Специалисты Центра исследования киберугроз Solar 4RAYS в своем блоге продолжают следить за динамикой киберландшафта в России и уже подвели итоги первого полугодия 2025 года. В этой статье делимся ключевыми выводами: какие отрасли попадают под активные удары, каковы цели группировок, которые действуют против российских компаний, и какие практические выводы можно сделать из анализа вредоносной активности.

В первой половине 2025 года количество атакуемых отраслей чуть снизилось по сравнению с 2024 годом. Это не говорит о снижении активности злоумышленников: атакующие сосредоточились на критических сферах.

Доля хактивизма (атак с целью привлечения внимания, включая уничтожение инфраструктуры и публикацию украденных баз данных) постепенно снижается, но все еще представляет серьезную опасность. По нашим данным, в первом полугодии 2025 такие инциденты составили 8% от общего числа — для сравнения, еще в 2023 году этот показатель составлял 35%.  По мнению экспертов Solar 4RAYS, такая статистика говорит о смене целей хакеров. Теперь они заинтересованы не просто в громких взломах, а в получении денег и ценной информации о деятельности ведущих российских организаций. Злоумышленники развивают свои возможности, получают доступ к более продвинутым инструментам, поэтому атаки с целью «мелкого хулиганства» постепенно сходят на нет.

Среди способов проникновения в инфраструктуру на первом месте остается эксплуатация уязвимостей веб-приложений и публично доступных сервисов: почтовых и веб-серверов, систем контроля версий, баз знаний, трекеров задач и т.п.

Практически не поменялась доля атак с эксплуатацией скомпрометированных учетных данных. В эту категорию попадают и атаки через удаленные подключения (VPN, Citrix и т. п.).

Доля фишинговых атак и атак на основе доверительных отношений (через поставщиков, подрядчиков или клиентов) также остались примерно на том же уровне.

Самые заметные группировки

На сегодняшний день значительная часть панорамы атак 2025 года еще покрыта «туманом войны». Однозначно атрибутировать удалось только 25% атак, что может говорить и о снижении активности известных факторов, и об их стремлении затаиться, чтобы снизить интерес к своим действиям, и об оперативной паузе, которая нужна атакующим, чтобы обновить свой арсенал. Кроме того, группировки могут вести себя скрытно, чтобы обеспечить долгосрочное нахождение в инфраструктурах, оттягивая момент финального удара — уничтожения инфраструктуры, похищения данных и т. п.

Эксперты рассчитывают, что в скором времени расследования позволят связать инциденты с теми или иными группировками. Это позволит сделать выводы о том, как они поменяли свой стиль и инструментарий, а также определить новые кластеры активности, которые раньше не проявлялись.

Shedding Zmiy (ex-Cobalt)

Это один из наиболее активных кластеров, о котором эксперты Solar подробно рассказывали еще в 2024 году. Обычные цели группировки — шпионаж и уничтожение инфраструктуры.

Впрочем, в 2025 году атак со случаями уничтожения инфраструктуры пока пронаблюдать не удалось. Во-первых, атакующие могли не успеть совершить эти действия — в некоторых случаях их присутствие в инфраструктуре удалось обнаружить в течение пяти дней после взлома. Во-вторых, можно предположить, что группировка изменила тактику и стала дольше находиться в инфраструктуре с целью шпионажа, получения наиболее ценных данных.

Методы и тактики группировки остались теми же. Злоумышленники продолжают развивать свой основной инструмент для управления зараженными инфраструктурами — Bulldog Backdoor. Продолжается использование open source компонентов (например, Gsocket или пакер UPX), которые проходят определенную модификацию для затруднения обнаружения. За подробным анализом инструментария Shedding Zmiy отправляем читателей к отдельной статье.

В этом году в инструментарии группировки появился новый руткит Puma, о котором мы тоже уже успели рассказать. Группировка получила возможность проводить операции на уровне ядра ОС, чтобы снизить вероятность обнаружения. Как мы уже говорили, это может говорить об изменении тактики группировки, которая могла сделать выбор в пользу более долгосрочных и «тихих» атак.

Erudite Mogwai

Цель этой азиатской группировки, которая действует с 2019 года, — шпионаж. В основном ее атакам подвергаются государственные организации и энергетические предприятия. Подробности об этом кластере активности читайте в отчете, который эксперты Solar 4RAYS подготовили в октябре 2024 года.

