Специалисты департамента Threat Intelligence экспертного центра безопасности Positive Technologies (PT ESC TI) проанализировали[1] ктивность APT-группировок в отношении российских организаций в III квартале. Ключевой тенденцией на протяжении 9 месяцев наблюдений остается использование фишинга в качестве первоначального вектора атаки. Злоумышленники применяют его как в типовых сценариях, так и в атаках нулевого дня. Кроме того, эксперты отмечают увеличение числа распространяемых вредоносных файлов и усложнение методов доставки вредоносного ПО.
В III квартале 2025 года специалисты PT ESC TI зафиксировали заметный рост числа уникальных семплов по сравнению со II кварталом. Активность увеличили почти все отслеживаемые группировки. При этом наиболее выраженная динамика наблюдается у кибершпионских группировок Goffee и IAmTheKing, а также у финансово мотивированной группировки Fluffy Wolf.
Вредоносная активность рассматриваемых APT-группировок начиналась с фишинговых писем. Преимущественно во вложениях находились архивы, содержащие замаскированные под официальную корреспонденцию вредоносные исполняемые файлы или скрипты. Участники PhantomCore также использовали фишинговые страницы с поддельной CAPTCHA.
«Фишинг по электронной почте остается излюбленным инструментом злоумышленников, ведь пользователь сам скачивает, открывает и запускает вредоносные вложения. Однако в целях обхода систем защиты хакеры продолжают модернизировать форматы и подходы к доставке и маскировке ВПО, — отмечает Денис Казаков, специалист группы киберразведки TI-департамента экспертного центра безопасности Positive Technologies. — Сотрудникам следует тщательно проверять все входящие письма. На фишинг могут указывать неизвестный отправитель, призыв к немедленным действиям и упоминание названий госучреждений и надзорных органов».
Наибольшую активность проявили шпионские APT-группировки. Например, Telemancon — группа кибершпионов, атаки которой нацелены на российскую промышленность, — ранее использовала самописный дроппер[2] с отдельными зашифрованными сегментами кода. Теперь хакеры перешли на многослойное шифрование, что сильно затрудняет анализ их программ средствами защиты. Другой инструмент группировки — бэкдор TMCShell — научился определять, что его запустили в песочнице, а не на реальном компьютере. В таком случае вредонос не активируется и остается незамеченным.
Сдвиг тактики отмечен и у финансово мотивированной группировки Fluffy Wolf. В конце сентября и начале октября хакеры стали прикладывать в фишинговые рассылки не документы, а их значки со встроенным URL. При переходе по ссылке пользователи скачивали архив с вредоносной нагрузкой. При этом главная страница сайта создавала впечатление легитимного ресурса, что помогало злоумышленникам дольше оставаться незамеченными.
Кроме того, вновь была зафиксирована высокая активность хактивистской группировки Black Owl в адрес организаций транспортно-логистической сферы. Для повышения шансов на успешный запуск ВПО операторы стали чаще вкладывать в один архив сразу несколько идентичных образцов, различающихся только документами-приманками. Благодаря легитимным инструментам, позволяющим отследить прочтение писем, злоумышленники оценивали вовлеченность адресатов и приоритизировали дальнейшие действия в отношении тех контактов, которые вероятнее всего открыли бы вложение.
Эксперты рекомендуют компаниям выстроить эшелонированную защиту инфраструктуры: обеспечить безопасность почты с помощью шлюзов (SEG) и сетевых песочниц (PT Sandbox) и тестировать ее защищенность с использованием специальных сервисов (PT Knockin), обезопасить устройства с помощью антивирусных решений и средств защиты конечных устройств (MaxPatrol Endpoint Security), постоянно анализировать сетевой трафик системами поведенческого анализа (PT Network Attack Discovery), а также использовать межсетевые экраны нового поколения такие как PT NGFW. Подключить все эти СЗИ можно в SIEM-систему, чтобы оперативнее реагировать на кибергурозы из единого интерфейса, например, MaxPatrol SIEM.