Записки цифрового ревизора: три кластера угроз в киберпространстве

Лаборатория Касперского: Отчет об особенностях атак хактивистских и APT-группировок, позиционирующих себя как «проукраинские», которые нацелены на организации в России, Беларуси и некоторых других странах

Ссылки

🌐 Ссылка на отчёт 🗞️ Ссылка на новость 📁 Ссылка на файл

Текст отчёта

Ссылка на сохранённый отчёт в PDF

Быстрый просмотр (не на мобильных устройствах)

---

Об отчёте

Команда Kaspersky Cyber Threat Intelligence публикует аналитические исследования по современным киберугрозам уже четвертый год подряд. Данный отчет продолжает эту традицию и охватывает одну из самых актуальных на сегодняшний день угроз — активность группировок, позиционирующих себя в публичном пространстве как проукраинские.

Основные тезисы

• Ландшафт киберугроз в России отличается беспрецедентным количеством атак, охватывающих различные сферы и индустрии. По нашим оценкам, начиная с февраля 2022 года и по сегодняшний день Российская Федерация — самая атакуемая страна в мировом киберпространстве.
• Ключевой угрозой на сегодняшний день остается хактивизм, который активно наращивает масштабы и сложность атак. Основываясь на техническом анализе, на начало 2025 года мы насчитываем более 50 различных наименований проукраинских хактивистких группировок, активно атакующих Россию.
• Хактивизм в классическом понимании — это сочетание хакерства и активизма, когда хакеры используют свои навыки для достижения социальных или политических целей.
• Данная угроза обострилась в 2022 году на фоне геополитической напряженности и продолжает активно развиваться. Хактивисты стали более опытными и организованными, они создают коллаборации друг с другом, делятся знаниями и инструментами для достижения общей цели. Но это не единственная угроза: группировки, занимающиеся шпионажем, и финансово-мотивированные группировки также продолжают оставаться заметной проблемой.
• После 2022 года ландшафт угроз преподнес такое явление, как группы двойного назначения. В ходе наших исследований мы неоднократно подмечали связи хактивистов с финансово-мотивированными группами. Они используют одни и те же инструменты, техники и тактики и даже общие инфраструктуру и ресурсы. В зависимости от жертвы они могут преследовать различные цели: потребовать выкуп за зашифрованные данные, нанести непоправимый ущерб, слить украденные данные и предать их огласке в СМИ. Это указывает на принадлежность группировок/злоумышленников к одному кластеру и его сложной организации. Они обмениваются знаниями и улучшают свои навыки, что позволяет им реализовывать атаки на организации в России.
• Такая вариативность целей стала особенностью хактивистов, заявляющих о себе как о проукраинских. Мы рассмотрим группировки, появившиеся в российском ландшафте киберугроз преимущественно после 2022 года, построим таймлайн их развития, выявим и докажем связи между ними и разберем, как именно они атакуют.

Краткий обзор от DeepSeek

Данный отчет, подготовленный экспертами «Лаборатории Касперского», представляет собой аналитическое исследование современных тактик, техник и процедур (TTPs), которые злоумышленники используют для проникновения в корпоративные сети и движения внутри них.

Ключевые тезисы и выводы:

1. Основной вектор атак: Главным способом проникновения остается фишинг. Злоумышленники рассылают целевые письма с вредоносными вложениями (чаще всего документы Microsoft Office) или ссылками, маскируя их под деловую переписку.
2. Тактика «живи за счет земли» (Living off the Land): После проникновения киберпреступники максимально активно используют легитимные инструменты, уже присутствующие в системе (например, PowerShell, wmic, bitsadmin, certutil). Это помогает им маскировать свою активность под обычные действия администраторов и обходить простые средства защиты.
3. Движение по сети и сбор данных: Основная цель внутри сети — получение прав администратора домена и доступ к контроллерам домена. Злоумышленники активно используют легитимные средства для сканирования сети, кражи учетных данных и горизонтального перемещения.
4. Конкретные техники, на которые стоит обратить внимание:
   • NTLM-релейные атаки: Популярный метод для повышения привилегий в сети.
   • Кража хэшей паролей: С помощью утилит вроде Mimikatz или встроенных средств ОС.
   • Работа с реестром: Использование reg.exe для сбора данных и управления системой.
   • Скрытый запуск PowerShell: Для выполнения скриптов и загрузки дополнительных вредоносных модулей прямо в память, минуя диск.
5. Рекомендации по защите:
   • Повышение осведомленности: Регулярное обучение сотрудников для противодействия фишингу.
   • Принцип наименьших привилегий: Ограничение прав пользователей и администрирования.
   • Сегментация сети: Разделение сети на сегменты для сдерживания перемещения злоумышленников.
   • Мониторинг и анализ: Внедрение решений для обнаружения аномальной активности, особенно связанной с использованием легитимных инструментов (например, подозрительные команды PowerShell).
   • Своевременное обновление: Закрытие известных уязвимостей, которые используют злоумышленники.

Вывод:
Отчет подчеркивает, что современные кибератаки стали более изощренными и скрытными. Акцент сместился с использования громоздкого вредоносного ПО на злоупотребление доверенными инструментами. Для эффективной защиты организациям необходимо применять комплексный подход, сочетающий технические меры, правильные политики безопасности и обучение сотрудников.

Отчет будет особенно полезен ИТ- и информационным security-специалистам, отвечающим за построение систем защиты корпоративных сетей.