Эксперты группы киберразведки PT ESC фиксируют рост активности APT-группировок и хактивистов в отношении российских организаций

🐟 В отчете за второй квартал 2025 года специалисты департамента threat intelligence нашего экспертного центра безопасности (PT ESC TI) отмечают, что в качестве первоначального вектора злоумышленники чаще всего использовали фишинговые письма, причем как в распространенных сценариях, так и при использовании уязвимостей нулевого дня.

🎭 Фишинг с маскировкой под госорганы

Например, группировка TA Tolik прикрепляла к таким письмам архив, внутри которого был вредоносный файл, похожий на официальный документ или уведомление от государственных органов.

Маскируясь под легитимное ПО, вредонос создавал задачи в планировщике и добавлял зловредный код в реестр Windows. Далее скрипты запускались автоматически, получали команды и модули из реестра, расшифровывали их и загружали вредоносную нагрузку в оперативную память.

🤞 Фишинг со страховкой

Хакеры из Sapphire Werewolf использовали бесплатный легитимный сервис для обмена файлами, размещая там вредоносные архивы и рассылая фишинговые письма со ссылками на их скачивание. При запуске вирусный документ проверял, не попал ли он в песочницу, и, если это подтверждалось, завершал работу.

Группировка PhaseShifters также использовала вредонос, который выяснял, есть ли в инфраструктуре жертв средства защиты. В зависимости от результатов параметры последующего запуска ВПО модифицировались. Киберпреступники распространяли делали фишинговые рассылки от лица Минобрнауки.

🚩 Фишинг от хактивистов

Во втором квартале высокую активность продемонстрировали и хактивисты. Например, злоумышленники из Black Owl приурочили свою целевую кампанию к транспортно-логистическому форуму. Они распространяли ВПО через специально созданные фишинговые сайты, якобы принадлежащие организаторам мероприятия.

«Как показывает практика, хактивисты в основном взламывают небольшие сайты — онлайн-магазины, персональные блоги и региональные информационные порталы. Они размещают там пропагандистские материалы, перенаправляют трафик на поддельные страницы или внедряют вредоносный код для дальнейшего развития атаки. Некоторые APT-группировки используют взломанные ресурсы для проведения многоступенчатых фишинговых кампаний, а часть злоумышленников продают свои трофеи на теневом рынке», — рассказал Денис Казаков, специалист группы киберразведки TI-департамента PT ESC.

Кроме того, эксперты отметили рост числа вредоносных файлов, код которых был частично сгенерирован нейросетями. Применяя общедоступные AI-сервисы, киберпреступники быстро адаптировали модули для обхода классических средств защиты.

Подробнее о самых примечательных кибератаках, методах злоумышленников и способах им противостоять читайте в полной версии отчета.

#PTESC
@Positive_Technologies

👍 Эксперт PT ESC Марат Гаянов помог устранить пробел в защите Windows

Уязвимость CVE-2025-53141 (7,8 балла по CVSS 3.1) могла бы нарушить работу компьютеров под управлением Windows 10 и Windows 11 и серверов под управлением Windows Server 2025.

Десктопные операционные системы Windows занимают 70% мирового рынка. В мае текущего года Windows 10 использовали 53% клиентов вендора, на Windows 11 приходилась доля в 43%. Предназначенная для серверов Windows Server — вторая по популярности на глобальном рынке.

Согласно июньским данным нашего мониторинга актуальных угроз, в мире насчитывалось более 1,5 млн удаленно доступных и уязвимых устройств с одной только Windows 11. Большинство из них находятся в США, Китае, Японии, Германии, Южной Корее и России.

Недостаток безопасности мог затронуть 96% пользователей, установивших Windows на свой компьютер, а также компании, использующие серверное решение вендора. Его успешная эксплуатация привела бы к сбою системы на атакованном устройстве и нарушению рабочих процессов.

«Дефект безопасности был обнаружен в процессе изучения драйвера, реализующего работу сокетов, которые обеспечивают передачу данных по сети. Чтобы воспользоваться ошибкой, злоумышленнику потребовалось бы получить локальный доступ к устройству или убедить жертву самостоятельно запустить вредоносную программу, — объясняет Марат Гаянов, специалист группы анализа уязвимостей экспертного центра безопасности Positive Technologies. — Обращение такой программы к небезопасному драйверу могло бы привести к отказу системы и ограничению доступа к корпоративным ресурсам. В результате организация столкнулась бы с риском нарушения рабочих процессов».

Вендор уже выпустил обновление безопасности и рекомендует в кратчайшие сроки обновить уязвимые ОС до версий, указанных в официальном уведомлении.

