home.social

#цепочка_атаки_хакера — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #цепочка_атаки_хакера, aggregated by home.social.

  1. Habr @[email protected] ·

    «Благотворительный» фишинг: что нам известно об атаках с использованием блокчейна Solana

    В январе 2026 года специалистами группы киберразведки департамента Threat Intelligence экспертного центра безопасности (PT ESC) была обнаружена атака с использованием вредоносного XLL-файла, внутри которого была цепочка обфусцированных JavaScript-файлов, работающих на основе платформы NodeJS. Система жертвы заражалась вредоносным ПО класса RAT (remote access trojan) с большим количеством доступных команд. Среди особенностей вредоносного кода удалось обнаружить SNS-записи (Solana Name Service) для получения альтернативного адреса сервера злоумышленников. Детальное исследование позволило расширить временной диапазон атаки: вредоносная активность зафиксирована с середины октября 2025 года и наблюдается до сих пор. В этой статье мы подробнее расскажем о том, как работает цепочка атаки с использованием блокчейна Solana.

    habr.com/ru/companies/pt/artic

    #расследование_кибератак #блокчейн #solana #вредоносное_программное_обеспечение #фишинговые_письма #приманка #rat #троян #цепочка_атаки_хакера #киберразведка

    #киберразведка #цепочка_атаки_хакера #троян #rat #приманка #фишинговые_письма
  2. Habr @[email protected] ·

    «Благотворительный» фишинг: что нам известно об атаках с использованием блокчейна Solana

    В январе 2026 года специалистами группы киберразведки департамента Threat Intelligence экспертного центра безопасности (PT ESC) была обнаружена атака с использованием вредоносного XLL-файла, внутри которого была цепочка обфусцированных JavaScript-файлов, работающих на основе платформы NodeJS. Система жертвы заражалась вредоносным ПО класса RAT (remote access trojan) с большим количеством доступных команд. Среди особенностей вредоносного кода удалось обнаружить SNS-записи (Solana Name Service) для получения альтернативного адреса сервера злоумышленников. Детальное исследование позволило расширить временной диапазон атаки: вредоносная активность зафиксирована с середины октября 2025 года и наблюдается до сих пор. В этой статье мы подробнее расскажем о том, как работает цепочка атаки с использованием блокчейна Solana.

    habr.com/ru/companies/pt/artic

    #расследование_кибератак #блокчейн #solana #вредоносное_программное_обеспечение #фишинговые_письма #приманка #rat #троян #цепочка_атаки_хакера #киберразведка

    #киберразведка #цепочка_атаки_хакера #троян #rat #приманка #фишинговые_письма
  3. Habr @[email protected] ·

    «Благотворительный» фишинг: что нам известно об атаках с использованием блокчейна Solana

    В январе 2026 года специалистами группы киберразведки департамента Threat Intelligence экспертного центра безопасности (PT ESC) была обнаружена атака с использованием вредоносного XLL-файла, внутри которого была цепочка обфусцированных JavaScript-файлов, работающих на основе платформы NodeJS. Система жертвы заражалась вредоносным ПО класса RAT (remote access trojan) с большим количеством доступных команд. Среди особенностей вредоносного кода удалось обнаружить SNS-записи (Solana Name Service) для получения альтернативного адреса сервера злоумышленников. Детальное исследование позволило расширить временной диапазон атаки: вредоносная активность зафиксирована с середины октября 2025 года и наблюдается до сих пор. В этой статье мы подробнее расскажем о том, как работает цепочка атаки с использованием блокчейна Solana.

    habr.com/ru/companies/pt/artic

    #расследование_кибератак #блокчейн #solana #вредоносное_программное_обеспечение #фишинговые_письма #приманка #rat #троян #цепочка_атаки_хакера #киберразведка

    #киберразведка #цепочка_атаки_хакера #троян #rat #приманка #фишинговые_письма
  4. Habr @[email protected] ·

    «Благотворительный» фишинг: что нам известно об атаках с использованием блокчейна Solana

