home.social

#threat_intelligence — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #threat_intelligence, aggregated by home.social.

  1. Как CISO защищаются от прошлого, игнорируя будущее

    Большинство CISO готовятся к прошлой атаке. После громкой утечки компании срочно закупают новый EDR, донастраивают SIEM и усиливают антифишинг, хотя следующая проблема почти наверняка придёт совсем с другой стороны — через подрядчика, старый API или уязвимость, про которую никто ещё не написал в отчётах. В статье разбираем, почему ИБ‑команды часто защищаются «по зеркалу заднего вида», как это ломает стратегию безопасности и что делать, чтобы бюджет ИБ работал не только против вчерашних угроз.

    habr.com/ru/companies/otus/art

    #CISO #информационная_безопасность #кибербезопасность #threat_intelligence #ИБинциденты #техдолг_ИБ #управление_рисками #Red_Team #SOC #бюджетирование_ИБ

  2. Как CISO защищаются от прошлого, игнорируя будущее

    Большинство CISO готовятся к прошлой атаке. После громкой утечки компании срочно закупают новый EDR, донастраивают SIEM и усиливают антифишинг, хотя следующая проблема почти наверняка придёт совсем с другой стороны — через подрядчика, старый API или уязвимость, про которую никто ещё не написал в отчётах. В статье разбираем, почему ИБ‑команды часто защищаются «по зеркалу заднего вида», как это ломает стратегию безопасности и что делать, чтобы бюджет ИБ работал не только против вчерашних угроз.

    habr.com/ru/companies/otus/art

    #CISO #информационная_безопасность #кибербезопасность #threat_intelligence #ИБинциденты #техдолг_ИБ #управление_рисками #Red_Team #SOC #бюджетирование_ИБ

  3. Как CISO защищаются от прошлого, игнорируя будущее

    Большинство CISO готовятся к прошлой атаке. После громкой утечки компании срочно закупают новый EDR, донастраивают SIEM и усиливают антифишинг, хотя следующая проблема почти наверняка придёт совсем с другой стороны — через подрядчика, старый API или уязвимость, про которую никто ещё не написал в отчётах. В статье разбираем, почему ИБ‑команды часто защищаются «по зеркалу заднего вида», как это ломает стратегию безопасности и что делать, чтобы бюджет ИБ работал не только против вчерашних угроз.

    habr.com/ru/companies/otus/art

    #CISO #информационная_безопасность #кибербезопасность #threat_intelligence #ИБинциденты #техдолг_ИБ #управление_рисками #Red_Team #SOC #бюджетирование_ИБ

  4. Как CISO защищаются от прошлого, игнорируя будущее

    Большинство CISO готовятся к прошлой атаке. После громкой утечки компании срочно закупают новый EDR, донастраивают SIEM и усиливают антифишинг, хотя следующая проблема почти наверняка придёт совсем с другой стороны — через подрядчика, старый API или уязвимость, про которую никто ещё не написал в отчётах. В статье разбираем, почему ИБ‑команды часто защищаются «по зеркалу заднего вида», как это ломает стратегию безопасности и что делать, чтобы бюджет ИБ работал не только против вчерашних угроз.

    habr.com/ru/companies/otus/art

    #CISO #информационная_безопасность #кибербезопасность #threat_intelligence #ИБинциденты #техдолг_ИБ #управление_рисками #Red_Team #SOC #бюджетирование_ИБ

  5. Смерть от тысячи алертов: как отфильтровать мусор из TI-фидов

    Есть типовой путь, по которому команды приходят к разочарованию в Threat intelligence. Сначала кто-то в компании слышит, что фиды помогут раньше видеть атаки, быстрее реагировать, меньше пропускать. Потом кто-то другой берет пачку индикаторов из разных источников и по-быстрому заливает их в NGFW, прокси, SIEM или IDS. После СЗИ начинает сходить с ума: сыпятся алерты, в логах всплывают легитимные сервисы, аналитики несколько дней разгребают мусор… В итоге всё это счастье переводят в режим «только мониторинг», чтобы ничего не сломать. В результате напрашивается вывод: Threat intelligence — это, конечно, модно, но нам не нужно и вообще больше похоже на дорогую игрушку для крупных SOC. Вот только проблема не в TI, а в том, что сырые фиды никто не должен использовать в проде. Под катом разбираемся, почему именно так происходит, какие фиды стоит брать, а какие выкидывать, и как не превратить TI в генератор ложных срабатываний. Узнать подробности

    habr.com/ru/companies/garda/ar

    #TI #фиды #индикаторы_компрометации #threat_intelligence #threat_intelligence_platform #Гарда_Threat_Intelligence_Feeds #сетевая_безопасность #информационная_безопасность

  6. Смерть от тысячи алертов: как отфильтровать мусор из TI-фидов

    Есть типовой путь, по которому команды приходят к разочарованию в Threat intelligence. Сначала кто-то в компании слышит, что фиды помогут раньше видеть атаки, быстрее реагировать, меньше пропускать. Потом кто-то другой берет пачку индикаторов из разных источников и по-быстрому заливает их в NGFW, прокси, SIEM или IDS. После СЗИ начинает сходить с ума: сыпятся алерты, в логах всплывают легитимные сервисы, аналитики несколько дней разгребают мусор… В итоге всё это счастье переводят в режим «только мониторинг», чтобы ничего не сломать. В результате напрашивается вывод: Threat intelligence — это, конечно, модно, но нам не нужно и вообще больше похоже на дорогую игрушку для крупных SOC. Вот только проблема не в TI, а в том, что сырые фиды никто не должен использовать в проде. Под катом разбираемся, почему именно так происходит, какие фиды стоит брать, а какие выкидывать, и как не превратить TI в генератор ложных срабатываний. Узнать подробности

    habr.com/ru/companies/garda/ar

    #TI #фиды #индикаторы_компрометации #threat_intelligence #threat_intelligence_platform #Гарда_Threat_Intelligence_Feeds #сетевая_безопасность #информационная_безопасность

