#расследование_инцидентов — Public Fediverse posts

Как создать ИБ-сервис без нагрузки на IT-инфраструктуру

Привет! Я Максим Чеплиёв, менеджер продукта Staffcop, одного из ИБ-сервисов Контура. Расскажу, как мы разрабатываем Staffcop так, чтобы он не нагружал безмерно IT-инфраструктуру клиента. Сразу оговорюсь, что не буду рассказывать о технической реализации на уровне кода, но обращу внимание на уровень архитектуры и стратегических решений.

https://habr.com/ru/companies/skbkontur/articles/1026072/

#расследование_инцидентов #staffcop #инсайдер #информационная_безопасность

Скрываясь на виду: как PhantomCore маскирует свою активность с помощью легитимных инструментов

С осени 2025 года наши специалисты отдела реагирования на киберугрозы отмечают рост числа инцидентов, связанных с деятельностью хакерской группы PhantomCore. Эта группировка специализируется на кибершпионаже и краже конфиденциальных данных у российских организаций. Злоумышленники, в первую очередь нацеленные на внутренние процессы скомпрометированной организации, могут длительное время присутствовать в инфраструктуре жертвы, постепенно расширяя свое присутствие в сети. Ключевые моменты - C сентября 2025 года PhantomCore активно атакуют серверы видеоконференцсвязи TrueConf. - Используют вредоносный клиент TrueConf. - Используют инструменты цифровой криминалистики для закрепления и получения учетных данных на скомпрометированном хосте. - В ходе атак были задействованы собственные инструменты для создания обратного SSH-туннеля: MacTunnelRat (PhantomHeart), PhantomProxyLite, PhantomSscp. Подробнее

https://habr.com/ru/companies/pt/articles/1025674/

#расследование_инцидентов #реагирование_на_инциденты #киберугрозы #phantomcore #кибератаки #легитимное_по #вредоносное_программное_обеспечение #фишинг #хакеры #группировки

Скрываясь на виду: как PhantomCore маскирует свою активность с помощью легитимных инструментов

С осени 2025 года наши специалисты отдела реагирования на киберугрозы отмечают рост числа инцидентов, связанных с деятельностью хакерской группы PhantomCore. Эта группировка специализируется на кибершпионаже и краже конфиденциальных данных у российских организаций. Злоумышленники, в первую очередь нацеленные на внутренние процессы скомпрометированной организации, могут длительное время присутствовать в инфраструктуре жертвы, постепенно расширяя свое присутствие в сети. Ключевые моменты - C сентября 2025 года PhantomCore активно атакуют серверы видеоконференцсвязи TrueConf. - Используют вредоносный клиент TrueConf. - Используют инструменты цифровой криминалистики для закрепления и получения учетных данных на скомпрометированном хосте. - В ходе атак были задействованы собственные инструменты для создания обратного SSH-туннеля: MacTunnelRat (PhantomHeart), PhantomProxyLite, PhantomSscp. Подробнее

https://habr.com/ru/companies/pt/articles/1025674/

#расследование_инцидентов #реагирование_на_инциденты #киберугрозы #phantomcore #кибератаки #легитимное_по #вредоносное_программное_обеспечение #фишинг #хакеры #группировки

Скрываясь на виду: как PhantomCore маскирует свою активность с помощью легитимных инструментов

С осени 2025 года наши специалисты отдела реагирования на киберугрозы отмечают рост числа инцидентов, связанных с деятельностью хакерской группы PhantomCore. Эта группировка специализируется на кибершпионаже и краже конфиденциальных данных у российских организаций. Злоумышленники, в первую очередь нацеленные на внутренние процессы скомпрометированной организации, могут длительное время присутствовать в инфраструктуре жертвы, постепенно расширяя свое присутствие в сети. Ключевые моменты - C сентября 2025 года PhantomCore активно атакуют серверы видеоконференцсвязи TrueConf. - Используют вредоносный клиент TrueConf. - Используют инструменты цифровой криминалистики для закрепления и получения учетных данных на скомпрометированном хосте. - В ходе атак были задействованы собственные инструменты для создания обратного SSH-туннеля: MacTunnelRat (PhantomHeart), PhantomProxyLite, PhantomSscp. Подробнее

https://habr.com/ru/companies/pt/articles/1025674/

#расследование_инцидентов #реагирование_на_инциденты #киберугрозы #phantomcore #кибератаки #легитимное_по #вредоносное_программное_обеспечение #фишинг #хакеры #группировки

Скрываясь на виду: как PhantomCore маскирует свою активность с помощью легитимных инструментов

С осени 2025 года наши специалисты отдела реагирования на киберугрозы отмечают рост числа инцидентов, связанных с деятельностью хакерской группы PhantomCore. Эта группировка специализируется на кибершпионаже и краже конфиденциальных данных у российских организаций. Злоумышленники, в первую очередь нацеленные на внутренние процессы скомпрометированной организации, могут длительное время присутствовать в инфраструктуре жертвы, постепенно расширяя свое присутствие в сети. Ключевые моменты - C сентября 2025 года PhantomCore активно атакуют серверы видеоконференцсвязи TrueConf. - Используют вредоносный клиент TrueConf. - Используют инструменты цифровой криминалистики для закрепления и получения учетных данных на скомпрометированном хосте. - В ходе атак были задействованы собственные инструменты для создания обратного SSH-туннеля: MacTunnelRat (PhantomHeart), PhantomProxyLite, PhantomSscp. Подробнее

https://habr.com/ru/companies/pt/articles/1025674/

#расследование_инцидентов #реагирование_на_инциденты #киберугрозы #phantomcore #кибератаки #легитимное_по #вредоносное_программное_обеспечение #фишинг #хакеры #группировки

Как (не) потерять домен за выходные

Пятница, 18:00: сотрудники одной достаточно крупной компании спокойно заканчивают работу. Понедельник, 08:00: все рабочие компьютеры показывают экран восстановления BitLocker, контроллер домена скомпрометирован, а ключи у злоумышленника. Между этими точками четыре шага, и ни один из них не был сложным. Ни одна из уязвимостей не была чем-то необычным. Вы почти наверняка видели каждую из них в какой-нибудь инфраструктуре. Но здесь они сложились в цепочку, и никто не заметил, пока она не отработала до конца. Расследовать инцидент

https://habr.com/ru/companies/garda/articles/1023394/

#CVE202454772 #mikrotik #Web_Enrollment #расследование_инцидентов #кибербезопасность #уязвимости_и_их_эксплуатация #уязвимости_сетевого_оборудования #шифровальщики