Из инструментария Erudite Mogwai хочется выделить модифицированный Skadowpad Light (Deed RAT). Изменения этого зловреда по большей части связаны со способом хранения компонентов ВПО, что опять же влияет на обнаружение вредоносной активности.

В этом году удалось проанализировать утилиту Stowaway, которую злоумышленники используют для продвижения в сети жертвы. Характерная деталь — использование отсылок к литературным произведениям Эдгара Аллана По, Говарда Лавкрафта, Джоан Роулинг. Например, при установке соединения с C2C агент отправляет серверу слова The Raven, а в ответ ожидает получить Nevermore — это отсылки к стихотворению По.

Еще один инструмент «могваев» — многофункциональный .NET-бэкдор LuckyStrike Agent, способный использовать в качестве C2 OneDrive. Эта утилита не слишком скрывает свои функции, определить вредоносный код достаточно легко, несмотря на определенные усилия по его обфускации. Интересно, что некоторые артефакты позволяют предположить, что злоумышленники приобрели платную версию этого ПО.

Proxy Trickster

Последняя группировка, вошедшая в обзор, попала на радары специалистов Solar 4RAYS весной 2025 года. За год активности эти злоумышленники заразили около 900 устройств в 58 странах мира. Группа преследует финансовые цели — шпионаж и зарабатывание денег разными методами.

Основную часть инструментария составляют кастомные bash-скрипты для отправки имплантов на зараженные хосты. В качестве таких имплантов используются утилиты с коммерческим применением: майнеры, программы для развертывания прокси-серверов.

По открытым источникам можно сделать вывод, что таким образом группировка зарабатывает не очень много (около 3 тыс. долларов за год). Однако уровень доступа, который она себе обеспечивает, позволяет потенциально нанести очень серьезный ущерб взломанным организациям. Поэтому не стоит недооценивать эту угрозу.

Интересные практические детали

Злоумышленники постоянно обновляют и дорабатывают свои тактики и инструменты. По этим изменениям можно сделать выводы о том, как они адаптируют методы под новые условия и способы защиты, с которыми атакующие сталкиваются в инфраструктурах. Некоторые характерные детали также проливают свет на внутреннюю организацию группировок и подпольного мира, где они существуют.

Модификация легитимных утилит

Эту технику специалисты Solar 4RAYS заметили при расследовании атаки Shedding Zmiy, которая развивалась на протяжении 1,5 лет. В ходе атаки злоумышленники подменяли легитимные утилиты ps, ss, netstat и htop на измененные. В результате им удалось скрывать данные о вредоносной утилите gs-netcat и командных адресах, которые использовались для управления.

Одновременные атаки нескольких группировок

В прошлом году специалистам Solar 4RAYS удалось обнаружить случай, когда одну организацию параллельно атаковали две группировки. На Linux-системах пострадавшей организации обнаружили признаки активности NGC5350 (Hellhounds), а затем на одном из Windows-серверов — следы закрепления Erudite Mogwai.

В 2025 году появился еще более интересный случай. В инфраструктуре параллельно присутствовали злоумышленники из трех кластеров активности: Obstinate Mogwai, GOFFEE и Shadding Zmiy. На момент обнаружения все три группировки находились в инфраструктуре несколько месяцев. Разделить признаки присутствия между тремя акторами удалось благодаря характерным инструментам, которые они используют: Shadowpad, Shadowpad Light, Donnect — у Obstinate MogwaI, powershell-агент Mythic — у GOFFEE, CVE-2020-0688 — у Shedding Zmiy.

Закрепление под прикрытием GIT

Один из свежий кейсов показывает, что атакующие хорошо знакомы с корпоративными практиками DevOps и умеют их использовать в своих целях. В ходе атаки злоумышленники скомпрометировали Gitlab-сервер подрядчика. Далее они модифицировали легитимный sh-скрипт, связанный со службой запуска Gitlab, таким образом, чтобы каждый раз при старте или перезапуске система автоматически включала имплантированный бэкдор.

Сделать это позволила всего одна строка кода. Поэтому обнаружить такое закрепление случайно будет довольно сложно.

Бэкдор из 2021 года

В апреле 2025 года в ходе Compromise Assessment в одной государственной организации эксперты обнаружили вредоносный файл в каталоге с резервной копией ViPNet. Скомпрометированный пакет обновления содержал инструментарий, который загружал из зашифрованного файла в память атакуемой системы вредоносный бэкдор.

