Почерк LLM: аналитики F6 изучили атаку с использованием PureCrypter и DarkTrack RAT

С каждым днем искусственный интеллект всё больше интегрируется в нашу жизнь и облегчает многие задачи. Но, к сожалению, он также используется и в арсенале киберпреступников. Так, в ходе ежедневного мониторинга угроз, 21.11.2025 специалисты F6 Threat Intelligence обнаружили вредоносный архив с именем Изделие-44 ДСП.rar (MD5: d3b6c14b4bbad6fd72881ff6b88a0de4), загруженный на одну из публичных онлайн-песочниц. Архив содержит в себе файл Изделие-44 ДСП.hta (MD5: e6846e5074ef5e583df74d989a32833f), запуск которого инициирует цепочку заражения: HTA-загрузчик -> EXE загрузчик\инжектор -> полезная нагрузка DarkTrack RAT. В ходе анализа содержимого указанного файла прослеживается простота кода, подробное его комментирование, форматирование и отсутствие грамматических ошибок. Эти признаки позволяют предположить, что злоумышленники использовали при разработке своего ВПО LLM.

https://habr.com/ru/companies/F6/articles/974578/

#threat_intelligence #киберразведка #llm #rat #darktrack_rat

Автоматизация обработки ТI-отчетов с помощью NER: как мы сэкономили время аналитиков

Привет, Хабр! Меня зовут Виктор Пронин, я старший аналитик киберугроз в центре компетенций группы компаний «Гарда». Мы формируем для Гарда Threat Intelligence Feeds данные об угрозах на основе обезличенной телеметрии из наших инсталляций, а для получения более полной картины обращаемся, в том числе, и к информации из открытых источников. В статье я расскажу об автоматизированной обработке публикаций по информационной безопасности. Кейс будет полезен аналитикам киберугроз и специалистам, интересующимся применением ML в ИБ.

https://habr.com/ru/companies/garda/articles/970034/

#threat_intelligence #NER #обработка_текстов #искусственный_интеллект #ml

Неугомонный VasyGrek: F6 изучила атаки злоумышленника в августе-ноябре 2025 года

В июле 2024 года был опубликован блог об исследовании специалистами Threat Intelligence компании F6 активности VasyGrek и его сотрудничестве с продавцом ВПО Mr.Burns . После публикации F6 VasyGrek прекратил сотрудничество с этим поставщиком вредоносных программ. Аналитики департамента киберразведки F6 продолжили отслеживать атаки злоумышленника, который не прекращал свою активность и осуществлял новые фишинговые рассылки в адрес российских организаций. Целью киберпреступника был доступ к конфиденциальным данным для их дальнейшего использования. Как правило, VasyGrek применял вредоносное ПО, разработанное пользователем хак-форумов PureCoder. Также специалисты F6 заметили, что в некоторых атаках в дополнение к ВПО от PureCoder шел шифровальщик Pay2Key . В новом блоге аналитики F6 рассказали об инструментах и атаках VasyGrek в августе-ноябре 2025 года с техническими деталями и индикаторами компрометации.

https://habr.com/ru/companies/F6/articles/970078/

#киберпреступность #киберразведка #threat_intelligence

Исследование Гарда: российский рынок использует устаревшие технологии анализа трафика

На связи Станислав Грибанов, эксперт по продуктам информационной безопасности, автор блога «Кибербезопасность и продуктовая экспертиза для бизнеса» и Ксения Крупкина, эксперт по продуктовому маркетингу в направлении сетевой безопасности группы компаний «Гарда» . Киберугрозы эволюционируют быстрее, чем когда-либо. Злоумышленники научились обходить традиционную защиту периметра и незаметно перемещаться внутри корпоративных сетей. Использование NDR-решений позволяет организациям раньше обнаруживать сложные сетевые угрозы, горизонтальное перемещение злоумышленников внутри сети, сокращать время реакции на инциденты, минимизировать ущерб и интегрировать защиту с существующей инфраструктурой. Узнать все о современных трендах NDR

https://habr.com/ru/companies/garda/articles/966006/

#ndr #защита_сетевой_инфраструктуры #реагирование_на_инциденты #исследование #network_security #active_response #network_trafic_analysis #nta #threat_intelligence #тренды_NDR

DPI-First: почему анализ трафика становится сердцем сети

Глубинный анализ трафика (DPI) больше не ограничивается фильтрацией пакетов. Шифрование, рост облаков и исчезновение сетевого периметра заставляют его меняться. На наших глазах DPI превращается в архитектурный элемент сетевого интеллекта — основу наблюдаемости, доверия и активной защиты. В статье разбираю, почему старые методы перестают работать, как DPI эволюционирует к поведенческому и ML-анализу, и почему распределённые DPI-системы могут стать сердцем сетей нового поколения.

