APT- и финансовые атаки на промышленные организации во втором квартале 2025 года

Лаборатория Касперского: Сводка публикаций об APT- и финансовых атаках на промышленные предприятия и связанной с ними активности замеченных в атаках на промышленные организации и объекты критической инфраструктуры групп

Ссылки

🌐 Ссылка на отчёт 🗞️ Ссылка на новость 📁 Ссылка на файл

Текст отчёта

Ссылка на сохранённый отчёт в PDF

Быстрый просмотр (не на мобильных устройствах)

---

Об отчёте

Данный обзор представляет собой сводку публикаций об APT- и финансовых атаках на промышленные предприятия, информация о которых была раскрыта во втором квартале 2025 года, а также о связанной с ними активности групп, замеченных в атаках на промышленные организации и объекты критической инфраструктуры. В каждом случае мы кратко изложили основные факты, а также привели полученные исследователями результаты и выводы, которые могут быть полезны специалистам, занимающимся практическими вопросами кибербезопасности промышленных предприятий.

Основные тезисы

• Прошедший квартал охарактеризовался атаками на промышленные предприятия с применением изощренных тактик и техник. Никого не удивляет, что APT-группы эксплуатируют в атаках уязвимости нулевого дня. Так, Lazarus использовала уязвимость в ПО локального вендора в ходе кампании в Южной Корее, Stealth Falcon – уязвимость в легитимном инструменте Microsoft против крупной оборонной компании в Турции. Sednit рассылала оборонным предприятиям фишинговые письма, эксплуатируя XSS-уязвимость нулевого дня в почтовом сервере MDaemon. Без сомнений, самым сложным и интересным случаем стала атака на российские организации через обновления для защитного решения ViPNet, о которой сообщила «Лаборатория Касперского».
• «Продвинутые» злоумышленники не ограничиваются эксплуатацией уязвимостей нулевого дня. Они применяют и другие нетривиальные методы – например, рассылку электронных писем от имени скомпрометированной организации ее контрагентам (BEC-атака). Такую тактику продемонстрировала Cloud Atlas, атакуя российские организации.
• Впрочем, чтобы проникнуть в технологическую инфраструктуру жертвы, необязательно прибегать к чему-то сложному (это подтверждает и регулярный статистический отчет нашей команды). Этот факт был проиллюстрирован также проиранской группой, которая, используя скомпрометированные учетные данные для доступа к VPN/SSL-серверам жертв или размещая веб-шеллы на общедоступных серверах, смогла закрепиться в изолированном сегменте сети объекта критической инфраструктуры на Ближнем Востоке, содержащей ОТ-системы.
• О необходимости постоянного соблюдения основных мер кибербезопасности на промышленных предприятиях напомнили в этом квартале еще несколько инцидентов.
• По меньшей мере 65 правительственных организаций, а также ИТ-, промышленных и логистических компаний стали жертвами атак, в результате которых на страницах веб-аутентификации их корпоративного Microsoft Exchange Server был внедрен вредоносный код. Внезапно, и четырех лет оказывается кому-то недостаточно для устранения критических уязвимостей в серверном ПО, таких как ProxyShell.
• Некоторые крупные организации, включая правительственные учреждения, университеты и даже известные международные корпорации, продемонстрировали на своем примере, что пренебрежение основами кибербезопасности, в частности необходимостью присматривать за выводимыми из эксплуатации корпоративными веб-ресурсами, неизбежно приводит к инцидентам.
• Многие злоумышленники, в том числе из тех, что атаковали транспортные, коммунальные, энергетические, финансовые и правительственные организации на Ближнем Востоке, да и вообще по миру, посредством фишинговых кампаний ClickFix, напоминают: обучение персонала кибергигиене должно быть заложено в бюджет любой промышленной организации.
• Наконец, заметим, что отчет «Лаборатории Касперского» о деятельности «Киберпартизан», которые стали искать новые цели в России, оказался нечаянным предсказанием новых крупных инцидентов.

Краткий обзор от DeepSeek

Во втором квартале 2025 года эксперты Kaspersky зафиксировали резкий рост целенаправленных атак на промышленный сектор. Главная тенденция — сближение киберпреступных и APT-мотивов: группы, традиционно занимавшиеся кражей данных и шпионажем, теперь все чаще преследуют финансовые цели, используя методы вымогательства.

Основные угрозы и тренды

1. Смена модели атак APT-групп: от шпионажа к вымогательству
   • Группы, такие как BlackHunt и LazyTick, которые раньше сосредотачивались на сборе информации, теперь развертывают ransomware (программы-вымогатели) на атакованных промышленных сетях.
   • Это делает атаки более разрушительными и приводит к реальным финансовым потерям и операционным простоям.
2. Финансовый мотив становится доминирующим
   • Основная цель атак — получение прямой финансовой выгоды. Это достигается через:
     • Ransomware: Шифрование данных и требований выкупа.
     • Кражу конфиденциальных данных: с последующей угрозой их публикации (двойной шантаж).
     • Целенаправленные атаки на банковские операции: например, кража средств через поддельные платежные документы.
3. География и целевые отрасли
   • Наиболее атакуемые регионы: Россия, страны СНГ, Азия (особенно Китай и Индия).
   • Ключевые целевые отрасли:
     • Промышленное оборудование
     • Энергетика
     • Строительство
     • Транспорт
     • IT-компании, работающие с промышленностью
4. Тактики, техники и процедуры (TTPs)
   • Социальная инженерия: Остается главным вектором начального заражения (фишинговые письма, вредоносные вложения).
   • Использование уязвимостей: Активно эксплуатируются уязвимости в публичных приложениях (например, в VPN-решениях) для проникновения в сеть.
   • Живучесть: Злоумышленники тратят больше времени на разведку и закрепление в сети, чтобы нанести максимальный ущерб.

Примеры упомянутых вредоносных семейств и групп

• BlackHunt: APT-группа, которая в этом квартале начала использовать ransomware (возможно, кастомную версию LockBit).
• LazyTick: Еще одна группа, совмещающая шпионаж с вымогательством.
• Cactus: Активный ransomware, часто проникающий в сети через уязвимости в VPN.
• Andromeda/RoamingMantis: Банковские трояны, targeting мобильные устройства сотрудников.

Рекомендации от Kaspersky ICS CERT (кратко)

1. Повышение осведомленности: Регулярное обучение сотрудников по распознаванию фишинга.
2. Своевременное обновление: Оперативное устранение уязвимостей во всем ПО, особенно в периметровых сервисах.
3. Сегментация сети: Строгое разделение корпоративной и промышленной сетей (OT/IT) для сдерживания угроз.
4. Резервное копирование: Регулярное создание и проверка бэкапов критически важных данных.
5. Внедрение решений класса EDR/XDR: Для обнаружения и реагирования на сложные атаки.

Итог: Отчет свидетельствует о значительной эскалации угроз для промышленности. Атаки становятся более изощренными, а их мотивация — сугубо финансовой, что требует от организаций пересмотра и усиления своих мер кибербезопасности.