    В январе 2026 года специалистами группы киберразведки департамента Threat Intelligence экспертного центра безопасности (PT ESC) была обнаружена атака с использованием вредоносного XLL-файла, внутри которого была цепочка обфусцированных JavaScript-файлов, работающих на основе платформы NodeJS. Система жертвы заражалась вредоносным ПО класса RAT (remote access trojan) с большим количеством доступных команд. Среди особенностей вредоносного кода удалось обнаружить SNS-записи (Solana Name Service) для получения альтернативного адреса сервера злоумышленников. Детальное исследование позволило расширить временной диапазон атаки: вредоносная активность зафиксирована с середины октября 2025 года и наблюдается до сих пор. В этой статье мы подробнее расскажем о том, как работает цепочка атаки с использованием блокчейна Solana.

    habr.com/ru/companies/pt/artic

    #расследование_кибератак #блокчейн #solana #вредоносное_программное_обеспечение #фишинговые_письма #приманка #rat #троян #цепочка_атаки_хакера #киберразведка

    #расследование_кибератак #блокчейн #solana #вредоносное_программное_обеспечение #фишинговые_письма #приманка
  5. Habr @[email protected] ·

    Уже не Thor: как мы выслеживали одну группировку и «разбудили» другую

    Во время расследования инцидентов мы, команда Positive Technologies Expert Security Center Incident Response (PT ESC IR) при поддержке департамента Threat Intelligence (PT ESC TI) обнаружили следы использования вредоносного ПО (ВПО) KrustyLoader . Впервые ВПО было описано в январе 2024 года экспертами из команд Volexity и Mandiant. Оно было замечено в атаках с использованием RCE-уязвимостей нулевого дня в продукте Ivanti Connect Secure. Тогда же было указано, что KrustyLoader написан под Linux, однако позже появились версии под Windows. Примечательно, что на момент исследования загрузчик использовался только одной группировкой, которую мы называем QuietCrabs . Дальнейшее расследование позволило обнаружить в инфраструктуре жертвы активность другой группировки. Интересно, что ее деятельность, вероятно, помешала QuietCrabs реализовать атаку и стала причиной, по которой на эту атаку обратили внимание. Мы предполагаем, что второй группировкой являются хакеры Thor . В статье мы покажем цепочки атак, обнаруженные нами во время расследования, и расскажем про сами инструменты, которые использовали злоумышленники.

    habr.com/ru/companies/pt/artic

    #реагирование_на_инциденты #целевые_атаки #кибератаки #группировка #thor #quietcrabs #удаленное_выполнение_кода #rce #killchain #цепочка_атаки_хакера

    #реагирование_на_инциденты #целевые_атаки #кибератаки #группировка #thor #quietcrabs
  6. Habr @[email protected] ·

    AI slop coding, или Как создать нелепые длинные цепочки атак с помощью ИИ

    В процессе исследования вредоносных файлов, которые использовали группировки злоумышленников, мы наткнулись на интересные ранее незамеченные атаки, в которых использовались GitHub-аккаунты для хранения вредоносных файлов и данных жертв. Эти атаки не выглядели как что-то массовое, и, судя по всему, при разработке злоумышленники использовали ИИ. Самую раннюю подобную активность мы зафиксировали в сентябре 2024 года, самую позднюю — в апреле 2025-го. Мы в команде Threat Intelligence исследуем сложные атаки с интересными способами закрепления и сбора информации, с уникальной инфраструктурой. Бывает, попадаются какие-то простенькие скрипты на пару строчек или же «бомбы», которые запускают сразу десятки различных малварей. Но очень редко мы встречаем настолько длинные цепочки очень простых скриптов, написанных ИИ и при этом рабочих, в такой сложной связке — видно, что логика была продумана. Считайте это описание целевых атак в иерархии script kiddie.

    habr.com/ru/companies/pt/artic

    #ai #slop #github #killchain #цепочка_атаки_хакера

    #цепочка_атаки_хакера #killchain #github #slop #ai
  7. Habr @[email protected] ·

    Фантомные боли. Масштабная кампания кибершпионажа и возможный раскол APT-группировки PhantomCore