  7. Смерть от тысячи алертов: как отфильтровать мусор из TI-фидов

    Есть типовой путь, по которому команды приходят к разочарованию в Threat intelligence. Сначала кто-то в компании слышит, что фиды помогут раньше видеть атаки, быстрее реагировать, меньше пропускать. Потом кто-то другой берет пачку индикаторов из разных источников и по-быстрому заливает их в NGFW, прокси, SIEM или IDS. После СЗИ начинает сходить с ума: сыпятся алерты, в логах всплывают легитимные сервисы, аналитики несколько дней разгребают мусор… В итоге всё это счастье переводят в режим «только мониторинг», чтобы ничего не сломать. В результате напрашивается вывод: Threat intelligence — это, конечно, модно, но нам не нужно и вообще больше похоже на дорогую игрушку для крупных SOC. Вот только проблема не в TI, а в том, что сырые фиды никто не должен использовать в проде. Под катом разбираемся, почему именно так происходит, какие фиды стоит брать, а какие выкидывать, и как не превратить TI в генератор ложных срабатываний. Узнать подробности

    habr.com/ru/companies/garda/ar

    #TI #фиды #индикаторы_компрометации #threat_intelligence #threat_intelligence_platform #Гарда_Threat_Intelligence_Feeds #сетевая_безопасность #информационная_безопасность

  8. Смерть от тысячи алертов: как отфильтровать мусор из TI-фидов

    Есть типовой путь, по которому команды приходят к разочарованию в Threat intelligence. Сначала кто-то в компании слышит, что фиды помогут раньше видеть атаки, быстрее реагировать, меньше пропускать. Потом кто-то другой берет пачку индикаторов из разных источников и по-быстрому заливает их в NGFW, прокси, SIEM или IDS. После СЗИ начинает сходить с ума: сыпятся алерты, в логах всплывают легитимные сервисы, аналитики несколько дней разгребают мусор… В итоге всё это счастье переводят в режим «только мониторинг», чтобы ничего не сломать. В результате напрашивается вывод: Threat intelligence — это, конечно, модно, но нам не нужно и вообще больше похоже на дорогую игрушку для крупных SOC. Вот только проблема не в TI, а в том, что сырые фиды никто не должен использовать в проде. Под катом разбираемся, почему именно так происходит, какие фиды стоит брать, а какие выкидывать, и как не превратить TI в генератор ложных срабатываний. Узнать подробности

    habr.com/ru/companies/garda/ar

    #TI #фиды #индикаторы_компрометации #threat_intelligence #threat_intelligence_platform #Гарда_Threat_Intelligence_Feeds #сетевая_безопасность #информационная_безопасность

  9. PhantomRShell: бэкдор, который маскируется с помощью дизассемблера

    У вирусных аналитиков есть небольшая профессиональная трагедия: работать с вредоносами обычно скучнее, чем может казаться по их вычурным названиям. За каждым ShadowSomething RAT/Loader/Stealer почти всегда скрывается один и тот же набор знакомых техник: загрузчик, закрепление в системе, канал связи с C2, немного обфускации «для галочки». Но иногда попадаются образцы, которые действительно удивляют. В недавнем расследовании нам встретился именно такой. Речь пойдет о PhantomRShell — бэкдоре группировки PhantomCore (Head Mare), атакующей компании из России и Беларуси. Главная «фишка» PhantomRShell — в том, как он маскирует свое присутствие в системе. Вредонос использует встроенный дизассемблер, чтобы перехватывать системные вызовы и скрывать свои файлы от пользователя и защитных инструментов. Проще говоря: файл лежит на диске, но для средств анализа его как будто не существует. На связи Александр, вирусный аналитик отдела реагирования Бастиона и автор телеграм-канала @section_remadev . Сегодня разберем, как устроен PhantomRShell: от цепочки заражения до механизма сокрытия, который делает этот бэкдор заметно интереснее большинства его «коллег по цеху».

    habr.com/ru/companies/bastion/

    #дизассемблер #индикаторы_компрометации #бэкдор #таргетированные_атаки #threat_intelligence #анализ_угроз #PhantomCore #phantomrshell #вредоносное_по #threat_research

  10. PhantomRShell: бэкдор, который маскируется с помощью дизассемблера

    У вирусных аналитиков есть небольшая профессиональная трагедия: работать с вредоносами обычно скучнее, чем может казаться по их вычурным названиям. За каждым ShadowSomething RAT/Loader/Stealer почти всегда скрывается один и тот же набор знакомых техник: загрузчик, закрепление в системе, канал связи с C2, немного обфускации «для галочки». Но иногда попадаются образцы, которые действительно удивляют. В недавнем расследовании нам встретился именно такой. Речь пойдет о PhantomRShell — бэкдоре группировки PhantomCore (Head Mare), атакующей компании из России и Беларуси. Главная «фишка» PhantomRShell — в том, как он маскирует свое присутствие в системе. Вредонос использует встроенный дизассемблер, чтобы перехватывать системные вызовы и скрывать свои файлы от пользователя и защитных инструментов. Проще говоря: файл лежит на диске, но для средств анализа его как будто не существует. На связи Александр, вирусный аналитик отдела реагирования Бастиона и автор телеграм-канала @section_remadev . Сегодня разберем, как устроен PhantomRShell: от цепочки заражения до механизма сокрытия, который делает этот бэкдор заметно интереснее большинства его «коллег по цеху».

    habr.com/ru/companies/bastion/

    #дизассемблер #индикаторы_компрометации #бэкдор #таргетированные_атаки #threat_intelligence #анализ_угроз #PhantomCore #phantomrshell #вредоносное_по #threat_research

