#threat_intelligence — Public Fediverse posts

Смерть от тысячи алертов: как отфильтровать мусор из TI-фидов

Есть типовой путь, по которому команды приходят к разочарованию в Threat intelligence. Сначала кто-то в компании слышит, что фиды помогут раньше видеть атаки, быстрее реагировать, меньше пропускать. Потом кто-то другой берет пачку индикаторов из разных источников и по-быстрому заливает их в NGFW, прокси, SIEM или IDS. После СЗИ начинает сходить с ума: сыпятся алерты, в логах всплывают легитимные сервисы, аналитики несколько дней разгребают мусор… В итоге всё это счастье переводят в режим «только мониторинг», чтобы ничего не сломать. В результате напрашивается вывод: Threat intelligence — это, конечно, модно, но нам не нужно и вообще больше похоже на дорогую игрушку для крупных SOC. Вот только проблема не в TI, а в том, что сырые фиды никто не должен использовать в проде. Под катом разбираемся, почему именно так происходит, какие фиды стоит брать, а какие выкидывать, и как не превратить TI в генератор ложных срабатываний. Узнать подробности

https://habr.com/ru/companies/garda/articles/1032050/

#TI #фиды #индикаторы_компрометации #threat_intelligence #threat_intelligence_platform #Гарда_Threat_Intelligence_Feeds #сетевая_безопасность #информационная_безопасность

PhantomRShell: бэкдор, который маскируется с помощью дизассемблера

У вирусных аналитиков есть небольшая профессиональная трагедия: работать с вредоносами обычно скучнее, чем может казаться по их вычурным названиям. За каждым ShadowSomething RAT/Loader/Stealer почти всегда скрывается один и тот же набор знакомых техник: загрузчик, закрепление в системе, канал связи с C2, немного обфускации «для галочки». Но иногда попадаются образцы, которые действительно удивляют. В недавнем расследовании нам встретился именно такой. Речь пойдет о PhantomRShell — бэкдоре группировки PhantomCore (Head Mare), атакующей компании из России и Беларуси. Главная «фишка» PhantomRShell — в том, как он маскирует свое присутствие в системе. Вредонос использует встроенный дизассемблер, чтобы перехватывать системные вызовы и скрывать свои файлы от пользователя и защитных инструментов. Проще говоря: файл лежит на диске, но для средств анализа его как будто не существует. На связи Александр, вирусный аналитик отдела реагирования Бастиона и автор телеграм-канала @section_remadev . Сегодня разберем, как устроен PhantomRShell: от цепочки заражения до механизма сокрытия, который делает этот бэкдор заметно интереснее большинства его «коллег по цеху».

https://habr.com/ru/companies/bastion/articles/1027224/

#дизассемблер #индикаторы_компрометации #бэкдор #таргетированные_атаки #threat_intelligence #анализ_угроз #PhantomCore #phantomrshell #вредоносное_по #threat_research

«Ждите гостей»: новые инструменты и тактики PhantomCore в атаках на российские компании

На примере новой атаки PhantomCore - одной из главных киберугроз для российских и белорусских компаний - показываем, как группировка развивает свои инструменты и тактики, внедряет новое ВПО и расширяет спектр используемых технологий, включая AI-решения. Одна из главных особенностей PhantomCore – её постоянная изменчивость: эта АРТ-группа быстро приспосабливается к новым условиям, оперативно меняет инструменты и изобретает нестандартные способы доставки ВПО до атакуемых организаций.

https://habr.com/ru/companies/F6/articles/1024486/

#phantomcore #apt #kermit_rat #фишинговые_письма #киберразведка #threat_intelligence #mattermost #cyberstrike_ai #mashagent #sliver

Охота на AI-инфраструктуру, часть 2: что делают с чужим Ollama — от трейдинг-ботов до контент-ферм

В первой части я рассказал, как ханипот поймал сканер MCP-серверов — новый вектор разведки, нацеленный на AI-инфраструктуру. Сегодня — про другую сторону: что происходит, когда атакующий находит открытый Ollama. Статья документирует реальные сессии злоупотребления открытыми LLM-инстансами: кто подключается, какие промпты шлёт, какие модели запрашивает. Данные собраны с трёх ханипотов (DE, US, RU) за март 2026.

https://habr.com/ru/articles/1015646/

#honeypot #ollama #docker #threat_intelligence #container_security #LLM #AI_security #resource_hijacking

Охота на AI-инфраструктуру, часть 2: что делают с чужим Ollama — от трейдинг-ботов до контент-ферм

В первой части я рассказал, как ханипот поймал сканер MCP-серверов — новый вектор разведки, нацеленный на AI-инфраструктуру. Сегодня — про другую сторону: что происходит, когда атакующий находит открытый Ollama. Статья документирует реальные сессии злоупотребления открытыми LLM-инстансами: кто подключается, какие промпты шлёт, какие модели запрашивает. Данные собраны с трёх ханипотов (DE, US, RU) за март 2026.

https://habr.com/ru/articles/1015646/

#honeypot #ollama #docker #threat_intelligence #container_security #LLM #AI_security #resource_hijacking

Охота на AI-инфраструктуру, часть 2: что делают с чужим Ollama — от трейдинг-ботов до контент-ферм

В первой части я рассказал, как ханипот поймал сканер MCP-серверов — новый вектор разведки, нацеленный на AI-инфраструктуру. Сегодня — про другую сторону: что происходит, когда атакующий находит открытый Ollama. Статья документирует реальные сессии злоупотребления открытыми LLM-инстансами: кто подключается, какие промпты шлёт, какие модели запрашивает. Данные собраны с трёх ханипотов (DE, US, RU) за март 2026.

