#вредоносное_программное_обеспечение — Public Fediverse posts

Скрываясь на виду: как PhantomCore маскирует свою активность с помощью легитимных инструментов

С осени 2025 года наши специалисты отдела реагирования на киберугрозы отмечают рост числа инцидентов, связанных с деятельностью хакерской группы PhantomCore. Эта группировка специализируется на кибершпионаже и краже конфиденциальных данных у российских организаций. Злоумышленники, в первую очередь нацеленные на внутренние процессы скомпрометированной организации, могут длительное время присутствовать в инфраструктуре жертвы, постепенно расширяя свое присутствие в сети. Ключевые моменты - C сентября 2025 года PhantomCore активно атакуют серверы видеоконференцсвязи TrueConf. - Используют вредоносный клиент TrueConf. - Используют инструменты цифровой криминалистики для закрепления и получения учетных данных на скомпрометированном хосте. - В ходе атак были задействованы собственные инструменты для создания обратного SSH-туннеля: MacTunnelRat (PhantomHeart), PhantomProxyLite, PhantomSscp. Подробнее

https://habr.com/ru/companies/pt/articles/1025674/

#расследование_инцидентов #реагирование_на_инциденты #киберугрозы #phantomcore #кибератаки #легитимное_по #вредоносное_программное_обеспечение #фишинг #хакеры #группировки

Скрываясь на виду: как PhantomCore маскирует свою активность с помощью легитимных инструментов

С осени 2025 года наши специалисты отдела реагирования на киберугрозы отмечают рост числа инцидентов, связанных с деятельностью хакерской группы PhantomCore. Эта группировка специализируется на кибершпионаже и краже конфиденциальных данных у российских организаций. Злоумышленники, в первую очередь нацеленные на внутренние процессы скомпрометированной организации, могут длительное время присутствовать в инфраструктуре жертвы, постепенно расширяя свое присутствие в сети. Ключевые моменты - C сентября 2025 года PhantomCore активно атакуют серверы видеоконференцсвязи TrueConf. - Используют вредоносный клиент TrueConf. - Используют инструменты цифровой криминалистики для закрепления и получения учетных данных на скомпрометированном хосте. - В ходе атак были задействованы собственные инструменты для создания обратного SSH-туннеля: MacTunnelRat (PhantomHeart), PhantomProxyLite, PhantomSscp. Подробнее

https://habr.com/ru/companies/pt/articles/1025674/

#расследование_инцидентов #реагирование_на_инциденты #киберугрозы #phantomcore #кибератаки #легитимное_по #вредоносное_программное_обеспечение #фишинг #хакеры #группировки

Скрываясь на виду: как PhantomCore маскирует свою активность с помощью легитимных инструментов

С осени 2025 года наши специалисты отдела реагирования на киберугрозы отмечают рост числа инцидентов, связанных с деятельностью хакерской группы PhantomCore. Эта группировка специализируется на кибершпионаже и краже конфиденциальных данных у российских организаций. Злоумышленники, в первую очередь нацеленные на внутренние процессы скомпрометированной организации, могут длительное время присутствовать в инфраструктуре жертвы, постепенно расширяя свое присутствие в сети. Ключевые моменты - C сентября 2025 года PhantomCore активно атакуют серверы видеоконференцсвязи TrueConf. - Используют вредоносный клиент TrueConf. - Используют инструменты цифровой криминалистики для закрепления и получения учетных данных на скомпрометированном хосте. - В ходе атак были задействованы собственные инструменты для создания обратного SSH-туннеля: MacTunnelRat (PhantomHeart), PhantomProxyLite, PhantomSscp. Подробнее

https://habr.com/ru/companies/pt/articles/1025674/

#расследование_инцидентов #реагирование_на_инциденты #киберугрозы #phantomcore #кибератаки #легитимное_по #вредоносное_программное_обеспечение #фишинг #хакеры #группировки

Скрываясь на виду: как PhantomCore маскирует свою активность с помощью легитимных инструментов

С осени 2025 года наши специалисты отдела реагирования на киберугрозы отмечают рост числа инцидентов, связанных с деятельностью хакерской группы PhantomCore. Эта группировка специализируется на кибершпионаже и краже конфиденциальных данных у российских организаций. Злоумышленники, в первую очередь нацеленные на внутренние процессы скомпрометированной организации, могут длительное время присутствовать в инфраструктуре жертвы, постепенно расширяя свое присутствие в сети. Ключевые моменты - C сентября 2025 года PhantomCore активно атакуют серверы видеоконференцсвязи TrueConf. - Используют вредоносный клиент TrueConf. - Используют инструменты цифровой криминалистики для закрепления и получения учетных данных на скомпрометированном хосте. - В ходе атак были задействованы собственные инструменты для создания обратного SSH-туннеля: MacTunnelRat (PhantomHeart), PhantomProxyLite, PhantomSscp. Подробнее

https://habr.com/ru/companies/pt/articles/1025674/

#расследование_инцидентов #реагирование_на_инциденты #киберугрозы #phantomcore #кибератаки #легитимное_по #вредоносное_программное_обеспечение #фишинг #хакеры #группировки

«Благотворительный» фишинг: что нам известно об атаках с использованием блокчейна Solana

В январе 2026 года специалистами группы киберразведки департамента Threat Intelligence экспертного центра безопасности (PT ESC) была обнаружена атака с использованием вредоносного XLL-файла, внутри которого была цепочка обфусцированных JavaScript-файлов, работающих на основе платформы NodeJS. Система жертвы заражалась вредоносным ПО класса RAT (remote access trojan) с большим количеством доступных команд. Среди особенностей вредоносного кода удалось обнаружить SNS-записи (Solana Name Service) для получения альтернативного адреса сервера злоумышленников. Детальное исследование позволило расширить временной диапазон атаки: вредоносная активность зафиксирована с середины октября 2025 года и наблюдается до сих пор. В этой статье мы подробнее расскажем о том, как работает цепочка атаки с использованием блокчейна Solana.

https://habr.com/ru/companies/pt/articles/1001196/

#расследование_кибератак #блокчейн #solana #вредоносное_программное_обеспечение #фишинговые_письма #приманка #rat #троян #цепочка_атаки_хакера #киберразведка