  11. PhantomRShell: бэкдор, который маскируется с помощью дизассемблера

    У вирусных аналитиков есть небольшая профессиональная трагедия: работать с вредоносами обычно скучнее, чем может казаться по их вычурным названиям. За каждым ShadowSomething RAT/Loader/Stealer почти всегда скрывается один и тот же набор знакомых техник: загрузчик, закрепление в системе, канал связи с C2, немного обфускации «для галочки». Но иногда попадаются образцы, которые действительно удивляют. В недавнем расследовании нам встретился именно такой. Речь пойдет о PhantomRShell — бэкдоре группировки PhantomCore (Head Mare), атакующей компании из России и Беларуси. Главная «фишка» PhantomRShell — в том, как он маскирует свое присутствие в системе. Вредонос использует встроенный дизассемблер, чтобы перехватывать системные вызовы и скрывать свои файлы от пользователя и защитных инструментов. Проще говоря: файл лежит на диске, но для средств анализа его как будто не существует. На связи Александр, вирусный аналитик отдела реагирования Бастиона и автор телеграм-канала @section_remadev . Сегодня разберем, как устроен PhantomRShell: от цепочки заражения до механизма сокрытия, который делает этот бэкдор заметно интереснее большинства его «коллег по цеху».

    habr.com/ru/companies/bastion/

    #дизассемблер #индикаторы_компрометации #бэкдор #таргетированные_атаки #threat_intelligence #анализ_угроз #PhantomCore #phantomrshell #вредоносное_по #threat_research

  12. PhantomRShell: бэкдор, который маскируется с помощью дизассемблера

    У вирусных аналитиков есть небольшая профессиональная трагедия: работать с вредоносами обычно скучнее, чем может казаться по их вычурным названиям. За каждым ShadowSomething RAT/Loader/Stealer почти всегда скрывается один и тот же набор знакомых техник: загрузчик, закрепление в системе, канал связи с C2, немного обфускации «для галочки». Но иногда попадаются образцы, которые действительно удивляют. В недавнем расследовании нам встретился именно такой. Речь пойдет о PhantomRShell — бэкдоре группировки PhantomCore (Head Mare), атакующей компании из России и Беларуси. Главная «фишка» PhantomRShell — в том, как он маскирует свое присутствие в системе. Вредонос использует встроенный дизассемблер, чтобы перехватывать системные вызовы и скрывать свои файлы от пользователя и защитных инструментов. Проще говоря: файл лежит на диске, но для средств анализа его как будто не существует. На связи Александр, вирусный аналитик отдела реагирования Бастиона и автор телеграм-канала @section_remadev . Сегодня разберем, как устроен PhantomRShell: от цепочки заражения до механизма сокрытия, который делает этот бэкдор заметно интереснее большинства его «коллег по цеху».

    habr.com/ru/companies/bastion/

    #дизассемблер #индикаторы_компрометации #бэкдор #таргетированные_атаки #threat_intelligence #анализ_угроз #PhantomCore #phantomrshell #вредоносное_по #threat_research

  13. «Ждите гостей»: новые инструменты и тактики PhantomCore в атаках на российские компании

    На примере новой атаки PhantomCore - одной из главных киберугроз для российских и белорусских компаний - показываем, как группировка развивает свои инструменты и тактики, внедряет новое ВПО и расширяет спектр используемых технологий, включая AI-решения. Одна из главных особенностей PhantomCore – её постоянная изменчивость: эта АРТ-группа быстро приспосабливается к новым условиям, оперативно меняет инструменты и изобретает нестандартные способы доставки ВПО до атакуемых организаций.

    habr.com/ru/companies/F6/artic

    #phantomcore #apt #kermit_rat #фишинговые_письма #киберразведка #threat_intelligence #mattermost #cyberstrike_ai #mashagent #sliver

  14. «Ждите гостей»: новые инструменты и тактики PhantomCore в атаках на российские компании

    На примере новой атаки PhantomCore - одной из главных киберугроз для российских и белорусских компаний - показываем, как группировка развивает свои инструменты и тактики, внедряет новое ВПО и расширяет спектр используемых технологий, включая AI-решения. Одна из главных особенностей PhantomCore – её постоянная изменчивость: эта АРТ-группа быстро приспосабливается к новым условиям, оперативно меняет инструменты и изобретает нестандартные способы доставки ВПО до атакуемых организаций.

    habr.com/ru/companies/F6/artic

    #phantomcore #apt #kermit_rat #фишинговые_письма #киберразведка #threat_intelligence #mattermost #cyberstrike_ai #mashagent #sliver

  15. «Ждите гостей»: новые инструменты и тактики PhantomCore в атаках на российские компании

    На примере новой атаки PhantomCore - одной из главных киберугроз для российских и белорусских компаний - показываем, как группировка развивает свои инструменты и тактики, внедряет новое ВПО и расширяет спектр используемых технологий, включая AI-решения. Одна из главных особенностей PhantomCore – её постоянная изменчивость: эта АРТ-группа быстро приспосабливается к новым условиям, оперативно меняет инструменты и изобретает нестандартные способы доставки ВПО до атакуемых организаций.

    habr.com/ru/companies/F6/artic

    #phantomcore #apt #kermit_rat #фишинговые_письма #киберразведка #threat_intelligence #mattermost #cyberstrike_ai #mashagent #sliver

  16. «Ждите гостей»: новые инструменты и тактики PhantomCore в атаках на российские компании

    На примере новой атаки PhantomCore - одной из главных киберугроз для российских и белорусских компаний - показываем, как группировка развивает свои инструменты и тактики, внедряет новое ВПО и расширяет спектр используемых технологий, включая AI-решения. Одна из главных особенностей PhantomCore – её постоянная изменчивость: эта АРТ-группа быстро приспосабливается к новым условиям, оперативно меняет инструменты и изобретает нестандартные способы доставки ВПО до атакуемых организаций.

