Блог PT ESC Threat Intelligence

В этом блоге вы можете найти информацию об актуальных атаках хакерских группировок по всему миру, разбор их инструментов, информацию об инцидентах, TTP группировок, индикаторы компрометации и названия детектов в наших продуктах

Если вас взломали, обратитесь за расследованием инцидента к команде экспертного центра безопасности PT ESC

Связаться с нами
PT story

Анализ активности хакерских группировок, III квартал 2025 г.

В III квартале 2025 года департамент Threat Intelligence Positive Technologies продолжил мониторинг и анализ активности хакерских группировок, нацеленных на российские организации. Настоящий отчет систематизирует выявленные эпизоды и демонстрирует типовые цепочки атак — от первоначального проникновения до развертывания вредоносного ПО и закрепления в инфраструктуре.
Анализ активности хакерских группировок

Гадание на Goffeeной гуще: актуальные инструменты и особенности группировки Goffee в атаках на Россию

В течение 2024 года несколько российских организаций обращались к команде PT ESC IR для расследования инцидентов, между которыми удалось обнаружить сходство. В рамках анализа вредоносная активность инцидентов была объединена в один кластер и связана с группой Goffee, атакующей российские организации с помощью фишинга с 2022 года. В одном из инцидентов был замечен неизвестный ранее руткит под Linux — Sauropsida.
GOCOFFT баннер

Фантомные боли. Масштабная кампания кибершпионажа и возможный раскол APT-группировки PhantomCore

Впервые о группировке PhantomCore стало известно в начале 2024 года. За прошедшие полтора года группировка существенно нарастила наступательный арсенал, расширив его инструментами собственной разработки, и отметилась многочисленными кибератаками на критически значимую инфраструктуру России с целью шпионажа.
Фантомные боли

Квартальный отчет июнь 2025

Во втором квартале 2025 года группа киберразведки TI департамента Positive Technologies провела мониторинг и анализ активности хакерских группировок и сообществ, нацеленных на российские компании и организации. В результате сформирован отчет, систематизирующий выявленные инциденты и демонстрирующий примеры цепочек атак: какая группировка и каким образом осуществляет свои операции — от начального проникновения до развертывания вредоносного ПО.
Главный баннер

Практикум «Безопасность приложений»

Фреймворки, методы и практика в Application Security

Дата старта: 10.11.2025

Оставить заявку

Exchange Mutations. Вредоносный код в страницах Outlook

В мае 2024 года специалисты команды Incident Response экспертного центра безопасности Positive Technologies (PT Expert Security Center) обнаружили атаку с использованием неизвестного кейлоггера, внедренного в главную страницу зараженного Exchange Server. В текущем году специалисты команды киберразведки при участии команды анализа уязвимостей экспертного центра фиксировали те же атаки без модификации исходного кода кейлоггера. Дальнейшее изучение Javascript-кода главной страницы Outlook Web App и ее сравнение с исходным кодом скомпрометированных страниц позволило выявить ряд аномалий, не свойственных стандартной реализации Exchange Server. Благодаря этому удалось обнаружить другие образцы вредоносного кода.
Exchange

Операция Phantom Enigma

В начале 2025 года специалистами группы киберразведки TI-департамента экспертного центра безопасности Positive Technologies было обнаружено вредоносное письмо, предлагающее скачать файл с подозрительного сайта. Выявленная цепочка атаки приводит к установке вредоносного расширения для браузера Google Chrome, нацеленного на пользователей из Бразилии.

Квартальный отчет март 2025

В первом квартале 2025 года российские организации столкнулись с рядом целевых кибератак, инициированных различными хакерскими группировками. В этом отчете рассматриваются наиболее значимые кибератаки за этот период, а также раскрываются методы, инструменты и инфраструктура, используемые злоумышленниками.
Фон

Crypters And Tools. Часть 2: Разные лапы — один клубок

В первой части мы рассказали о крипторе Crypters And Tools, который мы обнаружили в процессе исследования атак различных группировок. Отчет концентрировался на внутреннем устройстве и инфраструктуре самого криптора. В этой части мы расскажем о хакерских группировках, которые использовали его в атаках, их связях, уникальных особенностях, а также о пользователях Crypters And Tools, некоторые из которых связаны с рассматриваемыми группировками.
Crypters And Tools. Часть 2: Разные лапы — один клубок

Team46 и TaxOff: две стороны одной медали

В марте 2025 года специалисты TI-департамента экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) исследовали атаку, в которой использовалась зарегистрированная примерно в это же время уязвимость нулевого дня CVE-2025-2783 для браузера Chrome (выход из песочницы). Использование этой уязвимости и саму атаку описали исследователи из «Лаборатории Касперского», однако последующая цепочка заражения осталась без атрибуции.
Team46 и TaxOff: две стороны одной медали

Новая волна кибератак APT-группировки Cloud Atlas на государственный сектор России

В ноябре 2024 года одно из российских государственных учреждений привлекло к расследованию кибератаки на свои информационные системы команду реагирования на инциденты экспертного центра безопасности Positive Technologies (PT ESC IR). Результаты расследования позволили выйти на след APT-группировки Cloud Atlas, о которых мы подробно рассказывали в исследовании «Cloud Atlas: sheet happens»
Новая волна кибератак APT-группировки Cloud Atlas на государственный сектор России

Экспертный центр безопасности Positive Technologies (PT ESC)

Экспертный центр безопасности Positive Technologies занимается обнаружением, реагированием и расследованием сложных инцидентов, а также мониторингом защищенности корпоративных систем.

+200

экспертов

+150

реализованных проектов

Услуги PT ESC

  • Реагирование на инциденты информационной безопасности и их расследование
  • Ретроспективный анализ на выявление следов компрометации
Подробнее о сервисе