«Благотворительный» фишинг: что нам известно об атаках с использованием блокчейна Solana

В январе 2026 года специалистами группы киберразведки департамента Threat Intelligence экспертного центра безопасности (PT ESC) была обнаружена атака с использованием вредоносного XLL-файла, внутри которого была цепочка обфусцированных JavaScript-файлов, работающих на основе платформы NodeJS. Система жертвы заражалась вредоносным ПО класса RAT (remote access trojan) с большим количеством доступных команд. Среди особенностей вредоносного кода удалось обнаружить SNS-записи (Solana Name Service) для получения альтернативного адреса сервера злоумышленников. Детальное исследование позволило расширить временной диапазон атаки: вредоносная активность зафиксирована с середины октября 2025 года и наблюдается до сих пор. В этой статье мы подробнее расскажем о том, как работает цепочка атаки с использованием блокчейна Solana.

https://habr.com/ru/companies/pt/articles/1001196/

#расследование_кибератак #блокчейн #solana #вредоносное_программное_обеспечение #фишинговые_письма #приманка #rat #троян #цепочка_атаки_хакера #киберразведка

«Благотворительный» фишинг: что нам известно об атаках с использованием блокчейна Solana

В январе 2026 года специалистами группы киберразведки департамента Threat Intelligence экспертного центра безопасности (PT ESC) была обнаружена атака с использованием вредоносного XLL-файла, внутри которого была цепочка обфусцированных JavaScript-файлов, работающих на основе платформы NodeJS. Система жертвы заражалась вредоносным ПО класса RAT (remote access trojan) с большим количеством доступных команд. Среди особенностей вредоносного кода удалось обнаружить SNS-записи (Solana Name Service) для получения альтернативного адреса сервера злоумышленников. Детальное исследование позволило расширить временной диапазон атаки: вредоносная активность зафиксирована с середины октября 2025 года и наблюдается до сих пор. В этой статье мы подробнее расскажем о том, как работает цепочка атаки с использованием блокчейна Solana.

https://habr.com/ru/companies/pt/articles/1001196/

#расследование_кибератак #блокчейн #solana #вредоносное_программное_обеспечение #фишинговые_письма #приманка #rat #троян #цепочка_атаки_хакера #киберразведка

«Благотворительный» фишинг: что нам известно об атаках с использованием блокчейна Solana

В январе 2026 года специалистами группы киберразведки департамента Threat Intelligence экспертного центра безопасности (PT ESC) была обнаружена атака с использованием вредоносного XLL-файла, внутри которого была цепочка обфусцированных JavaScript-файлов, работающих на основе платформы NodeJS. Система жертвы заражалась вредоносным ПО класса RAT (remote access trojan) с большим количеством доступных команд. Среди особенностей вредоносного кода удалось обнаружить SNS-записи (Solana Name Service) для получения альтернативного адреса сервера злоумышленников. Детальное исследование позволило расширить временной диапазон атаки: вредоносная активность зафиксирована с середины октября 2025 года и наблюдается до сих пор. В этой статье мы подробнее расскажем о том, как работает цепочка атаки с использованием блокчейна Solana.

https://habr.com/ru/companies/pt/articles/1001196/

#расследование_кибератак #блокчейн #solana #вредоносное_программное_обеспечение #фишинговые_письма #приманка #rat #троян #цепочка_атаки_хакера #киберразведка

Исследование процесса обновления UEFI BIOS H2O фирмы Insyde Software

Процедура обновления любого ПО для меня всегда была загадкой. Ты нажимаешь кнопку «Обновить», и за кулисами начинает происходить какое-то таинство с кучей индикаторов и диагностических сообщений на экране монитора. Что уж говорить про системное ПО, такое как BIOS, затрагивающее самую суть — компьютерное железо… Мне, как исследователю из команды Raccoon Security, всегда хотелось узнать, как изнутри обновляется BIOS с учётом всех защит, которые её окружают. Разбираться будем вместе, а для примера возьмём самую распространённую UEFI BIOS H2O фирмы Insyde Software и её сервисную утилиту для обновления BIOS — H2OFFT.

https://habr.com/ru/companies/ntc-vulkan/articles/991884/

#bios #uefi #uefi_bios #обновление_по #flashпамять #вредоносное_программное_обеспечение #вредонос #вредоносное_по #буткит #smm

Ландшафт киберугроз в 2025-м в России и мире

Хабр, привет! Мы с коллегами в отделе аналитических исследований регулярно подводим киберитоги года: рассказываем, кто кого атаковал и как это было: цифры, факты, реальные истории атак. В этой статье речь пойдет о том, как выглядел мировой ландшафт киберугроз в 2025 году: какие отрасли подвергались кибератакам, кто приложил к этому руку, какими техниками пользовались киберпреступники — о тех сложившихся ИБ-трендах, которые найдут отклик в ближайшем будущем.

https://habr.com/ru/companies/pt/articles/988872/

#cybersecurity #статистика #анализ_угроз #киберугрозы #кибератаки #итоги_года #итоги_2025 #фишинг #вредоносное_программное_обеспечение #вымогательство

Ландшафт киберугроз в 2025-м в России и мире

Хабр, привет! Мы с коллегами в отделе аналитических исследований регулярно подводим киберитоги года: рассказываем, кто кого атаковал и как это было: цифры, факты, реальные истории атак. В этой статье речь пойдет о том, как выглядел мировой ландшафт киберугроз в 2025 году: какие отрасли подвергались кибератакам, кто приложил к этому руку, какими техниками пользовались киберпреступники — о тех сложившихся ИБ-трендах, которые найдут отклик в ближайшем будущем.

https://habr.com/ru/companies/pt/articles/988872/

#cybersecurity #статистика #анализ_угроз #киберугрозы #кибератаки #итоги_года #итоги_2025 #фишинг #вредоносное_программное_обеспечение #вымогательство

