Мошенники адаптировались к ограничениям работы мессенджеров. С февраля пользователям многочисленных мессенджеров, включая MAX, Telegram и WhatsApp (принадлежит экстремистской организации Meta, запрещённой на территории РФ) всё чаще приходят сообщения от ранее взломанных контактов. В посланиях эмоциональный текст, ссылки на каналы в Telegram или вредоносные сайты. Потенциальную жертву активно убеждают установить приложение на телефон, ведь только так она сможет увидеть фотографии и видео, опознать знакомых.

После установки приложения, которое на самом деле является вредоносным, телефон оказывается под контролем злоумышленников. Они получают доступ к приложениям для дальнейшего распространения ВПО и пытаются вывести все доступные средства со счетов жертвы.

По смыслу это та же схема «Мамонт», но с учётом новых реалий.

Разберём, что поменялось, по шагам и расскажем, почему это всё ещё работает. Приведём рекомендации, как усложнить жизнь злоумышленникам. Ну и в конце — инструкция, что делать, если рекомендации не сработали.

 «Я ничем не интересен хакерам. Что с меня взять?» Эта фраза — классика жанра в спорах о кибербезопасности с малым бизнесом. Как показывает практика, следующий контакт с таким предпринимателем происходит уже на этапе расследования взлома. 

Недавно я наблюдал за одним очень показательным спором. «Я ничем не интересна мошенникам, мне нечего скрывать, — написала девушка в чате популярного мессенджера. — Смартфон — это вероятность утечки, ну и пусть. Кому нужны мои переписки с подругами или обсуждения в волонтёрской группе?».

Использование API помогает выстраивать подобные архитектуры, а некоторые команды даже практикуют API-first разработку (приложение разрабатывается сначала с использованием API, а уже потом покрывается Веб-интерфейсом). И, когда вокруг нас такое развитие, мы как безопасники, задаемся  вопросом: а достаточно ли защищено приложение, использующее API?

API Gateway: Первый претендент на защиту API

При упоминании API одна из первых ассоциаций — API Gateway. Возникновение этого класса решений — логичный ответ на сложность поддержки разрастающегося количества эндпоинтов: системам нужна «единая точка входа», чтобы планировать маршруты, трансформировать протоколы (из JSON в gRPC и обратно) и вешать базовую авторизацию.

Продолжаем серию публикаций по вредоносным APK для Android. В новогодние праздники злоумышленники хорошо поработали: Angara MTDR обнаружила рассылку новых модификаций Mamont, которые исследовать гораздо сложнее, — они сразу выявляли запуск в песочницах и использование средств динамического анализа. Пришлось потратить пару дней, чтобы разобраться, в чём дело и что же добавили нового.

В статье рассмотрим:

- краткую историю возникновения ВПО семейства Mamont/«Мамонт»;
- новые способы защиты и обхода средств анализа, которые появились в начале 2026 года;
- некоторые рекомендации, как не заразиться и снизить опасность угрозы заражения;
- советы, как удалить и что делать, если есть подозрения о заражении.

Продолжаем разбирать одну из главных на сегодняшний день киберугроз — программы-вымогатели. В прошлой статье мы заложили базу: проследили их эволюцию, разобрали виды шантажа, мотивацию злоумышленников и затронули вопрос о выплате выкупа.

Теперь перейдём от теории к практике. В этой части сосредоточимся на реагировании на атаку. Разберём чему посвящены этапы реагирования и перечислим действия, которые необходимо предпринять на каждом из этапов.

В стандартных моделях реагирования на инциденты, таких как NIST SP 800-61r2 и методологии PICERL SANS, выделяется 3 шага по устранению активной угрозы и возобновлению нормальной работы: Сдерживание (Containment), Устранение (Eradication), Восстановление (Recovery). Эти шаги следуют после Подготовки (Preparation), Обнаружения (Detection) и Анализа (Analysis) и предшествуют Анализу после инцидента (Post-Incident Activity).

В этой серии из двух статей я попытаюсь представить необходимую информацию о программах-вымогателях и атаках, связанных с ними, включая рекомендации по ключевым этапам реагирования на подобные атаки.

Первая часть посвящена основам, поговорим про развитие программ-вымогателей, а в частности шифровальщиков, виды вымогательства, злоумышленников, которые атакуют и в целом про организацию подобных атак.

