Антивирусная защита *

Не успели мы анонсировать долгожданную интеграцию ZentrySpace с Telegram, как случилось то, к чему нас жизнь точно не готовила — зловещее уведомление у скачивающих от «Лаборатории Касперского» о наличии трояна в приложении. По мотивам недавних реальных атак в Telegram, в борьбе с которыми Касперский преуспел, наши потенциальные пользователи, конечно же, насторожились. После получения серии отзывов о том, что ZentrySpace вредоносный и подозрительный, мы начали разбираться в том, что же могло пойти не так.

У вирусных аналитиков есть небольшая профессиональная трагедия: работать с вредоносами обычно скучнее, чем может казаться по их вычурным названиям. За каждым ShadowSomething RAT/Loader/Stealer почти всегда скрывается один и тот же набор знакомых техник: загрузчик, закрепление в системе, канал связи с C2, немного обфускации «для галочки».

Но иногда попадаются образцы, которые действительно удивляют. В недавнем расследовании нам встретился именно такой. Речь пойдет о PhantomRShell — бэкдоре группировки PhantomCore (Head Mare), атакующей компании из России и Беларуси.

Главная «фишка» PhantomRShell — в том, как он маскирует свое присутствие в системе. Вредонос использует встроенный дизассемблер, чтобы перехватывать системные вызовы и скрывать свои файлы от пользователя и защитных инструментов. Проще говоря: файл лежит на диске, но для средств анализа его как будто не существует. 

На связи Александр, вирусный аналитик отдела реагирования Бастиона и автор телеграм-канала @section_remadev. Сегодня разберем, как устроен PhantomRShell: от цепочки заражения до механизма сокрытия, который делает этот бэкдор заметно интереснее большинства его «коллег по цеху».

С осени 2025 года наши специалисты отдела реагирования на киберугрозы отмечают рост числа инцидентов, связанных с деятельностью хакерской группы PhantomCore. Эта группировка специализируется на кибершпионаже и краже конфиденциальных данных у российских организаций. Злоумышленники, в первую очередь нацеленные на внутренние процессы скомпрометированной организации, могут длительное время присутствовать в инфраструктуре жертвы, постепенно расширяя свое присутствие в сети.

Ключевые моменты

- C сентября 2025 года PhantomCore активно атакуют серверы видеоконференцсвязи TrueConf.

- Используют вредоносный клиент TrueConf.

- Используют инструменты цифровой криминалистики для закрепления и получения учетных данных на скомпрометированном хосте.

- В ходе атак были задействованы собственные инструменты для создания обратного SSH-туннеля: MacTunnelRat (PhantomHeart), PhantomProxyLite, PhantomSscp.

Компания Mandiant (дочка Google) подготовила довольно интересное исследование кибератак. Отчет основан на 500 тысячах часов расследований кибератак, проведенных Mandiant в 2025.

Делимся с вами подробностями.

Для завода или сети магазинов кибератака — это остановка линии, неработающие кассы, сорванные поставки, конфликт с контрагентами и вопросы от регуляторов. Один удачный шифровальщик может одновременно ударить по производству, складам и фронту продаж — именно поэтому для промышленности и ритейла киберугрозы это не просто «технический риск» — это прямая угроза бизнесу. 

Kaspersky выпустил глобальный отчёт по киберугрозам на основе данных своих сервисов MDR, Incident Response и Compromise Assessment. Внутри — статистика по реальным атакам на 200 000 корпоративных клиентов, разбор тактик злоумышленников и неожиданные цифры о том, насколько плохо большинство SOC используют собственные данные.

Разбираю главное

Разбираем реальный IR-кейс: ClickFix → Emmenhtal Loader → банковский троян с Telegram C2. Форензик переформатированного диска на 930 ГБ, VDM-дисамбигуация ложноположительных и восстановление артефактов из hibernation-файла.

Когда я только начинал в ИБ, я часами лазил по сайтам в попытках понять: а что вообще нужно знать новичку? Какими базовыми вещами должен владеть специалист по защите информации — будь то внутри контура организации или за его пределами.