Ландшафт киберугроз в 2025-м в России и мире

Хабр, привет! Мы с коллегами в отделе аналитических исследований регулярно подводим киберитоги года: рассказываем, кто кого атаковал и как это было: цифры, факты, реальные истории атак. В этой статье речь пойдет о том, как выглядел мировой ландшафт киберугроз в 2025 году: какие отрасли подвергались кибератакам, кто приложил к этому руку, какими техниками пользовались киберпреступники — о тех сложившихся ИБ-трендах, которые найдут отклик в ближайшем будущем.

https://habr.com/ru/companies/pt/articles/988872/

#cybersecurity #статистика #анализ_угроз #киберугрозы #кибератаки #итоги_года #итоги_2025 #фишинг #вредоносное_программное_обеспечение #вымогательство

Ландшафт киберугроз в 2025-м в России и мире

Хабр, привет! Мы с коллегами в отделе аналитических исследований регулярно подводим киберитоги года: рассказываем, кто кого атаковал и как это было: цифры, факты, реальные истории атак. В этой статье речь пойдет о том, как выглядел мировой ландшафт киберугроз в 2025 году: какие отрасли подвергались кибератакам, кто приложил к этому руку, какими техниками пользовались киберпреступники — о тех сложившихся ИБ-трендах, которые найдут отклик в ближайшем будущем.

https://habr.com/ru/companies/pt/articles/988872/

#cybersecurity #статистика #анализ_угроз #киберугрозы #кибератаки #итоги_года #итоги_2025 #фишинг #вредоносное_программное_обеспечение #вымогательство

Расследования и киберразведка: рост числа атак на российский бизнес и новые инструменты хакеров

Шаров на нашей киберёлке всё больше, а мы продолжаем знакомить вас с кибертрендами уходящего года и делиться прогнозами на будущее. Слово нашим детективам из экспертного центра безопасности. Кто и сколько заказывал расследований киберинцидентов, что популярнее: ретро или мониторинг on air – обо всём по порядку расскажут ребята из команды экспертного центра безопасности Positive Technologies. А какой у них Telegram-канал!

https://habr.com/ru/companies/pt/articles/981212/

#ретроспектива #анализ_трафика #детектирование #пентесты #аудит_безопасности #мониторинг_сети #мониторинг_журналов #кибератаки #вредоносное_программное_обеспечение #расследование_инцидентов

Расследования и киберразведка: рост числа атак на российский бизнес и новые инструменты хакеров

Шаров на нашей киберёлке всё больше, а мы продолжаем знакомить вас с кибертрендами уходящего года и делиться прогнозами на будущее. Слово нашим детективам из экспертного центра безопасности. Кто и сколько заказывал расследований киберинцидентов, что популярнее: ретро или мониторинг on air – обо всём по порядку расскажут ребята из команды экспертного центра безопасности Positive Technologies. А какой у них Telegram-канал!

https://habr.com/ru/companies/pt/articles/981212/

#ретроспектива #анализ_трафика #детектирование #пентесты #аудит_безопасности #мониторинг_сети #мониторинг_журналов #кибератаки #вредоносное_программное_обеспечение #расследование_инцидентов

Расследования и киберразведка: рост числа атак на российский бизнес и новые инструменты хакеров

Шаров на нашей киберёлке всё больше, а мы продолжаем знакомить вас с кибертрендами уходящего года и делиться прогнозами на будущее. Слово нашим детективам из экспертного центра безопасности. Кто и сколько заказывал расследований киберинцидентов, что популярнее: ретро или мониторинг on air – обо всём по порядку расскажут ребята из команды экспертного центра безопасности Positive Technologies. А какой у них Telegram-канал!

https://habr.com/ru/companies/pt/articles/981212/

#ретроспектива #анализ_трафика #детектирование #пентесты #аудит_безопасности #мониторинг_сети #мониторинг_журналов #кибератаки #вредоносное_программное_обеспечение #расследование_инцидентов

Расследования и киберразведка: рост числа атак на российский бизнес и новые инструменты хакеров

Шаров на нашей киберёлке всё больше, а мы продолжаем знакомить вас с кибертрендами уходящего года и делиться прогнозами на будущее. Слово нашим детективам из экспертного центра безопасности. Кто и сколько заказывал расследований киберинцидентов, что популярнее: ретро или мониторинг on air – обо всём по порядку расскажут ребята из команды экспертного центра безопасности Positive Technologies. А какой у них Telegram-канал!

https://habr.com/ru/companies/pt/articles/981212/

#ретроспектива #анализ_трафика #детектирование #пентесты #аудит_безопасности #мониторинг_сети #мониторинг_журналов #кибератаки #вредоносное_программное_обеспечение #расследование_инцидентов

Облачный абордаж: как Space Pirates остается в инфраструктуре, растворяясь в трафике легитимных облачных сервисов

APT-группировка Space Pirates и облачные C2-каналы: LuckyStrike Agent с C2 на базе Yandex Cloud и новый бэкдор PhantomCloud , использующий OneDrive и Dropbox для скрытого управления — обо всём этом мы поговорим в этой статье.

https://habr.com/ru/articles/980830/

#PhantomCloud #space_pirates #анализ_вредоносного_по #вредоносное_программное_обеспечение #вредоносное_по #облачные_сервисы

Ландшафт угроз в 2026-м: внимание на Россию

На протяжении многих лет Россия входит в число наиболее приоритетных целей киберпреступников. По нашим данным, в период с июля 2024-го по сентябрь 2025 года на Россию пришлось от 14% до 16% всех успешных кибератак в мире. Мы прогнозируем, что по итогам 2025 года общее количество успешных кибератак вырастет на 20–45% по сравнению с предыдущим годом, в котором их число достигло практически 500, а в 2026-м может увеличиться еще на 30–35%. Кого и как будут атаковать в 2026 году?

https://habr.com/ru/companies/pt/articles/977022/

#киберугрозы #прогнозирование #ландшафт_угроз #кибератаки #2026 #вредоносное_программное_обеспечение #фишинг #дарквеб #вымогательство #шантаж