В ноябре 2025 года эксперты по реагированию на инциденты Angara MTDR столкнулись с несколькими инцидентами с участием группировки Warlock (Lenient Wolf, Storm-2603, GOLD SALEM). Данный кластер активности использует уязвимости внешнего контура как один из первоначальных векторов атак, например, CVE-2023-24955, CVE-2025-49704, CVE-2025-49706, CVE-2025-53770, CVE-2025-53771, в опубликованном веб-приложении SharePoint. В октябре 2025 года этот ряд пополнился свежей уязвимостью WSUS — CVE-2025-59287, которая имеет рейтинг критичности 9,8 из 10 по CVSS.

Всем привет! Сегодня с нами отдела исследования киберугроз Angara Security и его эксперт Артемий Цецерский. Поговорим о вредоносных расширениях браузера и о том, как их эксплуатируют злоумышленники. 

Привет, Хабр. Сегодня мы расскажем вам о таком звере, как eWPTX (Web Application Penetration Testere Xtreme), сертификации для веб-пентестеров от INE Security. В данной статье мы с вами разберёмся:

• что это за сертификация;

• чему и как нас будут учить;

• действительно ли она eXtreme.

Ну и попутно будем сравнивать eWPTX с Burp Suite Certified Practitioner (BSCP), ещё одной широко известной сертификацией в области анализа защищённости веб-приложений.

Привет! Это Angara Security и наш эксперт отдела безопасной разработки Андрей Быстров. Совсем недавно состоялся релиз OSA Proxy, нового модуля продукта CodeScoring.OSA. В этой статье попробуем разобраться в задачах данного модуля и подходах к его использованию.
Начать стоит с основ: каким образом реализуется проверка программного обеспечения с открытым исходным кодом в инструментах композиционного анализа на этапе OSA? Для наглядности приведем простую схему. Она также будет полезна в дальнейшем для сравнения архитектурных подходов к задаче проверки Open Source зависимостей.

Всем привет! На связи Титов Антон, ведущий эксперт компании Angara Security по направлению защиты веба.

Зачем нужен WAF

WAF (Web Application Firewall) — сервис защиты веб-приложений от хакерских атак и угроз в интернете на прикладном уровне. Он отслеживает и проверяет весь входящий и исходящий трафик преимущественно по протоколам HTTP/HTTPS, блокируя подозрительные запросы ещё до того, как они доберутся до приложения.

По данным Red Team Angara Security, в более 50% случаев первичное проникновение во внутреннюю сеть организаций происходило через уязвимости публично доступных веб-приложений. Согласно исследованию Positive Research от 2025, в 44% случаев точкой входа в инфраструктуру были уязвимые веб-приложения, похожие цифры дает и Лаборатория Касперского» (39%). По данным исследований Angara MTDR, первоначальный доступ в каждую шестую организацию был связан с эксплуатациями уязвимостей на публично-доступных серверах, причем злоумышленники преимущественно используют «проверенные временем» бреши.

Таким образом, можно сделать вывод, насколько важно иметь защиту своих веб-ресурсов в лице WAF. Однако…

Проблема внедрения и использования WAF

WAF – всего лишь инструмент, и как с любым инструментом, с ним необходимо правильно обращаться. Как пример из жизни, вряд ли вы захотите сверлить отверткой, или, допустим, окружать свой участок забором без ворот. К слову, о воротах…

Всем привет! На связи Angara Security. Сегодня Лариса Карпан, старший специалист по безопасной разработке, подготовила статью для AppSec- и DevSecOps-специалистов, а также для CISO, которые уже столкнулись с интеграцией ИИ в свои процессы и системы, но пока не знают, с какой стороны подойти к вопросам безопасности. Это, по сути, «MLSecOps для самых маленьких».

Просим опытных экспертов в области безопасности AI проходить мимо и не бросаться помидорами, статья рассчитана на новичков в данной области. Также хотим подчеркнуть, что данный материал относится ко всем типам ML-моделей, включая генеративный ИИ (GenAI) и предиктивный ИИ (PredAI).

Привет, с вами снова отдел реагирования и цифровой криминалистики Angara MTDR. Наш эксперт Александр Гантимуров, руководитель направления обратной разработки Angara MTDR, исследовал вредоносные APK-файлы, которые активно используют злоумышленники в социальных сетях и мессенджерах под видом срочной распродажи личных вещей.