Как (не) потерять домен за выходные

Пятница, 18:00: сотрудники одной достаточно крупной компании спокойно заканчивают работу. Понедельник, 08:00: все рабочие компьютеры показывают экран восстановления BitLocker, контроллер домена скомпрометирован, а ключи у злоумышленника. Между этими точками четыре шага, и ни один из них не был сложным. Ни одна из уязвимостей не была чем-то необычным. Вы почти наверняка видели каждую из них в какой-нибудь инфраструктуре. Но здесь они сложились в цепочку, и никто не заметил, пока она не отработала до конца. Расследовать инцидент

https://habr.com/ru/companies/garda/articles/1023394/

#CVE202454772 #mikrotik #Web_Enrollment #расследование_инцидентов #кибербезопасность #уязвимости_и_их_эксплуатация #уязвимости_сетевого_оборудования #шифровальщики

Как (не) потерять домен за выходные

Пятница, 18:00: сотрудники одной достаточно крупной компании спокойно заканчивают работу. Понедельник, 08:00: все рабочие компьютеры показывают экран восстановления BitLocker, контроллер домена скомпрометирован, а ключи у злоумышленника. Между этими точками четыре шага, и ни один из них не был сложным. Ни одна из уязвимостей не была чем-то необычным. Вы почти наверняка видели каждую из них в какой-нибудь инфраструктуре. Но здесь они сложились в цепочку, и никто не заметил, пока она не отработала до конца. Расследовать инцидент

https://habr.com/ru/companies/garda/articles/1023394/

#CVE202454772 #mikrotik #Web_Enrollment #расследование_инцидентов #кибербезопасность #уязвимости_и_их_эксплуатация #уязвимости_сетевого_оборудования #шифровальщики

Как (не) потерять домен за выходные

Пятница, 18:00: сотрудники одной достаточно крупной компании спокойно заканчивают работу. Понедельник, 08:00: все рабочие компьютеры показывают экран восстановления BitLocker, контроллер домена скомпрометирован, а ключи у злоумышленника. Между этими точками четыре шага, и ни один из них не был сложным. Ни одна из уязвимостей не была чем-то необычным. Вы почти наверняка видели каждую из них в какой-нибудь инфраструктуре. Но здесь они сложились в цепочку, и никто не заметил, пока она не отработала до конца. Расследовать инцидент

https://habr.com/ru/companies/garda/articles/1023394/

#CVE202454772 #mikrotik #Web_Enrollment #расследование_инцидентов #кибербезопасность #уязвимости_и_их_эксплуатация #уязвимости_сетевого_оборудования #шифровальщики

Как хакеры обошли 2FA и захватили облачную инфраструктуру

В последние годы гибридная инфраструктура стала стандартом де‑факто. Компании перевозят критичные сервисы в Azure, AWS,Google Cloud или Yandex.Cloud но оставляют on‑prem AD как точку доверия.Практически всегда многофакторная аутентификация (MFA) включена для доступа к административной учетной записи облака, считая ее непреодолимым барьером. В этом материале я разберу кейс из практики расследований,котором злоумышленники не взламывали 2FA,им не пришлось, вместо этого они нашли способ легально войти в облако под сессией уже авторизованного администратора. Техника называется Shadow RDP.

https://habr.com/ru/articles/1022348/

#APT #логирование #расследование_инцидентов #расследование_кибератак

Command & Control как ключ к расследованию утечек данных

Когда мы слышим об очередной крупной утечке данных — клиентских баз, исходных кодов или коммерческой тайны — в отчетах часто фигурируют формулировки «злоумышленник получил доступ» или «был скомпрометирован сервер». Но за этими общими фразами скрывается принципиально важная деталь: утечка редко является разовым событием. Да, не стоит забывать об инсайдерах, выносящих данные на флешках, но как правило это носит разовый характер. А в подавляющем большинстве случаев системные утечки — это процесс, управляемый извне. И ключ к расследованию, минимизации ущерба и построению защиты лежит в детектировании инфраструктуры Command & Control (C2). Без понимания того, как работает C2, SOC превращается в пожарную команду, тушащую искры, но не видящую самого пожара. В этой статье мы разберем, почему C2 — это не просто «вирус», а архитектурный принцип современных атак, и как выстроить расследование вокруг этого понятия. Открыть материал

https://habr.com/ru/companies/otus/articles/1016302/

#иб #c2c #intrusion_detection #утечки_данных #расследование_инцидентов #киберугрозы #сетевая_активность #сетевой_трафик

Command & Control как ключ к расследованию утечек данных

Когда мы слышим об очередной крупной утечке данных — клиентских баз, исходных кодов или коммерческой тайны — в отчетах часто фигурируют формулировки «злоумышленник получил доступ» или «был скомпрометирован сервер». Но за этими общими фразами скрывается принципиально важная деталь: утечка редко является разовым событием. Да, не стоит забывать об инсайдерах, выносящих данные на флешках, но как правило это носит разовый характер. А в подавляющем большинстве случаев системные утечки — это процесс, управляемый извне. И ключ к расследованию, минимизации ущерба и построению защиты лежит в детектировании инфраструктуры Command & Control (C2). Без понимания того, как работает C2, SOC превращается в пожарную команду, тушащую искры, но не видящую самого пожара. В этой статье мы разберем, почему C2 — это не просто «вирус», а архитектурный принцип современных атак, и как выстроить расследование вокруг этого понятия. Открыть материал

https://habr.com/ru/companies/otus/articles/1016302/

#иб #c2c #intrusion_detection #утечки_данных #расследование_инцидентов #киберугрозы #сетевая_активность #сетевой_трафик

Command & Control как ключ к расследованию утечек данных

Когда мы слышим об очередной крупной утечке данных — клиентских баз, исходных кодов или коммерческой тайны — в отчетах часто фигурируют формулировки «злоумышленник получил доступ» или «был скомпрометирован сервер». Но за этими общими фразами скрывается принципиально важная деталь: утечка редко является разовым событием. Да, не стоит забывать об инсайдерах, выносящих данные на флешках, но как правило это носит разовый характер. А в подавляющем большинстве случаев системные утечки — это процесс, управляемый извне. И ключ к расследованию, минимизации ущерба и построению защиты лежит в детектировании инфраструктуры Command & Control (C2). Без понимания того, как работает C2, SOC превращается в пожарную команду, тушащую искры, но не видящую самого пожара. В этой статье мы разберем, почему C2 — это не просто «вирус», а архитектурный принцип современных атак, и как выстроить расследование вокруг этого понятия. Открыть материал

https://habr.com/ru/companies/otus/articles/1016302/

#иб #c2c #intrusion_detection #утечки_данных #расследование_инцидентов #киберугрозы #сетевая_активность #сетевой_трафик