https://habr.com/ru/articles/965070/

#dpi #ndr #threat_intelligence #ml #поведенческий_анализ #zero_trust #архитектура_безопасности #сетевой_трафик #распределенные_сети #кибербезопасность

Предиктивная безопасность: Dark Web Intelligence в OSINT

В кибербезопасности время реакции определяет масштаб ущерба. Чем раньше организация фиксирует признаки атаки, тем выше шанс предотвратить инцидент. Поэтому компании переходят от реактивных мер к проактивным стратегиям. Соответственно, важна интеграция данных из даркнета в OSINT (Open Source Intelligence). Это позволяет выявлять утечки учётных данных, эксплойты и схемы атак ещё до того, как о них станет известно. В результате, мы получаем снижение финансовых и репутационных рисков, а защита цифровых активов у нас более устойчива. В этом материале я хочу рассказать о том, как Dark Web‑разведка дополняет OSINT, рассмотреть реальные кейсы и дать практические советы по внедрению.

https://habr.com/ru/companies/beget/articles/956976/

#osint #darknet #кибербезопасность #анализ_данных #киберразведка #даркнет #soc #threat_intelligence #cti

Инновации в кибербезопасности: обзор Carmina AI от Innostage

Инновации в кибербезопасности: обзор Carmina AI от Innostage Автор: Олейникова Анна, директор по продуктовому развитию Innostage Innostage Carmina AI – это виртуальный помощник, объединяющий передовые технологии искусственного интеллекта, большие языковые модели (LLM) и машинное обучение (ML), предназначенный для специалистов центров мониторинга безопасности. Его главная цель – разгрузить специалистов от типовых операций, ускорить выявление угроз и обеспечить оперативное реагирование на киберинциденты.

https://habr.com/ru/companies/innostage/articles/956820/

#Carmina_AI #Innostage #ИИассисент #SOC #SOAR #SIEM #Threat_Intelligence #LLM #ML #TDIR

Нежданные гости: F6 проанализировала первые масштабные атаки группы Kinsing на российские компании

Установить злоумышленников удалось в результате исследования, которое провели аналитики F6 . Весной 2025 года один из клиентов компании зафиксировал попытку кибератаки на свои внешние сервера. Со списком IP-адресов, с которых велась атака, он обратился в департамент киберразведки (Threat Intelligence) компании F6 за атрибуцией.

https://habr.com/ru/companies/F6/articles/935988/

#kinsing #криптоджекинг #майнер #уязвимости #cve #киберразведка #threat_intelligence

Операция «Ликвидация»: изучаем и блокируем инфраструктуру группировки NyashTeam

Аналитики компании F6 вскрыли сеть доменов группировки, которая распространяет вредоносное ПО, а также предоставляет хостинг-услуги для киберпреступной инфраструктуры.

https://habr.com/ru/companies/F6/articles/928688/

#киберразведка #NyashTeam #maas #DCRat #webrat #threat_intelligence #противодействие_киберпреступности

Киберразведка по-русски: как развивается отечественный Threat Intelligence

Киберразведка по-русски: как развивается отечественный Threat Intelligence Сфера CTI — киберразведки — в России активно развивается, но разобраться в отечественных решениях бывает непросто. Как инженер-исследователь и энтузиаст этой темы, я изучил 10 ключевых TI-продуктов: от Kaspersky и PT ESC до R-Vision и Garda TI. В статье — функциональное сравнение, советы по выбору, особенности для КИИ, а также взгляд в будущее: отраслевые центры, обмен разведданными, роль AI. Рекомендации, интеллект-карта, наглядные таблицы — всё для того, чтобы TI в России стал ближе и понятнее.

https://habr.com/ru/articles/933642/

#cti #киберразведка #ioc #apt #фиды #кии #цифровой_суверенитет #threat_intelligence #фстэк #187фз

По ту сторону двери. Исследуем атаки группы room155

Киберпреступную группу, отслеживаемую департаментом киберразведки F6 по имени room155 , известную также как DarkGaboon и Vengeful Wolf, публично впервые описали в 2025 году специалисты Positive Technologies. Коллеги выяснили, что злоумышленники совершали атаки на российские компании как минимум с мая 2023 года. Итоги нашего исследования room155 на основе данных, полученных из решения F6 MXDR , позволили отследить активность группы с декабря 2022 года; собрать статистику по целям группы минимум из 9 отраслей; обнаружить множество инструментов, в том числе ранее не упомянутых исследователями (арсенал впечатляет: Revenge RAT, XWorm, Stealerium, DarkTrack, DCRat, AveMaria RAT, VenomRAT, LockBit 3.0); описать свежие атаки и связанные индикаторы компрометации.