https://habr.com/ru/articles/1015646/

#honeypot #ollama #docker #threat_intelligence #container_security #LLM #AI_security #resource_hijacking

Охота на AI-инфраструктуру, часть 2: что делают с чужим Ollama — от трейдинг-ботов до контент-ферм

В первой части я рассказал, как ханипот поймал сканер MCP-серверов — новый вектор разведки, нацеленный на AI-инфраструктуру. Сегодня — про другую сторону: что происходит, когда атакующий находит открытый Ollama. Статья документирует реальные сессии злоупотребления открытыми LLM-инстансами: кто подключается, какие промпты шлёт, какие модели запрашивает. Данные собраны с трёх ханипотов (DE, US, RU) за март 2026.

https://habr.com/ru/articles/1015646/

#honeypot #ollama #docker #threat_intelligence #container_security #LLM #AI_security #resource_hijacking

91% малвари используют DNS. Кто и чем его защищает в России и мире

Подавляющее большинство вредоносного ПО использует DNS-протокол для связи с командными серверами, эксфильтрации данных или перенаправления трафика. При этом почти 60% организаций не осуществляют мониторинг DNS-трафика на регулярной основе. Между тем защита DNS это довольно крупный продуктовый домен в сфере информационной безопасности. Мировой рынок DNS Security уже оценивается в $1,6–2,0 млрд и растёт на 10–14% ежегодно. Разбираемся, что стоит за этой технологией, кто её развивает за рубежом и в России, и чего от нее ждать в ближайшие годы.

https://habr.com/ru/articles/1014854/

#DoH #DoT #threat_intelligence #sinkhole #NXDOMAIN #dns #dnssec #dnsтуннель #dns_по_https #dns_security

91% малвари используют DNS. Кто и чем его защищает в России и мире

Подавляющее большинство вредоносного ПО использует DNS-протокол для связи с командными серверами, эксфильтрации данных или перенаправления трафика. При этом почти 60% организаций не осуществляют мониторинг DNS-трафика на регулярной основе. Между тем защита DNS это довольно крупный продуктовый домен в сфере информационной безопасности. Мировой рынок DNS Security уже оценивается в $1,6–2,0 млрд и растёт на 10–14% ежегодно. Разбираемся, что стоит за этой технологией, кто её развивает за рубежом и в России, и чего от нее ждать в ближайшие годы.

https://habr.com/ru/articles/1014854/

#DoH #DoT #threat_intelligence #sinkhole #NXDOMAIN #dns #dnssec #dnsтуннель #dns_по_https #dns_security

91% малвари используют DNS. Кто и чем его защищает в России и мире

Подавляющее большинство вредоносного ПО использует DNS-протокол для связи с командными серверами, эксфильтрации данных или перенаправления трафика. При этом почти 60% организаций не осуществляют мониторинг DNS-трафика на регулярной основе. Между тем защита DNS это довольно крупный продуктовый домен в сфере информационной безопасности. Мировой рынок DNS Security уже оценивается в $1,6–2,0 млрд и растёт на 10–14% ежегодно. Разбираемся, что стоит за этой технологией, кто её развивает за рубежом и в России, и чего от нее ждать в ближайшие годы.

https://habr.com/ru/articles/1014854/

#DoH #DoT #threat_intelligence #sinkhole #NXDOMAIN #dns #dnssec #dnsтуннель #dns_по_https #dns_security

91% малвари используют DNS. Кто и чем его защищает в России и мире

Подавляющее большинство вредоносного ПО использует DNS-протокол для связи с командными серверами, эксфильтрации данных или перенаправления трафика. При этом почти 60% организаций не осуществляют мониторинг DNS-трафика на регулярной основе. Между тем защита DNS это довольно крупный продуктовый домен в сфере информационной безопасности. Мировой рынок DNS Security уже оценивается в $1,6–2,0 млрд и растёт на 10–14% ежегодно. Разбираемся, что стоит за этой технологией, кто её развивает за рубежом и в России, и чего от нее ждать в ближайшие годы.

https://habr.com/ru/articles/1014854/

#DoH #DoT #threat_intelligence #sinkhole #NXDOMAIN #dns #dnssec #dnsтуннель #dns_по_https #dns_security

Анатомия PhaaS-кита: как коммерческая фишинговая платформа фильтрует песочницы через browser fingerprinting

Разбираем фишинговое письмо, пришедшее на адрес НКО: от SendGrid-доставки с SPF/DKIM pass до реверса JavaScript-фреймворка collector.js, который собирает GPU fingerprint, ломает WebRTC для раскрытия IP за VPN и детектирует DevTools — до того как жертва увидит фишинговую форму.

https://habr.com/ru/articles/1014420/

#phishing #phishingasaservice #browser_fingerprinting #webrtc #sendgrid #incident_response #threat_intelligence #javascript

Анатомия PhaaS-кита: как коммерческая фишинговая платформа фильтрует песочницы через browser fingerprinting

Разбираем фишинговое письмо, пришедшее на адрес НКО: от SendGrid-доставки с SPF/DKIM pass до реверса JavaScript-фреймворка collector.js, который собирает GPU fingerprint, ломает WebRTC для раскрытия IP за VPN и детектирует DevTools — до того как жертва увидит фишинговую форму.

https://habr.com/ru/articles/1014420/

#phishing #phishingasaservice #browser_fingerprinting #webrtc #sendgrid #incident_response #threat_intelligence #javascript

Анатомия PhaaS-кита: как коммерческая фишинговая платформа фильтрует песочницы через browser fingerprinting