Command & Control как ключ к расследованию утечек данных

Когда мы слышим об очередной крупной утечке данных — клиентских баз, исходных кодов или коммерческой тайны — в отчетах часто фигурируют формулировки «злоумышленник получил доступ» или «был скомпрометирован сервер». Но за этими общими фразами скрывается принципиально важная деталь: утечка редко является разовым событием. Да, не стоит забывать об инсайдерах, выносящих данные на флешках, но как правило это носит разовый характер. А в подавляющем большинстве случаев системные утечки — это процесс, управляемый извне. И ключ к расследованию, минимизации ущерба и построению защиты лежит в детектировании инфраструктуры Command & Control (C2). Без понимания того, как работает C2, SOC превращается в пожарную команду, тушащую искры, но не видящую самого пожара. В этой статье мы разберем, почему C2 — это не просто «вирус», а архитектурный принцип современных атак, и как выстроить расследование вокруг этого понятия. Открыть материал

https://habr.com/ru/companies/otus/articles/1016302/

#иб #c2c #intrusion_detection #утечки_данных #расследование_инцидентов #киберугрозы #сетевая_активность #сетевой_трафик

Методика определения ложноположительных алертов через обратный «утиный тест» (reverse «duck test»)

Всем привет! Сегодня расскажу вам о способе определения ложноположительных алертов, который был выработан совместно с коллегой по цеху и другом Николаем ( @1Last ) за время работы в SOC. К сожалению PhD в этом году перенесли, поэтому было принято решение поделится данным способом тут. Кому он будет полезен и ...

https://habr.com/ru/articles/1008430/

#soc #расследование_инцидентов #аналитика_soc

Почему 15% томатов шли в брак и как это остановили?

Менязовут Роман Михайлович, я аналитик процессов. Я работаю методом полевого расследования. Это значит: не просто читать отчёты, а пройти всю цепочку своими глазами, зафиксировать каждый шаг, найти точку разрыва. В этом мне помогают простые инструменты: фотофиксация, хронометраж, блок‑схемы в Draw.io и анализ документов. Ко мне обратилась крупная торговая сеть, ритейл с проблемой: томаты «Черри» от постоянного поставщика приходили с механическими повреждениями. Сюрвейеры работали, претензии писали, но брак не уходил. Задача была — найти причину истинную причину. Ритейл, закупал томаты у двух тепличных комплексов в России. Проблема была только с томатами «Черри»: трещины, вмятины, мятые плоды. Поставщик говорил: «Это логистика, водители виноваты». Сеть не верила, но доказать не могла.

https://habr.com/ru/articles/1006678/

#контроль_качества #оптимизация_процессов #управление_качеством_продукта #брак_производителя #кейс_по_проекту #скрытые_параметры #расследование_инцидентов #анализ_процессов

Почему 15% томатов шли в брак и как это остановили?

Менязовут Роман Михайлович, я аналитик процессов. Я работаю методом полевого расследования. Это значит: не просто читать отчёты, а пройти всю цепочку своими глазами, зафиксировать каждый шаг, найти точку разрыва. В этом мне помогают простые инструменты: фотофиксация, хронометраж, блок‑схемы в Draw.io и анализ документов. Ко мне обратилась крупная торговая сеть, ритейл с проблемой: томаты «Черри» от постоянного поставщика приходили с механическими повреждениями. Сюрвейеры работали, претензии писали, но брак не уходил. Задача была — найти причину истинную причину. Ритейл, закупал томаты у двух тепличных комплексов в России. Проблема была только с томатами «Черри»: трещины, вмятины, мятые плоды. Поставщик говорил: «Это логистика, водители виноваты». Сеть не верила, но доказать не могла.

https://habr.com/ru/articles/1006678/

#контроль_качества #оптимизация_процессов #управление_качеством_продукта #брак_производителя #кейс_по_проекту #скрытые_параметры #расследование_инцидентов #анализ_процессов

Почему 15% томатов шли в брак и как это остановили?

Менязовут Роман Михайлович, я аналитик процессов. Я работаю методом полевого расследования. Это значит: не просто читать отчёты, а пройти всю цепочку своими глазами, зафиксировать каждый шаг, найти точку разрыва. В этом мне помогают простые инструменты: фотофиксация, хронометраж, блок‑схемы в Draw.io и анализ документов. Ко мне обратилась крупная торговая сеть, ритейл с проблемой: томаты «Черри» от постоянного поставщика приходили с механическими повреждениями. Сюрвейеры работали, претензии писали, но брак не уходил. Задача была — найти причину истинную причину. Ритейл, закупал томаты у двух тепличных комплексов в России. Проблема была только с томатами «Черри»: трещины, вмятины, мятые плоды. Поставщик говорил: «Это логистика, водители виноваты». Сеть не верила, но доказать не могла.

https://habr.com/ru/articles/1006678/

#контроль_качества #оптимизация_процессов #управление_качеством_продукта #брак_производителя #кейс_по_проекту #скрытые_параметры #расследование_инцидентов #анализ_процессов

Почему 15% томатов шли в брак и как это остановили?

Менязовут Роман Михайлович, я аналитик процессов. Я работаю методом полевого расследования. Это значит: не просто читать отчёты, а пройти всю цепочку своими глазами, зафиксировать каждый шаг, найти точку разрыва. В этом мне помогают простые инструменты: фотофиксация, хронометраж, блок‑схемы в Draw.io и анализ документов. Ко мне обратилась крупная торговая сеть, ритейл с проблемой: томаты «Черри» от постоянного поставщика приходили с механическими повреждениями. Сюрвейеры работали, претензии писали, но брак не уходил. Задача была — найти причину истинную причину. Ритейл, закупал томаты у двух тепличных комплексов в России. Проблема была только с томатами «Черри»: трещины, вмятины, мятые плоды. Поставщик говорил: «Это логистика, водители виноваты». Сеть не верила, но доказать не могла.

https://habr.com/ru/articles/1006678/

#контроль_качества #оптимизация_процессов #управление_качеством_продукта #брак_производителя #кейс_по_проекту #скрытые_параметры #расследование_инцидентов #анализ_процессов

DFIR на практике. Часть 1: Lockdown Lab

В данном цикле статей мы пытаемся разобрать лаборатории по форензике так, как это делается в реальных «боевых» условиях - без подсказок и наводящих вопросов, только инцидент, триаж и логические цепочки. И в итоге оформляем расследование в нечто подобное настоящему DFIR-отчёту. В сегодняшей статье расследуем атаку, используя дамп сетевой трафик, дамп оперативной памяти атакованного хоста, а также изучим образец ВПО.

https://habr.com/ru/articles/986314/

#DFIR #информационная_безопасность #расследование_инцидентов #реагирование_на_инциденты

Расследования и киберразведка: рост числа атак на российский бизнес и новые инструменты хакеров

