15/08/25
Специалисты называют 2024-й «годом предприимчивого противника» — атакующие действуют как зрелые бизнес-структуры, внедряя инновации, выстраивая устойчивые цепочки поставок доступа и активно применяя искусственный интеллект.
Главный показатель — время «прорыва» (breakout time), то есть период от первоначального проникновения до начала бокового перемещения по сети, — сократился до исторического минимума: в среднем 48 минут против 62 минут годом ранее. Абсолютный рекорд — 51 секунда, что фактически лишает защитников времени на реагирование, согласно Securitylab.
В 79% выявленных случаев злоумышленники не использовали вредоносные файлы, действуя через легитимные инструменты администрирования и ручные операции (hands-on-keyboard). Такой подход позволяет маскироваться под обычную активность пользователей и обходить EDR . Особенно часто применяются средства удаленного администрирования (RMM), в том числе Microsoft Quick Assist и TeamViewer.
За год зафиксирован взрывной рост атак с использованием Вишинга — на 442% во втором полугодии 2024-го по сравнению с первым. Группировки CURLY SPIDER, CHATTY SPIDER и PLUMP SPIDER активно применяли телефонные звонки в качестве первичного вектора, нередко в сочетании со «спам-бомбингом» — массовой рассылкой писем-жалоб, служащей предлогом для звонка «от службы поддержки». В ряде случаев эти схемы завершались установкой бэкдоров и запуском вымогательского ПО Black Basta .
Дополнительно распространяются атаки через службы технической поддержки (help desk social engineering), когда злоумышленники, выдавая себя за сотрудников компании, убеждают операторов сбросить пароли или отключить многофакторную аутентификацию. Эта тактика используется, в частности, SCATTERED SPIDER, и уже стала одним из ключевых способов компрометации облачных учетных записей и SaaS-приложений.
2024-й стал переломным в использовании генеративного ИИ (GenAI) киберпреступниками и государственными операторами. Модели LLM применялись для:
- создания фальшивых профилей и изображений (например, у северокорейской FAMOUS CHOLLIMA);
- генерации фишинговых писем и сайтов, показавших на 54% больший CTR, чем сообщения, написанные людьми;
- дипфейков в схемах BEC — в одном случае с их помощью похищено $25,6 млн;
- написания вредоносных скриптов и инструментов;
- создания «декой»-сайтов в кампаниях NITRO SPIDER.
Появился и новый феномен — LLMJacking : кража доступа к корпоративным ИИ-сервисам в облаке для перепродажи или использования в других атаках.
Число атак с китайским следом выросло на 150% в среднем и на 200–300% в финансовом, медийном, производственном и инженерном секторах. Выявлены новые специализированные группы: LIMINAL PANDA, LOCKSMITH PANDA, OPERATOR PANDA, VAULT PANDA и ENVOY PANDA, каждая со своей нишевой специализацией — от телекоммуникаций и финансов до дипломатических ведомств. Китайские операторы активно используют ORB-сети из сотен и тысяч взломанных устройств для скрытия трафика и совместно применяют уникальные ранее инструменты, такие как малварь KEYPLUG.
Группа FAMOUS CHOLLIMA масштабировала кампании с использованием фиктивных IT-работников, которые устраиваются в зарубежные компании, получают корпоративные устройства и передают их в «фермы ноутбуков» для установки бэкдоров. CrowdStrike зафиксировала 304 инцидента с их участием, из которых 40% связаны с инсайдерскими угрозами.
Количество облачных взломов выросло на 26%. 35% из них начались с компрометации действующих учетных записей, при этом злоумышленники предпочитают не менять пароли, чтобы не вызывать тревогу. Используются как кражи учетных данных через инфостилеры (Stealc, Vidar), так и злоупотребление доверенными связями между компаниями.
Значительная часть атак строится на комбинировании эксплойтов (exploit chaining) и злоупотреблении легитимными функциями ПО. Например, OPERATOR PANDA использовала цепочку уязвимостей в Cisco IOS для атак на телекомы и консалтинговые фирмы в США.
