Всем привет, на связи команда DFIR JetCSIRT!

Недавно мы столкнулись с кейсом, где злоумышленники были обнаружены на ранних этапах атаки. Они не успели довести дело до импакта, но изрядно наследили, что дало нам возможность изучить их тактики, техники и процедуры (TTP) в действии.

Мы готовы рассказать, как это было, и дать рекомендации по повышению уровня защищенности.

Привет, Хабр! Меня зовут Максим Кишмерешкин, я ведущий аналитик центра мониторинга и реагирования «Инфосистемы Джет». Сегодня мы поговорим про довольно старую, но до сих пор остающуюся популярной тему — LOTL. Напомню, что LOTL (living on the land), или как я его называю «жизнь на подножном корме» — это использование в атаке инструментов, которые уже есть в системе жертвы. Мы поделимся тем, как мы этот класс атак встречали в реальных кейсах, какие процедуры и техники выявляли, и расскажем, как их можно детектировать.

В последние годы виртуальные предметы в играх перестали быть просто «косметикой» — они превратились в полноценные цифровые активы. На платформе Steam, объединяющей миллионы геймеров по всему миру, внутриигровые скины могут стоить сотни, а иногда и тысячи долларов. Это делает аккаунты Steam привлекательной мишенью для киберпреступников.

К сожалению, многие пользователи до сих пор недооценивают риски, связанные с переходом по подозрительным ссылкам или общением с незнакомцами. В этой статье разберём, как именно угоняют аккаунты, на чём строятся фишинговые схемы и как защитить себя, даже если вы уже получили «уникальное предложение» от «модератора ста» или «дизайнера скинов».

Всем привет, на связи команда DFIR JetCSIRT! Близится конец года, все готовят салаты и годовые отчеты. Мы тоже подводим итоги и заметили, что с одной из групп (или, по крайней мере, кластером злоумышленников) мы сталкивались чаще, чем с другими. Речь пойдёт о Rainbow Hyena — именно её активности мы посвящаем эту статью, разобрав несколько реальных кейсов.

Сегодня в ТОП-5 — кибератака на российских ученых, новый «невидимый» шпион в Google Play Store, Android-устройства превращены в оружие для DDoS-атак, миллионы разговоров с ИИ проданы через браузерные расширения Urban VPN, инфостилер SantaStealer: новый инструмент для кражи данных.

Сегодня в ТОП-5 — MITRE опубликовала список самых опасных уязвимостей в 2025 году, Adex выявили использование рекламных сетей для распространения ВПО Triada, Google внедряет в Chrome многоуровневую защиту ИИ-агентов, обнаружен новый бэкдор GhostPenguin для Linux, Akira атакует Hyper-V и VMware ESXi с помощью программ-вымогателей.

В эпоху цифровизации Telegram превратился не только в удобный мессенджер, но и в плодородную почву для мошенников. Особенно уязвимы те, кто ищет быстрые решения бюрократических задач — например, получение медицинских справок для водительских прав. С приближением конца 2025 года ситуация обостряется: льготный период продления водительских удостоверений истекает 31 декабря, и тысячи автовладельцев спешат решить вопрос в последний момент.

Каналы и боты наводнены предложениями «срочных справок для ГИБДД» по цене от 500 до 2000 рублей, что в разы дешевле официальной процедуры (в клиниках она обходится в 3000–5000 рублей). Обещают мгновенную выдачу в течение 1–2 часов, прямо в чат или на электронную почту, а иногда даже доставку по адресу. На практике всё иначе: после оплаты связь с «продавцом» обрывается, деньги исчезают, а документа, подлинного или даже просто с видимостью легальности, клиент так и не получает. По данным МВД, за первые семь месяцев 2025 года ущерб от киберпреступлений в России вырос на 16 % и составил 119,6 млрд рублей.

В этой статье мы разберём распространённые сегодня мошеннические схемы и связанные с ними риски.

Когда компания привлекает внешних подрядчиков — разработчиков, интеграторов, маркетологов, хостинг-провайдеров, — она в 90% случаях делится с ними доступами и внутренними данными. И если у подрядчика произойдет утечка, по цепочке пострадает и заказчик.

Проблема в том, что полноценно провести аудит или пентест подрядчика обычно невозможно без его согласия. Но есть способы оценить уровень его цифровой гигиены по открытым источникам и снизить риски, не вмешиваясь в его инфраструктуру. Ниже — набор практик, которые реально работают.

Современная кибербезопасность требует не только оперативного реагирования на возникающие угрозы, но и построения проактивной модели, способной выявлять потенциальные инциденты до их реализации. Особенно это актуально для фишинга — одной из самых быстро развивающихся угроз цифрового мира.

Рассмотрим конкретные инструменты, позволяющие определять фишинг нового поколения, и расскажем, насколько он изменился за последние годы, как работает Phishing-as-a-Service и что делать, чтобы защититься от мошенников.

В 2024 году мошенники украли более $3 млрд в криптовалютах. По данным аналитиков, по сравнению с 2023-м сумма похищенных цифровых активов выросла на 15%. Один из популярных способов обмана — это создание ложных возможностей для заработка на разнице курсов криптовалют (арбитраж) на известных биржах.