Ландшафт угроз в 2026-м: внимание на Россию

На протяжении многих лет Россия входит в число наиболее приоритетных целей киберпреступников. По нашим данным, в период с июля 2024-го по сентябрь 2025 года на Россию пришлось от 14% до 16% всех успешных кибератак в мире. Мы прогнозируем, что по итогам 2025 года общее количество успешных кибератак вырастет на 20–45% по сравнению с предыдущим годом, в котором их число достигло практически 500, а в 2026-м может увеличиться еще на 30–35%. Кого и как будут атаковать в 2026 году?

https://habr.com/ru/companies/pt/articles/977022/

#киберугрозы #прогнозирование #ландшафт_угроз #кибератаки #2026 #вредоносное_программное_обеспечение #фишинг #дарквеб #вымогательство #шантаж

Ландшафт угроз в 2026-м: внимание на Россию

На протяжении многих лет Россия входит в число наиболее приоритетных целей киберпреступников. По нашим данным, в период с июля 2024-го по сентябрь 2025 года на Россию пришлось от 14% до 16% всех успешных кибератак в мире. Мы прогнозируем, что по итогам 2025 года общее количество успешных кибератак вырастет на 20–45% по сравнению с предыдущим годом, в котором их число достигло практически 500, а в 2026-м может увеличиться еще на 30–35%. Кого и как будут атаковать в 2026 году?

https://habr.com/ru/companies/pt/articles/977022/

#киберугрозы #прогнозирование #ландшафт_угроз #кибератаки #2026 #вредоносное_программное_обеспечение #фишинг #дарквеб #вымогательство #шантаж

Ландшафт угроз в 2026-м: внимание на Россию

На протяжении многих лет Россия входит в число наиболее приоритетных целей киберпреступников. По нашим данным, в период с июля 2024-го по сентябрь 2025 года на Россию пришлось от 14% до 16% всех успешных кибератак в мире. Мы прогнозируем, что по итогам 2025 года общее количество успешных кибератак вырастет на 20–45% по сравнению с предыдущим годом, в котором их число достигло практически 500, а в 2026-м может увеличиться еще на 30–35%. Кого и как будут атаковать в 2026 году?

https://habr.com/ru/companies/pt/articles/977022/

#киберугрозы #прогнозирование #ландшафт_угроз #кибератаки #2026 #вредоносное_программное_обеспечение #фишинг #дарквеб #вымогательство #шантаж

Корпоративный фрод и пути борьбы с ним

Привет! Меня зовут Сергей, я руководитель отдела методологии ИБ РТК-ЦОД. Наш отдел часто сталкивается с попытками заполучить обманными схемами корпоративную информацию. В этой статье я напомню, что представляет собой фрод, расскажу, с какими схемами мы сталкиваемся и что можно сделать, чтобы обезопасить себя и бизнес. Цели корпоративного фрода Корпоративный фрод — совокупность методов мошеннических действий: получение конфиденциальных данных и их несанкционированное использование, финансовые махинации и подлоги. Их мишень — бизнес. Злоумышленники зарабатывают на любой ценной информации компании — базах данных, разработках, внутренних документах, финансовых сведениях и т.д. Полученную информацию они либо продают конкурентам, хакерам и другим преступникам на теневых форумах (даркнет), либо используют для проведения целевых кибератак на компанию. Успешно реализованные фрод-атаки причиняют серьезный ущерб. По данным МВД России ущерб от действий кибермошенников в 2023 году оценивался в 147 млрд руб., а в 2024 уже достиг 200 млрд руб., при этом 40% от всех зарегистрированных преступлений в 2024 году (свыше 765,4 тысяч) совершены с использованием информационных технологий. Таким образом, тематика защиты информации и бизнеса от мошеннических действий не только очевидна, но и год от года не теряет актуальности. Важный аспект защиты — это знания о фроде и умение ему противостоять. Это позволяет снизить риски финансовых потерь, сохранить доверие клиентов и репутацию компании. Поговорим о схемах корпоративного фрода, с которыми столкнулась наша компания. CEO-фрод: атака (дипфейк-звонки) от имени руководителя Одна из наиболее массовых мошеннических схем, также известная под названием «фейк босс». Злоумышленники маскируются под генерального директора или другого высокопоставленного руководителя, обращаются к сотрудникам со срочными запросами предоставить чувствительную корпоративную информацию, оказывают давление вплоть до угроз. Вот как это выглядит: сотруднику приходит письмо на корпоративную почту или сообщение в мессенджере от имени директора, который под «тайным и конфиденциальным предлогом» просит срочно совершить что-либо, что не входит в обязанности — провести оплату по направленному счету, прислать документы для проведения торгов, базу данных клиентов, перевести деньги на указанный счет, изменить настройки доступа, сообщить пароль от учетной записи и т. п. При этом «директор» давит на сотрудника: ожидает проявления лояльности компании и ему лично, а просьбу требует сохранить в тайне. Срочность, нестандартность и давление — вообще ключевые элементы CEO-фрода: у жертвы возникает иллюзия чрезвычайной ситуации, в которой нет возможности придерживаться принятых бизнес-процесса или процедуры согласования, а тем более обратиться за советом к линейному руководителю или коллеге.

https://habr.com/ru/companies/rt-dc/articles/975330/

#фрод #кибербезопасность #фишинг #вредоносное_программное_обеспечение #дипфейк #человеческий_фактор #киберкультура #фишинговое_письмо #кибератаки

«Медвед» атакует: что мы узнали про фишинговую кампанию группировки, нацеленной на российские организации

В октябре 2025 года мы, группа киберразведки департамента Threat Intelligence, зафиксировала продолжающуюся фишинговую активность хакерской группировки, которую мы назвали NetMedved. Обоснование выбора данного наименования будет рассмотрено в заключительной части статьи. Атаки хакеров ориентированы на российские организации; в качестве конечной полезной нагрузки используется вредоносная версия легитимного инструмента удалённого администрирования NetSupport Manager (далее — NetSupportRAT). В этой статье расскажем о специфике кампании и связи с нашими предыдущими находками.

https://habr.com/ru/companies/pt/articles/968572/

#киберразведка #расследование_инцидентов #кибератаки #хакерская_группировка #хакерские_инструменты #фишинговые_письма #вредоносное_программное_обеспечение #малварь #finger #netsupport