Разбираем фишинговое письмо, пришедшее на адрес НКО: от SendGrid-доставки с SPF/DKIM pass до реверса JavaScript-фреймворка collector.js, который собирает GPU fingerprint, ломает WebRTC для раскрытия IP за VPN и детектирует DevTools — до того как жертва увидит фишинговую форму.

https://habr.com/ru/articles/1014420/

#phishing #phishingasaservice #browser_fingerprinting #webrtc #sendgrid #incident_response #threat_intelligence #javascript

Анатомия PhaaS-кита: как коммерческая фишинговая платформа фильтрует песочницы через browser fingerprinting

Разбираем фишинговое письмо, пришедшее на адрес НКО: от SendGrid-доставки с SPF/DKIM pass до реверса JavaScript-фреймворка collector.js, который собирает GPU fingerprint, ломает WebRTC для раскрытия IP за VPN и детектирует DevTools — до того как жертва увидит фишинговую форму.

https://habr.com/ru/articles/1014420/

#phishing #phishingasaservice #browser_fingerprinting #webrtc #sendgrid #incident_response #threat_intelligence #javascript

Анатомия фишинг-кита: полиморфный CSS, гомоглифы и инфраструктура на 290+ доменов

Разбираем реальный инцидент — от фишинговой ссылки до bulletproof-хостинга. IOC, техники обфускации и инфраструктура кампании на 290+ доменов.

https://habr.com/ru/articles/1010462/

#telegram #threat_intelligence #социальная_инженерия #IOC #кибербезопасность #bulletproof_hosting #credential_theft #phishing_kit #фишинг

Охота на AI-инфраструктуру: ханипот поймал сканер MCP-серверов

10 марта 2026 года наш мультисервисный ханипот зафиксировал необычную активность. Один IP-адрес за 10 минут методично прошёлся по 8 сервисам — SSH, Telnet, HTTP/HTTPS, MySQL, Docker API, Memcached, Winbox — и среди прочего отправил JSON-RPC запрос инициализации Model Context Protocol (MCP). Это первый задокументированный нами случай, когда MCP-сканирование выступает не как исследовательский инструмент, а как модуль в составе мультипротокольного сканера. Статья содержит разбор пойманного пейлоада, IOC, Suricata-сигнатуру и Shodan/Censys-дорки для детекции MCP-сканирования.

https://habr.com/ru/articles/1008760/

#honeypot #mcp #docker #threat_intelligence #network_security

Фейковый грант от NED: анатомия таргетированного фишинга

18 февраля 2026 года сотрудник НКО получил таргетированное фишинговое письмо якобы от National Endowment for Democracy — американского фонда поддержки демократии. Обращение по полному имени, ссылка на «предыдущую заявку на грант» (которой никогда не было), и упоминание документа, которого физически нет в письме — классическая техника «фантомного вложения», при которой первое письмо устанавливает доверие, а вредоносный файл приходит уже в ответ на реакцию жертвы. В этой статье — разбор атаки по заголовкам, инфраструктуре и социальной инженерии. Материал будет полезен аналитикам SOC и сотрудникам НКО: в конце — IOC, kill chain и рекомендации для администраторов почты.

https://habr.com/ru/articles/1004156/

#информационная_безопасность #фишинг #spearphishing #threat_intelligence #социальная_инженерия #email_security

Фишинг под видом Meta: SPF pass, DKIM pass, входящие Gmail

2 марта 2026 года я получил на анализ фишинговое письмо. Отправитель - «M e t a», тема - «[Требуется действие] Завершите проверку, чтобы восстановить показ объявлений». SPF pass, DKIM pass, ARC pass - письмо прошло все проверки и лежало во входящих Gmail. Ключ - цепочка Resend.com → Amazon SES → Gmail, где каждый элемент легитимен. Разбираю, как атакующие этого добились и почему это работает.

https://habr.com/ru/articles/1005750/

#информационная_безопасность #фишинг #spearphishing #threat_intelligence #социальная_инженерия #email_security

Разбираем фишинг через Google Drive: fingerprinting вместо кражи паролей

12 февраля 2026 года я получил фишинговое письмо, замаскированное под уведомление Google Drive от юридической фирмы White & Case LLP. Вместо обычного credential harvesting за ссылкой скрывалась профессиональная система browser fingerprinting с anti-analysis cloaking. Рассказываю, как устроена атака изнутри — от email до перехваченного POST-запроса с эксфильтрированными данными. <cut/> ## Как всё началось Письмо пришло с адреса drive-shares-dm-noreply@google[.]com — легитимный адрес Google Drive для шаринга файлов. Отправитель отображается как «Whitе § Cаsɐ Pay Immediately» — обратите внимание на символы: кириллические «е» и «а», перевёрнутая «ɐ», армянский символ в названии. Unicode-гомоглифы для обхода текстовых фильтров. Тема письма: «Resolve Promptly - Dеbt Detected - Pаy Immediately!» — urgency-давление через тему долга. Атакующий создал Google-аккаунт [email protected][.]com и расшарил через Google Drive HTML-файл, стилизованный под collection letter (требование об оплате задолженности) от White & Case. Рассылка ушла на 24 адреса (1 To + 23 CC) — NGO, корпорации и частные лица. Вся страница в Google Drive — одна большая кликабельная область, ведущая на Google Cloud Storage. ## Цепочка атаки: 7 этапов Полная цепочка от клика до эксфильтрации: | # | Этап | Что происходит | |---|------|----------------| | 1 | Email | Письмо от drive-shares-dm-noreply@google[.]com — легитимный Google | | 2 | Google Drive | HTML-страница как изображение collection letter. Вся область — ссылка на GCS |

https://habr.com/ru/articles/1004016/

#информационная_безопасность #фишинг #threat_intelligence #fingerprinting #google_drive #OSINT

