Positive Technologies: APT-группировки стали чаще использовать фишинг даже в сложных атаках

Во втором квартале 2025 года специалисты департамента threat intelligence экспертного центра безопасности Positive Technologies (PT ESC TI) зафиксировали рост активности киберпреступных группировок и хактивистов в отношении российских организаций. В качестве первоначального вектора злоумышленники чаще всего использовали фишинговые письма, причем как в распространенных сценариях, так и в атаках нулевого дня. Эксперты также отметили рост числа вредоносных файлов, код которых был частично сгенерирован нейросетями. Применяя общедоступные AI-сервисы, киберпреступники быстро адаптировали модули для обхода классических средств защиты. О примечательных кибератаках исследователи рассказали в своем отчете.

Группировка TA Tolik отправляла фишинговые письма с архивом, внутри которого был вредоносный файл, замаскированный под официальный документ или уведомление от государственных органов. При его открытии на жестком диске устройства жертвы разворачивался набор скриптов. Выдавая свои алгоритмы за легитимные программы, злоумышленники создавали задачи в планировщике и добавляли зловредный код в реестр Windows (в нем хранятся все параметры и конфигурации операционной системы и установленных приложений). Далее скрипты запускались автоматически, получали команды и модули из реестра, расшифровывали их и загружали вредоносную нагрузку в оперативную память. Такие атаки сложно обнаружить, потому что код скрыт, он не хранится в явном виде и активируется только в процессе выполнения.

Другая группировка — Sapphire Werewolf — рассылала фишинговые письма с архивами с помощью бесплатного легитимного сервиса для оправки больших файлов. При запуске вирусный документ сначала проверял, не попал ли он в песочницу, то есть в изолированную виртуальную среду для динамического анализа. Если угроза подтверждалась, зловред завершал работу. Группа PhaseShifters также использовала вредонос, который проверял наличие средств защиты в инфраструктуре жертв; в зависимости от результатов параметры последующего запуска ВПО модифицировались. Киберпреступники распространяли программу через фишинговые рассылки от лица Минобрнауки.

Во втором квартале высокую активность показали и хактивисты. Например, злоумышленники из сообщества Black Owl провели целевую кампанию, приуроченную к транспортно-логистическому форуму. Через специально созданные фишинговые сайты, якобы принадлежащие организаторам мероприятия, распространялось ВПО.

«Мы систематически регистрируем факты компрометации российских веб-ресурсов. Как показывает практика, хактивисты в основном взламывают небольшие сайты — онлайн-магазины, персональные блоги и региональные информационные порталы. Затем злоумышленники размещают там пропагандистские материалы, перенаправляют трафик на поддельные страницы или внедряют вредоносный код для дальнейшего развития атаки. Некоторые APT-группировки используют взломанные ресурсы для проведения многоступенчатых фишинговых кампаний, а часть злоумышленников продают свои трофеи на теневом рынке», — рассказал Денис Казаков, специалист группы киберразведки TI-департамента экспертного центра безопасности Positive Technologies.

Чтобы не оказаться в числе жертв подобных атак, специалисты рекомендуют пользователям внимательно читать электронные письма. Если имя отправителя вам незнакомо или у него нестандартный адрес, если вас просят сделать что-то срочно или упоминают названия госучреждений и надзорных органов — это первые признаки фишинга. Компаниям эксперты предлагают выстраивать эшелонированную защиту инфраструктуры: обеспечивать безопасность почты с помощью шлюзов (SEG) и сетевых песочниц (PT Sandbox), а также тестировать ее защищенность с помощью сервисов для проверки безопасности электронной почты (PT Knockin), защищать конечные устройства с помощью антивирусных решений и средств защиты конечных точек (MaxPatrol EDR), а также постоянно анализировать сетевой трафик системами поведенческого анализа (PT Network Attack Discovery).