    Впервые о группировке PhantomCore стало известно в начале 2024 года. За прошедшие полтора года она существенно нарастила наступательный арсенал, расширив его инструментами собственной разработки, и отметилась многочисленными кибератаками на критически значимую инфраструктуру России с целью шпионажа. Экспертиза, накопленная нами в процессе тщательного изучения группировки, и внутренние системы киберразведки обеспечили оперативное обнаружение активности PhantomCore невзирая на эволюцию вредоносных инструментов. Принятые меры позволили в начале мая этого года обнаружить новую масштабную кампанию кибершпионажа в отношении российских организаций. В рамках ее исследования удалось установить ключевую инфраструктуру PhantomCore, изучить обновленный арсенал, в том числе ранее не встречавшиеся образцы собственной разработки, изучить TTP и kill chain кибератак, а также идентифицировать жертв из числа российских организаций, корпоративные сети которых подверглись компрометации, и предотвратить реализацию недопустимых событий. Подробности

    habr.com/ru/companies/pt/artic

    #вредоносное_программное_обеспечение #aptатаки #кибератаки #phantomcore #цепочка_атаки_хакера #kill_chain #rat #remote_access #троян #бэкдор

    #вредоносное_программное_обеспечение #aptатаки #кибератаки #phantomcore #цепочка_атаки_хакера #kill_chain
  8. Habr @[email protected] ·

    Фантомные боли. Масштабная кампания кибершпионажа и возможный раскол APT-группировки PhantomCore

    Впервые о группировке PhantomCore стало известно в начале 2024 года. За прошедшие полтора года она существенно нарастила наступательный арсенал, расширив его инструментами собственной разработки, и отметилась многочисленными кибератаками на критически значимую инфраструктуру России с целью шпионажа. Экспертиза, накопленная нами в процессе тщательного изучения группировки, и внутренние системы киберразведки обеспечили оперативное обнаружение активности PhantomCore невзирая на эволюцию вредоносных инструментов. Принятые меры позволили в начале мая этого года обнаружить новую масштабную кампанию кибершпионажа в отношении российских организаций. В рамках ее исследования удалось установить ключевую инфраструктуру PhantomCore, изучить обновленный арсенал, в том числе ранее не встречавшиеся образцы собственной разработки, изучить TTP и kill chain кибератак, а также идентифицировать жертв из числа российских организаций, корпоративные сети которых подверглись компрометации, и предотвратить реализацию недопустимых событий. Подробности

    habr.com/ru/companies/pt/artic

    #вредоносное_программное_обеспечение #aptатаки #кибератаки #phantomcore #цепочка_атаки_хакера #kill_chain #rat #remote_access #троян #бэкдор

    #вредоносное_программное_обеспечение #aptатаки #кибератаки #phantomcore #цепочка_атаки_хакера #kill_chain
  9. Habr @[email protected] ·

    Фантомные боли. Масштабная кампания кибершпионажа и возможный раскол APT-группировки PhantomCore

    Впервые о группировке PhantomCore стало известно в начале 2024 года. За прошедшие полтора года она существенно нарастила наступательный арсенал, расширив его инструментами собственной разработки, и отметилась многочисленными кибератаками на критически значимую инфраструктуру России с целью шпионажа. Экспертиза, накопленная нами в процессе тщательного изучения группировки, и внутренние системы киберразведки обеспечили оперативное обнаружение активности PhantomCore невзирая на эволюцию вредоносных инструментов. Принятые меры позволили в начале мая этого года обнаружить новую масштабную кампанию кибершпионажа в отношении российских организаций. В рамках ее исследования удалось установить ключевую инфраструктуру PhantomCore, изучить обновленный арсенал, в том числе ранее не встречавшиеся образцы собственной разработки, изучить TTP и kill chain кибератак, а также идентифицировать жертв из числа российских организаций, корпоративные сети которых подверглись компрометации, и предотвратить реализацию недопустимых событий. Подробности

    habr.com/ru/companies/pt/artic

    #вредоносное_программное_обеспечение #aptатаки #кибератаки #phantomcore #цепочка_атаки_хакера #kill_chain #rat #remote_access #троян #бэкдор

    #вредоносное_программное_обеспечение #aptатаки #кибератаки #phantomcore #цепочка_атаки_хакера #kill_chain
  10. Habr @[email protected] ·