Так я наткнулся на статьи про СЗИ — средства защиты информации. По сути, это тот самый инструментарий, с помощью которого специалист и строит защиту.

Думаю, выпущу несколько материалов, где своими словами разберу разные виды СЗИ. Для тех, кто только вникает в профессию, — чтобы было проще ориентироваться в этих штуках.

СПИСОК СЗИ ПРО КОТОРЫЕ Я РАССКАЗЫВАЮ В ЭТОЙ СТАТЬЕ:

1. Межсетевой экран (МЭ) — он же Firewall (англ.) или Brandmauer (нем.).

2. IDS/IPS — Intrusion Detection System / Intrusion Prevention System

3. DLP — Data Leak Prevention

4. SIEM — Security Information and Event Management

5. Sandbox — «песочница»

Межсетевой экран

Думаю, многие уже слышали о межсетевых экранах. Их называют по-разному: Firewall — с английского «огненная стена», или Brandmauer — с немецкого тоже «огненная стена». В общем как ни назови, он делает одно и то же — не дает нежелательному трафику проникнуть в сеть.

Антифрод — это комплекс мер, технологий и процессов, направленных на предотвращение, выявление и минимизацию ущерба от мошеннических действий. Простыми словами — это система, которая борется со злоумышленниками во всех ипостасях. Коллеги на Хабре недавно делали обзор по теме. Также рекомендуем ещё свежую аналитику за 2025 год.

А наша статья посвящена патентам и свидетельствам на антифрод‑системы в России и мире.

Начну немного с вводной, кому неинтересно, можно сразу перейти к технической части статьи.

Недавно я пробовал пройти собеседование в Kaspersky. Ну, как пробовал, если честно даже не дошел до технического этапа :) В общем, я получил реджект. Причина отказа: "решили выйти с предложением к кандидату, который прошел все финальные встречи". Не сказать, что у меня не было опыта в реверсе. Я пару раз реверсил прошивки, но в основном тестировал способы обхода лицензий в продуктах компании. Но вот именно анализом malware как таковым не занимался. Поэтому, буду восполнять этот пробел, ну и попутно буду документировать это все в небольших статьях, поскольку когда пробуешь что-то объяснить другим, сам разбираешься в вопросе еще глубже.

Я работаю директором по цифровой трансформации. И каждый раз, когда собираю бюджет, вижу одну и ту же картину: на ИТ денег мало, на ИБ — ещё меньше. При этом требования растут, угрозы множатся, а формулировка от бизнеса : «сделай так, чтобы работало удобно, из любого места и без пароля желательно, ну и не ломалось».

Как и многие я ищу идеальную формулу: минимум вложений → максимум защиты. Не «купить всё и сразу», не «внедрить SOC за 10 миллионов в год», а именно базовую базу по ИТ и ИБ, которая закрывает 80% рисков и не требует армии сотрудников для ее поддержания.

Эта статья — про то, как за разумные деньги выстроить защиту основывая на собственных ошибках и опыте. С цифрами, с инструментами, с калькулятором.

ИБ‑гигиена — это не SOC, не «киберщит» и не магический короб. Это несколько приземлённых вещей: MFA, антивирус, бэкапы, ролевая модель и обучение людей. Всё это стоит сильно дешевле одного серьёзного инцидента.

Agentic SOC — это не «ещё один модный модуль с ИИ», а переход от ручной обработки инцидентов и цепочек автоматизации к более самостоятельной модели, где агенты собирают контекст, обогащают инциденты, предлагают действия и иногда запускают безопасные реакции под контролем человека.
Проблема в том, что вместе с ускорением появляются новые риски: слишком широкие полномочия, ошибки сопоставления, внедрение вредоносных подсказок, неверные решения по изоляции и ложная уверенность в «умной автоматизации».

ИИ‑фреймворки давно въехали в прод, но к ним часто относятся как к «научной приблуде», а не к ещё одному входу в ваши данные и инфраструктуру. Spring AI и ONNX крутятся где‑то между ML‑командами, продуктами вендоров и внутренними ассистентами, и на определённом этапе за ними перестают успевать архитектура и безопасность.

