ESCalator

Держим руку на Pulse: кибератаки группировки Mythic Likho на КИИ России 🔮 Департамент Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC) провел комплексное исследование кибератак Mythic Likho на критическую инфраструктуру России, объединив данные киберразведки, результаты расследований инцидентов и публично вскрытые следы активности группировки. Цель исследования — сформировать в индустрии исчерпывающее понимание тактик, техник и средств нападения группировки. Кл...

Проникнуть в офис через Office 👨‍💻 Группа киберразведки PT ESC зафиксировала первую фишинговую кампанию с использованием CVE-2026-21509, направленную на российские организации. Злоумышленники распространяют RTF-документы, оформленные под служебную переписку (скриншоты 1–2). Внутри RTF-документа встроен OLE-объект с CLSID EAB22AC3-30C1-11CF-A7EB-0000C05BAE0B (Shell.Explorer.1). Данные объекта упакованы в OLE-хранилище; в стриме CONTENTS находится специально сформированный .lnk-ярлык, указывающи...

Необычная обфускация — это всегда красиво... 🥰 ... жаль, что ее приходится видеть в троянистых опенсорс-пакетах, а не только на соревнованиях по информационной безопасности Capture The Flag (CTF). Одна из задач злоумышленника — сделать вредоносный пакет, который выглядит легитимным. Это позволит дольше избегать обнаружения. Мы заметили интересную PyPI-кампанию, в которую входит библиотека requests-ml-min за авторством scott.fitzgerald. В ней всего шесть Python-файлов: 1️⃣ setup.py. Есть исполне...

Заразить государство и заработать 3 рубля 🪙 В конце февраля и начале марта специалистами отдела исследования угроз PT ESC были выявлены атаки на различные организации Алжира, Кувейта и Монголии. Рассылки маскировались под сообщения от энергетических компаний, государственных структур и военных организаций соответствующих стран. Злоумышленники распространяли вредоносные архивы потенциальным жертвам, внутри которых находились: • ярлык .lnk (например, «Weapons requirements for the Kuwait Air Force...

Заразить государство и заработать 3 рубля 🪙 В конце февраля и начале марта специалистами отдела исследования угроз PT ESC были выявлены атаки на различные организации Алжира, Кувейта и Монголии. Рассылки маскировались под сообщения от энергетических компаний…

Базовый минимум киберразведки 👍 На этой неделе проведем пятый эпизод вебинара «Лучше звоните PT ESC», где мы разбираем практические сценарии работы с данными киберразведки. В этот раз поговорим о базовых данных TI. Проверка вердиктов и загрузка фидов в СЗИ — задачи достаточно очевидные, поэтому сосредоточимся на более сложных ситуациях: когда вы только заметили подозрительную активность или когда индикаторы уже сработали, но дополнительного контекста по угрозе почти нет. Покажем, как можно расш...

Опять CFG 👋 Частой задачей при извлечении конфигураций ВПО на потоке является получение границ функций и ссылок. Наиболее типичный пример — функции декрипта строк, поскольку там зачастую отличаются только входные аргументы, содержащие зашифрованный буфер. Подобный функционал является базовой частью инструментов для анализа, таких как IDA, Binary Ninja и др., но для наших нужд они избыточны и не всегда удобны для встраивания в проект. 🤔 Далее на ум приходит angr. Попробуем построить CFG с его п...