https://habr.com/ru/companies/F6/articles/920920/

#киберразведка #threat_intelligence #шифровальщики

This is a Brian Krebsian investigation by the folks at @SophosXOps :

"When we looked into Sakura RAT, we quickly realized two things. First, the RAT itself was likely of little threat to our customer. Second, while the repository did indeed contain malicious code, that code was intended to target people who compiled the RAT, with infostealers and other RATs. In other words, Sakura RAT was backdoored."

https://news.sophos.com/en-us/2025/06/04/the-strange-tale-of-ischhfd83-when-cybercriminals-eat-their-own/

#threatintel #threat_intelligence
cc @briankrebs

Threat Hunting изнутри: как охотиться на атакующего

Threat Hunting — это навык находить атакующего там, где нет алертов. А еще это умение выдвигать гипотезу, проверять ее и превращать результат в рабочую экспертизу. А также это системная работа с инфраструктурой, в которой важен контекст, скорость мышления и понимание поведения злоумышленника. Меня зовут Алексей Леднев, я руковожу продуктовой экспертизой PT ESC в Positive Technologies. И сегодня я по кирпичикам разберу профессию Threat Hunter: как она устроена, кто этим занимается, какие ошибки совершают новички, какие навыки обязательны для Threat Hunter и как попасть в профессию.

https://habr.com/ru/companies/pt/articles/911246/

#обнаружение_атак #threat_hunting #security_operation_center #учебный_курс #цепочка_атаки_хакера #обнаружение_атаки #анализ_сетевого_трафика #сигнатуры #threat_intelligence #анализ_логов

Что ждёт сферу кибербезопасности в 2025 году: тренды, технологии и ключевые скиллы

В 2025 году специалисты по ИБ участвуют в разработке, анализируют угрозы до запуска продукта, выстраивают защиту в пайплайнах и помогают встроить её в архитектуру, процессы и повседневную работу всей компании. А ещё — осваивают ИИ и следят за тем, как меняются технологии. В статье рассказываем про шесть важных и интересных трендов в кибербезе, а также разбираемся, как войти в профессию, кто сейчас востребован и как развиваться тем, кто уже работает в ИБ.

https://habr.com/ru/companies/netologyru/articles/900718/

#кибербезопасность #информационная_безопасность #иб #инфосекьюрити #тренды_2025 #специалист_по_безопасности #threat_intelligence #devsecops #ии_в_руках_мошенников #soc

F6 фиксирует более чем двукратный рост числа выставленных на продажу веб-шеллов для доступа к белорусским ресурсам

С начала 2025 года специалисты Threat Intelligence компании F6 зафиксировали более чем двукратный рост числа веб-шеллов, выставленных на продажу после загрузки на сайты в доменной зоне .by , по сравнению с аналогичным периодом 2024 года. Подробнее об этой тенденции, обнаруженной на теневом рынке в первом квартале 2025 года, рассказал аналитик Threat Intelligence компании F6 Владислав Куган .

https://habr.com/ru/companies/F6/articles/897596/

#беларусь #киберразведка #вебресурсы #вебшелл #threat_intelligence

Руководство по выбору SOC: на что обратить внимание

Привет! Меня зовут Михаил Климов, я руководитель команды SOC в компании RED Security. Хочу поговорить про выбор SOC (Security Operation Center) — центра реагирования на инциденты информационной безопасности (ИБ). Вопрос актуален как никогда: в последнее время половина ленты Хабра посвящена кибератакам на бизнес, приняты законы, ужесточающие ответственность компаний за утечку персональных данных. Из-за этого многие директора по информационной безопасности обращаются к вопросу о создании процессов мониторинга событий ИБ в инфраструктуре и максимально быстрого реагирования на возможные кибератаки. Но как выбрать тот самый SOC и определиться с моделью поставок — отдельный вопрос. Я часто сталкиваюсь с тем, что компании начинают строить внутренний центр мониторинга, тратят около года на проект, и все это время защищенность остается на прежнем неудовлетворительном уровне. Затем они понимают, что самостоятельно его реализовать сейчас не могут, и в итоге обращаются к аутсорсингу. И напротив, поработав несколько лет с внешними поставщиками сервисов SOC, переходят к созданию внутреннего центра мониторинга. Как же понять оптимальный вариант поставки для конкретной компании на определенном этапе, чтобы не потратить время и ресурсы впустую, двигаясь методом проб и ошибок? Что правильнее: строить собственный центр реагирования или выбрать одно из готовых решений от многочисленных аутсорсинговых сервис-провайдеров? В этом посте я и мой коллега Ильназ Гатауллин, технический руководитель RED Security SOC, разобрали варианты организации SOC исходя из потребностей и ресурсов бизнеса.