Шаров на нашей киберёлке всё больше, а мы продолжаем знакомить вас с кибертрендами уходящего года и делиться прогнозами на будущее. Слово нашим детективам из экспертного центра безопасности. Кто и сколько заказывал расследований киберинцидентов, что популярнее: ретро или мониторинг on air – обо всём по порядку расскажут ребята из команды экспертного центра безопасности Positive Technologies. А какой у них Telegram-канал!

https://habr.com/ru/companies/pt/articles/981212/

#ретроспектива #анализ_трафика #детектирование #пентесты #аудит_безопасности #мониторинг_сети #мониторинг_журналов #кибератаки #вредоносное_программное_обеспечение #расследование_инцидентов

Расследования и киберразведка: рост числа атак на российский бизнес и новые инструменты хакеров

Шаров на нашей киберёлке всё больше, а мы продолжаем знакомить вас с кибертрендами уходящего года и делиться прогнозами на будущее. Слово нашим детективам из экспертного центра безопасности. Кто и сколько заказывал расследований киберинцидентов, что популярнее: ретро или мониторинг on air – обо всём по порядку расскажут ребята из команды экспертного центра безопасности Positive Technologies. А какой у них Telegram-канал!

https://habr.com/ru/companies/pt/articles/981212/

#ретроспектива #анализ_трафика #детектирование #пентесты #аудит_безопасности #мониторинг_сети #мониторинг_журналов #кибератаки #вредоносное_программное_обеспечение #расследование_инцидентов

Расследования и киберразведка: рост числа атак на российский бизнес и новые инструменты хакеров

Шаров на нашей киберёлке всё больше, а мы продолжаем знакомить вас с кибертрендами уходящего года и делиться прогнозами на будущее. Слово нашим детективам из экспертного центра безопасности. Кто и сколько заказывал расследований киберинцидентов, что популярнее: ретро или мониторинг on air – обо всём по порядку расскажут ребята из команды экспертного центра безопасности Positive Technologies. А какой у них Telegram-канал!

https://habr.com/ru/companies/pt/articles/981212/

#ретроспектива #анализ_трафика #детектирование #пентесты #аудит_безопасности #мониторинг_сети #мониторинг_журналов #кибератаки #вредоносное_программное_обеспечение #расследование_инцидентов

Расследования и киберразведка: рост числа атак на российский бизнес и новые инструменты хакеров

Шаров на нашей киберёлке всё больше, а мы продолжаем знакомить вас с кибертрендами уходящего года и делиться прогнозами на будущее. Слово нашим детективам из экспертного центра безопасности. Кто и сколько заказывал расследований киберинцидентов, что популярнее: ретро или мониторинг on air – обо всём по порядку расскажут ребята из команды экспертного центра безопасности Positive Technologies. А какой у них Telegram-канал!

https://habr.com/ru/companies/pt/articles/981212/

#ретроспектива #анализ_трафика #детектирование #пентесты #аудит_безопасности #мониторинг_сети #мониторинг_журналов #кибератаки #вредоносное_программное_обеспечение #расследование_инцидентов

Пара реальных историй из жизни аналитиков SOC

Своевременное выявление инцидентов ИБ позволяет минимизировать возможный ущерб в случае реализации связанных с ними рисков. Security Operations Center (SOC) — это центр мониторинга информационной безопасности, структурное подразделение организации, отвечающее за оперативный мониторинг IT-среды и предотвращение киберинцидентов. Специалисты SOC собирают и анализируют данные с различных объектов инфраструктуры организации и при обнаружении подозрительной активности принимают меры для предотвращения атаки и именно от них зависит, насколько быстро будет обнаружена та или иная атака. В этой статье мы рассмотрим пару реальных случаев расследования инцидентов аналитиками SOC. Но для начала давайте разберемся с тем, как построено взаимодействие специалистов в Security Operations Center. Как работает SOC

https://habr.com/ru/companies/otus/articles/972158/

#soc #siem #edr #мониторинг_безопасности #реагирование_на_инциденты #расследование_инцидентов #фишинговая_атака #кибератаки

Как ИИ-скрипт парализовал ИТ-инфраструктуру

Привет, Хабр! Меня зовут Александр, я работаю в Региональном центре кибербезопасности ХМАО-Югры на базе АУ «Югорский НИИ информационных технологий», проще говоря – SOC. Мы занимаемся обеспечением информационной безопасности в органах государственной власти, органах местного самоуправления, медицинских организациях на территории ХМАО-Югры. В качестве первой статьи я выбрал кейс ИБ, который не так давно произошел в ИТ-инфраструктуре нашего Абонента (статья публикуется с согласия Абонента). Моя история о том, как инструменты с ИИ могут стать причиной выхода из строя ИТ-инфраструктуры. Надеюсь, наш опыт поможет другим избежать таких ситуаций в будущем.

https://habr.com/ru/articles/974102/

#SOC #расследование_инцидентов

Как мы научили нейросеть искать связи между инцидентами в SOC

Представьте круглосуточную работу в SOC. В понедельник аналитик первой смены расследует вирусное заражение через почту. В среду аналитик второй смены разбирает алерт от NGFW о передаче вредоносного файла. Оба профессионалы, оба закрывают алерты по регламенту. Но они не заметили, что разбирали два шага одной атаки, просто потому, что ключевая улика — хитрое название сигнатуры — затерялась в простыне текстового описания, а не лежала в отдельном поле. Вот он, «цифровой туман». Проблема не в том, что скрипты не умеют сравнивать строки, они не понимают, что HOSTNAME и hostname.corp.local — по сути одно и то же. Они далеко не всегда могут выцепить IP-адрес из комментария заказчика. А когда за день сыплются десятки, а то и сотни алертов, искать подобные связи руками — это прямо боль. В поисках лекарства мы пошли на рискованный эксперимент: решили построить систему, которая находит неочевидные связи с помощью LLM. А валидатором выбрали человека, который называет себя «одним из основных хейтеров LLM и нейросетей». Под катом Кирилл Рупасов, технический директор SOC К2 Кибербезопасность, Юлия Гильмуллина, старший инженер-разработчик К2Тех, и Татьяна Белякова, ведущий системный аналитик К2Тех расскажут о том, как подружить Gemma, Qdrant и DBSCAN. Как прагматичный инжиниринг, борьба с галлюцинациями и месяцы ручной отладки заставили главного скептика признать: да, в таком виде это действительно работает.

https://habr.com/ru/companies/k2tech/articles/972220/

#soc #мониторинг #анализ_инцидентов #расследование_инцидентов #incident_response #автоматизация #нейросети #llm #threat_hunting #ai_в_кибербезопасности