Липкий след: исследуем атаки группировки PseudoSticky

Аналитики департамента киберразведки (Threat Intelligence) компании F6 изучили вредоносные кампании новой киберпреступной группировки, которая действует против российских организаций из сфер ретейла и строительства, НИИ и приборостроительных предприятий. За сходство с почерком Sticky Werewolf новую группировку назвали PseudoSticky. Злоумышленники использовали в качестве приманок в фишинговых рассылках файлы, в названии которых упоминались индексы продукции военного назначения, а письма отправляли от имени несуществующих предприятий ОПК и областного суда.

https://habr.com/ru/companies/F6/articles/1000928/

#sticky_werewolf #pseudo_sticky #darktrack_rat #remcos_rat #киберразведка #threat_intelligence

CTEM для внешнего периметра

Привет, Хабр! Я Айдар Фатыхов, менеджер продуктов в Innostage. Хочу разобрать практическую задачу, с которой регулярно сталкиваются ИБ-команды крупных компаний: защита самой горячей точки в инфраструктуре – внешнего сетевого периметра. Отчёты по уязвимостям растут, поверхность атаки постоянно меняется и увеличивается, рук для закрытия рисков постоянно не хватает и ясного ответа, что закрывать в первую очередь по внешнему периметру нет. И вроде бы внедряются технические средства, различные сканеры, межсетевые экраны, WAF и другие средства, но во многих случаях проблема не в отсутствии инструментов, а в разрыве между выявленными уязвимостями и бизнес-ценностью активов, фрагментированной работой с данными разных средств защиты, и в отсутствии правильного сведения в единую картину данных от внешних и внутренних сканеров. Дальше разберу, как подойти к этой задаче с помощью фреймворка CTEM: связать результаты обнаружения с контекстом и телеметрией, получить управляемые приоритеты и доводить устранение до подтверждённого результата через повторную проверку. Почему именно периметр? Перед тем, как переходить к методологии, важно зафиксировать, почему внешний периметр почти всегда оказывается в фокусе. Периметр меняется быстрее всего. Появляются новые сервисы, конфигурации правятся, порты открываются и закрываются, где-то всплывают временные стенды и пилоты. И значительная часть рисков возникает именно на стыке изменений и контроля. По итогам 1-го полугодия 2025 года наши эксперты Innostage SOC CyberART зафиксировали рост OSINT-инцидентов на 50% почти до 10 тысяч. При этом более 70% таких инцидентов было связано с изменениями на периметре: открытие портов, смена конфигураций сервисов, появление новых ресурсов или изменения сведений о существующих. Это важный сигнал: периметр часто уязвим не только из-за конкретной уязвимости, а из-за неуправляемых изменений и слабого контроля того, что именно и как выставлено наружу.

https://habr.com/ru/companies/innostage/articles/995384/

#CTEM #Внешний_сетевой_периметр #управление_уязвимостями #ASM #Приоритизация_рисков #SIEM #телеметрия_безопасности #Проактивное_управление_угрозами #threat_intelligence #osint

CTEM для внешнего периметра

Привет, Хабр! Я Айдар Фатыхов, менеджер продуктов в Innostage. Хочу разобрать практическую задачу, с которой регулярно сталкиваются ИБ-команды крупных компаний: защита самой горячей точки в инфраструктуре – внешнего сетевого периметра. Отчёты по уязвимостям растут, поверхность атаки постоянно меняется и увеличивается, рук для закрытия рисков постоянно не хватает и ясного ответа, что закрывать в первую очередь по внешнему периметру нет. И вроде бы внедряются технические средства, различные сканеры, межсетевые экраны, WAF и другие средства, но во многих случаях проблема не в отсутствии инструментов, а в разрыве между выявленными уязвимостями и бизнес-ценностью активов, фрагментированной работой с данными разных средств защиты, и в отсутствии правильного сведения в единую картину данных от внешних и внутренних сканеров. Дальше разберу, как подойти к этой задаче с помощью фреймворка CTEM: связать результаты обнаружения с контекстом и телеметрией, получить управляемые приоритеты и доводить устранение до подтверждённого результата через повторную проверку. Почему именно периметр? Перед тем, как переходить к методологии, важно зафиксировать, почему внешний периметр почти всегда оказывается в фокусе. Периметр меняется быстрее всего. Появляются новые сервисы, конфигурации правятся, порты открываются и закрываются, где-то всплывают временные стенды и пилоты. И значительная часть рисков возникает именно на стыке изменений и контроля. По итогам 1-го полугодия 2025 года наши эксперты Innostage SOC CyberART зафиксировали рост OSINT-инцидентов на 50% почти до 10 тысяч. При этом более 70% таких инцидентов было связано с изменениями на периметре: открытие портов, смена конфигураций сервисов, появление новых ресурсов или изменения сведений о существующих. Это важный сигнал: периметр часто уязвим не только из-за конкретной уязвимости, а из-за неуправляемых изменений и слабого контроля того, что именно и как выставлено наружу.

https://habr.com/ru/companies/innostage/articles/995384/

#CTEM #Внешний_сетевой_периметр #управление_уязвимостями #ASM #Приоритизация_рисков #SIEM #телеметрия_безопасности #Проактивное_управление_угрозами #threat_intelligence #osint

