Приманка для командира: изучаем атаки новой кибершпионской группировки SiribClone на российских военных
В феврале 2026 года эксперты F6 Threat Intelligence обнаружили файл, исследование которого привело к раскрытию инфраструктуры ранее неизвестной группировки. Специалисты F6 назвали её SiribClone – по метаданным одного из атакующих и используемому инструменту rclone (утилита командной строки с...
Приманка для командира: изучаем атаки новой кибершпионской группировки SiribClone на российских военных
В феврале 2026 года эксперты F6 Threat Intelligence обнаружили файл, исследование которого привело к раскрытию инфраструктуры ранее неизвестной группировки. Специалисты F6 назвали её SiribClone – по метаданным одного из атакующих и используемому инструменту rclone (утилита командной строки с...
Профессиональные блоги как инструмент роста: что читаете вы?
Почти половина айтишников — 46 процентов — целенаправленно развивают личный бренд, из них 51% делает это через социальные сети и блоги. Это данные совместного исследования «Солара» и Хабра. Чаще всего в этом контексте говорят об авторах: блог помогает им структурировать опыт и усиливает...
Как CISO защищаются от прошлого, игнорируя будущее
Большинство CISO готовятся к прошлой атаке. После громкой утечки компании срочно закупают новый EDR, донастраивают SIEM и усиливают антифишинг, хотя следующая проблема почти наверняка придёт совсем с другой стороны — через подрядчика, старый API или уязвимость, про которую никто ещё не написал в...
Смерть от тысячи алертов: как отфильтровать мусор из TI-фидов
Есть типовой путь, по которому команды приходят к разочарованию в Threat intelligence. Сначала кто-то в компании слышит, что фиды помогут раньше видеть атаки, быстрее реагировать, меньше пропускать. Потом кто-то другой берет пачку индикаторов из разных источников и по-быстрому заливает их в NGFW,...
PhantomRShell: бэкдор, который маскируется с помощью дизассемблера
У вирусных аналитиков есть небольшая профессиональная трагедия: работать с вредоносами обычно скучнее, чем может казаться по их вычурным названиям. За каждым ShadowSomething RAT/Loader/Stealer почти всегда скрывается один и тот же набор знакомых техник: загрузчик, закрепление в системе, канал связи...
«Ждите гостей»: новые инструменты и тактики PhantomCore в атаках на российские компании
На примере новой атаки PhantomCore - одной из главных киберугроз для российских и белорусских компаний - показываем, как группировка развивает свои инструменты и тактики, внедряет новое ВПО и расширяет спектр используемых технологий, включая AI-решения. Одна из главных особенностей PhantomCore – её...
Охота на AI-инфраструктуру, часть 2: что делают с чужим Ollama — от трейдинг-ботов до контент-ферм
В первой части я рассказал, как ханипот поймал сканер MCP-серверов — новый вектор разведки, нацеленный на AI-инфраструктуру. Сегодня — про другую сторону: что происходит, когда атакующий находит открытый Ollama. Статья документирует реальные сессии злоупотребления открытыми LLM-инстансами: кто...
91% малвари используют DNS. Кто и чем его защищает в России и мире
Подавляющее большинство вредоносного ПО использует DNS-протокол для связи с командными серверами, эксфильтрации данных или перенаправления трафика. При этом почти 60% организаций не осуществляют мониторинг DNS-трафика на регулярной основе. Между тем защита DNS это довольно крупный продуктовый домен...
Анатомия фишинг-кита: полиморфный CSS, гомоглифы и инфраструктура на 290+ доменов
Разбираем реальный инцидент — от фишинговой ссылки до bulletproof-хостинга. IOC, техники обфускации и инфраструктура кампании на 290+ доменов. Читать далее...
Охота на AI-инфраструктуру: ханипот поймал сканер MCP-серверов
10 марта 2026 года наш мультисервисный ханипот зафиксировал необычную активность. Один IP-адрес за 10 минут методично прошёлся по 8 сервисам — SSH, Telnet, HTTP/HTTPS, MySQL, Docker API, Memcached, Winbox — и среди прочего отправил JSON-RPC запрос инициализации Model Context Protocol (MCP). Это...
Липкий след: исследуем атаки группировки PseudoSticky
Аналитики департамента киберразведки (Threat Intelligence) компании F6 изучили вредоносные кампании новой киберпреступной группировки, которая действует против российских организаций из сфер ретейла и строительства, НИИ и приборостроительных предприятий. За сходство с почерком Sticky Werewolf новую...
CTEM для внешнего периметра
Привет, Хабр! Я Айдар Фатыхов, менеджер продуктов в Innostage. Хочу разобрать практическую задачу, с которой регулярно сталкиваются ИБ-команды крупных компаний: защита самой горячей точки в инфраструктуре – внешнего сетевого периметра. Отчёты по уязвимостям растут, поверхность атаки постоянно...
Почерк LLM: аналитики F6 изучили атаку с использованием PureCrypter и DarkTrack RAT
С каждым днем искусственный интеллект всё больше интегрируется в нашу жизнь и облегчает многие задачи. Но, к сожалению, он также используется и в арсенале киберпреступников. Так, в ходе ежедневного мониторинга угроз, 21.11.2025 специалисты F6 Threat Intelligence обнаружили вредоносный архив с...
Автоматизация обработки ТI-отчетов с помощью NER: как мы сэкономили время аналитиков
Привет, Хабр! Меня зовут Виктор Пронин, я старший аналитик киберугроз в центре компетенций группы компаний «Гарда». Мы формируем для Гарда Threat Intelligence Feeds данные об угрозах на основе обезличенной телеметрии из наших инсталляций, а для получения более полной картины обращаемся, в том...
Неугомонный VasyGrek: F6 изучила атаки злоумышленника в августе-ноябре 2025 года
В июле 2024 года был опубликован блог об исследовании специалистами Threat Intelligence компании F6 активности VasyGrek и его сотрудничестве с продавцом ВПО Mr.Burns. После публикации F6 VasyGrek прекратил сотрудничество с этим поставщиком вредоносных программ. Аналитики департамента киберразведки...
Исследование Гарда: российский рынок использует устаревшие технологии анализа трафика
На связи Станислав Грибанов, эксперт по продуктам информационной безопасности, автор блога «Кибербезопасность и продуктовая экспертиза для бизнеса» и Ксения Крупкина, эксперт по продуктовому маркетингу в направлении сетевой безопасности группы компаний «Гарда». Киберугрозы эволюционируют быстрее,...
DPI-First: почему анализ трафика становится сердцем сети
Глубинный анализ трафика (DPI) больше не ограничивается фильтрацией пакетов. Шифрование, рост облаков и исчезновение сетевого периметра заставляют его меняться. На наших глазах DPI превращается в архитектурный элемент сетевого интеллекта — основу наблюдаемости, доверия и активной защиты. В статье...
Назад