#PositiveЭксперты
@Positive_Technologies

Обновленная версия AI/ML-модуля MaxPatrol BAD показывает высокую эффективность на пилотных проектах в российских компаниях

Модуль, интегрированный с системой MaxPatrol SIEM версии 8.6, выводит на дашборды визуальную информацию о поведении процессов, активов и пользователей. Он также описывает контекст инцидента, объясняя последовательность сработки, что позволяет быстрее выявлять уникальные атаки и расследовать киберинциденты.

❗️ В первую очередь MaxPatrol BAD обращает внимание аналитиков SOC на наиболее подозрительные события ИБ. Внутренние тесты на потоке событий во время атак на инфраструктуру показали, что 90% алертов от MaxPatrol SIEM наш AI/ML-модуль отнес к реальным атакам.

Он также может выявлять нетипичное поведение в инфраструктуре и обнаруживать аномалии, которые невозможно детектировать с помощью статических правил и сигнатур.

🔎 Так, одна из российских компаний, пилотирующих MaxPatrol BAD, с его помощью смогла оперативно найти источник подозрительной активности, связанной с запуском нетипичных для организации скриптов. Другая компания использовала наш модуль во время киберучений, чтобы обнаружить нелегитимные действия в инфраструктуре и предотвратить реализацию недопустимых событий.

«Сегодня MaxPatrol BAD можно смело назвать одним из самых зрелых AI/ML-решений на российском рынке, которое позволяет реализовать адаптивную защиту инфраструктур разных организаций, — отмечает Артем Проничев, руководитель ML в MaxPatrol SIEM. — В MaxPatrol SIEM 8.6 модуль стал еще функциональнее и удобнее для пользователя. Кроме того, у модуля появилась возможность горизонтального масштабирования, что позволяет использовать его в распределенных инфраструктурах».

⏱ На развертывание и запуск MaxPatrol BAD нужно не больше часа при наличии выделенной инфраструктуры и организованного сбора событий в MaxPatrol SIEM. Модуль не требует регулярных обновлений или постоянной ручной донастройки. Автономные и адаптивные механизмы обучения начинают работать сразу после инсталляции, а первые релевантные результаты можно получить с первой недели использования.

Записывайтесь на тест-драйв и оцените возможности ML-модуля в составе MaxPatrol SIEM самостоятельно.

#MaxPatrolSIEM
@Positive_Technologies

🤖 Как внедрить собственный LLM-сервис внутри компании и с чем придется столкнуться в процессе

Иметь стабильный и защищенный LLM-сервис критически важно для всех организаций, работающих с конфиденциальными данными и стремящихся к технологической независимости.

На вебинаре 19 августа в 14:00 мы поделимся опытом запуска такого решения, а также расскажем о технических и организационных сложностях.

Вы узнаете:

🔴 Когда стоит выбрать self-hosted LLM-сервис вместо public API.
🔴 Как найти подходящую open-source-модель и ориентироваться в оценке ее качества.
🔴 Какие технологический стек и инфраструктура необходимы для production-внедрения.
🔴 Как планировать вычислительные ресурсы и проводить мониторинг работы сервиса.

👉 Регистрируйтесь заранее. Увидимся на вебинаре!

@Positive_Technologies

Через фантомные выплаты к конфиденциальным данным 🫰

В июне мы выпустили статью про обнаруженные Exchange-кейлоггеры. На тот момент было выявлено девять компаний-жертв в России, но никакой атрибуции тогда мы не провели.

В июле этого года мы совершили прыжок во времени и вернулись в декабрь 2024-го. Исследование зафиксированной тогда атаки позволило связать ряд обнаруженных кейлоггеров с группировкой PhantomCore 👻. При этом общее количество жертв на территории России увеличилось: в июне этого года их было девять, а в августе — уже 18.

Общая статистика такова:

• 10 компаний из общего числа взломанных организаций — жертвы группировки PhantomCore.

• Всего было обнаружено более 5000 строк с данными «логин — пароль — дата входа», которые получили злоумышленники.

• Прыжок во времени позволил нам найти образец ВПО PhantomDL v3, который использовался в атаках с мимикрией под военную юриспруденцию.

Анализ временного прыжка вы можете найти в нашем новом исследовании на Хабре.

P.S.: с PhantomCore мы не закончили. Следите за новостями 🔜

#TI #APT #Malware
@ptescalator

🙂🙂Совместим ли open source с коммерческой деятельностью?

Кто-то скажет «нет», а наши коллеги ответят положительно, ведь в Positive Technologies уже несколько лет создан и работает комитет по открытому коду. Он собирает лучшие практики, помогает создавать внутреннее руководство по open source и формирует Security Experts Community.

Это одновременно и открытое сообщество ИБ-специалистов, и платформа для коллаборации, где можно обмениваться экспертизой и тестировать новые идеи.

Делимся опытом и секретами соблюдения баланса между открытостью и бизнесом и объясняем все максимально понятно на наших кейсах в статье для Positive Research.