    habr.com/ru/companies/F6/artic

    #phantomcore #apt #kermit_rat #фишинговые_письма #киберразведка #threat_intelligence #mattermost #cyberstrike_ai #mashagent #sliver

  17. Охота на AI-инфраструктуру, часть 2: что делают с чужим Ollama — от трейдинг-ботов до контент-ферм

    В первой части я рассказал, как ханипот поймал сканер MCP-серверов — новый вектор разведки, нацеленный на AI-инфраструктуру. Сегодня — про другую сторону: что происходит, когда атакующий находит открытый Ollama. Статья документирует реальные сессии злоупотребления открытыми LLM-инстансами: кто подключается, какие промпты шлёт, какие модели запрашивает. Данные собраны с трёх ханипотов (DE, US, RU) за март 2026.

    habr.com/ru/articles/1015646/

    #honeypot #ollama #docker #threat_intelligence #container_security #LLM #AI_security #resource_hijacking

  18. Охота на AI-инфраструктуру, часть 2: что делают с чужим Ollama — от трейдинг-ботов до контент-ферм

    В первой части я рассказал, как ханипот поймал сканер MCP-серверов — новый вектор разведки, нацеленный на AI-инфраструктуру. Сегодня — про другую сторону: что происходит, когда атакующий находит открытый Ollama. Статья документирует реальные сессии злоупотребления открытыми LLM-инстансами: кто подключается, какие промпты шлёт, какие модели запрашивает. Данные собраны с трёх ханипотов (DE, US, RU) за март 2026.

    habr.com/ru/articles/1015646/

    #honeypot #ollama #docker #threat_intelligence #container_security #LLM #AI_security #resource_hijacking

  19. Охота на AI-инфраструктуру, часть 2: что делают с чужим Ollama — от трейдинг-ботов до контент-ферм

    В первой части я рассказал, как ханипот поймал сканер MCP-серверов — новый вектор разведки, нацеленный на AI-инфраструктуру. Сегодня — про другую сторону: что происходит, когда атакующий находит открытый Ollama. Статья документирует реальные сессии злоупотребления открытыми LLM-инстансами: кто подключается, какие промпты шлёт, какие модели запрашивает. Данные собраны с трёх ханипотов (DE, US, RU) за март 2026.

    habr.com/ru/articles/1015646/

    #honeypot #ollama #docker #threat_intelligence #container_security #LLM #AI_security #resource_hijacking

  20. Охота на AI-инфраструктуру, часть 2: что делают с чужим Ollama — от трейдинг-ботов до контент-ферм

    В первой части я рассказал, как ханипот поймал сканер MCP-серверов — новый вектор разведки, нацеленный на AI-инфраструктуру. Сегодня — про другую сторону: что происходит, когда атакующий находит открытый Ollama. Статья документирует реальные сессии злоупотребления открытыми LLM-инстансами: кто подключается, какие промпты шлёт, какие модели запрашивает. Данные собраны с трёх ханипотов (DE, US, RU) за март 2026.

    habr.com/ru/articles/1015646/

    #honeypot #ollama #docker #threat_intelligence #container_security #LLM #AI_security #resource_hijacking

  21. 91% малвари используют DNS. Кто и чем его защищает в России и мире

    Подавляющее большинство вредоносного ПО использует DNS-протокол для связи с командными серверами, эксфильтрации данных или перенаправления трафика. При этом почти 60% организаций не осуществляют мониторинг DNS-трафика на регулярной основе. Между тем защита DNS это довольно крупный продуктовый домен в сфере информационной безопасности. Мировой рынок DNS Security уже оценивается в $1,6–2,0 млрд и растёт на 10–14% ежегодно. Разбираемся, что стоит за этой технологией, кто её развивает за рубежом и в России, и чего от нее ждать в ближайшие годы.

    habr.com/ru/articles/1014854/

    #DoH #DoT #threat_intelligence #sinkhole #NXDOMAIN #dns #dnssec #dnsтуннель #dns_по_https #dns_security

  22. 91% малвари используют DNS. Кто и чем его защищает в России и мире

    Подавляющее большинство вредоносного ПО использует DNS-протокол для связи с командными серверами, эксфильтрации данных или перенаправления трафика. При этом почти 60% организаций не осуществляют мониторинг DNS-трафика на регулярной основе. Между тем защита DNS это довольно крупный продуктовый домен в сфере информационной безопасности. Мировой рынок DNS Security уже оценивается в $1,6–2,0 млрд и растёт на 10–14% ежегодно. Разбираемся, что стоит за этой технологией, кто её развивает за рубежом и в России, и чего от нее ждать в ближайшие годы.

    habr.com/ru/articles/1014854/

    #DoH #DoT #threat_intelligence #sinkhole #NXDOMAIN #dns #dnssec #dnsтуннель #dns_по_https #dns_security

  23. 91% малвари используют DNS. Кто и чем его защищает в России и мире

    Подавляющее большинство вредоносного ПО использует DNS-протокол для связи с командными серверами, эксфильтрации данных или перенаправления трафика. При этом почти 60% организаций не осуществляют мониторинг DNS-трафика на регулярной основе. Между тем защита DNS это довольно крупный продуктовый домен в сфере информационной безопасности. Мировой рынок DNS Security уже оценивается в $1,6–2,0 млрд и растёт на 10–14% ежегодно. Разбираемся, что стоит за этой технологией, кто её развивает за рубежом и в России, и чего от нее ждать в ближайшие годы.

    habr.com/ru/articles/1014854/

    #DoH #DoT #threat_intelligence #sinkhole #NXDOMAIN #dns #dnssec #dnsтуннель #dns_по_https #dns_security