Привет, это снова Angara Security и наши эксперты по киберразведке Angara MTDR. Сегодня мы расскажем, что можно узнать об инфраструктуре компании, используя легитимные онлайн-сервисы, и дадим советы, как защитить организацию от неприятных сюрпризов.

Мы обнаружили фишинговый ресурс крупной логистической компании, на котором пользователям предлагали установить фишинговый файл под видом приложения для отслеживания доставки грузов и изучили вредонос. Расскажем, как он выглядит со стороны пользователя, чем грозит его установка, и как ВПО работает внутри.

Привет! На связи Яков Филевский, и сегодня я разбираю схему по ремонту бытовой техники, которая приносит мошенникам неплохую прибыль, ведь они отлично знают, что такое «сарафанное радио» на современный лад.

Сломалась стиральная машина, посудомойка перестала отмывать посуду, а любимый пес затоптал ковер в спальне? Куда идет современный человек за помощью и поддержкой в таких случаях? У кого просят контакты специалистов по ремонту и чистке? Конечно, в соцсети. Ведь только соседи знают заветный номер «дяди Васи», который не раз выручал. Эту особенность соотечественников отлично изучили мошенники и активно используют «сарафанное радио» в своих целях.

Как это было

«Я на днях спрашивала о мастере по ремонту стиралки, так вот постучался этот персонаж в личку @EvgeniyRemontnikи, развел меня на покупку детальки, и ни детальки, ни гугу от "мастера". Не знаю, откуда он вдруг взялся, но, на всякий случай, будьте бдительны», — такое сообщение появилось в большом соседском чате мессенджера Telegram. Об этом персонаже написал и другой участник группы. К нему пришел в личные сообщения @Master Evgeniyyy и предлагал услуги по ремонту сломавшейся кофемашины — вопрос по починке также был в группе. Третьему соседу, искавшему спеца по ремонту холодильника, ссылку на профиль «мастера» скинул в личные сообщения кто-то из участников группы — найти доброхота не удалось.

В ходе бурного обсуждения деятельности «экспертов по ремонту» выяснилось, что пострадавшая зашла в профиль написавшего ей мастера, изучила отзывы на рекламируемом им YouTube-канале и узнала порядок работы специалиста: компания зарегистрирована на Кипре, магазин запчастей работает в Telegram, оплата производится через карту банка одного из маркетплейсов. В процессе переписки «мастер» провел онлайн-диагностику техники и поиск запчастей по артиклю, жертва произвела оплату в рублях по курсу Банка России.

В сентябре 2025 года исследователи из Angara MTDR обнаружили, что фреймворк AdaptixC2 стал использоваться в атаках на организации в Российской Федерации.

Сегодня мы, Лада Антипова и Александр Гантимуров, расскажем, что представляет собой фреймворк постэксплуатации AdaptixC2, как выявлять следы его использования и чем отличается выявленный способ эксплуатации фреймворка от всех описанных публично ранее.

В результате расследования компьютерного инцидента был выявлен инструмент злоумышленников, который использовался для закрепления в скомпрометированной системе. Он выгодно отличался от других видов типового и самописного ВПО, которые эти же злоумышленники использовали в ходе атаки. Образец обладал обширным набором команд, был хорошо спроектирован, а также имел широкие возможности по конфигурации. После непродолжительного исследования стало ясно, что перед нами агент Beacon от фреймворка постэксплуатации AdaptixC2.

AdaptixC2 — это фреймворк для постэксплуатации, который часто сравнивают с такими известными инструментами, как Cobalt Strike и Brute Ratel. В отличие от них, AdaptixC2 полностью бесплатен и доступен на GitHub.

Ранее о его применении в кибератаках на другие страны сообщали Symantec, Palo Alto и «Лаборатория Касперского». Поэтому появление AdaptixC2 в арсенале злоумышленников, атакующих организации в России, было лишь вопросом времени.

Всем привет!

Специалисты Angara MTDR выявили и исследовали новую волну кибермошенничества с установкой вредоносных приложений на телефон. В этот раз злоумышленники предлагают получить бонус от банка и предоставить доступ к своему телефону. Сегодня Александр Гантимуров, руководитель направления обратной разработки Angara Security расскажет, как это выглядит со стороны пользователя, чем грозит и как это работает внутри.

