Хабр, привет!

На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies регулярно исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.

С прошлого дайджеста мы добавили еще одну трендовую уязвимость. Подробности о ней читайте под катом.

Привет, Хабр! Меня зовут Данил Зарипов, я занимаюсь продуктовой экспертизой в Positive Technologies. Эту статью мне помог подготовить мой коллега Кирилл Маслов — наш эксперт по направлению Asset Management. Мы решили не искать лёгких путей и выбрали тему, которая большинству из вас хорошо знакома. Казалось бы, что нового можно сказать про домены, пусть и с точки зрения безопасности? 

Для атакующего захват домена — это фактически победа. Получив контроль над контроллером домена, злоумышленник получает доступ ко всем учетным записям, компьютерам, групповым политикам и доверительным отношениям, а дальше дело техники: найти учетки бухгалтеров и топ-менеджеров, переключиться на их машины, читать почту, копировать документы. Это самые безобидные последствия.

Как это часто бывает в информационной безопасности, самое знакомое скрывает множество нюансов. Давайте разбираться!

Нередко в процессе реверс-инжиниринга мы сталкиваемся с STL-кодом, анализ которого на первый взгляд кажется затруднительным. Неопытный глаз может принять этот код за полезный и потратить время на анализ какого-нибудь конструктора.

На самом деле, здесь важно потратить время на то, чтобы распознать STL-контейнер по косвенным признакам, быстро понять, где какие данные лежат, типизировать их и идти дальше. В новой серии публикаций мы расскажем о самых распространенных контейнерах STL и начнем с std::vector.

С осени 2025 года наши специалисты отдела реагирования на киберугрозы отмечают рост числа инцидентов, связанных с деятельностью хакерской группы PhantomCore. Эта группировка специализируется на кибершпионаже и краже конфиденциальных данных у российских организаций. Злоумышленники, в первую очередь нацеленные на внутренние процессы скомпрометированной организации, могут длительное время присутствовать в инфраструктуре жертвы, постепенно расширяя свое присутствие в сети.

Ключевые моменты

- C сентября 2025 года PhantomCore активно атакуют серверы видеоконференцсвязи TrueConf.

- Используют вредоносный клиент TrueConf.

- Используют инструменты цифровой криминалистики для закрепления и получения учетных данных на скомпрометированном хосте.

- В ходе атак были задействованы собственные инструменты для создания обратного SSH-туннеля: MacTunnelRat (PhantomHeart), PhantomProxyLite, PhantomSscp.

Одной из самых актуальных уязвимостей в Windows Server Update Services (WSUS) стала критическая ошибка с идентификатором CVE-2025-59287 и оценкой CVSS 9.8. Она связана с десериализацией недоверенных данных в службе обновления Windows Server и позволяет неавторизованному удаленному злоумышленнику выполнить код на сервере, отправив специально сформированное событие.

В разборах эксплуатации шаги были указаны некорректно, так как их взяли из статьи. Однако позже авторы сами ее исправили и указали, что разбор относится к CVE-2023-35317, тогда как анализ CVE-2025-59287 перенесли в отдельную статью.

Это вызвало путаницу в многочисленных репостах, поэтому мы решили расставить все точки над i и заодно показать, как атакующий может восстановить оснастку после эксплуатации уязвимости.

Всем привет! На связи Дмитрий Федосов, руководитель отдела наступательной безопасности экспертного центра безопасности (PT ESC) Positive Technologies, и Владислав Дриев, ведущий специалист нашего подразделения. Мы развиваем технологии автопентеста в рамках продукта PT Dephaze. Сегодня хотим наглядно показать, как автоматизированный взлом собственной инфраструктуры помогает выявлять реальные векторы атак, которыми злоумышленники могут воспользоваться в любую минуту.

С момента запуска PT Dephaze наша команда провела более 60 «пилотов» в организациях России и не только. Мы проанализировали этот опыт, собрали обратную связь от клиентов и улучшили технологии. В этой статье предлагаем вместе погрузиться в процесс использования нашей системы автопентеста на основании опыта наших пользователей. Разберем результаты и варианты их использования в защите.

Привет, Хабр!

На связи команда PT Cyber Analytics. В этой статье расскажем о работе аналитиков в проектах по кибербезопасности, покажем, чем привлекает эта профессия и какие навыки необходимы, чтобы стать ее частью. Как и многие другие аналитики, мы занимаемся сбором, анализом и интерпретацией данных, отличие лишь в обрабатываемых данных: в нашем случае это информация об уязвимостях, угрозах и мерах защиты.

