Kaspersky Threat Lookup теперь ищет IoC в OSINT с помощью ИИ

Екатерина Быстрова 12 Февраля 2025 - 12:22

Системы мониторинга событий безопасности

Поиск и обнаружение атак (Threat Intelligence)

...

Kaspersky Threat Lookup теперь ищет IoC в OSINT с помощью ИИ

«Лаборатория Касперского» обновила сервис Kaspersky Threat Lookup, добавив в него возможность поиска информации об индикаторах компрометации на основе данных из открытых источников (OSINT).

Новый инструмент с элементами ИИ анализирует доступные материалы и формирует краткую сводку из релевантных публикаций.

Это позволяет специалистам по информационной безопасности быстрее получать контекстные сведения, не тратя время на ручной анализ большого объёма информации.

Сервис Kaspersky Threat Lookup предоставляет доступ к накопленным данным о киберугрозах, включая URL-адреса, домены, IP-адреса, хеши файлов, названия угроз, статистику и поведенческие данные, а также информацию WHOIS и DNS, атрибуты файлов, геолокацию, цепочки загрузок и временные метки.

Такой подход позволяет отслеживать как уже известные угрозы, так и новые атаки, что способствует более оперативному реагированию на инциденты. Доступ к сервису осуществляется через Kaspersky Threat Intelligence Portal.

Теперь при запросе индикаторов, таких как хеши, домены или IP-адреса, пользователи смогут получать контекстную информацию о потенциальных угрозах. В результате поиска отображаются сведения об источниках угроз, затронутых странах и отраслях, использованном ПО и связанных кибергруппах.

Пользователи также смогут просматривать список релевантных материалов из открытых источников и краткие выдержки из них, сгенерированные на основе ИИ.

Для поиска данных достаточно ввести в Kaspersky Threat Lookup URL, домен, хеш или другой идентификатор. Полученные результаты включают как информацию из баз «Лаборатории Касперского», так и аналитические данные, собранные из открытых источников, которые будут доступны во вкладке «OSINT».

Расширенный поиск поддерживает анализ IP-адресов, доменов, URL-адресов, строк, соответствующих стандартным соглашениям об именовании хостов, а также хешей файлов (MD5, SHA1, SHA256).

По словам Анатолия Симоненко, старшего менеджера по продукту «Лаборатории Касперского», автоматизация рутинных задач в кибербезопасности помогает специалистам эффективнее работать с угрозами:

«Чем меньше времени тратится на ручной поиск информации, тем больше ресурсов остаётся для анализа сложных атак. Использование ИИ при работе с OSINT позволяет ускорить этот процесс и упростить сбор данных, необходимых для исследования угроз».

Следующая главная новость »

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!

Екатерина Быстрова 13 Февраля 2026 - 14:14

Бэкдоры Трояны Кибершпионаж Целевые атаки Таргетированные атаки Корпорации Государство Лаборатория Касперского

Head Mare атакует российские госструктуры новым бэкдором PhantomHeart

Хактивистская группировка Head Mare снова активизировалась. Аналитики Cyber Threat Intelligence «Лаборатории Касперского» в конце 2025 года зафиксировали новую волну целевых атак на российские госструктуры, строительные и промышленные компании. И судя по всему, инструментарий группы стал более продуманным и автоматизированным.

Главная находка — новый бэкдор PhantomHeart. Изначально он распространялся как DLL-библиотека, но позже злоумышленники переработали его в PowerShell-скрипт.

Это вписывается в стратегию Living-off-the-Land (LOTL), когда атакующие используют штатные инструменты Windows, чтобы не привлекать лишнего внимания. Чем меньше стороннего «зловреда» на диске, тем сложнее его обнаружить.

Вектор первоначального доступа остаётся прежним. Head Mare продолжает эксплуатировать уязвимость BDU:2025-10114 в TrueConf Server. В отдельных случаях используются и фишинговые рассылки. То есть проверенные способы проникновения сочетаются с обновлённой «начинкой» внутри сети.

PhantomHeart после запуска разворачивает SSH-туннель по команде с сервера управления. Это даёт операторам устойчивый удалённый доступ к системе. Параллельно бэкдор собирает базовую информацию: имя компьютера, домен, внешний IP и уникальный идентификатор.

Закрепление в системе тоже продумано: в одной из атак вредонос запускался через планировщик заданий под видом легитимного скрипта обновления в директории LiteManager — популярного инструмента удалённого администрирования. Фактически активность маскировалась под обычную работу ПО.

Кроме того, эксперты отмечают рост автоматизации. Head Mare добавила новые скрипты и утилиты для постэксплуатации. Они помогают автоматически закрепляться в системе, управлять привилегиями и организовывать сетевой доступ. Такой подход снижает «ручную» нагрузку на операторов и позволяет проводить больше атак с большей скоростью и повторяемостью.

Продукты «Лаборатории Касперского» детектируют используемые инструменты под различными вердиктами, включая HEUR:Trojan-Ransom.Win32., Backdoor.PowerShell.Agent.gen и Trojan.PowerShell.Agent..

Подробный технический разбор новой активности Head Mare опубликован на Securelist. Аналитики также отмечают, что тактики и процедуры этой группировки вписываются в более широкую картину угроз, описанную в отчёте «Записки цифрового ревизора: три кластера угроз в киберпространстве».

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!