Positive Technologies

Блог PT ESC Threat Intelligence

В этом блоге вы можете найти информацию об актуальных атаках хакерских группировок по всему миру, разбор их инструментов, информацию об инцидентах, TTP группировок, индикаторы компрометации и названия детектов в наших продуктах

Если вас взломали, обратитесь за расследованием инцидента к команде экспертного центра безопасности PT ESC

Хакерские группировки

Space Pirates
  • Шпионаж
  • Кража конфиденциальной информации
ChamelGang
  • Шпионаж

TaxOff: кажется, у вас... бэкдор

В третьем квартале 2024 года специалисты TI-департамента экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) в рамках исследования угроз обнаружили серию атак, направленных на государственные структуры России. Связей с уже известными группами, использующими такие же техники, нам установить не удалось. Основной целью киберпреступников был шпионаж и закрепление в системе для развития последующих атак. Эту группировку мы назвали TaxOff из-за использования писем на правовые и финансовые темы в качестве приманок. В своих атаках злоумышленники использовали написанный на C++17 бэкдор, который мы назвали Trinper из-за артефакта, используемого при связи с C2.
Фон

DarkHotel. Зоопарк группировок и общих техник

В начале сентября 2024 года специалисты группы киберразведки Threat Intelligence (TI) департамента PT Expert Security Center (PT ESC) обнаружили подозрительный образ виртуального диска формата VHDX, что является крайне редким событием при просмотре потока данных. Анализ VHDX и всех связанных файлов позволил атрибутировать эту атаку к группировке APT-C-60. Одну из последних похожих кампаний в июле 2023 года описали в своей статье эксперты компании ThreatBook. Однако при сравнении удалось выделить различия как в файловой иерархии на диске, так и в используемых командах, инструментах. В этой статье мы описали структуру файлов на виртуальном диске, анализ цепочки атаки, поиск дополнительных файлов, а также почему данная атака принадлежит, по нашему мнению, именно к группировке APT-C-60 и как эти злоумышленники связаны с группировкой DarkHotel.
image

Дети, не списываем! «Новые» техники группировки PhaseShifters

В процессе мониторинга атак на российские организации специалистами департамента Threat Intelligence экспертного центра безопасности Positive Technologies были обнаружены фишинговые письма и файлы, адресованные различным российским компаниям, в том числе и государственным. Проанализировав контекст атаки, а также загружаемое ВПО, удалось атрибутировать данные файлы к группировке PhaseShifters.
image

Фальшивый аттач. Атаки на почтовые серверы Roundcube с использованием уязвимости CVE-2024-37383.

Roundcube Webmail — клиент для электронной почты с открытым исходным кодом, написанный на PHP. Обширный функционал, а также возможность удобного доступа к почтовым аккаунтам из браузера без необходимости установки полноценных почтовых клиентов обусловила его популярность в том числе среди коммерческих и государственных организаций многих стран. Широкое использование делает его привлекательной целью для злоумышленников, которые адаптируют эксплойты через достаточно короткое время, после появления сведений о них в открытом доступе. Пример одной из подобных атак мы хотим привести в этой статье.
Фон

СМС-стилеры Азии: 1000 ботов и одно исследование

В последнее время злоумышленники все чаще используют в качестве управляющего сервера (C2) Telegram. Группировка Lazy Koala, недавно обнаруженная и изученная нашими специалистами, — одна из них. Исследуя ботов в Telegram, мы обнаружили множество чатов индонезийского происхождения. Колоссальное количество сообщений, огромное число жертв и каждодневное появление новых ботов и чатов в Telegram привлекло наше внимание, и мы занялись исследованием этого «индонезийского всплеска».
Фон

ExCobalt: GoRed — техника скрытого туннеля

В ходе реагирования на инцидент у одного из наших клиентов командой PT ESC CSIRT был обнаружен раннее неизвестный бэкдор, написанный на языке Go, который мы атрибутировали к группе ExCobalt.
Фон

Hellhounds: Операция Lahat. Часть 2

В ноябре 2023 года специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) выпустили свое первое исследование об атаках ранее неизвестной группировки Hellhounds на инфраструктуру российских компаний — «Операция Lahat». Отчет был посвящен атакам группировки на узлы под управлением ОС Linux с использованием нового бэкдора Decoy Dog. Hellhounds продолжили атаки на организации на территории России, и ко второму кварталу 2024 года число подтвержденных жертв группировки составило по меньшей мере 48 организаций.
image

Эксперты Positive Technologies обнаружили серию атак через Microsoft Exchange Server

В процессе реагирования на инцидент команда Incident Response экспертного центра безопасности Positive Technologies (PT Expert Security Center) обнаружила у одного из наших клиентов ранее неизвестный кейлоггер, который был встроен в главную страницу Microsoft Exchange Server и собирал вводимые данные учетных записей в файле, доступном по специальному пути из интернета. В свою очередь команда Threat Intelligence PT ESC провела анализ и обнаружила более 30 жертв, большинство из которых относятся к правительственным структурам разных стран. По полученным данным, самая ранняя компрометация была осуществлена в 2021 году. Из-за отсутствия дополнительных данных мы не смогли атрибутировать эти атаки, однако большинство жертв относятся к африканскому и ближневосточному регионам.

Фон

Операция SteganoAmor: TA558 массово атакует компании и государственные учреждения по всему миру

Специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) обнаружили более трехсот атак по всему миру, которые с высокой степенью уверенности атрибутировали, связав их с уже известной группировкой TA558. Группировка использует длинные цепочки атаки, которые включают различные инструменты и известное вредоносное ПО: Agent Tesla, FormBook, Remcos, Lokibot, Guloader, SnakeKeylogger, XWorm, NjRAT, EkipaRAT. В качестве С2-серверов атакующие используют взломанные легитимные FTP-серверы, в качестве С2 и сервисов для фишинга — SMTP-серверы, а для хранения вредоносного ПО — легитимные сервисы. В исследованных атаках группа активно использовала технику стеганографии: файлы полезной нагрузки (в виде VBS- и PowerShell-скриптов, RTF-документов со встроенным эксплойтом) передавались внутри картинок и текстовых файлов. Примечательно, что большинство RTF-документов и VB-скриптов имеют названия, связанные со словом «любовь», поэтому мы и назвали эту операцию SteganoAmor.
Операция SteganoAmor: TA558 массово атакует компании и государственные учреждения по всему миру

LazyStealer: сложно не значит лучше

В первом квартале 2024 года специалисты экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) обнаружили серию атак, направленных на государственные структуры России, Беларуси, Казахстана, Узбекистана, Кыргызстана, Таджикистана, Армении. Связей с уже известными группировками, использующими такие же техники, нам установить не удалось. Основной целью атаки была кража учетных записей от различных сервисов с компьютеров работников государственных структур. Эту группировку мы назвали Lazy Koala из-за простых техник и имени пользователя, который управлял телеграм-ботами с украденными данными. ВПО, которое использовала группа для своих атак, мы назвали LazyStealer из-за простоты реализации, но в тоже время атаки с его использованием оказались продуктивными. Точный вектор заражения нам установить не удалось, однако по всем признакам это был фишинг. Все жертвы были напрямую уведомлены нами о компрометации.
Фон
  • 1
  • 2
  • 3
  • 4

Экспертный центр безопасности Positive Technologies (PT ESC)

Экспертный центр безопасности Positive Technologies занимается обнаружением, реагированием и расследованием сложных инцидентов, а также мониторингом защищенности корпоративных систем.

+200

экспертов

+150

реализованных проектов