CTEM для внешнего периметра

Привет, Хабр! Я Айдар Фатыхов, менеджер продуктов в Innostage. Хочу разобрать практическую задачу, с которой регулярно сталкиваются ИБ-команды крупных компаний: защита самой горячей точки в инфраструктуре – внешнего сетевого периметра. Отчёты по уязвимостям растут, поверхность атаки постоянно меняется и увеличивается, рук для закрытия рисков постоянно не хватает и ясного ответа, что закрывать в первую очередь по внешнему периметру нет. И вроде бы внедряются технические средства, различные сканеры, межсетевые экраны, WAF и другие средства, но во многих случаях проблема не в отсутствии инструментов, а в разрыве между выявленными уязвимостями и бизнес-ценностью активов, фрагментированной работой с данными разных средств защиты, и в отсутствии правильного сведения в единую картину данных от внешних и внутренних сканеров. Дальше разберу, как подойти к этой задаче с помощью фреймворка CTEM: связать результаты обнаружения с контекстом и телеметрией, получить управляемые приоритеты и доводить устранение до подтверждённого результата через повторную проверку. Почему именно периметр? Перед тем, как переходить к методологии, важно зафиксировать, почему внешний периметр почти всегда оказывается в фокусе. Периметр меняется быстрее всего. Появляются новые сервисы, конфигурации правятся, порты открываются и закрываются, где-то всплывают временные стенды и пилоты. И значительная часть рисков возникает именно на стыке изменений и контроля. По итогам 1-го полугодия 2025 года наши эксперты Innostage SOC CyberART зафиксировали рост OSINT-инцидентов на 50% почти до 10 тысяч. При этом более 70% таких инцидентов было связано с изменениями на периметре: открытие портов, смена конфигураций сервисов, появление новых ресурсов или изменения сведений о существующих. Это важный сигнал: периметр часто уязвим не только из-за конкретной уязвимости, а из-за неуправляемых изменений и слабого контроля того, что именно и как выставлено наружу.

https://habr.com/ru/companies/innostage/articles/995384/

#CTEM #Внешний_сетевой_периметр #управление_уязвимостями #ASM #Приоритизация_рисков #SIEM #телеметрия_безопасности #Проактивное_управление_угрозами #threat_intelligence #osint

CTEM для внешнего периметра

Привет, Хабр! Я Айдар Фатыхов, менеджер продуктов в Innostage. Хочу разобрать практическую задачу, с которой регулярно сталкиваются ИБ-команды крупных компаний: защита самой горячей точки в инфраструктуре – внешнего сетевого периметра. Отчёты по уязвимостям растут, поверхность атаки постоянно меняется и увеличивается, рук для закрытия рисков постоянно не хватает и ясного ответа, что закрывать в первую очередь по внешнему периметру нет. И вроде бы внедряются технические средства, различные сканеры, межсетевые экраны, WAF и другие средства, но во многих случаях проблема не в отсутствии инструментов, а в разрыве между выявленными уязвимостями и бизнес-ценностью активов, фрагментированной работой с данными разных средств защиты, и в отсутствии правильного сведения в единую картину данных от внешних и внутренних сканеров. Дальше разберу, как подойти к этой задаче с помощью фреймворка CTEM: связать результаты обнаружения с контекстом и телеметрией, получить управляемые приоритеты и доводить устранение до подтверждённого результата через повторную проверку. Почему именно периметр? Перед тем, как переходить к методологии, важно зафиксировать, почему внешний периметр почти всегда оказывается в фокусе. Периметр меняется быстрее всего. Появляются новые сервисы, конфигурации правятся, порты открываются и закрываются, где-то всплывают временные стенды и пилоты. И значительная часть рисков возникает именно на стыке изменений и контроля. По итогам 1-го полугодия 2025 года наши эксперты Innostage SOC CyberART зафиксировали рост OSINT-инцидентов на 50% почти до 10 тысяч. При этом более 70% таких инцидентов было связано с изменениями на периметре: открытие портов, смена конфигураций сервисов, появление новых ресурсов или изменения сведений о существующих. Это важный сигнал: периметр часто уязвим не только из-за конкретной уязвимости, а из-за неуправляемых изменений и слабого контроля того, что именно и как выставлено наружу.

https://habr.com/ru/companies/innostage/articles/995384/

#CTEM #Внешний_сетевой_периметр #управление_уязвимостями #ASM #Приоритизация_рисков #SIEM #телеметрия_безопасности #Проактивное_управление_угрозами #threat_intelligence #osint

Иллюзия разбоя: F6 проанализировала активность «Команды Legion» и её связь с кибергруппой NyashTeam

Специалисты департамента киберразведки (Threat Intelligence) компании F6 в ходе ежедневного мониторинга угроз обнаружили подозрительный исполняемый файл, который выглядел как программа-вымогатель. Однако анализ показал, что это блокировщик, маскирующийся под шифровальщика: вместо шифрования файлов он блокировал доступ к операционной системе. В сообщении было указано, что файлы и диски « зашифрованы … командой Legion », упоминания о которой ранее не встречались.

https://habr.com/ru/companies/F6/articles/992130/

#блокировщик #шифровальщик #nyashteam #webrat #dcrat #киберразведка #threat_intelligence #legion

Иллюзия разбоя: F6 проанализировала активность «Команды Legion» и её связь с кибергруппой NyashTeam

Специалисты департамента киберразведки (Threat Intelligence) компании F6 в ходе ежедневного мониторинга угроз обнаружили подозрительный исполняемый файл, который выглядел как программа-вымогатель. Однако анализ показал, что это блокировщик, маскирующийся под шифровальщика: вместо шифрования файлов он блокировал доступ к операционной системе. В сообщении было указано, что файлы и диски « зашифрованы … командой Legion », упоминания о которой ранее не встречались.