Введение

В настоящее время банковский сектор остается одной из наиболее привлекательных целей для злоумышленников, в связи с чем банки и их клиенты постоянно сталкиваются с различными угрозами. Одна из таких угроз — вредоносное программное обеспечение (ВПО). Атаки с использованием ВПО могут проводиться при помощи рассылок в мессенджерах, SMS-сообщениях, по электронной почте, а также при помощи фишинговых сайтов, схожих с официальными банковскими ресурсами, где жертв под различными предлогами убеждают установить «официальное» приложение.

В результате установки такого приложения на устройство пользователя внедряется вредоносная программа. Она может позволить злоумышленникам не только украсть личные данные и денежные средства со счета, но и получить полный доступ к управлению устройством. Так, по данным Банка России, в 2024 году атаки на клиентов финансовых организаций в 58% случаев проводились при помощи фишинговых ресурсов, на которых в том числе распространялось и вредоносное программное обеспечение.

В последнее время был зафиксирован всплеск активности сайтов, на которых клиентам предлагали принять участие в опросе об удовлетворенности работой и услугами определенных банков. За прохождение подобного опроса пользователям обещали денежное вознаграждение в размере 6 тыс. руб.

Привет! Это Камиль Камалетдинов и Егор Григорьев, специалисты Angara SOC. Мы обнаружили и изучили вредоносное ПО, которое злоумышленники распространяют в тематических группах, посвященных поиску пропавших в зоне СВО.

По подсчетам экспертов Отдела защиты бренда Angara SOC, на 43% каналов, посвященных поиску пропавших в зоне СВО, распространяются APK-файлы, содержащие вредоносное ПО.

С начала 2025 года в мессенджереTelegram все чаще стали появляться тематические группы с названиями «Поиск пропавших на СВО», «Пропавшие без вести СВО», созданные для помощи родственникам и волонтерам. Этим воспользовались злоумышленники, которые быстро придумали новую схему обмана пользователей.

Мошенники создают каналы с похожими названиями. На первый взгляд, такие ресурсы выглядят как каналы для помощи в поиске пропавших людей или как обычные информационные сообщества. В группах публикуются новостные посты о ходе СВО и списки пропавших военнослужащих в виде фотографий, PDF-и Excel-файлов с фамилиями и данными пропавших.

Но спустя некоторое время в этих же группах начинают появляться APK-файлы с названиями: «Списки действующих бойцов», «Список СВО», «Список погибших», «Список пленных». Также в группах могут публиковаться ссылки для скачивания этих файлов. Данные файлы, как утверждают авторы, содержат «расширенные списки» или «приложение с интерактивным поиском пропавших людей». Как правило, данные сообщения сопровождаются отзывами о работоспособности данного «приложения».

Друзья, всем привет! Сегодня в эфире Яков Филёвский, эксперт по социотехническому тестированию Angara Security, и мы хотим поговорить о тревожном тренде, который уже успел навредить многим семьям.

МВД предупреждает о новом виде мошенничества в России: преступники звонят или пишут подросткам, выдавая себя за школьных или вузовских психологов. 

Схема многоступенчатая и продуманная. Сначала злоумышленники под предлогом психологического тестирования присылают фишинговые ссылки. Затем жертве сообщают, что её персональные данные похищены, и в дело вступают «сотрудники полиции». Под мощным психологическим давлением подростков вынуждают снимать и переводить деньги со счетов родителей, передавать наличные и даже вовлекают в преступные махинации. 

Обман по нарастающей

Преступники мастерски используют методы социальной инженерии: выдают себя за других людей и отыгрывают роли. В работе с подростками они выбирают персонажей, которым жертва охотно поверит. Одна из самых распространённых сейчас схем — «звонок психолога». 

Образ психолога предполагает безусловное доверие и авторитет, а также создает ощущение безопасности, ведь к такому специалисту мы обращаемся за помощью, считаем его надёжным человеком. Особенно велика вероятность, что подросток поверит мошеннику под такой маской, если он недавно обращался к психологу или в его учебном заведении проводили опросы и анкетирование. В качестве второго этапа преступники подключают следующую, более весомую роль «сотрудника правоохранительных органов» или «следователя». Этот переход создает эффект эмоциональных качелей: спокойное и доверительное общение с «психологом» переходит к стрессовому общению с «правоохранителем» в угрожающем тоне. Иногда «психолог» используется для постепенного погружения в тревогу, где жертву уже подхватывает следующий персонаж.