Как мы научили нейросеть искать связи между инцидентами в SOC

Представьте круглосуточную работу в SOC. В понедельник аналитик первой смены расследует вирусное заражение через почту. В среду аналитик второй смены разбирает алерт от NGFW о передаче вредоносного файла. Оба профессионалы, оба закрывают алерты по регламенту. Но они не заметили, что разбирали два шага одной атаки, просто потому, что ключевая улика — хитрое название сигнатуры — затерялась в простыне текстового описания, а не лежала в отдельном поле. Вот он, «цифровой туман». Проблема не в том, что скрипты не умеют сравнивать строки, они не понимают, что HOSTNAME и hostname.corp.local — по сути одно и то же. Они далеко не всегда могут выцепить IP-адрес из комментария заказчика. А когда за день сыплются десятки, а то и сотни алертов, искать подобные связи руками — это прямо боль. В поисках лекарства мы пошли на рискованный эксперимент: решили построить систему, которая находит неочевидные связи с помощью LLM. А валидатором выбрали человека, который называет себя «одним из основных хейтеров LLM и нейросетей». Под катом Кирилл Рупасов, технический директор SOC К2 Кибербезопасность, Юлия Гильмуллина, старший инженер-разработчик К2Тех, и Татьяна Белякова, ведущий системный аналитик К2Тех расскажут о том, как подружить Gemma, Qdrant и DBSCAN. Как прагматичный инжиниринг, борьба с галлюцинациями и месяцы ручной отладки заставили главного скептика признать: да, в таком виде это действительно работает.

https://habr.com/ru/companies/k2tech/articles/972220/

#soc #мониторинг #анализ_инцидентов #расследование_инцидентов #incident_response #автоматизация #нейросети #llm #threat_hunting #ai_в_кибербезопасности

Как мы научили нейросеть искать связи между инцидентами в SOC

Представьте круглосуточную работу в SOC. В понедельник аналитик первой смены расследует вирусное заражение через почту. В среду аналитик второй смены разбирает алерт от NGFW о передаче вредоносного файла. Оба профессионалы, оба закрывают алерты по регламенту. Но они не заметили, что разбирали два шага одной атаки, просто потому, что ключевая улика — хитрое название сигнатуры — затерялась в простыне текстового описания, а не лежала в отдельном поле. Вот он, «цифровой туман». Проблема не в том, что скрипты не умеют сравнивать строки, они не понимают, что HOSTNAME и hostname.corp.local — по сути одно и то же. Они далеко не всегда могут выцепить IP-адрес из комментария заказчика. А когда за день сыплются десятки, а то и сотни алертов, искать подобные связи руками — это прямо боль. В поисках лекарства мы пошли на рискованный эксперимент: решили построить систему, которая находит неочевидные связи с помощью LLM. А валидатором выбрали человека, который называет себя «одним из основных хейтеров LLM и нейросетей». Под катом Кирилл Рупасов, технический директор SOC К2 Кибербезопасность, Юлия Гильмуллина, старший инженер-разработчик К2Тех, и Татьяна Белякова, ведущий системный аналитик К2Тех расскажут о том, как подружить Gemma, Qdrant и DBSCAN. Как прагматичный инжиниринг, борьба с галлюцинациями и месяцы ручной отладки заставили главного скептика признать: да, в таком виде это действительно работает.

https://habr.com/ru/companies/k2tech/articles/972220/

#soc #мониторинг #анализ_инцидентов #расследование_инцидентов #incident_response #автоматизация #нейросети #llm #threat_hunting #ai_в_кибербезопасности

Как мы научили нейросеть искать связи между инцидентами в SOC

Представьте круглосуточную работу в SOC. В понедельник аналитик первой смены расследует вирусное заражение через почту. В среду аналитик второй смены разбирает алерт от NGFW о передаче вредоносного файла. Оба профессионалы, оба закрывают алерты по регламенту. Но они не заметили, что разбирали два шага одной атаки, просто потому, что ключевая улика — хитрое название сигнатуры — затерялась в простыне текстового описания, а не лежала в отдельном поле. Вот он, «цифровой туман». Проблема не в том, что скрипты не умеют сравнивать строки, они не понимают, что HOSTNAME и hostname.corp.local — по сути одно и то же. Они далеко не всегда могут выцепить IP-адрес из комментария заказчика. А когда за день сыплются десятки, а то и сотни алертов, искать подобные связи руками — это прямо боль. В поисках лекарства мы пошли на рискованный эксперимент: решили построить систему, которая находит неочевидные связи с помощью LLM. А валидатором выбрали человека, который называет себя «одним из основных хейтеров LLM и нейросетей». Под катом Кирилл Рупасов, технический директор SOC К2 Кибербезопасность, Юлия Гильмуллина, старший инженер-разработчик К2Тех, и Татьяна Белякова, ведущий системный аналитик К2Тех расскажут о том, как подружить Gemma, Qdrant и DBSCAN. Как прагматичный инжиниринг, борьба с галлюцинациями и месяцы ручной отладки заставили главного скептика признать: да, в таком виде это действительно работает.

https://habr.com/ru/companies/k2tech/articles/972220/

#soc #мониторинг #анализ_инцидентов #расследование_инцидентов #incident_response #автоматизация #нейросети #llm #threat_hunting #ai_в_кибербезопасности

«Медвед» атакует: что мы узнали про фишинговую кампанию группировки, нацеленной на российские организации

В октябре 2025 года мы, группа киберразведки департамента Threat Intelligence, зафиксировала продолжающуюся фишинговую активность хакерской группировки, которую мы назвали NetMedved. Обоснование выбора данного наименования будет рассмотрено в заключительной части статьи. Атаки хакеров ориентированы на российские организации; в качестве конечной полезной нагрузки используется вредоносная версия легитимного инструмента удалённого администрирования NetSupport Manager (далее — NetSupportRAT). В этой статье расскажем о специфике кампании и связи с нашими предыдущими находками.

https://habr.com/ru/companies/pt/articles/968572/

#киберразведка #расследование_инцидентов #кибератаки #хакерская_группировка #хакерские_инструменты #фишинговые_письма #вредоносное_программное_обеспечение #малварь #finger #netsupport

«Медвед» атакует: что мы узнали про фишинговую кампанию группировки, нацеленной на российские организации

В октябре 2025 года мы, группа киберразведки департамента Threat Intelligence, зафиксировала продолжающуюся фишинговую активность хакерской группировки, которую мы назвали NetMedved. Обоснование выбора данного наименования будет рассмотрено в заключительной части статьи. Атаки хакеров ориентированы на российские организации; в качестве конечной полезной нагрузки используется вредоносная версия легитимного инструмента удалённого администрирования NetSupport Manager (далее — NetSupportRAT). В этой статье расскажем о специфике кампании и связи с нашими предыдущими находками.