  24. 91% малвари используют DNS. Кто и чем его защищает в России и мире

    Подавляющее большинство вредоносного ПО использует DNS-протокол для связи с командными серверами, эксфильтрации данных или перенаправления трафика. При этом почти 60% организаций не осуществляют мониторинг DNS-трафика на регулярной основе. Между тем защита DNS это довольно крупный продуктовый домен в сфере информационной безопасности. Мировой рынок DNS Security уже оценивается в $1,6–2,0 млрд и растёт на 10–14% ежегодно. Разбираемся, что стоит за этой технологией, кто её развивает за рубежом и в России, и чего от нее ждать в ближайшие годы.

    habr.com/ru/articles/1014854/

    #DoH #DoT #threat_intelligence #sinkhole #NXDOMAIN #dns #dnssec #dnsтуннель #dns_по_https #dns_security

  25. Анатомия PhaaS-кита: как коммерческая фишинговая платформа фильтрует песочницы через browser fingerprinting

    Разбираем фишинговое письмо, пришедшее на адрес НКО: от SendGrid-доставки с SPF/DKIM pass до реверса JavaScript-фреймворка collector.js, который собирает GPU fingerprint, ломает WebRTC для раскрытия IP за VPN и детектирует DevTools — до того как жертва увидит фишинговую форму.

    habr.com/ru/articles/1014420/

    #phishing #phishingasaservice #browser_fingerprinting #webrtc #sendgrid #incident_response #threat_intelligence #javascript

  26. Анатомия PhaaS-кита: как коммерческая фишинговая платформа фильтрует песочницы через browser fingerprinting

    Разбираем фишинговое письмо, пришедшее на адрес НКО: от SendGrid-доставки с SPF/DKIM pass до реверса JavaScript-фреймворка collector.js, который собирает GPU fingerprint, ломает WebRTC для раскрытия IP за VPN и детектирует DevTools — до того как жертва увидит фишинговую форму.

    habr.com/ru/articles/1014420/

    #phishing #phishingasaservice #browser_fingerprinting #webrtc #sendgrid #incident_response #threat_intelligence #javascript

  27. Анатомия PhaaS-кита: как коммерческая фишинговая платформа фильтрует песочницы через browser fingerprinting

    Разбираем фишинговое письмо, пришедшее на адрес НКО: от SendGrid-доставки с SPF/DKIM pass до реверса JavaScript-фреймворка collector.js, который собирает GPU fingerprint, ломает WebRTC для раскрытия IP за VPN и детектирует DevTools — до того как жертва увидит фишинговую форму.

    habr.com/ru/articles/1014420/

    #phishing #phishingasaservice #browser_fingerprinting #webrtc #sendgrid #incident_response #threat_intelligence #javascript

  28. Анатомия PhaaS-кита: как коммерческая фишинговая платформа фильтрует песочницы через browser fingerprinting

    Разбираем фишинговое письмо, пришедшее на адрес НКО: от SendGrid-доставки с SPF/DKIM pass до реверса JavaScript-фреймворка collector.js, который собирает GPU fingerprint, ломает WebRTC для раскрытия IP за VPN и детектирует DevTools — до того как жертва увидит фишинговую форму.

    habr.com/ru/articles/1014420/

    #phishing #phishingasaservice #browser_fingerprinting #webrtc #sendgrid #incident_response #threat_intelligence #javascript

  29. Анатомия фишинг-кита: полиморфный CSS, гомоглифы и инфраструктура на 290+ доменов

    Разбираем реальный инцидент — от фишинговой ссылки до bulletproof-хостинга. IOC, техники обфускации и инфраструктура кампании на 290+ доменов.

    habr.com/ru/articles/1010462/

    #telegram #threat_intelligence #социальная_инженерия #IOC #кибербезопасность #bulletproof_hosting #credential_theft #phishing_kit #фишинг

  30. Анатомия фишинг-кита: полиморфный CSS, гомоглифы и инфраструктура на 290+ доменов

    Разбираем реальный инцидент — от фишинговой ссылки до bulletproof-хостинга. IOC, техники обфускации и инфраструктура кампании на 290+ доменов.

    habr.com/ru/articles/1010462/

    #telegram #threat_intelligence #социальная_инженерия #IOC #кибербезопасность #bulletproof_hosting #credential_theft #phishing_kit #фишинг

  31. Анатомия фишинг-кита: полиморфный CSS, гомоглифы и инфраструктура на 290+ доменов

    Разбираем реальный инцидент — от фишинговой ссылки до bulletproof-хостинга. IOC, техники обфускации и инфраструктура кампании на 290+ доменов.

    habr.com/ru/articles/1010462/

    #telegram #threat_intelligence #социальная_инженерия #IOC #кибербезопасность #bulletproof_hosting #credential_theft #phishing_kit #фишинг

  32. Анатомия фишинг-кита: полиморфный CSS, гомоглифы и инфраструктура на 290+ доменов

    Разбираем реальный инцидент — от фишинговой ссылки до bulletproof-хостинга. IOC, техники обфускации и инфраструктура кампании на 290+ доменов.

    habr.com/ru/articles/1010462/

    #telegram #threat_intelligence #социальная_инженерия #IOC #кибербезопасность #bulletproof_hosting #credential_theft #phishing_kit #фишинг

  33. Охота на AI-инфраструктуру: ханипот поймал сканер MCP-серверов

    10 марта 2026 года наш мультисервисный ханипот зафиксировал необычную активность. Один IP-адрес за 10 минут методично прошёлся по 8 сервисам — SSH, Telnet, HTTP/HTTPS, MySQL, Docker API, Memcached, Winbox — и среди прочего отправил JSON-RPC запрос инициализации Model Context Protocol (MCP). Это первый задокументированный нами случай, когда MCP-сканирование выступает не как исследовательский инструмент, а как модуль в составе мультипротокольного сканера. Статья содержит разбор пойманного пейлоада, IOC, Suricata-сигнатуру и Shodan/Censys-дорки для детекции MCP-сканирования.