«Медвед» атакует: что мы узнали про фишинговую кампанию группировки, нацеленной на российские организации

В октябре 2025 года мы, группа киберразведки департамента Threat Intelligence, зафиксировала продолжающуюся фишинговую активность хакерской группировки, которую мы назвали NetMedved. Обоснование выбора данного наименования будет рассмотрено в заключительной части статьи. Атаки хакеров ориентированы на российские организации; в качестве конечной полезной нагрузки используется вредоносная версия легитимного инструмента удалённого администрирования NetSupport Manager (далее — NetSupportRAT). В этой статье расскажем о специфике кампании и связи с нашими предыдущими находками.

https://habr.com/ru/companies/pt/articles/968572/

#киберразведка #расследование_инцидентов #кибератаки #хакерская_группировка #хакерские_инструменты #фишинговые_письма #вредоносное_программное_обеспечение #малварь #finger #netsupport

«Медвед» атакует: что мы узнали про фишинговую кампанию группировки, нацеленной на российские организации

В октябре 2025 года мы, группа киберразведки департамента Threat Intelligence, зафиксировала продолжающуюся фишинговую активность хакерской группировки, которую мы назвали NetMedved. Обоснование выбора данного наименования будет рассмотрено в заключительной части статьи. Атаки хакеров ориентированы на российские организации; в качестве конечной полезной нагрузки используется вредоносная версия легитимного инструмента удалённого администрирования NetSupport Manager (далее — NetSupportRAT). В этой статье расскажем о специфике кампании и связи с нашими предыдущими находками.

https://habr.com/ru/companies/pt/articles/968572/

#киберразведка #расследование_инцидентов #кибератаки #хакерская_группировка #хакерские_инструменты #фишинговые_письма #вредоносное_программное_обеспечение #малварь #finger #netsupport

«Медвед» атакует: что мы узнали про фишинговую кампанию группировки, нацеленной на российские организации

В октябре 2025 года мы, группа киберразведки департамента Threat Intelligence, зафиксировала продолжающуюся фишинговую активность хакерской группировки, которую мы назвали NetMedved. Обоснование выбора данного наименования будет рассмотрено в заключительной части статьи. Атаки хакеров ориентированы на российские организации; в качестве конечной полезной нагрузки используется вредоносная версия легитимного инструмента удалённого администрирования NetSupport Manager (далее — NetSupportRAT). В этой статье расскажем о специфике кампании и связи с нашими предыдущими находками.

https://habr.com/ru/companies/pt/articles/968572/

#киберразведка #расследование_инцидентов #кибератаки #хакерская_группировка #хакерские_инструменты #фишинговые_письма #вредоносное_программное_обеспечение #малварь #finger #netsupport

Интеграция пеcочницы с CommuniGate: наш опыт работы с API

Привет, Хабр! На связи Евгений Лавров, архитектор отдела инжиниринга комплексных проектов компании Positive Technologies. Я занимаюсь разработкой проектных решений и внедрением наших продуктов совместно с партнерами или собственными силами у клиентов. Сегодня я хочу рассказать об интеграции нашей песочницы PT Sandbox со сторонними системами, даже если они не заявлены как поддерживаемые в документации, на примере интеграции с почтовым сервером CommuniGate Pro.

https://habr.com/ru/companies/pt/articles/966306/

#песочница #pt_sandbox #communigate_pro #api #интеграция_систем #почтовый_сервер #вредоносное_программное_обеспечение

Карты, деньги, два бага: из чего состоят современные банкоматы и как их атакуют хакеры

Всем привет! Вновь на связи аналитики из команды PT Cyber Analytics. В этой статье хотим поделиться экспертизой, полученной в ходе наших исследований в области защищенности банкоматов. Основная цель анализа защищенности банкоматов — выявить сценарии хищения денег, которые могут реализовать хакеры различного уровня подготовки: от случайного преступника, использующего готовое ВПО, до сервисного инженера, имеющего знания о внутреннем устройстве банкомата, а также расширенный доступ к оборудованию. В первую очередь разберем устройство банкоматов и расскажем об основных видах атак на них. А после — рассмотрим некоторые виды актуальных атак, а также дадим рекомендации по их предотвращению.

https://habr.com/ru/companies/pt/articles/963074/

#банкоматы #логические_атаки #вредоносное_программное_обеспечение #финсектор

Карты, деньги, два бага: из чего состоят современные банкоматы и как их атакуют хакеры

Всем привет! Вновь на связи аналитики из команды PT Cyber Analytics. В этой статье хотим поделиться экспертизой, полученной в ходе наших исследований в области защищенности банкоматов. Основная цель анализа защищенности банкоматов — выявить сценарии хищения денег, которые могут реализовать хакеры различного уровня подготовки: от случайного преступника, использующего готовое ВПО, до сервисного инженера, имеющего знания о внутреннем устройстве банкомата, а также расширенный доступ к оборудованию. В первую очередь разберем устройство банкоматов и расскажем об основных видах атак на них. А после — рассмотрим некоторые виды актуальных атак, а также дадим рекомендации по их предотвращению.

https://habr.com/ru/companies/pt/articles/963074/

#банкоматы #логические_атаки #вредоносное_программное_обеспечение #финсектор

Карты, деньги, два бага: из чего состоят современные банкоматы и как их атакуют хакеры

Всем привет! Вновь на связи аналитики из команды PT Cyber Analytics. В этой статье хотим поделиться экспертизой, полученной в ходе наших исследований в области защищенности банкоматов. Основная цель анализа защищенности банкоматов — выявить сценарии хищения денег, которые могут реализовать хакеры различного уровня подготовки: от случайного преступника, использующего готовое ВПО, до сервисного инженера, имеющего знания о внутреннем устройстве банкомата, а также расширенный доступ к оборудованию. В первую очередь разберем устройство банкоматов и расскажем об основных видах атак на них. А после — рассмотрим некоторые виды актуальных атак, а также дадим рекомендации по их предотвращению.

https://habr.com/ru/companies/pt/articles/963074/

#банкоматы #логические_атаки #вредоносное_программное_обеспечение #финсектор

Карты, деньги, два бага: из чего состоят современные банкоматы и как их атакуют хакеры

