UnsolicitedBooker: этот непрошеный боксёр с 1 репорта ляжет 🥊
Осенью 2025 года команда Threat Intelligence экспертного центра кибербезопасности Positive Technologies обнаружила атаки на телекоммуникационные компании Кыргызстана. Злоумышленники рассылали тематические фишинговые письма, которые содержали вредоносные документы с макросом. Уже на этом этапе внимание привлекло использование необычных инструментов китайского происхождения в самих документах.
В качестве вредоносного ПО атакующие использовали два бэкдора. Первый — MarsSnake — ранее упоминался лишь в квартальном отчете ESET. Второй — LuciDoor, который мы назвали так из-за необычной особенности настройки шрифта Lucida Console 11x18 для корректного отображения текста в терминале.
👋 В 2026 году злоумышленники снова объявились, но в этот раз с атаками на телекоммуникационные компании Таджикистана. Сама активность характерна для восточноазиатской группировки UnsolicitedBooker. Ранее, по наблюдениям исследователей, группировка атаковала Саудовскую Аравию.
В нашем исследовнии мы подробно рассказали об обнаруженных атаках, полностью разобрали функционал LuciDoor и MarsSnake и показали, какой общий инструмент используют UnsolicitedBooker и Mustang Panda 🐼
Клик-ловушка: не только для пользователей, но и для анализаторов ссылок 🐭
При ручном разборе ссылок мы в PT ESC , как правило, задаем себе лишь один вопрос — «безопасна ли она?» ✔❌
Перенести подобный подход в потоковую среду для анализа нельзя: действия, инициируемые переходом по ссылке, могут привести к возникновению новых проблем. Так, приглашения из почтовых сообщений могут автоматически приниматься или отклоняться, производиться автоматическая отписка и/или подписка на корреспонденцию и так далее. В случае если подобное действие вызывает на сервисе отправку нового письма с подобными ссылками, то автоматический переход по ним вызовет непрекращающуюся «лавину» сообщений, что может привести к снижению производительности защитных решений или просто к раздражению пользователей.
🫵 Для решения этой проблемы можно предложить подход, логически схожий с процессом выбора ссылок при ручном анализе: какие-то ссылки нам кажутся крайне подозрительными или однозначно требующими дополнительного контекста для анализа, а какие-то — точно безопасными или, как в предыдущей ситуации, вызывающими определенные действия на сервисах (или вообще одноразовыми). Подход, где система определяет набор признаков «точно нужно переходить» и набор признаков «точно не нужно переходить», называется принятием решений на основе правил (rule-based decision system). Какие признаки можно предложить для реализации подобной системы?
В наборе условий, предотвращающих переход по ссылке, можно рассмотреть:
наличие паттернов в URL-пути, семантически указывающих на возможное действие при активации, например, /(un)subscribe/, /login/, /exit/, /action/, /track/ и т.д.;
наличие параметров запроса token, key, uid со значениями, по формату совпадающими с UUID или JWT;
наличие параметров запроса ts или expires, указывающих на время жизни ссылки;
если ссылка пришла из почтового сообщения, можно проверить ее наличие в отдельных заголовках подписки/отписки от корреспонденции — List-(Un)Subscribe:;
при наличии поставки потоков данных с набором «белых» доменов можно рассмотреть отключение анализа содержащих их URL-ссылок. С подобной опцией нужно быть осторожнее, поскольку даже самые популярные и известные сервисы и домены могут использоваться в сценариях с перенаправлением контента.
В наборе условий, вызывающих переход по ссылке, можно рассмотреть:
ссылки с явным указанием IP-адреса и/или нестандартного порта;
ссылки с недавно зарегистрированным доменом;
при наличии категоризатора web-ресурсов с подобной классификацией — ссылки на сервисы-shortener'ы. В случае отсутствия можно рассмотреть условие с короткой длиной URL-ссылки;
ссылки с указанием в URL-пути файлов с конкретными статическими расширениями, например, .pdf, .exe и т.д.;
ссылки на сервисы объектных хранилищ, например на S3- или IPFS-хранилища.