https://habr.com/ru/companies/pt/articles/968572/

#киберразведка #расследование_инцидентов #кибератаки #хакерская_группировка #хакерские_инструменты #фишинговые_письма #вредоносное_программное_обеспечение #малварь #finger #netsupport

«Медвед» атакует: что мы узнали про фишинговую кампанию группировки, нацеленной на российские организации

В октябре 2025 года мы, группа киберразведки департамента Threat Intelligence, зафиксировала продолжающуюся фишинговую активность хакерской группировки, которую мы назвали NetMedved. Обоснование выбора данного наименования будет рассмотрено в заключительной части статьи. Атаки хакеров ориентированы на российские организации; в качестве конечной полезной нагрузки используется вредоносная версия легитимного инструмента удалённого администрирования NetSupport Manager (далее — NetSupportRAT). В этой статье расскажем о специфике кампании и связи с нашими предыдущими находками.

https://habr.com/ru/companies/pt/articles/968572/

#киберразведка #расследование_инцидентов #кибератаки #хакерская_группировка #хакерские_инструменты #фишинговые_письма #вредоносное_программное_обеспечение #малварь #finger #netsupport

«Медвед» атакует: что мы узнали про фишинговую кампанию группировки, нацеленной на российские организации

В октябре 2025 года мы, группа киберразведки департамента Threat Intelligence, зафиксировала продолжающуюся фишинговую активность хакерской группировки, которую мы назвали NetMedved. Обоснование выбора данного наименования будет рассмотрено в заключительной части статьи. Атаки хакеров ориентированы на российские организации; в качестве конечной полезной нагрузки используется вредоносная версия легитимного инструмента удалённого администрирования NetSupport Manager (далее — NetSupportRAT). В этой статье расскажем о специфике кампании и связи с нашими предыдущими находками.

https://habr.com/ru/companies/pt/articles/968572/

#киберразведка #расследование_инцидентов #кибератаки #хакерская_группировка #хакерские_инструменты #фишинговые_письма #вредоносное_программное_обеспечение #малварь #finger #netsupport

Расследование инцидентов и ретроспективный анализ: итоги проектов 2024-2025

Команда комплексного реагирования на киберугрозы экспертного центра Positive Technologies завершила анализ инцидентов за период с IV квартала 2024 года по III квартал 2025 года. За это время мы провели более сотни расследований и в очередной раз убедились: киберугрозы не становятся сложнее, но становятся результативнее. Хакеры нечасто придумывают что-то принципиально новое — они совершенствуют уже проверенные методы и реализовывают их эффективнее . Наша статья для тех, кто ответствен за информационную безопасность: от CTO и CISO до администраторов и аналитиков SOC. В ней собрана информация о том, как проникают хакеры, какие инструменты используют, и что из этого следует для защиты.

https://habr.com/ru/companies/pt/articles/967968/

#расследование_инцидентов #кибератаки #ретроспектива #анализ_данных

Заметки о нашей повседневной работе с PAM

У всех современных компаний в 2025 году есть потребность в предоставлении удалённого доступа к своим ресурсам не только для своих сотрудников, но и для внешних пользователей, например, подрядчикам для выполнения работ, заказчикам для демонстрации решений и прочим контрагентам. В жизни мы привыкли доверять людям. Доверие удобно, оно экономит время. Но доверие в чистом виде — это утопия. В современном мире его легко обернуть против нас. Тем более, когда дело касается компании и обеспечения её информационной безопасности, а, следовательно, и наших заказчиков. В этом случае мы всегда придерживаемся политики нулевого доверия (Zero Trust). Каждое утро в офисе начинается одинаково. Мы включаем комп, пролистываем свежие новости, создаём тикеты, открываем дашборды. Казалось бы, рутина, но за этой рутиной прячется главный раздражитель — чьи-то видимые (и не очень) действия в системах: администратор запускает сессию, подрядчик обновляет сервис, инженер выгружает дамп базы данных. Все эти события кому-то могут показаться «естественным шумом» инфраструктуры, не требующим особого внимания. Но не нам. Работа любого сотрудника начинается с входа в необходимые для выполнения должностных обязанностей системы: ● общекорпоративные ресурсы (портал, почта, система электронного документооборота (СЭД) и т.п.). ● более важные критичные ресурсы — базы данных, серверы, инфраструктурные сервисы, системы управления — доступ к которым необходимо контролировать особенно тщательно. Именно здесь и проявляется важность направления управления идентификацией и доступом в информационной безопасности (IAM и ряд других средств защиты). И именно здесь на первый план выходит Privileged Access Management (PAM), обеспечивающий централизованное управление и мониторинг привилегированного доступа, минимизацию рисков неправомерного использования и защиту ключевых точек инфраструктуры.

https://habr.com/ru/companies/innostage/articles/965528/

#pam #расследование_инцидентов #подрядчики #привилегированный_доступ #привилегированные_учетные_записи #Innostage_Cardinal_PAM #аудит_безопасности #управление_доступом #удалённый_доступ

Защита от шифровальщиков. Как происходят атаки и что делать?

За последний год даже те, кто не связан с информационной безопасностью или ИТ-администрированием, узнали о хакерских атаках, в ходе которых уничтожаются или шифруются данные. Теоретически, массовая атака программ-вымогателей может временно парализовать важную инфраструктуру: остановить транспорт, лишить магазины, аптеки и АЗС возможности обслуживать клиентов. Хотя такая картина кажется гиперболизированной, она вполне возможна — особенно на фоне недавних событий и произошедших инцидентов. В статье расскажем о масштабах угрозы и о том, как организации могут противостоять атакам программ-вымогателей. На основе реальных расследований поделимся не только техническими деталями, но и практическими рекомендациями, которые помогут снизить риски и вовремя отреагировать на инцидент.

https://habr.com/ru/companies/jetinfosystems/articles/962282/

#кибербезопасность #ransomware #иб #информационная_безопасность #cybersecurity #расследование_инцидентов #soc #phishing #фишинг #lockbit

Внутрикорпоративное расследование инцидентов безопасности: долой рутину, да здравствует автоматизация