В марте в обзорах уязвимостей рядом всплыли несколько критичных багов именно в этих штуках. Там есть и SQL‑инъекции, и JSONPath‑инъекции, и обход проверки доверия при загрузке моделей. В статье разбираю, что это значит для тех, кто уже тащит ИИ в прод, и даю чек‑лист, который можно прямо отнести своей команде.

Разбираем фишинговое письмо, пришедшее на адрес НКО: от SendGrid-доставки с SPF/DKIM pass до реверса JavaScript-фреймворка collector.js, который собирает GPU fingerprint, ломает WebRTC для раскрытия IP за VPN и детектирует DevTools — до того как жертва увидит фишинговую форму.

Доброго времени суток! На повестке дня стоит разбор атаки «0 дня», найденной в одной из компании заказчиков в результате обращения сотрудников. Данная статья будет полезна для чтобы понимать «природу атаки» и предпринимать верные действия по реагированию. Статья не содержит глубокую аналитику цифровой криминалистики или анализ кода вредоносных файлов. Статья охватывает общую и поверхностную информацию, подходящую для многих специалистов в области ИТ разных уровней квалификации, и содержит:

Компания Microsoft опубликовала масштабный отчет по киберугрозам, в котором констатировала фундаментальный сдвиг в тактике злоумышленников. Хакеры больше не рассматривают искусственный интеллект как экспериментальную технологию, а активно интегрируют его во все фазы своих операций — от первичной разведки и фишинга до разработки вредоносного программного обеспечения и закрепления в скомпрометированных системах. Эксперты охарактеризовали генеративные нейросети как «мультипликатор силы», который радикально снижает технические барьеры и позволяет даже низкоквалифицированным преступникам проводить атаки на недоступных ранее скоростях.

Если раньше использование ИИ сводилось к написанию убедительных фишинговых писем, то теперь это непрерывный конвейер. Северокорейский хакер маскирует акцент нейросетью прямо во время онлайн-собеседования в западную корпорацию, а после успешного найма поручает языковой модели общаться с коллегами, переводить документацию и писать код, чтобы стабильно выполнять KPI, не вызывая подозрений службы безопасности.

Как реально ломают бизнес через людей

tl;dr

Если коротко:

90% атак начинается с фишинга

взломать человека проще, чем сервер

одна ошибка сотрудника может открыть доступ ко всей инфраструктуре

обучение персонала — самая дешёвая защита

Теперь разберёмся как это работает на практике.

Исследование само тут, можно забрать, там тоже с картинками 😍

Последние пару лет в разговорах с безопасниками и топами всё чаще звучит одна и та же мысль

Мы перестали задаваться вопросом будет ли атака
Мы начали думать что будет когда она произойдёт

И это очень показательный сдвиг

Финансовая отрасль всегда была мишенью Деньги данные инфраструктура доверие Всё в одном месте Но сейчас изменилось не только количество атак Изменилась их логика

Если раньше злоумышленник пытался проникнуть в систему
то теперь он пытается остановить бизнес

И это совсем другой уровень игры

12 февраля 2026 года я получил фишинговое письмо, замаскированное под уведомление Google Drive от юридической фирмы White & Case LLP. Вместо обычного credential harvesting за ссылкой скрывалась профессиональная система browser fingerprinting с anti-analysis cloaking. Рассказываю, как устроена атака изнутри — от email до перехваченного POST-запроса с эксфильтрированными данными.

На сегодняшний день трудно представить себе компанию без связей с внешним миром: клиентами, пользователями, поставщиками, партнерами, подрядчиками, компаниями, предоставляющими аутсорсинговые услуги и/или сервисы. Зачастую именно от того, как выстроены взаимоотношения с контрагентами, зависят успешность деятельности и развитие компании. В связи с этим особую значимость приобретают вопросы информационной безопасности при таком взаимодействии. В рамках данной статьи под контрагентами будем понимать сторонние (внешние) организации, реализующие услуги/работы или поставляющие товары, включая сервисы и программное обеспечение, на основании заключённых договоров.