🧐 Что остается делать со ссылками из анализируемого объекта, которые не попали ни под один из перечней? Здесь можно опираться на реальную картину, которая получается после работы подобного алгоритма: если позволяет производительность системы или время анализа не превышает допустимый SLA на обработку объектов, можно отправлять все «серые» ссылки на получение контента. Либо же ввести ограничение на количество одновременно анализируемых ссылок у одного объекта.
Также для URL-ссылок, не прокатегоризированных системой принятия решений, можно предусмотреть «осторожный» алгоритм получения дополнительного контекста для анализа: переходить по ссылке методом HEAD без получения контента. Таким образом можно получить дополнительную информацию из HTTP-заголовков, применимую как внутри вышеописанного алгоритма, так и в целом для принятия решения о вредоносности ссылки.
Группа киберразведки Экспертного центра безопасности (PT ESC) представила обзор кибератак за III квартал 2025 года ✍️
В отчете рассмотрены хакерские атаки на инфраструктуры российских организаций и типовые цепочки группировок — от первоначального доступа до закрепления.
🙅♂ За период отмечена активность таких групп, как PseudoGamaredon, TA Tolik, XDSpy, PhantomCore, Rare Werewolf, Goffee, IAmTheKing, Telemancon, DarkWatchman и Black Owl.
✉ Фишинговые кампании шли непрерывно и маскировались под деловую переписку. Использовались:
• Запароленные архивы с LNK-, SCR-, COM-загрузчиками и документами-приманками; fake-CAPTCHA c запуском PowerShell.
• RMM и удаленный доступ (UltraVNC, AnyDesk), REST-C2 и многоступенчатые загрузчики.
• Редирект-логика: прошел проверку — скачивается полезная нагрузка; не прошел — происходит переадресация на заглушку легитимного сервиса.
Пять дней инженерного хардкора: с 15 по 19 сентября, 11:00-13:00 💪
Кажется, команда готова исповедоваться: за одну неделю расскажет не только, как работает PT NGFW, но и почему он работает именно так. Это будет не просто теория, а живой обмен опытом, разбор реальных кейсов и практические советы, которые можно сразу применить в работе.
В спикерах — вся команда PT NGFW.
🏆 Головоломки от наших экспертов и шанс выиграть собственный PT NGFW*🏆
*Срок проведения конкурса: 15.09.2025-19.09.2025, срок вручения Приза: с 19.09.2025-14.11.2025. Приз: ПАК PT NGFW 1010, а также брендированная продукция. Организатор АО «Позитив Текнолоджиз». Подробнее о сроках проведения, количестве призов, условиях участия в Правилах проведения Конкурса.
Буквально через пару дней после нашего исследования активности группировки Goffee была проведена еще одна атака, о которой сейчас мы вам расскажем.
👋 Все начинается с письма от лица якобы ГУ МВД России, в котором во вложении находится PDF-документ со следующим содержимым:
В документе жертва находит ссылку на скачивание прилагаемых материалов, однако сама ссылка ведет на поддельный сайт МВД, на котором для загрузки просят пройти капчу. После прохождения капчи скачивается архив 182-1672143-01.zip, внутри которого, помимо трех документов-приманок, лежит полезная нагрузка с именем 182-1672143-01(исполнитель М.Д).exe*.
В качестве полезной нагрузки остались ранее известные .NET-загрузчики. И если ранее злоумышленники рандомизировали название mutex-ов, методов и типов следующего стейджа, то теперь модернизируются и сами GET-запросы.
🔄 Классические параметры в URL — hostname= и username= — заменили на рандомные строки. Например, в одном из загрузчиков был составлен URL следующего формата:
К тому же некоторые загрузчики могли содержать документ-приманку с названием input.docx, по содержанию не отличавшийся от одного из документов в архиве.
По аналогичным названиям всего удалось обнаружить четыре архива с вредоносным ПО, описанным выше. Найти архивы и атрибутировать эти атаки к группировке Goffee в том числе помогают выделенные в статье (и выступлении OFFZONE) особенности сетевой инфраструктуры:
🔺 Все найденные домены в загрузчиках имеют .com/.org TLD, и сами домены — второго уровня.
🔺 Во всех загрузчиках для получения следующей стадии цепочки атаки используются ссылки четвертого и более уровня вложенности.
