По ту сторону двери. Исследуем атаки группы room155
Киберпреступную группу, отслеживаемую департаментом киберразведки F6 по имени room155, известную также как DarkGaboon и Vengeful Wolf, публично впервые описали в 2025 году специалисты Positive Technologies. Коллеги выяснили, что злоумышленники совершали атаки на российские компании как минимум с...
Операция Phantom Enigma: бразильские пользователи под ударом вредоносного расширения
В начале 2025 года специалисты группы киберразведки TI-департамента экспертного центра безопасности Positive Technologies обнаружили вредоносное письмо, в котором предлагалось скачать файл с подозрительного сайта. Выявленная цепочка атаки приводит к установке вредоносного расширения для браузера...
Crypters And Tools. Часть 2: Разные лапы — один клубок
Всем салют! Вновь на связи киберразведчики из экспертного центра безопасности (PT ESC) с новой порцией находок, связанных с Crypters And Tools. В первой части мы рассказали о крипторе, который мы обнаружили в процессе исследования атак различных группировок. Отчет концентрировался на внутреннем...
F6 фиксирует более чем двукратный рост числа выставленных на продажу веб-шеллов для доступа к белорусским ресурсам
С начала 2025 года специалисты Threat Intelligence компании F6 зафиксировали более чем двукратный рост числа веб-шеллов, выставленных на продажу после загрузки на сайты в доменной зоне .by, по сравнению с аналогичным периодом 2024 года. Подробнее об этой тенденции, обнаруженной на теневом рынке в...
Как хакеры используют рекламные посты в соцсетях: атаки Desert Dexter на Ближнем Востоке
В феврале специалисты группы киберразведки департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC) обнаружили вредоносную кампанию, нацеленную на жителей стран Ближнего Востока и Северной Африки и активную с сентября 2024 года. Для распространения...
Атака с помощью нового Mythic-агента на PowerShell — «QwakMyAgent»
Во второй половине сентября 2024 года специалистами Центра Кибербезопасности компании F.A.C.C.T. была выявлена атака на российскую компанию с использованием ранее необнаруженного Mythic агента, написанного на PowerShell. К исследованию новой атаки подключились также специалисты F.A.C.C.T. Threat...
Призрачно всё: новые рассылки кибершпионов PhantomCore на российские компании с использованием PhantomCore.KscDL_trim
5 сентября специалистами F.A.C.C.T. было зафиксировано несколько рассылок группы PhantomCore, нацеленных в адрес российской ИТ-компании, являющейся разработчиком ПО и онлайн-касс, компании, занимающейся организацией командировок, конструкторского бюро, производителя систем и высокотехнологичного...
OldGremlin: снова в строю
Группировка вымогателей OldGremlin сеяла страх среди российских компаний в 2020-2022 годах, суммы требуемых выкупов исчислялись миллионами, а в 2022 году в одной из атак ценник поднялся до 1 миллиарда рублей. Мы писали об атакующих в исследованиях, например, здесь и здесь. Группа была неактивна с...
Разбор новой атаки кибершпионов Sticky Werewolf с использованием Rhadamanthys Stealer
5 апреля 2024 года на платформу VirusTotal была загружена вредоносная ссылка кибершпионской группы Sticky Werewolf. Внимание аналитиков тогда привлекла новая для группы полезная нагрузка – злоумышленники использовали Rhadamanthys Stealer, стилер с модульной архитектурой, написанный на C++ и...
Кибершпионы из Core Werewolf пытались атаковать российскую военную базу в Армении
Специалисты Threat Intelligence компании F.A.C.C.T. обнаружили на платформе VirusTotal загруженный из Армении (г. Гюмри) вредоносный файл, связанный с группировкой кибершпионов Core Werewolf. Он представляет собой самораспаковывающийся архив 7zSFX, предназначенный для скрытой установки и запуска...
Стражи в системах кибербезопасности: как повысить уровень защищенности при помощи TI
В этом хабропосте рассказываем, что скрывается за аббревиатурой TI, зачем он нужен, какие данные о киберугрозах собирает Positive Technologies и какую пользу они приносят компаниям в предупреждении киберугроз. На примере четырех сценариев покажем, как компании могут использовать PT Threat...
Что такое киберразведка? Интервью с Махаевым Дмитрием из «Ростелеком-Солар»
Продолжаю рассказывать об интересных людях, чьи доклады я не смог послушать на PHD. Ещё одна новая область, новый термин — киберразведка. Когда я увидел тему доклада, я посчитал, что опять не во всей области ИБ разбираюсь. Например, что такое OSINT, я узнал только в прошлом году, а разведка по...
Buhtrap расставил новые «ловушки для бухгалтеров»
Эксперты Group-IB Threat Intelligence — Илья Шумеев, специалист по анализу вредоносного кода, и Дмитрий Купин, ведущий специалист по анализу вредоносного кода, проанализировав новые атаки, выяснили, что заражение происходило при посещении сайтов, замаскированных под профильные ресурсы для...
Александр Батенёв: «Крутой программист работает за деньги, но никогда не ради денег»
Закон Архимеда, если верить популярной легенде, всплыл из мыльной пены в ванной древнегреческого инженера. И не он один. Герой нашего нового блога о “Профессиях будущего”, принимая ванну, придумал решение для борьбы с вредоносными ботами. Кто после этого скажет, что кодинг — это скучно? Занимаясь...
Свидание на расстоянии: популярная мошенническая схема Fake Date вышла за пределы России
Популярная в России мошенническая схема со лже-свиданиями — Fake Date в этом году вышла за пределы страны. Аферисты активно осваивают новые рынки: страны СНГ и Европы, а также США, Арабские Эмираты, Австралию и Турцию. Чаще всего в качестве приманки злоумышленники используют фейковые ресурсы...
“Патриоты” с большой дороги: вымогатели из Conti выложили данные более 850 международных компаний
Компания Group-IB исследовала одну из самых быстрых и успешных кампаний русскоязычной группы вымогателей Conti — “ARMattack”. Чуть больше чем за месяц атакующим удалось скомпрометировать больше 40 компаний по всему миру, самая быстрая атака заняла всего 3 дня, говорится в аналитическом отчете...
Обзор платформы киберразведки Anomali Altitude
В нашей лабе мы тестируем по 50-60 новых решений по ИБ в год. Я работаю в команде, которая помогает компаниям создавать свои SOC, а специализируюсь, в частности, на киберразведке (Threat Intelligence). Поэтому Anomali Altitude досталась на тест именно мне. Из отчета для коллег родился этот пост....
Вебинар Group-IB «Новый взгляд на Threat Hunting: о технологиях выявления инфраструктуры атакующих»
В этом квартале клиентам Group-IB Threat Intelligence стал доступен новый аналитический инструмент, позволяющий выявлять связанную сетевую инфраструктуру на основе графового анализа. Читать дальше →...