Всем привет! Вновь на связи аналитики из команды PT Cyber Analytics. В этой статье хотим поделиться экспертизой, полученной в ходе наших исследований в области защищенности банкоматов. Основная цель анализа защищенности банкоматов — выявить сценарии хищения денег, которые могут реализовать хакеры различного уровня подготовки: от случайного преступника, использующего готовое ВПО, до сервисного инженера, имеющего знания о внутреннем устройстве банкомата, а также расширенный доступ к оборудованию. В первую очередь разберем устройство банкоматов и расскажем об основных видах атак на них. А после — рассмотрим некоторые виды актуальных атак, а также дадим рекомендации по их предотвращению.

https://habr.com/ru/companies/pt/articles/963074/

#банкоматы #логические_атаки #вредоносное_программное_обеспечение #финсектор

Десять самых распространенных семейств вредоносного ПО в России

Совсем недавно мы выпустили аналитику про вредоносное ПО и его роль в кибератаках на Россию. Исследование большое и толстое (как это обычно у нас бывает), его, если захотите, можно почитать у нас на сайте . А в этой статье расскажу про самые популярные в России вредоносы. Мы сделали специальную подборку из десятка самых распространенных семейств ВПО в 2024 и первом квартале 2025 года. Итак, погнали!

https://habr.com/ru/companies/pt/articles/942726/

#cybersecurity #вредоносное_программное_обеспечение #трояны #трояны_удаленного_доступа #remote_access_tools

Десять самых распространенных семейств вредоносного ПО в России

Совсем недавно мы выпустили аналитику про вредоносное ПО и его роль в кибератаках на Россию. Исследование большое и толстое (как это обычно у нас бывает), его, если захотите, можно почитать у нас на сайте . А в этой статье расскажу про самые популярные в России вредоносы. Мы сделали специальную подборку из десятка самых распространенных семейств ВПО в 2024 и первом квартале 2025 года. Итак, погнали!

https://habr.com/ru/companies/pt/articles/942726/

#cybersecurity #вредоносное_программное_обеспечение #трояны #трояны_удаленного_доступа #remote_access_tools

Десять самых распространенных семейств вредоносного ПО в России

Совсем недавно мы выпустили аналитику про вредоносное ПО и его роль в кибератаках на Россию. Исследование большое и толстое (как это обычно у нас бывает), его, если захотите, можно почитать у нас на сайте . А в этой статье расскажу про самые популярные в России вредоносы. Мы сделали специальную подборку из десятка самых распространенных семейств ВПО в 2024 и первом квартале 2025 года. Итак, погнали!

https://habr.com/ru/companies/pt/articles/942726/

#cybersecurity #вредоносное_программное_обеспечение #трояны #трояны_удаленного_доступа #remote_access_tools

Десять самых распространенных семейств вредоносного ПО в России

Совсем недавно мы выпустили аналитику про вредоносное ПО и его роль в кибератаках на Россию. Исследование большое и толстое (как это обычно у нас бывает), его, если захотите, можно почитать у нас на сайте . А в этой статье расскажу про самые популярные в России вредоносы. Мы сделали специальную подборку из десятка самых распространенных семейств ВПО в 2024 и первом квартале 2025 года. Итак, погнали!

https://habr.com/ru/companies/pt/articles/942726/

#cybersecurity #вредоносное_программное_обеспечение #трояны #трояны_удаленного_доступа #remote_access_tools

Фантомные боли. Масштабная кампания кибершпионажа и возможный раскол APT-группировки PhantomCore

Впервые о группировке PhantomCore стало известно в начале 2024 года. За прошедшие полтора года она существенно нарастила наступательный арсенал, расширив его инструментами собственной разработки, и отметилась многочисленными кибератаками на критически значимую инфраструктуру России с целью шпионажа. Экспертиза, накопленная нами в процессе тщательного изучения группировки, и внутренние системы киберразведки обеспечили оперативное обнаружение активности PhantomCore невзирая на эволюцию вредоносных инструментов. Принятые меры позволили в начале мая этого года обнаружить новую масштабную кампанию кибершпионажа в отношении российских организаций. В рамках ее исследования удалось установить ключевую инфраструктуру PhantomCore, изучить обновленный арсенал, в том числе ранее не встречавшиеся образцы собственной разработки, изучить TTP и kill chain кибератак, а также идентифицировать жертв из числа российских организаций, корпоративные сети которых подверглись компрометации, и предотвратить реализацию недопустимых событий. Подробности

https://habr.com/ru/companies/pt/articles/939942/

#вредоносное_программное_обеспечение #aptатаки #кибератаки #phantomcore #цепочка_атаки_хакера #kill_chain #rat #remote_access #троян #бэкдор

Фантомные боли. Масштабная кампания кибершпионажа и возможный раскол APT-группировки PhantomCore

Впервые о группировке PhantomCore стало известно в начале 2024 года. За прошедшие полтора года она существенно нарастила наступательный арсенал, расширив его инструментами собственной разработки, и отметилась многочисленными кибератаками на критически значимую инфраструктуру России с целью шпионажа. Экспертиза, накопленная нами в процессе тщательного изучения группировки, и внутренние системы киберразведки обеспечили оперативное обнаружение активности PhantomCore невзирая на эволюцию вредоносных инструментов. Принятые меры позволили в начале мая этого года обнаружить новую масштабную кампанию кибершпионажа в отношении российских организаций. В рамках ее исследования удалось установить ключевую инфраструктуру PhantomCore, изучить обновленный арсенал, в том числе ранее не встречавшиеся образцы собственной разработки, изучить TTP и kill chain кибератак, а также идентифицировать жертв из числа российских организаций, корпоративные сети которых подверглись компрометации, и предотвратить реализацию недопустимых событий. Подробности

https://habr.com/ru/companies/pt/articles/939942/

#вредоносное_программное_обеспечение #aptатаки #кибератаки #phantomcore #цепочка_атаки_хакера #kill_chain #rat #remote_access #троян #бэкдор

Фантомные боли. Масштабная кампания кибершпионажа и возможный раскол APT-группировки PhantomCore