2022 год стал переломным моментом для российского бизнеса и ИТ-индустрии. Массовый отток зарубежных решений, прекращение технической поддержки и обновлений создали идеальные условия для киберпреступников. Результат – продолжающийся по сей день рекордный рост утечек данных, изощренные схемы мошенничества и беспрецедентный уровень кибератак. Центр исследования киберугроз Solar 4RAYS ГК «Солар» в своем отчете «Хроника целевых кибератак в 1 полугодии 2025 г» показывает, что почти 90% атак связаны со шпионажем и финансовой выгодой. В этих условиях особенно важно реагировать на такие инциденты как можно скорее, чтобы максимально защитить данные от утечки, а также свести к минимуму экономический и/или репутационный ущерб. Вместе с Яной Менжевицкой, аналитиком отдела бизнес-аналитики систем предотвращения утечек информации ГК «Солар», разбираемся, почему компании проигрывают в гонке со временем при расследованиях, как разрозненные данные мешают эффективной работе служб безопасности, и как DLP-система Solar Dozor и ее модуль Dozor Detective помогают в расследовании внутренних инцидентов и меняют правила игры. Но сначала немного статистики.

https://habr.com/ru/companies/solarsecurity/articles/946278/

#dlpсистемы #dlp #расследование_инцидентов #расследование_инцидентов_иб #Dozor_Detective

Внутрикорпоративное расследование инцидентов безопасности: долой рутину, да здравствует автоматизация

2022 год стал переломным моментом для российского бизнеса и ИТ-индустрии. Массовый отток зарубежных решений, прекращение технической поддержки и обновлений создали идеальные условия для киберпреступников. Результат – продолжающийся по сей день рекордный рост утечек данных, изощренные схемы мошенничества и беспрецедентный уровень кибератак. Центр исследования киберугроз Solar 4RAYS ГК «Солар» в своем отчете «Хроника целевых кибератак в 1 полугодии 2025 г» показывает, что почти 90% атак связаны со шпионажем и финансовой выгодой. В этих условиях особенно важно реагировать на такие инциденты как можно скорее, чтобы максимально защитить данные от утечки, а также свести к минимуму экономический и/или репутационный ущерб. Вместе с Яной Менжевицкой, аналитиком отдела бизнес-аналитики систем предотвращения утечек информации ГК «Солар», разбираемся, почему компании проигрывают в гонке со временем при расследованиях, как разрозненные данные мешают эффективной работе служб безопасности, и как DLP-система Solar Dozor и ее модуль Dozor Detective помогают в расследовании внутренних инцидентов и меняют правила игры. Но сначала немного статистики.

https://habr.com/ru/companies/solarsecurity/articles/946278/

#dlpсистемы #dlp #расследование_инцидентов #расследование_инцидентов_иб #Dozor_Detective

Внутрикорпоративное расследование инцидентов безопасности: долой рутину, да здравствует автоматизация

2022 год стал переломным моментом для российского бизнеса и ИТ-индустрии. Массовый отток зарубежных решений, прекращение технической поддержки и обновлений создали идеальные условия для киберпреступников. Результат – продолжающийся по сей день рекордный рост утечек данных, изощренные схемы мошенничества и беспрецедентный уровень кибератак. Центр исследования киберугроз Solar 4RAYS ГК «Солар» в своем отчете «Хроника целевых кибератак в 1 полугодии 2025 г» показывает, что почти 90% атак связаны со шпионажем и финансовой выгодой. В этих условиях особенно важно реагировать на такие инциденты как можно скорее, чтобы максимально защитить данные от утечки, а также свести к минимуму экономический и/или репутационный ущерб. Вместе с Яной Менжевицкой, аналитиком отдела бизнес-аналитики систем предотвращения утечек информации ГК «Солар», разбираемся, почему компании проигрывают в гонке со временем при расследованиях, как разрозненные данные мешают эффективной работе служб безопасности, и как DLP-система Solar Dozor и ее модуль Dozor Detective помогают в расследовании внутренних инцидентов и меняют правила игры. Но сначала немного статистики.

https://habr.com/ru/companies/solarsecurity/articles/946278/

#dlpсистемы #dlp #расследование_инцидентов #расследование_инцидентов_иб #Dozor_Detective

Внутрикорпоративное расследование инцидентов безопасности: долой рутину, да здравствует автоматизация

2022 год стал переломным моментом для российского бизнеса и ИТ-индустрии. Массовый отток зарубежных решений, прекращение технической поддержки и обновлений создали идеальные условия для киберпреступников. Результат – продолжающийся по сей день рекордный рост утечек данных, изощренные схемы мошенничества и беспрецедентный уровень кибератак. Центр исследования киберугроз Solar 4RAYS ГК «Солар» в своем отчете «Хроника целевых кибератак в 1 полугодии 2025 г» показывает, что почти 90% атак связаны со шпионажем и финансовой выгодой. В этих условиях особенно важно реагировать на такие инциденты как можно скорее, чтобы максимально защитить данные от утечки, а также свести к минимуму экономический и/или репутационный ущерб. Вместе с Яной Менжевицкой, аналитиком отдела бизнес-аналитики систем предотвращения утечек информации ГК «Солар», разбираемся, почему компании проигрывают в гонке со временем при расследованиях, как разрозненные данные мешают эффективной работе служб безопасности, и как DLP-система Solar Dozor и ее модуль Dozor Detective помогают в расследовании внутренних инцидентов и меняют правила игры. Но сначала немного статистики.

https://habr.com/ru/companies/solarsecurity/articles/946278/

#dlpсистемы #dlp #расследование_инцидентов #расследование_инцидентов_иб #Dozor_Detective

Когда дело не в коде: как мы ловили мистические пропажи аукционов на сетевом уровне

Привет, меня зовут Анатолий, я ведущий разработчик в ITFB Group . У нас высоконагруженный сервис аукционов. И раз в неделю, как по расписанию, раздавался панический звонок: «Опять пропали аукционы!». Мы неслись смотреть логи — а там... ничего. Ни ошибок, ни падений. Никаких пятисотых, только стабильные двухсотые. Стенды dev и prod молчали, как рыбы. Аукционы загадочным образом появлялись через некоторое время, и всё работало, пока история не повторялась снова. Это был не баг, это был призрак. Призрак в сети. Сегодня я расскажу, как мы его поймали.

https://habr.com/ru/companies/itfb/articles/943482/

#itfb #highload #kubernetes #debugging #monitoring #tcpdump #spring_boot #балансировщик_нагрузки #wireshark #расследование_инцидентов

Когда дело не в коде: как мы ловили мистические пропажи аукционов на сетевом уровне

Привет, меня зовут Анатолий, я ведущий разработчик в ITFB Group . У нас высоконагруженный сервис аукционов. И раз в неделю, как по расписанию, раздавался панический звонок: «Опять пропали аукционы!». Мы неслись смотреть логи — а там... ничего. Ни ошибок, ни падений. Никаких пятисотых, только стабильные двухсотые. Стенды dev и prod молчали, как рыбы. Аукционы загадочным образом появлялись через некоторое время, и всё работало, пока история не повторялась снова. Это был не баг, это был призрак. Призрак в сети. Сегодня я расскажу, как мы его поймали.

