Во втором квартале 2025 года специалисты департамента threat intelligence экспертного центра безопасности Positive Technologies (PT ESC TI) отметили рост активности APT-группировок и хактивистов, нацеленных на российские организации. Основным способом первоначального проникновения злоумышленники всё чаще выбирали фишинговые письма — как в типовых сценариях, так и в атаках нулевого дня. Также зафиксирован рост числа вредоносных файлов, частично созданных при помощи нейросетей: используя доступные AI-сервисы, киберпреступники быстро модифицировали модули для обхода традиционных защитных решений. Об этих атаках специалисты рассказали в новом отчёте.
Группировка TA Tolik рассылала письма с архивами, где вредоносный файл маскировался под официальный документ или уведомление госорганов. После открытия на устройстве жертвы запускался набор скриптов, которые создавали задачи в планировщике и вносили изменения в реестр Windows, выдавая себя за легитимное ПО. Далее код активировался автоматически, получал команды и модули из реестра, расшифровывал их и загружал в оперативную память. Такой подход затруднял обнаружение, поскольку вредонос не хранился в открытом виде.
Группа Sapphire Werewolf рассылала заражённые архивы через бесплатный легитимный сервис передачи файлов. Встроенный в документ вредоносный код сначала проверял, не находится ли он в песочнице — среде динамического анализа. При её обнаружении программа завершала работу. Аналогичный приём использовала и группировка PhaseShifters: их ПО анализировало наличие защитных инструментов в инфраструктуре жертвы и в зависимости от этого меняло параметры дальнейшей работы. Распространение велось через фишинговые письма якобы от Минобрнауки.
Повысилась активность и хактивистов. Так, сообщество Black Owl провело атаку в период транспортно-логистического форума. Для этого были созданы поддельные сайты, имитирующие страницы организаторов мероприятия, через которые распространялось вредоносное ПО.
«Мы регулярно фиксируем факты взлома российских интернет-ресурсов. Чаще всего хактивисты атакуют небольшие сайты — интернет-магазины, личные блоги, региональные новостные порталы. Затем они размещают на них пропагандистские материалы, перенаправляют пользователей на фишинговые страницы или внедряют вредоносный код для дальнейших атак. Некоторые APT-группы используют такие ресурсы в многоуровневых кампаниях, а часть злоумышленников продаёт доступ на теневых площадках», — сообщил Денис Казаков, специалист группы киберразведки PT ESC TI.
Чтобы снизить риски, эксперты советуют пользователям внимательно относиться к письмам: обращать внимание на неизвестных отправителей, нестандартные адреса, срочные просьбы или упоминания госорганов — это признаки фишинга. Организациям Positive Technologies рекомендует внедрять эшелонированную защиту: использовать почтовые шлюзы (SEG) и сетевые песочницы (PT Sandbox), проверять защищённость сервисами аудита почты (PT Knockin), защищать конечные устройства антивирусами и средствами EDR (MaxPatrol EDR), а также анализировать сетевой трафик системами поведенческого мониторинга (PT Network Attack Discovery).