Рассмотрим подробно одну из таких схем, которая распространяется через сайты hh.ru, avito.ru и Telegram, и объясним, как не стать жертвой подобных махинаций.

Собрать после работы друзей в Discord* и откатать пару каточек в Dota2 или CS2 — идеально.

Если вы являетесь счастливым владельцем скина на АК-47 «Поверхностная закалка» с паттерном 661 (стоимостью от $1 млн), керамбита Doppler Ruby (стоимость от $8 тыс.) или другого крутого цифрового актива, то, скорее всего, не хотите, чтобы их украли. Кража скинов в CS — это, конечно, очень редкий случай, но что если кто-нибудь получит доступ к вашему Discord*, Telegram или вообще всем паролям в браузере?

Конечно, пополнять своими данными списки и без того масштабных утечек не хочется, но при чем здесь онлайн-игры? Дело в том, что существует вредоносное программное обеспечение, которое нацелено именно на игровое комьюнити. ВПО распространяется через Discord*, фейковые обновления в Steam или через фейковые сайты с ранним доступом к популярным играм.

Под катом препарируем Epsilon Stealer: разбираем, как он работает, как распространяется, чем опасен, а главное — как найти и выявить его работу.

Разбирая очередной инцидент, связанный с атакой шифровальщика, и услышав в очередной раз вопрос «как же так, ведь у нас есть антивирус!?», мы решили поделиться с комьюнити информацией о возобновившейся активности группировки DсHelp.

В этой статье расскажем про участившиеся атаки DсHelp, рассмотрим тактики и техники данной группы, а также отметим, почему антивирус — не панацея и как легитимное ПО может быть использовано против вас.

Держаться на кофе и обезболах, глобально пересматривать тактику в процессе и отстаивать свою позицию до конца. Ребята из Jet CSIRT рассказывают, как их команде SuperJet удалось занять первое место на международном онлайн-тренинге для повышения глобальной киберустойчивости Cyber Polygon 2024.

Опыт ребят пригодится участникам главного онлайн-кэмпа по практической кибербезопасности CyberCamp 2024, который пройдет с 3 по 5 октября. Представители команды SuperJet принимали участие в разработке сценариев заданий CyberCamp 2024, так что ловите лайфхаки из первых рук.

У Jet CSIRT есть свой лендинг — мини-сайт, на котором мы рассказываем о наших продуктах и услугах. В нашем коммерческом сервисе SOC он никак не задействован, а поэтому лежит в отдельной инфраструктуре и администрируется подрядчиком через локальные учетные записи. 28 июня специалисты нашей внутренней службы информационной безопасности обнаружили инцидент — подмену главной страницы сайта на другую. В этом посте рассказываем о том, что мы делали, и о предварительных результатах расследования.

0x0 Введение в предмет исследования

Работа аналитика киберразведки часто подбрасывает интересные задачи из совершенно разных областей жизни. Иногда мы в Jet CSIRT анализируем очередное ВПО, которое еще никто не разбирал «по косточкам», или того, что уже было написано, оказывается мало, и приходится выкручиваться как можем  находить решения и проводить настоящую исследовательскую работу. Так произошло и в нашем случае, когда коллеги из «Лаборатории Касперского» сообщили о возобновившем активность вредоносе DarkGate практически в тот же момент, когда мы проводили анализ семпла. Выяснилось, что существовавшие с 2017 года «Темные Врата» не просто оживили в 2023-м, но и оснастили дополнительным мощным инструментарием.

Изначально ничем не примечательный инцидент привел к исследованию, результатами которого мы решили поделиться с комьюнити.

Сегодня в ТОП-3 — октябрьские обновления безопасности от Microsoft, атака, раскрывающая имена частных пакетов npm, и наличие критической уязвимости в FortiOS и FortiProxy.

Новости собирал Максим Захаров, аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет». 

Подробнее читайте под катом.

Сегодня в ТОП-3 — меры защиты от эксплуатации уязвимости ProxyNotShell, кража данных у подрядчика министерства обороны США и новая техника для обхода средств защиты на конечных узлах.

Новости собирал Павел Козяев, аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».

Подробнее читайте под катом.

Сегодня в ТОП-3 — новые способы применения ВПО Prilex, исследование кибератак на основе вредоносных DLL и взлом серверов Microsoft SQL с помощью ВПО FARGO.

Новости собирал Ильяс Садыков, аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».

Подробнее читайте под катом.

Сегодня в ТОП-3 — взлом поддержки 2K Games, защита от атаки MFA Fatigue и раскрытие персональных данных из-за использования проверки правописания в Chrome и Microsoft Edge.  

Новости собирал Артур Сафаров, аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».

Подробнее читайте под катом.

Сегодня в ТОП-3 — сентябрьские обновления безопасности от Microsoft, атаки на WordPress-сайты с помощью уязвимостей в WPGateway и кейлоггеры в фишинговых страницах.

Новости собирала Алла Крджоян, аналитик центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет».

Подробнее читайте под катом.