«Ждите гостей»: новые инструменты и тактики PhantomCore в атаках на российские компании
На примере новой атаки PhantomCore - одной из главных киберугроз для российских и белорусских компаний - показываем, как группировка развивает свои инструменты и тактики, внедряет новое ВПО и расширяет спектр используемых технологий, включая AI-решения. Одна из главных особенностей PhantomCore – её...
Охота на AI-инфраструктуру, часть 2: что делают с чужим Ollama — от трейдинг-ботов до контент-ферм
В первой части я рассказал, как ханипот поймал сканер MCP-серверов — новый вектор разведки, нацеленный на AI-инфраструктуру. Сегодня — про другую сторону: что происходит, когда атакующий находит открытый Ollama. Статья документирует реальные сессии злоупотребления открытыми LLM-инстансами: кто...
91% малвари используют DNS. Кто и чем его защищает в России и мире
Подавляющее большинство вредоносного ПО использует DNS-протокол для связи с командными серверами, эксфильтрации данных или перенаправления трафика. При этом почти 60% организаций не осуществляют мониторинг DNS-трафика на регулярной основе. Между тем защита DNS это довольно крупный продуктовый домен...
Анатомия фишинг-кита: полиморфный CSS, гомоглифы и инфраструктура на 290+ доменов
Разбираем реальный инцидент — от фишинговой ссылки до bulletproof-хостинга. IOC, техники обфускации и инфраструктура кампании на 290+ доменов. Читать далее...
Охота на AI-инфраструктуру: ханипот поймал сканер MCP-серверов
10 марта 2026 года наш мультисервисный ханипот зафиксировал необычную активность. Один IP-адрес за 10 минут методично прошёлся по 8 сервисам — SSH, Telnet, HTTP/HTTPS, MySQL, Docker API, Memcached, Winbox — и среди прочего отправил JSON-RPC запрос инициализации Model Context Protocol (MCP). Это...
Липкий след: исследуем атаки группировки PseudoSticky
Аналитики департамента киберразведки (Threat Intelligence) компании F6 изучили вредоносные кампании новой киберпреступной группировки, которая действует против российских организаций из сфер ретейла и строительства, НИИ и приборостроительных предприятий. За сходство с почерком Sticky Werewolf новую...
CTEM для внешнего периметра
Привет, Хабр! Я Айдар Фатыхов, менеджер продуктов в Innostage. Хочу разобрать практическую задачу, с которой регулярно сталкиваются ИБ-команды крупных компаний: защита самой горячей точки в инфраструктуре – внешнего сетевого периметра. Отчёты по уязвимостям растут, поверхность атаки постоянно...
Почерк LLM: аналитики F6 изучили атаку с использованием PureCrypter и DarkTrack RAT
С каждым днем искусственный интеллект всё больше интегрируется в нашу жизнь и облегчает многие задачи. Но, к сожалению, он также используется и в арсенале киберпреступников. Так, в ходе ежедневного мониторинга угроз, 21.11.2025 специалисты F6 Threat Intelligence обнаружили вредоносный архив с...
Автоматизация обработки ТI-отчетов с помощью NER: как мы сэкономили время аналитиков
Привет, Хабр! Меня зовут Виктор Пронин, я старший аналитик киберугроз в центре компетенций группы компаний «Гарда». Мы формируем для Гарда Threat Intelligence Feeds данные об угрозах на основе обезличенной телеметрии из наших инсталляций, а для получения более полной картины обращаемся, в том...
Неугомонный VasyGrek: F6 изучила атаки злоумышленника в августе-ноябре 2025 года
В июле 2024 года был опубликован блог об исследовании специалистами Threat Intelligence компании F6 активности VasyGrek и его сотрудничестве с продавцом ВПО Mr.Burns. После публикации F6 VasyGrek прекратил сотрудничество с этим поставщиком вредоносных программ. Аналитики департамента киберразведки...
Исследование Гарда: российский рынок использует устаревшие технологии анализа трафика
На связи Станислав Грибанов, эксперт по продуктам информационной безопасности, автор блога «Кибербезопасность и продуктовая экспертиза для бизнеса» и Ксения Крупкина, эксперт по продуктовому маркетингу в направлении сетевой безопасности группы компаний «Гарда». Киберугрозы эволюционируют быстрее,...
DPI-First: почему анализ трафика становится сердцем сети
Глубинный анализ трафика (DPI) больше не ограничивается фильтрацией пакетов. Шифрование, рост облаков и исчезновение сетевого периметра заставляют его меняться. На наших глазах DPI превращается в архитектурный элемент сетевого интеллекта — основу наблюдаемости, доверия и активной защиты. В статье...
Нежданные гости: F6 проанализировала первые масштабные атаки группы Kinsing на российские компании
Установить злоумышленников удалось в результате исследования, которое провели аналитики F6. Весной 2025 года один из клиентов компании зафиксировал попытку кибератаки на свои внешние сервера. Со списком IP-адресов, с которых велась атака, он обратился в департамент киберразведки (Threat...
Операция «Ликвидация»: изучаем и блокируем инфраструктуру группировки NyashTeam
Аналитики компании F6 вскрыли сеть доменов группировки, которая распространяет вредоносное ПО, а также предоставляет хостинг-услуги для киберпреступной инфраструктуры. Читать далее...
Киберразведка по-русски: как развивается отечественный Threat Intelligence
Киберразведка по-русски: как развивается отечественный Threat Intelligence Сфера CTI — киберразведки — в России активно развивается, но разобраться в отечественных решениях бывает непросто. Как инженер-исследователь и энтузиаст этой темы, я изучил 10 ключевых TI-продуктов: от Kaspersky и PT ESC до...
По ту сторону двери. Исследуем атаки группы room155
Киберпреступную группу, отслеживаемую департаментом киберразведки F6 по имени room155, известную также как DarkGaboon и Vengeful Wolf, публично впервые описали в 2025 году специалисты Positive Technologies. Коллеги выяснили, что злоумышленники совершали атаки на российские компании как минимум с...
Threat Hunting изнутри: как охотиться на атакующего
Threat Hunting — это навык находить атакующего там, где нет алертов. А еще это умение выдвигать гипотезу, проверять ее и превращать результат в рабочую экспертизу. А также это системная работа с инфраструктурой, в которой важен контекст, скорость мышления и понимание поведения злоумышленника. Меня...
Что ждёт сферу кибербезопасности в 2025 году: тренды, технологии и ключевые скиллы
В 2025 году специалисты по ИБ участвуют в разработке, анализируют угрозы до запуска продукта, выстраивают защиту в пайплайнах и помогают встроить её в архитектуру, процессы и повседневную работу всей компании. А ещё — осваивают ИИ и следят за тем, как меняются технологии. В статье рассказываем про...
Назад