https://habr.com/ru/companies/itfb/articles/943482/

#itfb #highload #kubernetes #debugging #monitoring #tcpdump #spring_boot #балансировщик_нагрузки #wireshark #расследование_инцидентов

No-code-разработка и ML-помощники – инструменты аналитиков SOC нового поколения

Давайте представим, как могло бы выглядеть рабочее место SOC-аналитика будущего. В том числе рассмотрим, какие были бы полезны в реагировании и расследовании ML-помощники: некоторые из упомянутых в статье мы уже внедрили в наши продукты, а некоторые – еще в планах или могут послужить в качестве идеи для тех, кто сталкивается с подобными задачами.

https://habr.com/ru/companies/securityvison/articles/924126/

#визуальное_программирование #nocode #машинное+обучение #machine_learning #информационная_безопасность #soc #расследование_инцидентов #инцидент #аналитика_данных

Цифровые раскопки

Как мы провели расследование спустя полгода после атаки и что удалось найти на уцелевших Windows‑хостах. С августа по ноябрь 2024 года группировка ELPACO-team ransomware провела серию атак с использованием вымогательского ПО Elpaco (семейство Mimic ). Злоумышленники получали доступ к сети жертвы через перебор паролей RDP, после чего эксплуатировали уязвимость CVE-2020-1472 ( Zerologon ) для повышения привилегий и полного контроля над сервером.

https://habr.com/ru/articles/924222/

#расследование_инцидентов #soc #windwos #информационная_безопасность #blue_team #ransomware

DarkGaboon: яд кибергадюки в цифровых жилах российских компаний

В январе текущего года группа киберразведки экспертного центра безопасности Positive Technologies разоблачила ранее неизвестную финансово мотивированную APT-группировку DarkGaboon, кибератаки которой в отношении российских компаний удалось отследить до весны 2023 года. Изучению подверглись эволюция вредоносного арсенала, миграция инфраструктуры и TTP группировки, но для полного восстановления kill chain не хватало инструментов и техник конечного импакта. Однако уже весной этого года сбылись прогнозы PT ESC о сохранении активности и наступательности со стороны DarkGaboon, а недостающие элементы пазла были обнаружены департаментом комплексного реагирования на киберугрозы в ходе расследования инцидентов в инфраструктуре российских компаний. Ими оказались сетевой сканер обнаружения доступных сетевых шар N.S. и шифровальщик LockBit.

https://habr.com/ru/companies/pt/articles/915992/

#хакеры #целевые_атаки #расследование_инцидентов #кибератаки #вредоносное_программное_обеспечение #dark_gaboon #lockbit #трояны #rat #ttp

DarkGaboon: яд кибергадюки в цифровых жилах российских компаний

В январе текущего года группа киберразведки экспертного центра безопасности Positive Technologies разоблачила ранее неизвестную финансово мотивированную APT-группировку DarkGaboon, кибератаки которой в отношении российских компаний удалось отследить до весны 2023 года. Изучению подверглись эволюция вредоносного арсенала, миграция инфраструктуры и TTP группировки, но для полного восстановления kill chain не хватало инструментов и техник конечного импакта. Однако уже весной этого года сбылись прогнозы PT ESC о сохранении активности и наступательности со стороны DarkGaboon, а недостающие элементы пазла были обнаружены департаментом комплексного реагирования на киберугрозы в ходе расследования инцидентов в инфраструктуре российских компаний. Ими оказались сетевой сканер обнаружения доступных сетевых шар N.S. и шифровальщик LockBit.

https://habr.com/ru/companies/pt/articles/915992/

#хакеры #целевые_атаки #расследование_инцидентов #кибератаки #вредоносное_программное_обеспечение #dark_gaboon #lockbit #трояны #rat #ttp

DarkGaboon: яд кибергадюки в цифровых жилах российских компаний

В январе текущего года группа киберразведки экспертного центра безопасности Positive Technologies разоблачила ранее неизвестную финансово мотивированную APT-группировку DarkGaboon, кибератаки которой в отношении российских компаний удалось отследить до весны 2023 года. Изучению подверглись эволюция вредоносного арсенала, миграция инфраструктуры и TTP группировки, но для полного восстановления kill chain не хватало инструментов и техник конечного импакта. Однако уже весной этого года сбылись прогнозы PT ESC о сохранении активности и наступательности со стороны DarkGaboon, а недостающие элементы пазла были обнаружены департаментом комплексного реагирования на киберугрозы в ходе расследования инцидентов в инфраструктуре российских компаний. Ими оказались сетевой сканер обнаружения доступных сетевых шар N.S. и шифровальщик LockBit.

https://habr.com/ru/companies/pt/articles/915992/

#хакеры #целевые_атаки #расследование_инцидентов #кибератаки #вредоносное_программное_обеспечение #dark_gaboon #lockbit #трояны #rat #ttp

DarkGaboon: яд кибергадюки в цифровых жилах российских компаний

В январе текущего года группа киберразведки экспертного центра безопасности Positive Technologies разоблачила ранее неизвестную финансово мотивированную APT-группировку DarkGaboon, кибератаки которой в отношении российских компаний удалось отследить до весны 2023 года. Изучению подверглись эволюция вредоносного арсенала, миграция инфраструктуры и TTP группировки, но для полного восстановления kill chain не хватало инструментов и техник конечного импакта. Однако уже весной этого года сбылись прогнозы PT ESC о сохранении активности и наступательности со стороны DarkGaboon, а недостающие элементы пазла были обнаружены департаментом комплексного реагирования на киберугрозы в ходе расследования инцидентов в инфраструктуре российских компаний. Ими оказались сетевой сканер обнаружения доступных сетевых шар N.S. и шифровальщик LockBit.

https://habr.com/ru/companies/pt/articles/915992/

#хакеры #целевые_атаки #расследование_инцидентов #кибератаки #вредоносное_программное_обеспечение #dark_gaboon #lockbit #трояны #rat #ttp

Crypters And Tools. Часть 2: Разные лапы — один клубок

Всем салют! Вновь на связи киберразведчики из экспертного центра безопасности (PT ESC) с новой порцией находок, связанных с Crypters And Tools. В первой части мы рассказали о крипторе, который мы обнаружили в процессе исследования атак различных группировок. Отчет концентрировался на внутреннем устройстве и инфраструктуре самого криптора. В этой части мы расскажем о хакерских группировках, которые использовали его в атаках, их связях, уникальных особенностях, а также о пользователях Crypters And Tools, часть из которых связана с рассматриваемыми группировками.

https://habr.com/ru/companies/pt/articles/905308/

#cybersecurity #киберразведка #хакерские_инструменты #apt #крипторы #ta558 #вредоносное_программное_обеспечение #расследование_инцидентов #mitre #латинская_америка