Блог PT ESC Threat Intelligence

В этом блоге вы можете найти информацию об актуальных атаках хакерских группировок по всему миру, разбор их инструментов, информацию об инцидентах, TTP группировок, индикаторы компрометации и названия детектов в наших продуктах

Если вас взломали, обратитесь за расследованием инцидента к команде экспертного центра безопасности PT ESC

Связаться с нами
PT story

Квартальный отчет июнь 2025

Во втором квартале 2025 года группа киберразведки TI департамента Positive Technologies провела мониторинг и анализ активности хакерских группировок и сообществ, нацеленных на российские компании и организации. В результате сформирован отчет, систематизирующий выявленные инциденты и демонстрирующий примеры цепочек атак: какая группировка и каким образом осуществляет свои операции — от начального проникновения до развертывания вредоносного ПО.
Фон

Exchange Mutations. Вредоносный код в страницах Outlook

В мае 2024 года специалисты команды Incident Response экспертного центра безопасности Positive Technologies (PT Expert Security Center) обнаружили атаку с использованием неизвестного кейлоггера, внедренного в главную страницу зараженного Exchange Server. В текущем году специалисты команды киберразведки при участии команды анализа уязвимостей экспертного центра фиксировали те же атаки без модификации исходного кода кейлоггера. Дальнейшее изучение Javascript-кода главной страницы Outlook Web App и ее сравнение с исходным кодом скомпрометированных страниц позволило выявить ряд аномалий, не свойственных стандартной реализации Exchange Server. Благодаря этому удалось обнаружить другие образцы вредоносного кода.
Exchange

Операция Phantom Enigma

В начале 2025 года специалистами группы киберразведки TI-департамента экспертного центра безопасности Positive Technologies было обнаружено вредоносное письмо, предлагающее скачать файл с подозрительного сайта. Выявленная цепочка атаки приводит к установке вредоносного расширения для браузера Google Chrome, нацеленного на пользователей из Бразилии.
image

Квартальный отчет март 2025

В первом квартале 2025 года российские организации столкнулись с рядом целевых кибератак, инициированных различными хакерскими группировками. В этом отчете рассматриваются наиболее значимые кибератаки за этот период, а также раскрываются методы, инструменты и инфраструктура, используемые злоумышленниками.
Фон

Онлайн-митап честных кейсов

Поделимся реальным опытом пользователей PT Sandbox и PT NAD

Зарегистрироваться

Crypters And Tools. Часть 2: Разные лапы — один клубок

В первой части мы рассказали о крипторе Crypters And Tools, который мы обнаружили в процессе исследования атак различных группировок. Отчет концентрировался на внутреннем устройстве и инфраструктуре самого криптора. В этой части мы расскажем о хакерских группировках, которые использовали его в атаках, их связях, уникальных особенностях, а также о пользователях Crypters And Tools, некоторые из которых связаны с рассматриваемыми группировками.
Crypters And Tools. Часть 2: Разные лапы — один клубок

Team46 и TaxOff: две стороны одной медали

В марте 2025 года специалисты TI-департамента экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) исследовали атаку, в которой использовалась зарегистрированная примерно в это же время уязвимость нулевого дня CVE-2025-2783 для браузера Chrome (выход из песочницы). Использование этой уязвимости и саму атаку описали исследователи из «Лаборатории Касперского», однако последующая цепочка заражения осталась без атрибуции.
Team46 и TaxOff: две стороны одной медали

Новая волна кибератак APT-группировки Cloud Atlas на государственный сектор России

В ноябре 2024 года одно из российских государственных учреждений привлекло к расследованию кибератаки на свои информационные системы команду реагирования на инциденты экспертного центра безопасности Positive Technologies (PT ESC IR). Результаты расследования позволили выйти на след APT-группировки Cloud Atlas, о которых мы подробно рассказывали в исследовании «Cloud Atlas: sheet happens»
Новая волна кибератак APT-группировки Cloud Atlas на государственный сектор России

Crypters And Tools. Один инструмент для тысяч вредоносных файлов

После выхода статьи про хакерскую группировку PhaseShifters, атаковавшую российские компании и государственные органы, специалисты департамента Threat Intelligence экспертного центра безопасности Positive Technologies продолжили активно изучать инфраструктуру злоумышленников и используемые ими сервисы. Через некоторое время после начала поисков удалось обнаружить открытую директорию с экземпляром (приватным приложением) криптора, распространяемого по подписке, — Crypters And Tools. Тщательное изучение позволило расширить кластер активности, связанной с этим CaaS, найти новые узлы инфраструктуры и понять принцип работы криптора. Расширение кластера показало, что инструмент пользуется спросом у нескольких других группировок. Часть из них мы уже упоминали в статье о PhaseShifters: это TA558 и Blind Eagle.
Crypters And Tools

Desert Dexter. Атаки на страны Ближнего Востока

В феврале специалисты группы киберразведки департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC) обнаружили вредоносную кампанию, нацеленную на жителей стран Ближнего Востока и Северной Африки и активную с сентября 2024 года. Для распространения ВПО злоумышленники создают поддельные новостные группы в социальных сетях и публикуют посты с рекламой, содержащие ссылки на файлообменник или Telegram-канал. По этим ссылкам располагается ВПО AsyncRAT, модифицированное для поиска криптокошельков и взаимодействия с Telegram-ботом. Похожую кампанию в 2019 году описали эксперты из компании Check Point, но сейчас наблюдается изменение некоторых техник в цепочке атаки.
Desert Dexter. Атаки на страны Ближнего Востока

Эволюция инструментов Dark Caracal: анализ кампании с использованием Poco RAT

В первом квартале 2024 года в поле зрения сотрудников департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC) попал вредоносный семпл. Сообщество назвало его Poco RAT — по наименованию используемых библиотек POCO для C++. На момент обнаружения семпл не был атрибутирован к какой-либо известной группировке.
Обложка

Экспертный центр безопасности Positive Technologies (PT ESC)

Экспертный центр безопасности Positive Technologies занимается обнаружением, реагированием и расследованием сложных инцидентов, а также мониторингом защищенности корпоративных систем.

+200

экспертов

+150

реализованных проектов

Услуги PT ESC

  • Реагирование на инциденты информационной безопасности и их расследование
  • Ретроспективный анализ на выявление следов компрометации
Подробнее о сервисе