https://habr.com/ru/companies/F6/articles/992130/

#блокировщик #шифровальщик #nyashteam #webrat #dcrat #киберразведка #threat_intelligence #legion

Иллюзия разбоя: F6 проанализировала активность «Команды Legion» и её связь с кибергруппой NyashTeam

Специалисты департамента киберразведки (Threat Intelligence) компании F6 в ходе ежедневного мониторинга угроз обнаружили подозрительный исполняемый файл, который выглядел как программа-вымогатель. Однако анализ показал, что это блокировщик, маскирующийся под шифровальщика: вместо шифрования файлов он блокировал доступ к операционной системе. В сообщении было указано, что файлы и диски « зашифрованы … командой Legion », упоминания о которой ранее не встречались.

https://habr.com/ru/companies/F6/articles/992130/

#блокировщик #шифровальщик #nyashteam #webrat #dcrat #киберразведка #threat_intelligence #legion

Иллюзия разбоя: F6 проанализировала активность «Команды Legion» и её связь с кибергруппой NyashTeam

Специалисты департамента киберразведки (Threat Intelligence) компании F6 в ходе ежедневного мониторинга угроз обнаружили подозрительный исполняемый файл, который выглядел как программа-вымогатель. Однако анализ показал, что это блокировщик, маскирующийся под шифровальщика: вместо шифрования файлов он блокировал доступ к операционной системе. В сообщении было указано, что файлы и диски « зашифрованы … командой Legion », упоминания о которой ранее не встречались.

https://habr.com/ru/companies/F6/articles/992130/

#блокировщик #шифровальщик #nyashteam #webrat #dcrat #киберразведка #threat_intelligence #legion

Malicious skills targeting Claude Code and Moltbot users
https://opensourcemalware.com/blog/clawdbot-skills-ganked-your-crypto
#ycombinator #malware #npm_security #package_security #open_source_security #threat_intelligence #vulnerability_reporting

ClawdBot Skills ganked all my crypto
https://opensourcemalware.com/blog/clawdbot-skills-ganked-your-crypto
#ycombinator #malware #npm_security #package_security #open_source_security #threat_intelligence #vulnerability_reporting

Почерк LLM: аналитики F6 изучили атаку с использованием PureCrypter и DarkTrack RAT

С каждым днем искусственный интеллект всё больше интегрируется в нашу жизнь и облегчает многие задачи. Но, к сожалению, он также используется и в арсенале киберпреступников. Так, в ходе ежедневного мониторинга угроз, 21.11.2025 специалисты F6 Threat Intelligence обнаружили вредоносный архив с именем Изделие-44 ДСП.rar (MD5: d3b6c14b4bbad6fd72881ff6b88a0de4), загруженный на одну из публичных онлайн-песочниц. Архив содержит в себе файл Изделие-44 ДСП.hta (MD5: e6846e5074ef5e583df74d989a32833f), запуск которого инициирует цепочку заражения: HTA-загрузчик -> EXE загрузчик\инжектор -> полезная нагрузка DarkTrack RAT. В ходе анализа содержимого указанного файла прослеживается простота кода, подробное его комментирование, форматирование и отсутствие грамматических ошибок. Эти признаки позволяют предположить, что злоумышленники использовали при разработке своего ВПО LLM.

https://habr.com/ru/companies/F6/articles/974578/

#threat_intelligence #киберразведка #llm #rat #darktrack_rat

Автоматизация обработки ТI-отчетов с помощью NER: как мы сэкономили время аналитиков

Привет, Хабр! Меня зовут Виктор Пронин, я старший аналитик киберугроз в центре компетенций группы компаний «Гарда». Мы формируем для Гарда Threat Intelligence Feeds данные об угрозах на основе обезличенной телеметрии из наших инсталляций, а для получения более полной картины обращаемся, в том числе, и к информации из открытых источников. В статье я расскажу об автоматизированной обработке публикаций по информационной безопасности. Кейс будет полезен аналитикам киберугроз и специалистам, интересующимся применением ML в ИБ.

https://habr.com/ru/companies/garda/articles/970034/

#threat_intelligence #NER #обработка_текстов #искусственный_интеллект #ml

Неугомонный VasyGrek: F6 изучила атаки злоумышленника в августе-ноябре 2025 года

В июле 2024 года был опубликован блог об исследовании специалистами Threat Intelligence компании F6 активности VasyGrek и его сотрудничестве с продавцом ВПО Mr.Burns . После публикации F6 VasyGrek прекратил сотрудничество с этим поставщиком вредоносных программ. Аналитики департамента киберразведки F6 продолжили отслеживать атаки злоумышленника, который не прекращал свою активность и осуществлял новые фишинговые рассылки в адрес российских организаций. Целью киберпреступника был доступ к конфиденциальным данным для их дальнейшего использования. Как правило, VasyGrek применял вредоносное ПО, разработанное пользователем хак-форумов PureCoder. Также специалисты F6 заметили, что в некоторых атаках в дополнение к ВПО от PureCoder шел шифровальщик Pay2Key . В новом блоге аналитики F6 рассказали об инструментах и атаках VasyGrek в августе-ноябре 2025 года с техническими деталями и индикаторами компрометации.

https://habr.com/ru/companies/F6/articles/970078/

#киберпреступность #киберразведка #threat_intelligence

Исследование Гарда: российский рынок использует устаревшие технологии анализа трафика