https://habr.com/ru/companies/ru_mts/articles/889196/

#информационная_безопасность #SOC #SIEM #threat_intelligence #mssp #кибератаки #мониторинг_безопасности #реагирование_на_инциденты #анализ_логов #защита_инфраструктуры

Почему молчит SIEM: откровенный разговор о расследовании инцидентов

Если вы думаете, что расследование ИБ-инцидентов — это скучное копание в логах под монотонное жужжание серверов, то спешу вас разочаровать. Это скорее детективный сериал, где вместо отпечатков пальцев — логи, а место преступления — запутанная паутина корпоративной сети. И да, наш главный герой тоже любит эффектно снимать солнцезащитные очки, только вместо фразы «Похоже, у нас убийство» он говорит: «Кажется, у нас компрометация Exchange». В этой статье мы погрузимся в увлекательный мир расследования инцидентов, где каждый день — новая головоломка, а злоумышленники иногда оказываются более изобретательными, чем создатели CTF-заданий. Разберем ключевые аспекты этой непростой, но захватывающей работы: обсудим типичные сценарии атак, вспомним пару интересных историй из практики и ответим на вопрос о том, стоит ли компаниям идти на переговоры с хакерами.

https://habr.com/ru/companies/bastion/articles/882174/

#расследование_инцидентов #incident_response #threat_intelligence #soc #реагирование_на_инциденты #цифровая_криминалистика #кибербезопасность #цифровые_артефакты #триаж

Обычная практика Threat Hunting и причем тут пирамида боли

Привет Хабр! Меня зовут Иван Костыря, и я работаю в команде VK SOC, а точнее — в группе реагирования, куда стекаются все подозрения на инциденты информационной безопасности в компании. Сегодня хочу рассказать немного о том, как мы ищем угрозы в периметре компании, какие средства и техники для этого используем. Если коротко, то этот процесс можно описать так — мы задаем себе очень много вопросов и постоянно ищем на них ответы. Статья будет интересна начинающим специалистам: здесь я обобщил основные практики и рекомендации, которые выработаны в индустрии и проверены опытом нашей команды.

https://habr.com/ru/companies/vk/articles/881688/

#soc #threat_hunting #threat_intelligence #обучение #информационная_безопасность #информационные_технологии #siem #пирамида_боли #поиск_угроз #mitre

NDR – следующий уровень развития сетевой безопасности

Привет Хабр, меня зовут Станислав Грибанов, я руководитель продукта NDR группы компаний «Гарда». В информационной безопасности работаю с 2010 года, с 2017 года занимаюсь развитием продуктов для сетевой безопасности, автор блога «Кибербезопасность и продуктовая экспертиза для бизнеса» . Это вторая статья из цикла, в котором я помогаю разобраться, что скрывается за аббревиатурами IDS и NTA, NDR, SOAR, XDR и EDR. В первой статье я рассказал об IDS и переходном этапе в виде NTA. Закономерным этапом развития сетевой защиты стали системы класса NDR, и в этой статье я остановлюсь на особенностях работы технологии подробнее: рассмотрю ключевые проблемы детектирования и реагирования на киберугрозы, отличие NDR от систем сетевой безопасности на базе сигнатурного анализа. Статья будет полезна специалистам по информационной безопасности, инженерам сетевой безопасности, аналитикам и IT-руководителям, которые хотят глубже разобраться в различных технологиях обнаружения и предотвращения угроз. Кроме того, статья будет интересна тем, кто изучает современные подходы к защите и планирует внедрять NDR в инфраструктуру своей компании.

https://habr.com/ru/companies/garda/articles/873940/

#network_security #network_detection_and_response #network_trafic_analysis #machine_learning #ids #dpi #threat_intelligence #netflow #ndr #active_response

Network defenders should be monitoring and/or blocking VS Code remote tunnels, especially if VS Code is approved software at your organization (living-off-the-land binary aka LOLBIN). Adversaries can connect to workstations via these legitimate VS Code tunnels and potentially steal data or establish C2 without triggering proxy/firewall/email DLP rules. Pre-existing alerting will likely not fire for this activity as its legitimate network activity from signed Microsoft software through Microsoft-owned domains. I am not aware of any past or present intrusion campaigns which use this technique for data exfil/C2, but an internal retro threat hunt showed our red team probing this feature. Monitor or block vscode.dev/tunnel and tunnels.api.visualstudio.com for easy wins. Monitor the code-tunnel.exe binary or the remote tunnels extension installation for any attempts at starting the remote tunnel server on a host. Happy hunting.

MS Documentation on VSCode Remote Tunnels:
https://code.visualstudio.com/docs/remote/tunnels

#cti #threat_intelligence #threat_hunting