Блог PT ESC Threat Intelligence

В этом блоге вы можете найти информацию об актуальных атаках хакерских группировок по всему миру, разбор их инструментов, информацию об инцидентах, TTP группировок, индикаторы компрометации и названия детектов в наших продуктах

Если вас взломали или вы зафиксировали фишинговый домен, обратитесь за расследованием инцидента и консультацией к команде экспертного центра безопасности PT ESC.

Расследование инцидента: secserv@ptsecurity.com
Блокировка домена: domain-block@ptsecurity.com

PT story

3 февраля 2026

Анализ активности хакерских группировок, IV квартал 2025 г.

В IV квартале 2025 года департамент Threat Intelligence PT ESC продолжил мониторинг активности хакерских группировок, нацеленных на российские организации. В рамках отчетного периода внимание было сосредоточено на выявлении и сопоставлении повторяющихся паттернов атак, техник и семейств вредоносного ПО с ретроспективой предыдущих кварталов и лет (для более точной фиксации преемственности инструментов и изменений в тактике). Такой подход позволяет не только описывать отдельные инциденты, но и подтверждать устойчивые паттерны группировок на примере сопоставимых цепочек, как это показано в материалах по APT31 и NetMedved.

18 декабря 2025

Фантом во плоти. Новые атаки группировки Phantom Enigma

Phantom Enigma — хакерская группировка, действующая предположительно с территории Латинской Америки и использующая в своих атаках вредоносное расширение для браузеров Chrome, Brave, Firefox и других. Основная цель — финансовое обогащение путем кражи учетных данных от аккаунтов пользователей в бразильских банках. Во время исследования группировки было обнаружено два варианта атак: атаки на компании для расширения своей инфраструктуры с использованием программ для удаленного доступа и атаки на обычных пользователей — с вредоносным расширением для кражи учетных данных.

2 декабря 2025

(Ex)Cobalt. Обзор инструментов группы в атаках за 2024–2025 годы

Группа (Ex)Cobalt является одним из наиболее активных акторов, атакующих российские организации с целью похищения конфиденциальных данных, а также с целью деструктивного воздействия на инфраструктуру. Наряду с хорошо известными и проверенными инструментами — бэкдором Cobint, шифровальщиками Babuk и Lockbit, а также сетевыми туннелями, такими как GSocket, Revsocks, — группа продолжает создавать и развивать свои дополнительные инструменты (Pumakit, Octopus), обзор которых представлен в настоящей статье.

27 ноября 2025

Dragons in Thunder

Во время расследования инцидентов командой Positive Technologies Expert Security Center Incident Response (PT ESC IR) при поддержке команды департамента Threat Intelligence (PT ESC TI) были обнаружены следы использования вредоносного ПО KrustyLoader. Впервые ВПО было описано в январе 2024 года экспертами из команд Volexity и Mandiant. Оно было замечено в атаках с использованием RCE-уязвимостей нулевого дня в продукте Ivanti Connect Secure. Тогда же было указано, что KrustyLoader написан под Linux, однако позже появились версии под Windows. Примечательно, что на момент исследования загрузчик использовался только одной группировкой, которую мы называем QuietCrabs.

Дарим MaxPatrol EPP на полгода

Полный доступ для всех пользователей
MaxPatrol EDR на 6 месяцев

Попробовать

20 ноября 2025

Атаки разящей панды: APT31 сегодня

APT31 — кибершпионская группа, нацеленная в основном на промышленный шпионаж и кражу интеллектуальной собственности. Группа маскирует свои инструменты под легитимное программное обеспечение. Для создания двухстороннего канала связи с ВПО использует легитимные сервисы.

29 октября 2025

Анализ активности хакерских группировок, III квартал 2025 г.

В III квартале 2025 года департамент Threat Intelligence Positive Technologies продолжил мониторинг и анализ активности хакерских группировок, нацеленных на российские организации. Настоящий отчет систематизирует выявленные эпизоды и демонстрирует типовые цепочки атак — от первоначального проникновения до развертывания вредоносного ПО и закрепления в инфраструктуре.

22 августа 2025

Гадание на Goffeeной гуще: актуальные инструменты и особенности группировки Goffee в атаках на Россию

В течение 2024 года несколько российских организаций обращались к команде PT ESC IR для расследования инцидентов, между которыми удалось обнаружить сходство. В рамках анализа вредоносная активность инцидентов была объединена в один кластер и связана с группой Goffee, атакующей российские организации с помощью фишинга с 2022 года. В одном из инцидентов был замечен неизвестный ранее руткит под Linux — Sauropsida.

18 августа 2025

Фантомные боли. Масштабная кампания кибершпионажа и возможный раскол APT-группировки PhantomCore

Впервые о группировке PhantomCore стало известно в начале 2024 года. За прошедшие полтора года группировка существенно нарастила наступательный арсенал, расширив его инструментами собственной разработки, и отметилась многочисленными кибератаками на критически значимую инфраструктуру России с целью шпионажа.

13 августа 2025

Квартальный отчет июнь 2025

Во втором квартале 2025 года группа киберразведки TI департамента Positive Technologies провела мониторинг и анализ активности хакерских группировок и сообществ, нацеленных на российские компании и организации. В результате сформирован отчет, систематизирующий выявленные инциденты и демонстрирующий примеры цепочек атак: какая группировка и каким образом осуществляет свои операции — от начального проникновения до развертывания вредоносного ПО.

11 июня 2025

Exchange Mutations. Вредоносный код в страницах Outlook

В мае 2024 года специалисты команды Incident Response экспертного центра безопасности Positive Technologies (PT Expert Security Center) обнаружили атаку с использованием неизвестного кейлоггера, внедренного в главную страницу зараженного Exchange Server. В текущем году специалисты команды киберразведки при участии команды анализа уязвимостей экспертного центра фиксировали те же атаки без модификации исходного кода кейлоггера. Дальнейшее изучение Javascript-кода главной страницы Outlook Web App и ее сравнение с исходным кодом скомпрометированных страниц позволило выявить ряд аномалий, не свойственных стандартной реализации Exchange Server. Благодаря этому удалось обнаружить другие образцы вредоносного кода.

Экспертный центр безопасности Positive Technologies (PT ESC)

Экспертный центр безопасности Positive Technologies занимается обнаружением, реагированием и расследованием сложных инцидентов, а также мониторингом защищенности корпоративных систем.

+200

экспертов

+150

реализованных проектов

Услуги PT ESC

Реагирование на инциденты информационной безопасности и их расследование
Ретроспективный анализ на выявление следов компрометации

Подробнее о сервисе