В Positive Technologies есть множество экспертов, которые проводят анализ защищенности различных систем для других компаний: проверяют их инфраструктуру, веб-приложения, банковские системы и т. д. По результатам этих работ необходимо донести информацию о выявленных проблемах в доступном формате, чтобы клиент смог понять, какие возможны последствия для его бизнеса в случае реальной хакерской атаки. На этом этапе и подключаются проектные аналитики — мы выступаем посредниками между экспертами («белыми» хакерами, расследователями и т. д.) и клиентом: объясняем результаты проведенных проверок, анализируем их, структурируем выводы и даем рекомендации, чтобы обратившиеся к нам компании видели, где их системы можно «взломать», и знали, как это исправить.  

Современный ландшафт киберугроз демонстрирует окончательную трансформацию фишинга из набора разрозненных мошеннических писем в зрелую сервисную индустрию, функционирующую по канонам легитимного ИТ-бизнеса. 

Фишинг на протяжении многих лет остается одним из наиболее востребованных способов получения первоначального доступа к корпоративной инфраструктуре, сохраняя свою эффективность вопреки массовому внедрению многофакторной аутентификации (MFA) и инвестициям в антиспам-фильтрацию. 

 В инфополе еженедельно всплывают новости о «свежих» утечках: то база ритейлера, то данные клиентов банка. Мы привыкли думать, что ценность украденной информации эфемерна — как только дамп попал в паблик, он становится бесполезным мусором. Однако реальность теневого рынка 2025–2026 годов говорит об обратном.

Даже «мертвые» базы продолжают циркулировать, перепродаваться и приносить мошенникам сотни тысяч долларов. В этом материале мы разберем, как устроена экономика вторичного рынка данных, как злоумышленники косплеят известные группировки вроде ShinyHunters и почему «баян» пятилетней давности до сих пор опасен для вашего бизнеса.

В марте специалисты киберразведки PT ESC зафиксировали активность группировки Rare Werewolf (Rezet, Librarian Ghouls). На этот раз был обнаружен архив data.zip, содержащий следующую структуру файлов.

Под катом разбор вредоносных файлов, их структуры и назначения.

В конце 2025 года группа киберразведки зафиксировала кампанию хакерской группировки Cloud Atlas, нацеленную на российские организации из сферы промышленности и военно-промышленного комплекса. 

Для первичного проникновения использовалась электронная почта: рассылка велась от имени реального контрагента через скомпрометированный почтовый ящик. 

Представьте, что вы не знаете, какие устройства подключены к вашей сети, как они настроены и что там происходит. Страшно? Ещё бы! Многие компании как раз так и живут — не уделяют внимания аудиту сетевого оборудования. А зря. Без такой инвентаризации невозможно ни нормально управлять ИТ-инфраструктурой, ни защититься от угроз.

Мы наблюдаем в инфраструктуре клиентов это так часто, что поняли – нужно выдать базу. Мы – это руководитель практики развития MaxPatrol Carbon Константин Маньяков и эксперт центра безопасности (PT ESC) Данил Зарипов, и в этой статье мы будем разбираться в ключевых аспектах аудита сетевых устройств, его роли в построении эффективного управления активами и повышении уровня защищенности ИТ-инфраструктуры.

Когда-то APT-группировками считались прогосударственные хакеры со сложными инструментами и стратегическими целями, а хактивистами — те, кто выражал цифровой протест. Сегодня определить границу между первыми и вторыми становится все сложнее. Некогда идеологически мотивированные хакеры все чаще выполняют задачи в интересах государств и аффилированных с ними структур, а ущерб от их атак уже достигает уровня APT-группировок. 

Мы, группа международной аналитики PT Cyber Analytics, проанализировали деятельность сотен группировок за год — получилось большое исследование. В статье расскажем о самом важном: как меняется ландшафт глобальных киберугроз, какие методы чаще всего используют атакующие и что нас ждет в будущем. А еще покажем топ интересных атак за 2025 год. 

Привет, Хабр!

Меня зовут Александр Коробко, я занимаюсь продуктовым маркетингом в Positive Technologies. Эту статью мы подготовили вместе с моим коллегой Семёном Костромичевым — он отвечает за развитие технологии управления активами aka Asset Management.