    Фантомные боли. Масштабная кампания кибершпионажа и возможный раскол APT-группировки PhantomCore

    Впервые о группировке PhantomCore стало известно в начале 2024 года. За прошедшие полтора года она существенно нарастила наступательный арсенал, расширив его инструментами собственной разработки, и отметилась многочисленными кибератаками на критически значимую инфраструктуру России с целью шпионажа. Экспертиза, накопленная нами в процессе тщательного изучения группировки, и внутренние системы киберразведки обеспечили оперативное обнаружение активности PhantomCore невзирая на эволюцию вредоносных инструментов. Принятые меры позволили в начале мая этого года обнаружить новую масштабную кампанию кибершпионажа в отношении российских организаций. В рамках ее исследования удалось установить ключевую инфраструктуру PhantomCore, изучить обновленный арсенал, в том числе ранее не встречавшиеся образцы собственной разработки, изучить TTP и kill chain кибератак, а также идентифицировать жертв из числа российских организаций, корпоративные сети которых подверглись компрометации, и предотвратить реализацию недопустимых событий. Подробности

    habr.com/ru/companies/pt/artic

    #вредоносное_программное_обеспечение #aptатаки #кибератаки #phantomcore #цепочка_атаки_хакера #kill_chain #rat #remote_access #троян #бэкдор

    #бэкдор #троян #remote_access #rat #kill_chain #цепочка_атаки_хакера
  11. Habr @[email protected] ·

    Операция Phantom Enigma: бразильские пользователи под ударом вредоносного расширения

    В начале 2025 года специалисты группы киберразведки TI-департамента экспертного центра безопасности Positive Technologies обнаружили вредоносное письмо, в котором предлагалось скачать файл с подозрительного сайта. Выявленная цепочка атаки приводит к установке вредоносного расширения для браузера Google Chrome , нацеленного на пользователей из Бразилии. В процессе исследования были обнаружены файлы, находящиеся в открытой директории злоумышленников, что позволило определить еще одну вариацию атаки с использованием Mesh Agent или PDQ Connect Agent вместо вредоносного расширения браузера. Там же располагались вспомогательные скрипты, содержащие в себе ссылки, в параметрах которых фигурировал идентификатор EnigmaCyberSecurity , — в честь него и была названа кампания.

    habr.com/ru/companies/pt/artic

    #киберразведка #фишинг #бразилия #киберпреступники #обфускация #вредоносное_программное_обеспечение #расширения #chrome_extension #microsoft_edge #цепочка_атаки_хакера

    #цепочка_атаки_хакера #microsoft_edge #chrome_extension #расширения #вредоносное_программное_обеспечение #обфускация
  12. Habr @[email protected] ·

    Threat Hunting изнутри: как охотиться на атакующего

    Threat Hunting — это навык находить атакующего там, где нет алертов. А еще это умение выдвигать гипотезу, проверять ее и превращать результат в рабочую экспертизу. А также это системная работа с инфраструктурой, в которой важен контекст, скорость мышления и понимание поведения злоумышленника. Меня зовут Алексей Леднев, я руковожу продуктовой экспертизой PT ESC в Positive Technologies. И сегодня я по кирпичикам разберу профессию Threat Hunter: как она устроена, кто этим занимается, какие ошибки совершают новички, какие навыки обязательны для Threat Hunter и как попасть в профессию.

    habr.com/ru/companies/pt/artic

    #обнаружение_атак #threat_hunting #security_operation_center #учебный_курс #цепочка_атаки_хакера #обнаружение_атаки #анализ_сетевого_трафика #сигнатуры #threat_intelligence #анализ_логов

    #анализ_логов #threat_intelligence #сигнатуры #анализ_сетевого_трафика #обнаружение_атаки #цепочка_атаки_хакера
  13. Habr @[email protected] ·

    Любовь в каждой атаке: как группировка TA558 заражает жертв вредоносами с помощью стеганографии