Впервые о группировке PhantomCore стало известно в начале 2024 года. За прошедшие полтора года она существенно нарастила наступательный арсенал, расширив его инструментами собственной разработки, и отметилась многочисленными кибератаками на критически значимую инфраструктуру России с целью шпионажа. Экспертиза, накопленная нами в процессе тщательного изучения группировки, и внутренние системы киберразведки обеспечили оперативное обнаружение активности PhantomCore невзирая на эволюцию вредоносных инструментов. Принятые меры позволили в начале мая этого года обнаружить новую масштабную кампанию кибершпионажа в отношении российских организаций. В рамках ее исследования удалось установить ключевую инфраструктуру PhantomCore, изучить обновленный арсенал, в том числе ранее не встречавшиеся образцы собственной разработки, изучить TTP и kill chain кибератак, а также идентифицировать жертв из числа российских организаций, корпоративные сети которых подверглись компрометации, и предотвратить реализацию недопустимых событий. Подробности

https://habr.com/ru/companies/pt/articles/939942/

#вредоносное_программное_обеспечение #aptатаки #кибератаки #phantomcore #цепочка_атаки_хакера #kill_chain #rat #remote_access #троян #бэкдор

Фантомные боли. Масштабная кампания кибершпионажа и возможный раскол APT-группировки PhantomCore

Впервые о группировке PhantomCore стало известно в начале 2024 года. За прошедшие полтора года она существенно нарастила наступательный арсенал, расширив его инструментами собственной разработки, и отметилась многочисленными кибератаками на критически значимую инфраструктуру России с целью шпионажа. Экспертиза, накопленная нами в процессе тщательного изучения группировки, и внутренние системы киберразведки обеспечили оперативное обнаружение активности PhantomCore невзирая на эволюцию вредоносных инструментов. Принятые меры позволили в начале мая этого года обнаружить новую масштабную кампанию кибершпионажа в отношении российских организаций. В рамках ее исследования удалось установить ключевую инфраструктуру PhantomCore, изучить обновленный арсенал, в том числе ранее не встречавшиеся образцы собственной разработки, изучить TTP и kill chain кибератак, а также идентифицировать жертв из числа российских организаций, корпоративные сети которых подверглись компрометации, и предотвратить реализацию недопустимых событий. Подробности

https://habr.com/ru/companies/pt/articles/939942/

#вредоносное_программное_обеспечение #aptатаки #кибератаки #phantomcore #цепочка_атаки_хакера #kill_chain #rat #remote_access #троян #бэкдор

Goffeeйнная гуща: актуальные инструменты и особенности группировки GOFFEE в атаках на Россию

В течение 2024 года несколько российских организаций обращались к команде по реагированию на киберинциденты экспертного центра Positive Technologies (PT ESC IR) для расследования инцидентов, между которыми удалось обнаружить сходство. В рамках анализа вредоносная активность инцидентов была объединена в один кластер и связана с группой Goffee, атакующей российские организации с помощью фишинга с 2022 года. В этой статье мы расскажем про вредоносное ПО, которое используют злоумышленники в атаках, в том числе речь пойдет о ранее неизвестном рутките под Linux, который был замечен в одном из инцидентов.

https://habr.com/ru/companies/pt/articles/939558/

#вредоносное_программное_обеспечение #хакеры #aptгруппа #goffee #Sauropsida #руткит #linux #mirat

Goffeeйнная гуща: актуальные инструменты и особенности группировки GOFFEE в атаках на Россию

В течение 2024 года несколько российских организаций обращались к команде по реагированию на киберинциденты экспертного центра Positive Technologies (PT ESC IR) для расследования инцидентов, между которыми удалось обнаружить сходство. В рамках анализа вредоносная активность инцидентов была объединена в один кластер и связана с группой Goffee, атакующей российские организации с помощью фишинга с 2022 года. В этой статье мы расскажем про вредоносное ПО, которое используют злоумышленники в атаках, в том числе речь пойдет о ранее неизвестном рутките под Linux, который был замечен в одном из инцидентов.

https://habr.com/ru/companies/pt/articles/939558/

#вредоносное_программное_обеспечение #хакеры #aptгруппа #goffee #Sauropsida #руткит #linux #mirat

Goffeeйнная гуща: актуальные инструменты и особенности группировки GOFFEE в атаках на Россию

В течение 2024 года несколько российских организаций обращались к команде по реагированию на киберинциденты экспертного центра Positive Technologies (PT ESC IR) для расследования инцидентов, между которыми удалось обнаружить сходство. В рамках анализа вредоносная активность инцидентов была объединена в один кластер и связана с группой Goffee, атакующей российские организации с помощью фишинга с 2022 года. В этой статье мы расскажем про вредоносное ПО, которое используют злоумышленники в атаках, в том числе речь пойдет о ранее неизвестном рутките под Linux, который был замечен в одном из инцидентов.

https://habr.com/ru/companies/pt/articles/939558/

#вредоносное_программное_обеспечение #хакеры #aptгруппа #goffee #Sauropsida #руткит #linux #mirat

Goffeeйнная гуща: актуальные инструменты и особенности группировки GOFFEE в атаках на Россию

В течение 2024 года несколько российских организаций обращались к команде по реагированию на киберинциденты экспертного центра Positive Technologies (PT ESC IR) для расследования инцидентов, между которыми удалось обнаружить сходство. В рамках анализа вредоносная активность инцидентов была объединена в один кластер и связана с группой Goffee, атакующей российские организации с помощью фишинга с 2022 года. В этой статье мы расскажем про вредоносное ПО, которое используют злоумышленники в атаках, в том числе речь пойдет о ранее неизвестном рутките под Linux, который был замечен в одном из инцидентов.

https://habr.com/ru/companies/pt/articles/939558/

#вредоносное_программное_обеспечение #хакеры #aptгруппа #goffee #Sauropsida #руткит #linux #mirat

Операция Phantom Enigma: бразильские пользователи под ударом вредоносного расширения

