Блог PT ESC Threat Intelligence

В этом блоге вы можете найти информацию об актуальных атаках хакерских группировок по всему миру, разбор их инструментов, информацию об инцидентах, TTP группировок, индикаторы компрометации и названия детектов в наших продуктах.


Хотите получить ранний доступ к публичным отчетам, а также эксклюзивную аналитику? Запросите пробный доступ к PT Fusion

Если вас взломали или вы зафиксировали фишинговый домен, обратитесь за расследованием инцидента и консультацией к команде экспертного центра безопасности PT ESC.

Расследование инцидента: secserv@ptsecurity.com
Блокировка домена: domain-block@ptsecurity.com

PT story

Будильник, от которого не отмахнешься: как CapFix атакует российские организации

В конце 2025 года специалисты отдела исследования угроз экспертного центра безопасности Positive Technologies (PT ESC) выявили необычные атаки на российские организации. В атаках злоумышленники использовали легитимную инфраструктуру, которую, по нашему предположению, взломали непосредственно перед активными действиями, в конце осени.
Фон

Держим руку на Pulse.
Кибератаки группировки Mythic Likho на КИИ России

Первые кибератаки группировки Mythic Likho на российские организации с использованием бэкдора Loki были обнаружены в сентябре 2024 года. В феврале 2025 года тщательному исследованию подвергся загрузчик Merlin, в ноябре была описана новая версия бэкдора Loki.
Фон

Ядовитый Марс, или как LuciDoor стучится в двери СНГ

Осенью 2025 года специалисты PT ESC обнаружили уникальные атаки на киргизские телекоммуникационные компании. Атаки привлекли внимание необычными документами, которые использовали сразу два редких инструмента китайского происхождения и уникальное ПО.
Ядовитый марс

Анализ активности хакерских группировок, IV квартал 2025 г.

В IV квартале 2025 года департамент Threat Intelligence PT ESC продолжил мониторинг активности хакерских группировок, нацеленных на российские организации. В рамках отчетного периода внимание было сосредоточено на выявлении и сопоставлении повторяющихся паттернов атак, техник и семейств вредоносного ПО с ретроспективой предыдущих кварталов и лет (для более точной фиксации преемственности инструментов и изменений в тактике). Такой подход позволяет не только описывать отдельные инциденты, но и подтверждать устойчивые паттерны группировок на примере сопоставимых цепочек, как это показано в материалах по APT31 и NetMedved.
Фон

Фантом во плоти. Новые атаки группировки Phantom Enigma

Phantom Enigma — хакерская группировка, действующая предположительно с территории Латинской Америки и использующая в своих атаках вредоносное расширение для браузеров Chrome, Brave, Firefox и других. Основная цель — финансовое обогащение путем кражи учетных данных от аккаунтов пользователей в бразильских банках. Во время исследования группировки было обнаружено два варианта атак: атаки на компании для расширения своей инфраструктуры с использованием программ для удаленного доступа и атаки на обычных пользователей — с вредоносным расширением для кражи учетных данных.
Фон

(Ex)Cobalt. Обзор инструментов группы в атаках за 2024–2025 годы

Группа (Ex)Cobalt является одним из наиболее активных акторов, атакующих российские организации с целью похищения конфиденциальных данных, а также с целью деструктивного воздействия на инфраструктуру. Наряду с хорошо известными и проверенными инструментами — бэкдором Cobint, шифровальщиками Babuk и Lockbit, а также сетевыми туннелями, такими как GSocket, Revsocks, — группа продолжает создавать и развивать свои дополнительные инструменты (Pumakit, Octopus), обзор которых представлен в настоящей статье.
Фон

Dragons in Thunder

Во время расследования инцидентов командой Positive Technologies Expert Security Center Incident Response (PT ESC IR) при поддержке команды департамента Threat Intelligence (PT ESC TI) были обнаружены следы использования вредоносного ПО KrustyLoader. Впервые ВПО было описано в январе 2024 года экспертами из команд Volexity и Mandiant. Оно было замечено в атаках с использованием RCE-уязвимостей нулевого дня в продукте Ivanti Connect Secure. Тогда же было указано, что KrustyLoader написан под Linux, однако позже появились версии под Windows. Примечательно, что на момент исследования загрузчик использовался только одной группировкой, которую мы называем QuietCrabs.
Фон

Атаки разящей панды: APT31 сегодня

APT31 — кибершпионская группа, нацеленная в основном на промышленный шпионаж и кражу интеллектуальной собственности. Группа маскирует свои инструменты под легитимное программное обеспечение. Для создания двухстороннего канала связи с ВПО использует легитимные сервисы.
Фон

Анализ активности хакерских группировок, III квартал 2025 г.

В III квартале 2025 года департамент Threat Intelligence Positive Technologies продолжил мониторинг и анализ активности хакерских группировок, нацеленных на российские организации. Настоящий отчет систематизирует выявленные эпизоды и демонстрирует типовые цепочки атак — от первоначального проникновения до развертывания вредоносного ПО и закрепления в инфраструктуре.
Анализ активности хакерских группировок

Гадание на Goffeeной гуще: актуальные инструменты и особенности группировки Goffee в атаках на Россию

В течение 2024 года несколько российских организаций обращались к команде PT ESC IR для расследования инцидентов, между которыми удалось обнаружить сходство. В рамках анализа вредоносная активность инцидентов была объединена в один кластер и связана с группой Goffee, атакующей российские организации с помощью фишинга с 2022 года. В одном из инцидентов был замечен неизвестный ранее руткит под Linux — Sauropsida.
GOCOFFT баннер
  • ...

Экспертный центр безопасности Positive Technologies (PT ESC)

Экспертный центр безопасности Positive Technologies занимается обнаружением, реагированием и расследованием сложных инцидентов, а также мониторингом защищенности корпоративных систем.

+200

экспертов

+150

реализованных проектов

Услуги PT ESC

  • Реагирование на инциденты информационной безопасности и их расследование
  • Ретроспективный анализ на выявление следов компрометации
Подробнее о сервисе
Блог PT ESC Threat Intelligence