    Приветствую! И снова в эфир врывается Александр Бадаев из отдела исследования киберугроз PT Expert Security Center . Но на этот раз мы работали в паре с Ксенией Наумовой, специалистом отдела обнаружения вредоносного ПО, недавно рассказывавшей читателям Хабра о трояне SafeRAT . Пришли к вам с новым исследованием о… не самой новой хакерской группировке, но зато использующей уникальнейший метод сокрытия вредоноса да к тому же еще романтически настроенной . Но обо всем по порядку! Итак, мы выявили сотни атак по всему миру с использованием широко известного ПО, среди которого: Agent Tesla , FormBook , Remcos , Lokibot , Guloader , SnakeKeylogger , XWorm , NjRAT , EkipaRAT . Хакеры строили длинные цепочки кибернападений и использовали взломанные легитимные FTP-серверы в качестве С2-серверов, а также SMTP-серверы как С2 и сервисы для фишинга. Злоумышленники активно применяли технику стеганографии : зашивали в картинки и текстовые материалы файлы полезной нагрузки в виде RTF-документов, VBS и PowerShell-скриптов со встроенным эксплойтом. Интересно, что большинство RTF-документов и VBS в изученных атаках имеют, например, такие названия: greatloverstory.vbs , easytolove.vbs , iaminlovewithsomeoneshecuteandtrulyyoungunluckyshenotundersatnd_howmuchiloveherbutitsallgreatwithtrueloveriamgivingyou.doc . Все наименования связаны со словом «любовь» , поэтому мы и назвали эту операцию SteganoAmo r. Изучив все детали и существующие исследования, мы атрибутировали атаки: их совершала группировка TA558 . Ранее эксперты Proofpoint писали, что это небольшое сообщество, которое по крайней мере с 2018 года атакует компании с целью кражи денег. В зафиксированных случаях кибернападений группировка целилась в организации разных стран, несмотря на то что приоритетным регионом для нее является Латинская Америка. Полный отчет с детальным разбором всех цепочек атак вы можете прочитать в нашем блоге . Кстати, помните, как один знаменитый вирус наделал в свое время много шуму? Он немного связан с темой нашей статьи. Тому, кто первый ответит, что это за вирус и какие записи в реестре Windows он создавал, традиционный респект от команды PT ESC и подарок. Читать историю любви

    habr.com/ru/companies/pt/artic

    #расследование #кибергруппировки #вредоносное_по #фишинг #agent_tesla #цепочка_атаки_хакера #ftpсервер #smtpсервер #powershell #конкурс

    #конкурс #powershell #smtpсервер #ftpсервер #цепочка_атаки_хакера #agent_tesla
  14. Habr @[email protected] ·

    Динамические плейбуки

    Мы привыкли к стандартным планам реагирования, которые представляют собой либо развесистые алгоритмы действий, покрывающие большое количество ситуаций, либо много маленьких плейбуков, специализированных под конкретный тип инцидента. При этом инфраструктура предприятия – живой организм, который постоянно меняется: добавляются новый устройства, сегменты сети, меняются политики работы ноутбука важного босса, добавляются СЗИ. По этой причине в организациях с развитым уровнем ИБ регулярно проводятся аудит и инвентаризация, которые помогают актуализировать информационную модель предприятия, но меняются ли по результатам инвенторки плейбуки? Следующий аспект, влияющий на эффективность защиты – переменчивость внешнего окружения. В текущих реалиях техники реализации атак эволюционируют, усложняются, затрагивают новые типы данных инфраструктуры, используют новые механизмы и способы посткомпрометации (например, программы-вымогатели ransomeware теперь не только шифруют данные организации и требуют оплату за восстановление доступа, но могут также воровать информацию организации, требуя дополнительную плату в обмен на неразглашение информации властям, конкурентам или общественности). В силу постоянно меняющегося ландшафта угроз и способов их реализации наши плейбуки тоже должны изменяться, чтобы не устаревать на фоне меняющегося поведения злоумышленников. Для решения первой задачи (изменчивости инфраструктуры) был разработан подход, который в зарубежном сообществе трактуется как CD/CR, или непрерывность обнаружения и реагирования.

    habr.com/ru/companies/security

    #playbooks #next_generation_security #threat_hunting #soar #CD/CR #динамические_плейбуки #kill_chain #цепочка_атаки_хакера #soc #аналитик_иб

    #аналитик_иб #soc #цепочка_атаки_хакера #kill_chain #динамические_плейбуки #cd