Поделиться
«Гарда»: APT-группировки целятся в российский госсектор
Центр компетенций по сетевой безопасности компании «Гарда» подвел итоги активности APT-группировок за 2025 г. Анализ публичных отчетов подтверждает высокий уровень кибердавления на российские организации и устойчивый интерес злоумышленников к государственному и промышленному сегментам. Основной сценарий атак строится вокруг шпионажа и подрыва работы инфраструктуры, при этом противники все чаще уходят от шумных техник и действуют скрытно и методично. Об этом CNews сообщили представители ГК «Гарда».
Во всех рассмотренных кампаниях отправной точкой компрометации инфраструктуры стал фишинг. Анализ показал, что каждая из выявленных группировок работала против российских государственных учреждений. Следом по частоте атак идут промышленность и энергетика, затем телекоммуникации и образование. В ряде кампаний злоумышленники комбинировали кражу данных с их последующим уничтожением, а в других – выстраивали долгосрочное присутствие, чтобы выкачивать документы и учетные данные.
Злоумышленники делают ставку на две стратегии: таргетированные рассылки и маскировку вредоносных файлов под легитимные документы и утилиты. Причем контент писем подстраивается под профиль жертвы, повышая тем самым вероятность открытия и запуска нагрузки. После первичного доступа атакующие закрепляются в системе, при этом они опираются на общедоступные инструменты администрирования, средства туннелирования и фреймворки постэксплуатации.
Злоумышленники активно применяют PowerShell-скрипты, задания планировщика, ключи автозапуска в реестре и установку легитимных агентов удаленного управления. Такой подход позволяет сохранить доступ после перезагрузки и не привлекать внимание средств защиты, ориентированных на поиск явного вредоносного кода.
На этапе развития атаки группировки переходят к разведке и боковому перемещению. Они собирают сведения об учетных записях, доменной структуре и сетевых ресурсах, используют инструменты для анализа Active Directory и сетевого сканирования. Для перемещения между узлами применяются штатные протоколы Windows, RDP, SMB и WinRM, а также украденные учетные данные.
Управление зараженными системами строится через C2-инфраструктуру с маскировкой трафика. Атакующие используют HTTPS, WebSocket и туннелирование через сервисы вроде ngrok или публичные облачные платформы. Это усложняет сетевой анализ и позволяет скрывать реальные серверы управления. В ряде атак фиксируется переход на новые открытые C2-фреймворки (например, AdaptixC2), которые дорабатываются под конкретные задачи.
«Результаты исследования показывают, что атакующие все чаще маскируют вредоносную активность под штатные процессы и легитимное администрирование. Поэтому так важно не только контролировать все действия в инфраструктуре, но и обогащать системы защиты потоками данных об угрозах, TI-фидами. Они позволяют заранее учитывать тактики, техники и инструменты конкретных группировок, быстрее выявлять подозрительные цепочки событий и сокращать время реакции на инциденты», – отметил Илья Селезнев, руководитель продукта «Гарда Threat Intelligence Feeds».
Короткая ссылка