    habr.com/ru/articles/1008760/

    #honeypot #mcp #docker #threat_intelligence #network_security

  34. Охота на AI-инфраструктуру: ханипот поймал сканер MCP-серверов

    10 марта 2026 года наш мультисервисный ханипот зафиксировал необычную активность. Один IP-адрес за 10 минут методично прошёлся по 8 сервисам — SSH, Telnet, HTTP/HTTPS, MySQL, Docker API, Memcached, Winbox — и среди прочего отправил JSON-RPC запрос инициализации Model Context Protocol (MCP). Это первый задокументированный нами случай, когда MCP-сканирование выступает не как исследовательский инструмент, а как модуль в составе мультипротокольного сканера. Статья содержит разбор пойманного пейлоада, IOC, Suricata-сигнатуру и Shodan/Censys-дорки для детекции MCP-сканирования.

    habr.com/ru/articles/1008760/

    #honeypot #mcp #docker #threat_intelligence #network_security

  35. Охота на AI-инфраструктуру: ханипот поймал сканер MCP-серверов

    10 марта 2026 года наш мультисервисный ханипот зафиксировал необычную активность. Один IP-адрес за 10 минут методично прошёлся по 8 сервисам — SSH, Telnet, HTTP/HTTPS, MySQL, Docker API, Memcached, Winbox — и среди прочего отправил JSON-RPC запрос инициализации Model Context Protocol (MCP). Это первый задокументированный нами случай, когда MCP-сканирование выступает не как исследовательский инструмент, а как модуль в составе мультипротокольного сканера. Статья содержит разбор пойманного пейлоада, IOC, Suricata-сигнатуру и Shodan/Censys-дорки для детекции MCP-сканирования.

    habr.com/ru/articles/1008760/

    #honeypot #mcp #docker #threat_intelligence #network_security

  36. Охота на AI-инфраструктуру: ханипот поймал сканер MCP-серверов

    10 марта 2026 года наш мультисервисный ханипот зафиксировал необычную активность. Один IP-адрес за 10 минут методично прошёлся по 8 сервисам — SSH, Telnet, HTTP/HTTPS, MySQL, Docker API, Memcached, Winbox — и среди прочего отправил JSON-RPC запрос инициализации Model Context Protocol (MCP). Это первый задокументированный нами случай, когда MCP-сканирование выступает не как исследовательский инструмент, а как модуль в составе мультипротокольного сканера. Статья содержит разбор пойманного пейлоада, IOC, Suricata-сигнатуру и Shodan/Censys-дорки для детекции MCP-сканирования.

    habr.com/ru/articles/1008760/

    #honeypot #mcp #docker #threat_intelligence #network_security

  37. Фейковый грант от NED: анатомия таргетированного фишинга

    18 февраля 2026 года сотрудник НКО получил таргетированное фишинговое письмо якобы от National Endowment for Democracy — американского фонда поддержки демократии. Обращение по полному имени, ссылка на «предыдущую заявку на грант» (которой никогда не было), и упоминание документа, которого физически нет в письме — классическая техника «фантомного вложения», при которой первое письмо устанавливает доверие, а вредоносный файл приходит уже в ответ на реакцию жертвы. В этой статье — разбор атаки по заголовкам, инфраструктуре и социальной инженерии. Материал будет полезен аналитикам SOC и сотрудникам НКО: в конце — IOC, kill chain и рекомендации для администраторов почты.

    habr.com/ru/articles/1004156/

    #информационная_безопасность #фишинг #spearphishing #threat_intelligence #социальная_инженерия #email_security

  38. Фейковый грант от NED: анатомия таргетированного фишинга

    18 февраля 2026 года сотрудник НКО получил таргетированное фишинговое письмо якобы от National Endowment for Democracy — американского фонда поддержки демократии. Обращение по полному имени, ссылка на «предыдущую заявку на грант» (которой никогда не было), и упоминание документа, которого физически нет в письме — классическая техника «фантомного вложения», при которой первое письмо устанавливает доверие, а вредоносный файл приходит уже в ответ на реакцию жертвы. В этой статье — разбор атаки по заголовкам, инфраструктуре и социальной инженерии. Материал будет полезен аналитикам SOC и сотрудникам НКО: в конце — IOC, kill chain и рекомендации для администраторов почты.

    habr.com/ru/articles/1004156/

    #информационная_безопасность #фишинг #spearphishing #threat_intelligence #социальная_инженерия #email_security

  39. Фейковый грант от NED: анатомия таргетированного фишинга

    18 февраля 2026 года сотрудник НКО получил таргетированное фишинговое письмо якобы от National Endowment for Democracy — американского фонда поддержки демократии. Обращение по полному имени, ссылка на «предыдущую заявку на грант» (которой никогда не было), и упоминание документа, которого физически нет в письме — классическая техника «фантомного вложения», при которой первое письмо устанавливает доверие, а вредоносный файл приходит уже в ответ на реакцию жертвы. В этой статье — разбор атаки по заголовкам, инфраструктуре и социальной инженерии. Материал будет полезен аналитикам SOC и сотрудникам НКО: в конце — IOC, kill chain и рекомендации для администраторов почты.

    habr.com/ru/articles/1004156/

    #информационная_безопасность #фишинг #spearphishing #threat_intelligence #социальная_инженерия #email_security

  40. Фейковый грант от NED: анатомия таргетированного фишинга

    18 февраля 2026 года сотрудник НКО получил таргетированное фишинговое письмо якобы от National Endowment for Democracy — американского фонда поддержки демократии. Обращение по полному имени, ссылка на «предыдущую заявку на грант» (которой никогда не было), и упоминание документа, которого физически нет в письме — классическая техника «фантомного вложения», при которой первое письмо устанавливает доверие, а вредоносный файл приходит уже в ответ на реакцию жертвы. В этой статье — разбор атаки по заголовкам, инфраструктуре и социальной инженерии. Материал будет полезен аналитикам SOC и сотрудникам НКО: в конце — IOC, kill chain и рекомендации для администраторов почты.