На связи Станислав Грибанов, эксперт по продуктам информационной безопасности, автор блога «Кибербезопасность и продуктовая экспертиза для бизнеса» и Ксения Крупкина, эксперт по продуктовому маркетингу в направлении сетевой безопасности группы компаний «Гарда» . Киберугрозы эволюционируют быстрее, чем когда-либо. Злоумышленники научились обходить традиционную защиту периметра и незаметно перемещаться внутри корпоративных сетей. Использование NDR-решений позволяет организациям раньше обнаруживать сложные сетевые угрозы, горизонтальное перемещение злоумышленников внутри сети, сокращать время реакции на инциденты, минимизировать ущерб и интегрировать защиту с существующей инфраструктурой. Узнать все о современных трендах NDR

https://habr.com/ru/companies/garda/articles/966006/

#ndr #защита_сетевой_инфраструктуры #реагирование_на_инциденты #исследование #network_security #active_response #network_trafic_analysis #nta #threat_intelligence #тренды_NDR

DPI-First: почему анализ трафика становится сердцем сети

Глубинный анализ трафика (DPI) больше не ограничивается фильтрацией пакетов. Шифрование, рост облаков и исчезновение сетевого периметра заставляют его меняться. На наших глазах DPI превращается в архитектурный элемент сетевого интеллекта — основу наблюдаемости, доверия и активной защиты. В статье разбираю, почему старые методы перестают работать, как DPI эволюционирует к поведенческому и ML-анализу, и почему распределённые DPI-системы могут стать сердцем сетей нового поколения.

https://habr.com/ru/articles/965070/

#dpi #ndr #threat_intelligence #ml #поведенческий_анализ #zero_trust #архитектура_безопасности #сетевой_трафик #распределенные_сети #кибербезопасность

DPI-First: почему анализ трафика становится сердцем сети

Глубинный анализ трафика (DPI) больше не ограничивается фильтрацией пакетов. Шифрование, рост облаков и исчезновение сетевого периметра заставляют его меняться. На наших глазах DPI превращается в архитектурный элемент сетевого интеллекта — основу наблюдаемости, доверия и активной защиты. В статье разбираю, почему старые методы перестают работать, как DPI эволюционирует к поведенческому и ML-анализу, и почему распределённые DPI-системы могут стать сердцем сетей нового поколения.

https://habr.com/ru/articles/965070/

#dpi #ndr #threat_intelligence #ml #поведенческий_анализ #zero_trust #архитектура_безопасности #сетевой_трафик #распределенные_сети #кибербезопасность

DPI-First: почему анализ трафика становится сердцем сети

Глубинный анализ трафика (DPI) больше не ограничивается фильтрацией пакетов. Шифрование, рост облаков и исчезновение сетевого периметра заставляют его меняться. На наших глазах DPI превращается в архитектурный элемент сетевого интеллекта — основу наблюдаемости, доверия и активной защиты. В статье разбираю, почему старые методы перестают работать, как DPI эволюционирует к поведенческому и ML-анализу, и почему распределённые DPI-системы могут стать сердцем сетей нового поколения.

https://habr.com/ru/articles/965070/

#dpi #ndr #threat_intelligence #ml #поведенческий_анализ #zero_trust #архитектура_безопасности #сетевой_трафик #распределенные_сети #кибербезопасность

DPI-First: почему анализ трафика становится сердцем сети

Глубинный анализ трафика (DPI) больше не ограничивается фильтрацией пакетов. Шифрование, рост облаков и исчезновение сетевого периметра заставляют его меняться. На наших глазах DPI превращается в архитектурный элемент сетевого интеллекта — основу наблюдаемости, доверия и активной защиты. В статье разбираю, почему старые методы перестают работать, как DPI эволюционирует к поведенческому и ML-анализу, и почему распределённые DPI-системы могут стать сердцем сетей нового поколения.

https://habr.com/ru/articles/965070/

#dpi #ndr #threat_intelligence #ml #поведенческий_анализ #zero_trust #архитектура_безопасности #сетевой_трафик #распределенные_сети #кибербезопасность

Предиктивная безопасность: Dark Web Intelligence в OSINT

В кибербезопасности время реакции определяет масштаб ущерба. Чем раньше организация фиксирует признаки атаки, тем выше шанс предотвратить инцидент. Поэтому компании переходят от реактивных мер к проактивным стратегиям. Соответственно, важна интеграция данных из даркнета в OSINT (Open Source Intelligence). Это позволяет выявлять утечки учётных данных, эксплойты и схемы атак ещё до того, как о них станет известно. В результате, мы получаем снижение финансовых и репутационных рисков, а защита цифровых активов у нас более устойчива. В этом материале я хочу рассказать о том, как Dark Web‑разведка дополняет OSINT, рассмотреть реальные кейсы и дать практические советы по внедрению.

https://habr.com/ru/companies/beget/articles/956976/

#osint #darknet #кибербезопасность #анализ_данных #киберразведка #даркнет #soc #threat_intelligence #cti

Инновации в кибербезопасности: обзор Carmina AI от Innostage

Инновации в кибербезопасности: обзор Carmina AI от Innostage Автор: Олейникова Анна, директор по продуктовому развитию Innostage Innostage Carmina AI – это виртуальный помощник, объединяющий передовые технологии искусственного интеллекта, большие языковые модели (LLM) и машинное обучение (ML), предназначенный для специалистов центров мониторинга безопасности. Его главная цель – разгрузить специалистов от типовых операций, ускорить выявление угроз и обеспечить оперативное реагирование на киберинциденты.

https://habr.com/ru/companies/innostage/articles/956820/

#Carmina_AI #Innostage #ИИассисент #SOC #SOAR #SIEM #Threat_Intelligence #LLM #ML #TDIR

