Идейные только на словах: реальная география атак хактивистов
posted
Хактивисты, позиционирующие себя как проукраинские, — 4BID, Хакерский кiт и C.A.S. — атакуют организации в Казахстане, ОАЭ, Египте и Сирии.
NDR
Kaspersky Anti Targeted Attack (КАТА) Platform с модулем Network Detection & Response (NDR) обеспечивает защиту от сложных угроз и целевых атак, контролируя различные векторы проникновения (сеть, веб-трафик, электронная почта) и предоставляет возможность проверять потенциально вредоносные объекты в песочнице.
Весенний урожай — кампания группы Leek Likho по охоте на документы
posted
Эксперты «Лаборатории Касперского» разбирают свежую кампанию группы Leek Likho, которая использует вложенные архивы, PowerShell-скрипты, сеть Tor и LLM для атак на российские организации.
Программное обеспечение DAEMON Tools заражено — атака на цепочку поставок продолжается с 8 апреля 2026 года
posted
updated UPD
Троянец скачали в более чем 100 странах и территориях; большинство жертв находилось в России, Бразилии, Турции, Испании, Германии, Франции, Италии и Китае.
Что скрывает BO Team: бэкдор ZeronetKit изнутри и связь с Head Mare
posted
Продолжаем изучать эту группировку, которая использует продвинутый инструментарий. Она сместила фокус на телекоммуникационный и нефтегазовый секторы, а мы получили доступ к исходному коду ее основного бэкдора и выявили любопытные индикаторы, связывающие ее с другой группой.
Геоинформационные данные под угрозой. Как HeartlessSoul атакует авиационную промышленность
posted
Делимся новыми деталями об активной кампании группы HeartlessSoul. Атакующие используют JavaScript-загрузчик и троянец удаленного доступа (RAT) для кражи конфиденциальных данных, в том числе геоинформационных.
Группа Geo Likho продолжает атаки на цели в России, фокусируясь на авиационной отрасли и водном транспорте
posted
Киберпреступная APT-группа Geo Likho совершает атаки против организаций в Российской Федерации и в Республике Беларусь как минимум с июля 2024 года.
Адаптируйся или плати. Разбор фреймворка AdaptixC2
posted
Разбираем, как Kaspersky Anti Targeted Attack детектирует сетевую активность агентов AdaptixC2 по протоколам HTTP/S, TCP, SMB и другим, а также как решения класса EDR могут обнаруживать постэксплуатационные действия на хосте.
CPU-Z / HWMonitor: атака типа watering hole — метод копипаста
posted
updated UPD
В апреле 2026 года веб-сайт cpuid.com распространял троянизированные установщики CPU-Z и HWMonitor с внедрённым STX RAT. Более 150 жертв в Бразилии, России и Китае.
Группа RGB-Team: кто стоит за стилером CMoon и откуда он взялся
posted
Разбираем активность хактивистской группы RGB-Team, взявшей на себя ответственность за атаки CMoon в 2024 году, и выясняем, откуда взялся этот стилер.
Вас посетил вымогатель Лабубу: Toy Ghouls шифруют данные российских компаний
posted
Эксперты «Лаборатории Касперского» проанализировали атаки вымогательской группы Toy Ghouls (также bearlyfy, laboo.boo) по системе Unified Kill Chain и выявили возможные связи с Head Mare.
Ищем Mythic в сетевом трафике
posted
Разбираем сетевую активность Mythic, в частности коммуникацию агентов с C2 и создаем детектирующие правила для решений класса Network Detection and Response (NDR) на основе сигнатурного и поведенческого анализа.
Отчеты
Активность Cloud Atlas во второй половине 2025 года и в начале 2026 года: новые инструменты и вредоносная нагрузка
Cloud Atlas атакует госсектор и дипломатические структуры России и Беларуси, применяя ReverseSocks, SSH и Tor для закрепления в зараженных системах и свой новый инструмент PowerCloud.
Librarian Likho масштабирует атаки: анализируем новую кампанию группы
Разбираем новую кампанию Librarian Likho с массовой рассылкой фишинговых писем и обновленными скриптами. Атаки продолжаются на момент публикации.
Последние кампании HoneyMyte: обновленный бэкдор CoolClient и несколько вариантов стилера
Разбираем обновленный бэкдор CoolClient, а также новые инструменты и скрипты, замеченные в кампаниях APT-группы HoneyMyte (aka Mustang Panda и Bronze President), включая три браузерных стилеров.
Активность Cloud Atlas в первой половине 2025 года: что изменилось
Эксперт «Лаборатории Касперского» описывает новые вредоносные инструменты, применяемые APT-группой Cloud Atlas, включая импланты бэкдоров VBShower, VBCloud, PowerShower и CloudAtlas.
