Экспертный центр по кибербезопасности «Гарда» обобщил данные о деятельности APT-групп в 2025 году. Изучение доступных материалов свидетельствует о значительном кибернатиске на российские компании и сохраняющейся направленности злонамеренных акторов на государственные и промышленные объекты. Ключевыми целями атак остаются разведывательные операции и дестабилизация работы систем, при этом злоумышленники все активнее отказываются от заметных методов в пользу скрытных и выверенных действий. Такая информация была предоставлена CNews сотрудниками ГК «Гарда».
Во всех исследованных инцидентах первоначальным вектором проникновения в инфраструктуру являлись фишинговые атаки. Согласно отчету, каждая из обнаруженных группировок нацеливалась на российские госструктуры. На втором месте по количеству атак находятся промышленный и энергетический секторы, далее следуют сфера телекоммуникаций и образования. В некоторых случаях злоумышленники совмещали хищение информации с ее последующим удалением, в других — организовывали длительное скрытное присутствие для постоянного вывода конфиденциальных документов и данных для доступа.
Злонамеренные акторы применяют две основные тактики: целевые рассылки и маскировку вредоносных файлов под официальные документы или служебные программы. При этом содержание писем адаптируется под специфику деятельности жертвы, что увеличивает шансы на открытие вложения и активацию вредоносного кода. После получения первоначального доступа атакующие укрепляют свои позиции в системе, активно используя стандартные средства администрирования, инструменты для создания туннелей и фреймворки для постэксплуатации.
Широко используются скрипты PowerShell, задания в планировщике задач, автозагрузочные ключи реестра и инсталляция легальных агентов удаленного администрирования. Подобная методика помогает сохранять доступ даже после перезагрузки систем и избегать обнаружения средствами защиты, которые настроены на поиск очевидного вредоносного ПО.
На следующем этапе атаки группы приступают к разведке и горизонтальному перемещению по сети. Они собирают информацию об учетных записях пользователей, структуре домена и сетевых ресурсах, задействуя инструменты для анализа Active Directory и сканирования сети. Для перемещения между узлами применяются встроенные протоколы Windows, такие как RDP, SMB и WinRM, а также похищенные логины и пароли.
Управление скомпрометированными системами осуществляется через командные серверы (C2) с маскировкой сетевого трафика. Атакующие задействуют протоколы HTTPS и WebSocket, а также туннелирование через сервисы типа ngrok или публичные облачные платформы. Это затрудняет сетевой анализ и позволяет скрывать реальное местоположение управляющих серверов. В некоторых атаках отмечается переход на новые открытые C2-фреймворки (к примеру, AdaptixC2), которые дорабатываются для решения конкретных задач.
«Согласно данным исследования, злоумышленники всё чаще скрывают вредоносные действия под видом обычных рабочих процедур и санкционированного администрирования. В связи с этим критически важно не просто отслеживать все операции в инфраструктуре, но и усиливать защитные системы за счёт интеграции потоков разведданных об угрозах, TI-фидов. Они дают возможность заранее учитывать тактики, методы и инструменты определённых хакерских групп, оперативнее обнаруживать подозрительные последовательности событий и сокращать время реагирования на инциденты», – подчеркнул Илья Селезнев, руководитель продукта «Гарда Threat Intelligence Feeds».