Читайте, чтобы узнать больше о возможных стратегиях использования подходов open source в коммерческих организациях, шагах по их внедрению и возможном будущем открытых проектов.

#PositiveResearch #PositiveЭксперты
@Positive_Research

👌 Делиться честными кейсам работы с PT Sandbox и PT NAD — отличная традиция

Продолжим ее 16 сентября в 15:00 на втором митапе NetCase Day, где вы сможете посмотреть на сетевую безопасность глазами специалистов, которые каждый день сталкиваются с угрозами, и послушать о реальном опыте использования нашей песочницы и системы поведенческого анализа трафика.

👀 Программа митапа — уже на сайте. Эксперты из Positive Technologies, Т-банка, HeadHunter, K2 Cloud и других компаний расскажут:

🌟 О реальных кейсах обнаружения угроз и нюансах сетевых атак
🌟 О новых и уже проверенных временем сценариях использования PT NAD и PT Sandbox
🌟 О бенефитах от синергии продуктов для максимальной защиты

Приглашаем на NetCase Day всех, кто уже использует PT Sandbox или PT NAD для защиты, только планирует их внедрять или просто интересуется сетевой безопасностью.

Будет много технических деталей и практических инсайтов. Регистрируйтесь заранее, чтобы ничего не пропустить!

#PTNAD #PTSandbox
@Positive_Technologies

Phantomные боли 👻

В мае департамент Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC TI) обнаружил новую масштабную кампанию кибершпионажа APT-группировки PhantomCore в отношении критической инфраструктуры России.

Внешний периметр кибератаки и вредоносный арсенал были одновременно описаны российскими и зарубежными вендорами кибербезопасности. Однако группа киберразведки PT ESC TI сосредоточилась на более глубоком исследовании угрозы, в рамках которого удалось:

🖥 обнаружить ключевую инфраструктуру: взломанные российские сайты, фишинговые ресурсы с FakeCaptcha, payload-хабы, MeshCentral-серверы, SSH-туннели, панель управления Phantom;

👾 изучить и покрыть детектирующими правилами обновленный вредоносный арсенал: от популярных в киберпреступной среде opensource-утилит (RSocx, MeshAgent, RClone, XenArmor Password Recovery) и обновленных версий известных инструментов из личного арсенала (PhantomRAT) — до ранее не встречавшихся кастомных образцов: PhantomRShell, PhantomProxyLite, PhantomTaskShell, PhantomStealer;

🥷 изучить TTP и kill chain кибератак, подробно описать процедуры, выполняемые на зараженных хостах;

🌐 изучить географию, хронологию, характеристики и масштаб кибератак: более 180 заражений на территории России с мая по июль, 56% которых пришлись на 30 июня; 49 хостов до сих пор остаются под контролем группировки; среднее время нахождения хакеров в скомпрометированной сети — 24 дня, максимальное — 78 дней;

📞 идентифицировать и уведомить жертв из числа российских госорганов, научно-исследовательских институтов, предприятий оборонно-промышленного комплекса, судостроительной отрасли, химической, горнодобывающей и обрабатывающей промышленности, а также IT-компаний.

Кроме того, группе киберразведки PT ESC TI удалось обнаружить ответвление группировки, не входящее в основное звено. Оно состояло из низкоквалифицированных специалистов, подобранных в русскоязычных игровых Discord-сообществах, и было организовано в качестве собственного киберкриминального стартапа одним из членов основного костяка PhantomCore, имевшим доступ к исходникам кастомных инструментов.

🫱 Полный отчет — в нашем блоге.

#TI #APT
@ptescalator

🛡 Центр информационных технологий (ЦИТ) Рязанской области защищает свою ИТ-инфраструктуру при помощи ML-технологий в наших решениях

Организация выбрала наши продукты, работающие в синергии, после двухлетнего тестирования решений для обеспечения непрерывного мониторинга событий ИБ, повышения скорости обнаружения угроз и реагирования на них, а также снижения нагрузки на сотрудников. Важной была и возможность интегрировать их с другими инструментами для обеспечения комплексной киберзащиты.

Возможности ML-технологий в составе наших решений стали одним из ключевых преимуществ для специалистов по кибербезопасности. Они позволяют быстро собирать данные из источников на периметре и внутри инфраструктуры, обрабатывать их в режиме реального времени и сигнализировать команде SOC о самых критичных сработках. А также помогают быстро детектировать аномальную активность в инфраструктуре, предсказывать потенциальные угрозы и выявлять даже нестандартную активность злоумышленников.