    habr.com/ru/articles/1004156/

    #информационная_безопасность #фишинг #spearphishing #threat_intelligence #социальная_инженерия #email_security

  41. Фишинг под видом Meta: SPF pass, DKIM pass, входящие Gmail

    2 марта 2026 года я получил на анализ фишинговое письмо. Отправитель - «M e t a», тема - «[Требуется действие] Завершите проверку, чтобы восстановить показ объявлений». SPF pass, DKIM pass, ARC pass - письмо прошло все проверки и лежало во входящих Gmail. Ключ - цепочка Resend.com → Amazon SES → Gmail, где каждый элемент легитимен. Разбираю, как атакующие этого добились и почему это работает.

    habr.com/ru/articles/1005750/

    #информационная_безопасность #фишинг #spearphishing #threat_intelligence #социальная_инженерия #email_security

  42. Фишинг под видом Meta: SPF pass, DKIM pass, входящие Gmail

    2 марта 2026 года я получил на анализ фишинговое письмо. Отправитель - «M e t a», тема - «[Требуется действие] Завершите проверку, чтобы восстановить показ объявлений». SPF pass, DKIM pass, ARC pass - письмо прошло все проверки и лежало во входящих Gmail. Ключ - цепочка Resend.com → Amazon SES → Gmail, где каждый элемент легитимен. Разбираю, как атакующие этого добились и почему это работает.

    habr.com/ru/articles/1005750/

    #информационная_безопасность #фишинг #spearphishing #threat_intelligence #социальная_инженерия #email_security

  43. Фишинг под видом Meta: SPF pass, DKIM pass, входящие Gmail

    2 марта 2026 года я получил на анализ фишинговое письмо. Отправитель - «M e t a», тема - «[Требуется действие] Завершите проверку, чтобы восстановить показ объявлений». SPF pass, DKIM pass, ARC pass - письмо прошло все проверки и лежало во входящих Gmail. Ключ - цепочка Resend.com → Amazon SES → Gmail, где каждый элемент легитимен. Разбираю, как атакующие этого добились и почему это работает.

    habr.com/ru/articles/1005750/

    #информационная_безопасность #фишинг #spearphishing #threat_intelligence #социальная_инженерия #email_security

  44. Фишинг под видом Meta: SPF pass, DKIM pass, входящие Gmail

    2 марта 2026 года я получил на анализ фишинговое письмо. Отправитель - «M e t a», тема - «[Требуется действие] Завершите проверку, чтобы восстановить показ объявлений». SPF pass, DKIM pass, ARC pass - письмо прошло все проверки и лежало во входящих Gmail. Ключ - цепочка Resend.com → Amazon SES → Gmail, где каждый элемент легитимен. Разбираю, как атакующие этого добились и почему это работает.

    habr.com/ru/articles/1005750/

    #информационная_безопасность #фишинг #spearphishing #threat_intelligence #социальная_инженерия #email_security

  45. Разбираем фишинг через Google Drive: fingerprinting вместо кражи паролей

    12 февраля 2026 года я получил фишинговое письмо, замаскированное под уведомление Google Drive от юридической фирмы White & Case LLP. Вместо обычного credential harvesting за ссылкой скрывалась профессиональная система browser fingerprinting с anti-analysis cloaking. Рассказываю, как устроена атака изнутри — от email до перехваченного POST-запроса с эксфильтрированными данными. <cut/> ## Как всё началось Письмо пришло с адреса drive-shares-dm-noreply@google[.]com — легитимный адрес Google Drive для шаринга файлов. Отправитель отображается как «Whitе § Cаsɐ Pay Immediately» — обратите внимание на символы: кириллические «е» и «а», перевёрнутая «ɐ», армянский символ в названии. Unicode-гомоглифы для обхода текстовых фильтров. Тема письма: «Resolve Promptly - Dеbt Detected - Pаy Immediately!» — urgency-давление через тему долга. Атакующий создал Google-аккаунт [email protected][.]com и расшарил через Google Drive HTML-файл, стилизованный под collection letter (требование об оплате задолженности) от White & Case. Рассылка ушла на 24 адреса (1 To + 23 CC) — NGO, корпорации и частные лица. Вся страница в Google Drive — одна большая кликабельная область, ведущая на Google Cloud Storage. ## Цепочка атаки: 7 этапов Полная цепочка от клика до эксфильтрации: | # | Этап | Что происходит | |---|------|----------------| | 1 | Email | Письмо от drive-shares-dm-noreply@google[.]com — легитимный Google | | 2 | Google Drive | HTML-страница как изображение collection letter. Вся область — ссылка на GCS |

    habr.com/ru/articles/1004016/

    #информационная_безопасность #фишинг #threat_intelligence #fingerprinting #google_drive #OSINT

  46. Разбираем фишинг через Google Drive: fingerprinting вместо кражи паролей

    12 февраля 2026 года я получил фишинговое письмо, замаскированное под уведомление Google Drive от юридической фирмы White & Case LLP. Вместо обычного credential harvesting за ссылкой скрывалась профессиональная система browser fingerprinting с anti-analysis cloaking. Рассказываю, как устроена атака изнутри — от email до перехваченного POST-запроса с эксфильтрированными данными. <cut/> ## Как всё началось Письмо пришло с адреса drive-shares-dm-noreply@google[.]com — легитимный адрес Google Drive для шаринга файлов. Отправитель отображается как «Whitе § Cаsɐ Pay Immediately» — обратите внимание на символы: кириллические «е» и «а», перевёрнутая «ɐ», армянский символ в названии. Unicode-гомоглифы для обхода текстовых фильтров. Тема письма: «Resolve Promptly - Dеbt Detected - Pаy Immediately!» — urgency-давление через тему долга. Атакующий создал Google-аккаунт [email protected][.]com и расшарил через Google Drive HTML-файл, стилизованный под collection letter (требование об оплате задолженности) от White & Case. Рассылка ушла на 24 адреса (1 To + 23 CC) — NGO, корпорации и частные лица. Вся страница в Google Drive — одна большая кликабельная область, ведущая на Google Cloud Storage. ## Цепочка атаки: 7 этапов Полная цепочка от клика до эксфильтрации: | # | Этап | Что происходит | |---|------|----------------| | 1 | Email | Письмо от drive-shares-dm-noreply@google[.]com — легитимный Google | | 2 | Google Drive | HTML-страница как изображение collection letter. Вся область — ссылка на GCS |

    habr.com/ru/articles/1004016/

    #информационная_безопасность #фишинг #threat_intelligence #fingerprinting #google_drive #OSINT