В начале 2025 года специалисты группы киберразведки TI-департамента экспертного центра безопасности Positive Technologies обнаружили вредоносное письмо, в котором предлагалось скачать файл с подозрительного сайта. Выявленная цепочка атаки приводит к установке вредоносного расширения для браузера Google Chrome , нацеленного на пользователей из Бразилии. В процессе исследования были обнаружены файлы, находящиеся в открытой директории злоумышленников, что позволило определить еще одну вариацию атаки с использованием Mesh Agent или PDQ Connect Agent вместо вредоносного расширения браузера. Там же располагались вспомогательные скрипты, содержащие в себе ссылки, в параметрах которых фигурировал идентификатор EnigmaCyberSecurity , — в честь него и была названа кампания.

https://habr.com/ru/companies/pt/articles/917248/

#киберразведка #фишинг #бразилия #киберпреступники #обфускация #вредоносное_программное_обеспечение #расширения #chrome_extension #microsoft_edge #цепочка_атаки_хакера

DarkGaboon: яд кибергадюки в цифровых жилах российских компаний

В январе текущего года группа киберразведки экспертного центра безопасности Positive Technologies разоблачила ранее неизвестную финансово мотивированную APT-группировку DarkGaboon, кибератаки которой в отношении российских компаний удалось отследить до весны 2023 года. Изучению подверглись эволюция вредоносного арсенала, миграция инфраструктуры и TTP группировки, но для полного восстановления kill chain не хватало инструментов и техник конечного импакта. Однако уже весной этого года сбылись прогнозы PT ESC о сохранении активности и наступательности со стороны DarkGaboon, а недостающие элементы пазла были обнаружены департаментом комплексного реагирования на киберугрозы в ходе расследования инцидентов в инфраструктуре российских компаний. Ими оказались сетевой сканер обнаружения доступных сетевых шар N.S. и шифровальщик LockBit.

https://habr.com/ru/companies/pt/articles/915992/

#хакеры #целевые_атаки #расследование_инцидентов #кибератаки #вредоносное_программное_обеспечение #dark_gaboon #lockbit #трояны #rat #ttp

DarkGaboon: яд кибергадюки в цифровых жилах российских компаний

В январе текущего года группа киберразведки экспертного центра безопасности Positive Technologies разоблачила ранее неизвестную финансово мотивированную APT-группировку DarkGaboon, кибератаки которой в отношении российских компаний удалось отследить до весны 2023 года. Изучению подверглись эволюция вредоносного арсенала, миграция инфраструктуры и TTP группировки, но для полного восстановления kill chain не хватало инструментов и техник конечного импакта. Однако уже весной этого года сбылись прогнозы PT ESC о сохранении активности и наступательности со стороны DarkGaboon, а недостающие элементы пазла были обнаружены департаментом комплексного реагирования на киберугрозы в ходе расследования инцидентов в инфраструктуре российских компаний. Ими оказались сетевой сканер обнаружения доступных сетевых шар N.S. и шифровальщик LockBit.

https://habr.com/ru/companies/pt/articles/915992/

#хакеры #целевые_атаки #расследование_инцидентов #кибератаки #вредоносное_программное_обеспечение #dark_gaboon #lockbit #трояны #rat #ttp

DarkGaboon: яд кибергадюки в цифровых жилах российских компаний

В январе текущего года группа киберразведки экспертного центра безопасности Positive Technologies разоблачила ранее неизвестную финансово мотивированную APT-группировку DarkGaboon, кибератаки которой в отношении российских компаний удалось отследить до весны 2023 года. Изучению подверглись эволюция вредоносного арсенала, миграция инфраструктуры и TTP группировки, но для полного восстановления kill chain не хватало инструментов и техник конечного импакта. Однако уже весной этого года сбылись прогнозы PT ESC о сохранении активности и наступательности со стороны DarkGaboon, а недостающие элементы пазла были обнаружены департаментом комплексного реагирования на киберугрозы в ходе расследования инцидентов в инфраструктуре российских компаний. Ими оказались сетевой сканер обнаружения доступных сетевых шар N.S. и шифровальщик LockBit.

https://habr.com/ru/companies/pt/articles/915992/

#хакеры #целевые_атаки #расследование_инцидентов #кибератаки #вредоносное_программное_обеспечение #dark_gaboon #lockbit #трояны #rat #ttp

DarkGaboon: яд кибергадюки в цифровых жилах российских компаний

В январе текущего года группа киберразведки экспертного центра безопасности Positive Technologies разоблачила ранее неизвестную финансово мотивированную APT-группировку DarkGaboon, кибератаки которой в отношении российских компаний удалось отследить до весны 2023 года. Изучению подверглись эволюция вредоносного арсенала, миграция инфраструктуры и TTP группировки, но для полного восстановления kill chain не хватало инструментов и техник конечного импакта. Однако уже весной этого года сбылись прогнозы PT ESC о сохранении активности и наступательности со стороны DarkGaboon, а недостающие элементы пазла были обнаружены департаментом комплексного реагирования на киберугрозы в ходе расследования инцидентов в инфраструктуре российских компаний. Ими оказались сетевой сканер обнаружения доступных сетевых шар N.S. и шифровальщик LockBit.

https://habr.com/ru/companies/pt/articles/915992/

#хакеры #целевые_атаки #расследование_инцидентов #кибератаки #вредоносное_программное_обеспечение #dark_gaboon #lockbit #трояны #rat #ttp

Новые атаки GOFFEE: разбор Kill Chain и анализ вредоносного ПО

В прошлом и нынешнем году коллеги из « Лаборатории Касперского » и BI.Zone рассказывали о группировке GOFFEE (Paper Werewolf). В конце мая мы снова фиксируем ее активность, но немного в другом обличии — можно сказать, в новой овечьей шкуре. Я Никита Полосухин, ведущий аналитик центра мониторинга и реагирования на кибератаки RED Security SOC, и я расскажу, как сейчас действует GOFFEE и как обнаружить их присутствие в инфраструктуре.

https://habr.com/ru/companies/ru_mts/articles/915300/

#paper_werewolf #goffee #кибербезопасность #red_security #СVE20170199 #фишинг #kill_chain #вредоносное_по #вредоносное_программное_обеспечение