«За прошлый год в региональной инфраструктуре было зафиксировано свыше семи тысяч событий информационной безопасности. Мы искали решения, которые соответствуют отечественным стандартам безопасности и позволяют выстраивать комплексную систему защиты. Интеграция самых современных и надежных программ помогла нам объединить мониторинг, управление уязвимостями и реагирование на киберинцидиенты в единую аналитическую модель. Мы видим конкретные результаты: увеличилось количество обнаруживаемых угроз, сократилось время реакции, выросла прозрачность процессов внутри региональной ИТ-инфраструктуры. Такие инструменты позволяют не просто фиксировать проблемы, а управлять ими проактивно и системно», — отметил министр цифрового развития Рязанской области Максим Соников.

➡️ Подробнее о защите ЦИТ Рязанской области при помощи наших продуктов рассказали в новости на сайте.

@Positive_Technologies

🚇 Эксперт PT SWARM Егор Филатов помог разработчикам Tunnelblick устранить уязвимость высокого уровня опасности

Tunnelblick — открытый графический интерфейс для OpenVPN (VPN-решения, занимающего второе место по популярности в мире). В июле Tunnelblick добавили в избранное 3,1 тыс. пользователей; в веб-сервисе GitHub имеется более 350 копий репозитория.

Недостаток безопасности PT-2025-25226 (CVE-2025-43711) получил 8,1 балла по шкале CVSS 3.1 и затронул все версии Tunnelblick, начиная с 3.5beta06 и заканчивая 6.1beta2. Под угрозой могли оказаться владельцы компьютеров Apple, в том числе уже отправившие приложение в корзину. В случае атаки злоумышленник мог бы повысить привилегии в системе и закрепиться в сети организации, чтобы похитить данные, запустить программу-вымогатель или иначе навредить рабочим процессам.

«Для успешной атаки нарушителю потребовалась бы учетная запись пользователя, имеющего возможность изменять параметры macOS. Так как права администрирования выдаются по умолчанию, стать жертвой мог практически кто угодно, — отметил Егор Филатов. — Еще одно условие: эксплуатация уязвимости была бы возможна только в том случае, если бы Tunnelblick был не полностью удален с компьютера, например просто отправлен в корзину. В таком случае на устройстве остался бы компонент, действующий с повышенными привилегиями. Им и мог бы воспользоваться злоумышленник».

Вендор, которому мы сообщили об ошибке, выпустил обновления безопасности: если вы пользуетесь Tunnelblick, обновите его до версии 7.0, 7.1beta01 или более поздней.

Кроме того, наши эксперты советуют пользователям интерфейса выбрать любой из двух способов защиты: не удалять Tunnelblick․app из папки /Applications или входить в систему как стандартный пользователь без прав администрирования.

🗑Если Tunnelblick вам больше не нужен, удалите приложение с помощью отдельного или встроенного в него деинсталлятора (окно «Детали VPN» → панель «Утилиты»). Если вы отправили приложение в корзину — удалите оттуда файл, путь к которому выглядит так: /Library/LaunchDaemons/net.tunnelblick.tunnelblick.tunnelblickd.plist.

#PositiveЭксперты
@Positive_Technologies

🔮 Каковы ваши шансы встретить Алексея Лукацкого? При обычных условиях — 50 на 50, при победе в аукционе от Meet For Charity — 100%.

Уже более девяти лет эта организация проводит благотворительные аукционы, главные лоты которых — встречи с медийными личностями из разных областей жизни: бизнеса, культуры, спорта, политики, искусства… Всего за это время было собрано свыше 457 млн рублей, направленных на благотворительность.

Алексей Лукацкий участвует в аукционе уже второй раз. Победитель сможет встретиться с ним и обсудить вопросы кибербезопасности. В прошлом году меценат, пожелавший остаться неизвестным, заплатил за аналогичный лот 250 тыс. рублей.

Торги продлятся до 25 августа, ставки принимаются от всех желающих (пока что следующий шаг аукциона — 50 тыс. рублей). Все собранные средства будут отправлены в благотворительный фонд «Провидение», помогающий детям с нарушениями зрения.

😉 Участвуйте и готовьте вопросы для встречи!

@Positive_Technologies

🐰🐰 Представляем дамамъ и господамъ, кои отправятся на ОФФЗОНЪ 2025, новомодный аддонъ от Позитивных Лабораторий

Ежели любите вы традиционные русские забавы и игрушки, то аддон наш «Мужик и медведь» станет милым приветом из детства.

Ежели нравится вам пробовать что-то новое и любопытное, тоже внакладе не останетесь — еще никто в истории OFFZONE-аддонов не задействовал в них сервопривод, а тем паче, в сочетании с обычной механикой.

Слушайте доклады мастеров умелых Позитивных Лабораторий, да аддон олдскульный, без лишних светодиодов и дисплеев, себе на бедж добывайте — выдавать за лучший вопрос будем. Удачи 🙂

#PositiveLabs
@Positive_Technologies