  47. Разбираем фишинг через Google Drive: fingerprinting вместо кражи паролей

    12 февраля 2026 года я получил фишинговое письмо, замаскированное под уведомление Google Drive от юридической фирмы White & Case LLP. Вместо обычного credential harvesting за ссылкой скрывалась профессиональная система browser fingerprinting с anti-analysis cloaking. Рассказываю, как устроена атака изнутри — от email до перехваченного POST-запроса с эксфильтрированными данными. <cut/> ## Как всё началось Письмо пришло с адреса drive-shares-dm-noreply@google[.]com — легитимный адрес Google Drive для шаринга файлов. Отправитель отображается как «Whitе § Cаsɐ Pay Immediately» — обратите внимание на символы: кириллические «е» и «а», перевёрнутая «ɐ», армянский символ в названии. Unicode-гомоглифы для обхода текстовых фильтров. Тема письма: «Resolve Promptly - Dеbt Detected - Pаy Immediately!» — urgency-давление через тему долга. Атакующий создал Google-аккаунт [email protected][.]com и расшарил через Google Drive HTML-файл, стилизованный под collection letter (требование об оплате задолженности) от White & Case. Рассылка ушла на 24 адреса (1 To + 23 CC) — NGO, корпорации и частные лица. Вся страница в Google Drive — одна большая кликабельная область, ведущая на Google Cloud Storage. ## Цепочка атаки: 7 этапов Полная цепочка от клика до эксфильтрации: | # | Этап | Что происходит | |---|------|----------------| | 1 | Email | Письмо от drive-shares-dm-noreply@google[.]com — легитимный Google | | 2 | Google Drive | HTML-страница как изображение collection letter. Вся область — ссылка на GCS |

    habr.com/ru/articles/1004016/

    #информационная_безопасность #фишинг #threat_intelligence #fingerprinting #google_drive #OSINT

  48. Разбираем фишинг через Google Drive: fingerprinting вместо кражи паролей

    12 февраля 2026 года я получил фишинговое письмо, замаскированное под уведомление Google Drive от юридической фирмы White & Case LLP. Вместо обычного credential harvesting за ссылкой скрывалась профессиональная система browser fingerprinting с anti-analysis cloaking. Рассказываю, как устроена атака изнутри — от email до перехваченного POST-запроса с эксфильтрированными данными. <cut/> ## Как всё началось Письмо пришло с адреса drive-shares-dm-noreply@google[.]com — легитимный адрес Google Drive для шаринга файлов. Отправитель отображается как «Whitе § Cаsɐ Pay Immediately» — обратите внимание на символы: кириллические «е» и «а», перевёрнутая «ɐ», армянский символ в названии. Unicode-гомоглифы для обхода текстовых фильтров. Тема письма: «Resolve Promptly - Dеbt Detected - Pаy Immediately!» — urgency-давление через тему долга. Атакующий создал Google-аккаунт [email protected][.]com и расшарил через Google Drive HTML-файл, стилизованный под collection letter (требование об оплате задолженности) от White & Case. Рассылка ушла на 24 адреса (1 To + 23 CC) — NGO, корпорации и частные лица. Вся страница в Google Drive — одна большая кликабельная область, ведущая на Google Cloud Storage. ## Цепочка атаки: 7 этапов Полная цепочка от клика до эксфильтрации: | # | Этап | Что происходит | |---|------|----------------| | 1 | Email | Письмо от drive-shares-dm-noreply@google[.]com — легитимный Google | | 2 | Google Drive | HTML-страница как изображение collection letter. Вся область — ссылка на GCS |

    habr.com/ru/articles/1004016/

    #информационная_безопасность #фишинг #threat_intelligence #fingerprinting #google_drive #OSINT

  49. Липкий след: исследуем атаки группировки PseudoSticky

    Аналитики департамента киберразведки (Threat Intelligence) компании F6 изучили вредоносные кампании новой киберпреступной группировки, которая действует против российских организаций из сфер ретейла и строительства, НИИ и приборостроительных предприятий. За сходство с почерком Sticky Werewolf новую группировку назвали PseudoSticky. Злоумышленники использовали в качестве приманок в фишинговых рассылках файлы, в названии которых упоминались индексы продукции военного назначения, а письма отправляли от имени несуществующих предприятий ОПК и областного суда.

    habr.com/ru/companies/F6/artic

    #sticky_werewolf #pseudo_sticky #darktrack_rat #remcos_rat #киберразведка #threat_intelligence

  50. Липкий след: исследуем атаки группировки PseudoSticky

    Аналитики департамента киберразведки (Threat Intelligence) компании F6 изучили вредоносные кампании новой киберпреступной группировки, которая действует против российских организаций из сфер ретейла и строительства, НИИ и приборостроительных предприятий. За сходство с почерком Sticky Werewolf новую группировку назвали PseudoSticky. Злоумышленники использовали в качестве приманок в фишинговых рассылках файлы, в названии которых упоминались индексы продукции военного назначения, а письма отправляли от имени несуществующих предприятий ОПК и областного суда.

    habr.com/ru/companies/F6/artic

    #sticky_werewolf #pseudo_sticky #darktrack_rat #remcos_rat #киберразведка #threat_intelligence