🔺 Все домены зарегистрированы в Namecheap.
🔺 Все домены хостятся на российских IP-адресах.
Дополнительные поиски по особенностям исполняемых файлов (схожие названия, сохраненные Debug Path и другое) помогли определить еще ряд семплов, принадлежащих Goffee.
Standoff Hacks пройдет в Индии, и ты можешь полететь туда вместе с нами!
→ Во-первых, на нашей платформе активно багхантят ребята из Индии. → Во-вторых, наш следующий ивент Standoff Hacks пройдет 13 сентября в Ахмадабаде. → А в-третьих — у тебя есть шанс попасть на него за наш счет!
🔎 Для этого тебе нужно... Багхантить (surprise)! И набрать с момента публикации этого поста до 18 августа как можно больше баллов по этим публичным программам:
Два «крита» в Windows: как эксперты Positive Technologies спасли мир миллионы устройств
Лето 2025 года началось с неприятного сюрприза для пользователей Windows — Microsoft экстренно выпустила патчи для двух опасных уязвимостей, найденных исследователями из Positive Technologies. Обе баги могли привести к серьезным последствиям: от краха системы до полного захвата контроля над компьютером.
VHD-файл как билет в админ-клуб
💥 Недостаток безопасности CVE-2025-49689 получил оценку 7,8 балла по шкале CVSS 3.1.
Сергей Тарасов, руководитель группы анализа уязвимостей в экспертном центре безопасности Positive Technologies (PT Expert Security Center, PT ESC) Positive Technologies обнаружил, что злоумышленник может получить полный контроль над вашим компьютером, если вы откроете специально подготовленный виртуальный диск (VHD).
📌 Как это работает? Вам присылают «безобидный» VHD-файл (например, якобы архив с документами). Вы его открываете — и вуаля, злоумышленник уже админ в вашей системе.
📌 Где прячется угроза? В драйвере файловой системы NTFS. Затронуты Windows 10, 11 и серверные версии.
Статистика страха: Таких уязвимых устройств в сети — 1,5+ миллиона, больше всего в США и Китае.
Positive Technologies представляет новую версию PT NAD 12.3.
Главное в продукте: повышение производительности, плейбуки и возможность хранения метаданных в облаке.
🗓️ 5 июня на онлайн-запуске PT NAD 12.3 вы сможете узнать, как команда продукта трансформирует подход к обнаружению сетевых атак за счет централизованного управления, опции хранения метаданных в облаке и плейбуков.
📌 Добавляйте слот в календарь: 5 июня, 14:00.
В программе:
🔻 Экспертиза: обновленные модули, репутационные списки и плейбуки — чтобы ваша команда могла быстрее реагировать на угрозы;
🔻 Центральная консоль: как сократить затраты на команду мониторинга и контролировать атаки во всех филиалах из единой точки;
🔻 «Облако» vs локальные хранилища: гибкое хранение метаданных для экономии денег без потери скорости;
🔻 Скорость: оптимизация производительности для ускорения анализа угроз и обработки трафика даже в крупных сетях.
✍️ Регистрируйтесь на онлайн-запуск PT NAD 12.3 по ссылке.
😍 Уже начали отмечать День всех влюбленных? Для нас это еще один повод порадовать близких людей, а для мошенников — запустить очередную схему обмана. Мы просто разные.
Из года в год «валентинки» от злоумышленников почти не меняются, разве что совершенствуются технически: фишинговые письма пишут не люди, а искусственный интеллект, фейковые сайты становятся все больше похожими на настоящие. Список потенциальных жертв тоже остается достаточно широким: в него входит все платежеспособное население разных возрастов.
Чтобы праздник не оказался испорченным, читайте советы Ирины Зиновкиной, руководителя направления аналитических исследований в Positive Technologies.
🐠 Как не попасться на удочку злоумышленников
«Удочка» в подзаголовке не просто так: фишинг — самая популярная схема «праздничного» обмана. Чаще всего ссылки в таких сообщениях ведут на фейковые сайты магазинов, где якобы можно купить цветы, украшения, технику и другие подарки по цене намного ниже рыночной. Покупая онлайн такой «товар», вы вводите свои личные и платежные данные, а в итоге лишаетесь денег и делитесь с злоумышленниками конфиденциальной информацией.