Инновации в кибербезопасности: обзор Carmina AI от Innostage

Инновации в кибербезопасности: обзор Carmina AI от Innostage Автор: Олейникова Анна, директор по продуктовому развитию Innostage Innostage Carmina AI – это виртуальный помощник, объединяющий передовые технологии искусственного интеллекта, большие языковые модели (LLM) и машинное обучение (ML), предназначенный для специалистов центров мониторинга безопасности. Его главная цель – разгрузить специалистов от типовых операций, ускорить выявление угроз и обеспечить оперативное реагирование на киберинциденты.

https://habr.com/ru/companies/innostage/articles/956820/

#Carmina_AI #Innostage #ИИассисент #SOC #SOAR #SIEM #Threat_Intelligence #LLM #ML #TDIR

Инновации в кибербезопасности: обзор Carmina AI от Innostage

Инновации в кибербезопасности: обзор Carmina AI от Innostage Автор: Олейникова Анна, директор по продуктовому развитию Innostage Innostage Carmina AI – это виртуальный помощник, объединяющий передовые технологии искусственного интеллекта, большие языковые модели (LLM) и машинное обучение (ML), предназначенный для специалистов центров мониторинга безопасности. Его главная цель – разгрузить специалистов от типовых операций, ускорить выявление угроз и обеспечить оперативное реагирование на киберинциденты.

https://habr.com/ru/companies/innostage/articles/956820/

#Carmina_AI #Innostage #ИИассисент #SOC #SOAR #SIEM #Threat_Intelligence #LLM #ML #TDIR

Инновации в кибербезопасности: обзор Carmina AI от Innostage

Инновации в кибербезопасности: обзор Carmina AI от Innostage Автор: Олейникова Анна, директор по продуктовому развитию Innostage Innostage Carmina AI – это виртуальный помощник, объединяющий передовые технологии искусственного интеллекта, большие языковые модели (LLM) и машинное обучение (ML), предназначенный для специалистов центров мониторинга безопасности. Его главная цель – разгрузить специалистов от типовых операций, ускорить выявление угроз и обеспечить оперативное реагирование на киберинциденты.

https://habr.com/ru/companies/innostage/articles/956820/

#Carmina_AI #Innostage #ИИассисент #SOC #SOAR #SIEM #Threat_Intelligence #LLM #ML #TDIR

Нежданные гости: F6 проанализировала первые масштабные атаки группы Kinsing на российские компании

Установить злоумышленников удалось в результате исследования, которое провели аналитики F6 . Весной 2025 года один из клиентов компании зафиксировал попытку кибератаки на свои внешние сервера. Со списком IP-адресов, с которых велась атака, он обратился в департамент киберразведки (Threat Intelligence) компании F6 за атрибуцией.

https://habr.com/ru/companies/F6/articles/935988/

#kinsing #криптоджекинг #майнер #уязвимости #cve #киберразведка #threat_intelligence

Операция «Ликвидация»: изучаем и блокируем инфраструктуру группировки NyashTeam

Аналитики компании F6 вскрыли сеть доменов группировки, которая распространяет вредоносное ПО, а также предоставляет хостинг-услуги для киберпреступной инфраструктуры.

https://habr.com/ru/companies/F6/articles/928688/

#киберразведка #NyashTeam #maas #DCRat #webrat #threat_intelligence #противодействие_киберпреступности

Операция «Ликвидация»: изучаем и блокируем инфраструктуру группировки NyashTeam

Аналитики компании F6 вскрыли сеть доменов группировки, которая распространяет вредоносное ПО, а также предоставляет хостинг-услуги для киберпреступной инфраструктуры.

https://habr.com/ru/companies/F6/articles/928688/

#киберразведка #NyashTeam #maas #DCRat #webrat #threat_intelligence #противодействие_киберпреступности

Операция «Ликвидация»: изучаем и блокируем инфраструктуру группировки NyashTeam

Аналитики компании F6 вскрыли сеть доменов группировки, которая распространяет вредоносное ПО, а также предоставляет хостинг-услуги для киберпреступной инфраструктуры.

https://habr.com/ru/companies/F6/articles/928688/

#киберразведка #NyashTeam #maas #DCRat #webrat #threat_intelligence #противодействие_киберпреступности

Операция «Ликвидация»: изучаем и блокируем инфраструктуру группировки NyashTeam

Аналитики компании F6 вскрыли сеть доменов группировки, которая распространяет вредоносное ПО, а также предоставляет хостинг-услуги для киберпреступной инфраструктуры.

https://habr.com/ru/companies/F6/articles/928688/

#киберразведка #NyashTeam #maas #DCRat #webrat #threat_intelligence #противодействие_киберпреступности

Киберразведка по-русски: как развивается отечественный Threat Intelligence

Киберразведка по-русски: как развивается отечественный Threat Intelligence Сфера CTI — киберразведки — в России активно развивается, но разобраться в отечественных решениях бывает непросто. Как инженер-исследователь и энтузиаст этой темы, я изучил 10 ключевых TI-продуктов: от Kaspersky и PT ESC до R-Vision и Garda TI. В статье — функциональное сравнение, советы по выбору, особенности для КИИ, а также взгляд в будущее: отраслевые центры, обмен разведданными, роль AI. Рекомендации, интеллект-карта, наглядные таблицы — всё для того, чтобы TI в России стал ближе и понятнее.

https://habr.com/ru/articles/933642/

#cti #киберразведка #ioc #apt #фиды #кии #цифровой_суверенитет #threat_intelligence #фстэк #187фз