реагирование на инциденты информационной безопасности и их расследование
Ретроспективный анализ на выявление следов компрометации

Подробнее о сервисе