➡️ Чтобы застраховаться от этого, не переходите по сомнительным ссылкам и всегда проверяйте названия сайтов магазинов в адресной строке, а также не обращайте внимание на предложения в духе «iPhone за полцены» (никто не будет торговать себе в убыток).
💕 Как спасти праздничный вечер
Романтическое путешествие, поход в театр или на концерт любимого исполнителя тоже могут быть испорчены, если купленные билеты окажутся фейковыми. Причем обнаружиться это может уже в аэропорту или на входе в зал.
Перед праздниками мошенники могут также создавать фейковые сайты гостиниц, обещая дешевую бронь, что также может закончиться потерей денег и кражей данных.
➡️ Здесь совет простой: пользуйтесь проверенными сервисами (или официальными ресурсами поставщиков услуг) для покупки и бронирования, чтобы не получить вместо билета бесполезную бумажку и сорванное свидание.
💩 Как не влюбиться в того, кого не существует
Если перед праздником вы встретили на сайте знакомств или в каком-то тематическом канале ЕГО или ЕЁ — свой идеал — это тоже могут оказаться мошенники.
Информацию о том, какой человек будет для вас привлекательным, они могут найти в открытых источниках или, например, взломав аккаунты в соцсетях и прочитав переписку. А дальше — дело техники: создание симпатичного дипфейкового образа и поддержание коммуникации (возможно, при помощи специально обученного бота), чтобы жертва начала доверять «партнеру», с которым они ни разу не виделись вживую. Здесь тревожным звоночком может стать просьба о дорогом подарке или займе серьезной суммы денег.
➡️ Думаете, с вами такого не случится? Недавно французская дама развелась с мужем и отдала полученные при разводе более 800 000 евро фейковому Брэду Питту. Так что соблюдайте «принцип нулевого доверия», осторожнее общаясь с людьми, знакомыми вам только в онлайне.
😍 Даже когда в глазах сердечки, осторожность не помешает. Пусть ваш праздник пройдет романтично и безопасно!
А впереди еще много праздников, будьте осторожны и счастливы ❤️
Знаете ли вы все активы организации, через которые злоумышленники могут вас атаковать?
Мы активно развиваем направление asset management (управление активами), поэтому нам важно понять, как современные компании выстраивают его, какие инструменты и подходы используют. Это поможет адаптировать наши продукты под ваши потребности.
Если в вашей компании реализовано управления активами, расскажите в опросе, с какими проблемами вы сталкиваетесь в процессе и какие задачи должна решать автоматизированная система asset management.
Важна ли вам защищенность промышленного интернета вещей?
Мы активно разрабатываем технологии для безопасности industrial internet of things (IIoT). За счет быстрого распространения IoT-технологий риск взлома таких устройств и систем постоянно растет.
Если в вашей компании используется IIoT, ➡️ поделитесь мыслями и наблюдениями в опросе.
Ваши ответы помогут повысить зрелость технологий для безопасности интернета вещей и повлияют на функциональность нашего будущего решения.
Давайте работать сообща в области исследования угроз, объектов защиты и методов обеспечения безопасности инфраструктуры IIoT🔒
VK повышает вознаграждение этичным хакерам до 7,2 млн рублей💸
Такие выплаты будут ждать исследователей безопасности программы «Почта, Облако и Календарь» с 30 июня по 30 июля 2023 года. Вознаграждение удвоится за все уязвимости, найденные на стороне сервера (server side).
🔥Максимальная награда за баг критического уровня опасности составит 7,2 миллиона рублей!
«Информационная безопасность — один из стратегических приоритетов для VK. Если говорить о выплатах в рамках нашей программы багбаунти, важно охватить всех исследователей, которые готовы искать новые уязвимости и получать вознаграждение. Такой инструмент, как повышение выплат, позволяет сосредоточиться на определенных продуктах и повысить их безопасность», — отметили в компании.
Всего на Standoff 365 Bug Bounty зарегистрировано 5700 исследователей, они сдали 2200 отчетов и получили более 32 млн рублей.