Представьте ситуацию: вы — безопасник, и вам нужно следить за тем, чтобы в инфраструктуре компании не было уязвимостей, которые могут использовать хакеры. Но недостатков безопасности может быть много, со всеми справится нереально, поэтому необходимо выбрать самые критичные и начать с их. Например, один из них — критическая уязвимость в ОС на ноутбуке кого-то из коллег,  а вы не знаете, кому именно он принадлежит ноутбук. Смотрите в Excel, а там сотрудник уволился полгода назад, железо передали стажеру, но в базу не внесли. Знакомо?

Хабр, привет!

На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies регулярно исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.

С прошлого дайджеста мы добавили еще 4 трендовые уязвимости, все из февральского Microsoft Patch Tuesday.

Финансовые организации остаются одними из наиболее приоритетных целей для киберпреступников, в том числе хактивистских групп и высокоорганизованных APT-группировок. Рост геополитической напряженности, цифровизация финансовых сервисов, активное внедрение API-банкинга, облачных и платформенных решений, а также ускоренное использование искусственного интеллекта качественно меняют ландшафт киберугроз.

Даже организации с высоким уровнем зрелости ИБ, сертифицированными процессами и значительными инвестициями остаются уязвимыми для сложных многошаговых атак, усиленных искусственным интеллектом, для компрометации цепочек поставок, атак через доверенных подрядчиков и злоупотреблений легитимными цифровыми механизмами. В этих условиях ключевым становится не вопрос «произойдет ли инцидент?», а вопрос «как минимизировать ущерб и быстро восстановить деятельность организации в условиях инцидента?».

Совместное исследование Positive Technologies и Ассоциации ФинТех направлено на формирование целостного взгляда на ключевые изменения сфере кибербезопасности финансового сектора на горизонте 2026-2027 годов. Материал адресован руководителям ИБ и ИТ, архитекторам цифровых платформ, риск-менеджерам, а также представителям регуляторных и отраслевых структур.

Привет всем!

На связи аналитики из команды PT Cyber Analytics. Мы сопровождаем red‑team‑проекты и помогаем клиентам разобраться в результатах работы белых хакеров. Детально анализируем результаты тестирований на проникновение, оцениваем риски, связанные с обнаруженными уязвимостями, определяем уровень защищенности компаний и разрабатываем рекомендации по устранению слабых мест в инфраструктуре.

В этой статье мы проанализируем практики безопасного использования менеджеров паролей. Рассмотрим принципы работы различных типов менеджеров и их архитектуру, методы защиты, возможные угрозы безопасности, некоторые примеры взломов, а также способы минимизации рисков. Кроме того, уделим внимание рекомендациям по мониторингу и реагированию на инциденты, связанные с менеджерами паролей.

Привет, Хабр!

Хотим поделиться новым расследованием. На этот раз в поле зрения нашего экспертного центра безопасности (PT ESC) попала хакерская группировка Mythic Likho, атакующая крупные (читайте — платежеспособные) объекты инфраструктуры: неудивительно, ведь целью злоумышленников было вымогательство за расшифровку украденной информации.

В рамках данного исследования мы объединили экспертизу департаментов киберразведки (Threat Intelligence) и комплексного реагирования на киберугрозы (Incident Response) экспертного центра безопасности PositiveTechnologies, соединили разрозненные следы активности группировки Mythic Likho в единый кластер и провели его комплексное исследование. Наша цель — сформировать исчерпывающее понимание тактик, техник, средств нападения группировки. Подробности ищите под катом.

Всем привет, меня зовут Влад, aka Arkeil. Довольно часто решаю таски на платформе Standoff 365  и совсем недавно мне удалось попасть в топ-25 атакующих по итогам первого сезона на Standoff Hackbase.

Эта статья посвящена разбору хоста Portal на Standalone. Нам было нужно реализовать утечку персональных данных клиентов. Чтобы выполнить задание, необходимо получить информацию о клиенте с ID=2.

Перед началом поиска уязвимостей сканируем хост на открытые порты.

В феврале российские компании столкнулись с целевой атакой хакеров из группировки BO Team (также известной как Black Owl, Lifting Zmiy и Hoody Hyena). Злоумышленники использовали уязвимость в системах с установленным пакетом Microsoft Office, распространяя фишинговые письма с RTF‑файлами, оформленными под служебную переписку. При открытии вложений в программах Microsoft Office атакующие могли обходить встроенную защиту, получая возможность проникновения в ИТ‑инфраструктуру организаций.

Подробности про атаку читайте под катом.