Загрузчик был скомпилирован в ноябре 2021 года, и специалисты сразу вспомнили похожий случай из 2021 года. Тогда злоумышленники использовали недостаток безопасности в системе обновления ПО ViPNet, чтобы доставлять и запускать вредоносную полезную нагрузку.

Теперь же метод вернулся, что послужило поводом вспомнить и обновить рекомендации по противодействию таким атакам.

Командный центр Shedding Zmiy

В 2025 году специалисты Solar 4RAYS смогли проанализировать веб-панель Bulldog Backdoor, который используют злоумышленники из Shedding Zmiy. Это инструмент для полноценного управления кибератаками: есть функции генерации вредоносных имплантов, просмотра списка скомпрометированных инфраструктур, выгрузки данных.

Исследователи также обнаружили в коде панели имплантов, которые еще не встречались «в дикой природе»: gwyntyk, tear-drop. Упоминания этих вредоносных программ позволяет предположить, что они могут встретиться в будущих атаках кластера.

Еще одна интересная деталь: в коде упоминаются семь уникальных пользователей сервиса. Исследователи предполагают, что за каждым идентификатором скрываются не отдельные личности, а группировки, использующие инфраструктуру Shedding Zmiy в своих кампаниях.

Выводы и рекомендации

Группировки несколько снизили свою активность, однако это может быть связано с желанием избежать дополнительного внимания, паузой на обновление инструментария и подготовкой к масштабным атакам. Количество атакованных отраслей также сократилось — злоумышленники концентрируются на самых прибыльных секторах.

Сложные кибератаки все больше автоматизируются. Это снижает порог входа для злоумышленнииков, которые могут пользоваться готовыми инструментами, даже если сами не владеют технической базой. Группировки активно перенимают успешные тактики: например, Proxy Trickster применяет gs-netcat так же, как Shedding Zmiy.

Наши рекомендации для укрепления защиты в нынешних условиях:

• Проводите инвентаризацию ИТ-активов и контролируйте обновления ПО. Чтобы защищать инфраструктуру, важно досконально ее знать, понимать, как она выглядит для злуомышленников снаружи, что она представляет собой изнутри, какие есть доступы и как они настроены.

• Применяйте лучшие практики для организации удаленного доступа в инфраструктуру как для собственных сотрудников, так и подрядных организаций. Среди таких практик — использование решений для управления доступом (в портфеле «Солара» это IdM-система Solar inRights) и привилегированным доступом (PAM-система Solar SafeInspect), VPN и многофакторной аутентификации. Прежде чем начать работу с подрядчиком, убедитесь, что он уделяет должное внимание собственной безопасности, а его инфраструктура не скомпрометирована. Не забудьте о юридическом обосновании отмены доступа в случае инцидента, иначе в решающий момент может выясниться, что при отключении подрядчика от инфраструктуры ваша компания нарушает условия сотрудничества.

• Организуйте грамотное резервное копирование. Помните о правиле 3-2-1: иметь не менее трех копий данных, которые хранятся как минимум на двух физических носителях разного типа, а одну копию храните удаленно, вне офиса. Это значительно снижает риски в случае атаки шифровальщика или попытках уничтожить инфраструктуру.

• Регулярно проводите мониторинг активности в инфраструктуре и используйте продвинутые средства безопасности. Настройте аудит, внедрите SIEM- и EDR-решения для защиты рабочих станций. В любой момент времени вы должны точно знать, что происходит на каждом участке и каждом узле инфраструктуры.

• Повышайте осведомленность о киберугрозах у рядовых сотрудников — не только у ИБ-подразделения. Бухгалтеры, экономисты, представители бизнес-направлений больше всего подвержены атакам с применением социальной инженерии. Используйте решения Security Awareness, проводите теоретическое обучение и закрепляйте навыки с помощью тестовых фишинговых рассылок.

Поставляйте ИБ-команде threat intelligence из публичных и непубличных источников — вендорских отчетов, докладов на конференциях, подписок на TI-платформы. Это развивает проактивный подход к кибербезопасности, позволяя выявлять атаки на ранних стадиях. Периодически ищите следы злоумышленников в инфраструктуре в рамках threat hunting и compromise assessment, оперативно реагируйте на инциденты. Большинство перечисленных задач можно решить с помощью сервисов на основе экспертизы Solar 4RAYS: поставки потоков данных о киберугрозах Solar TI Feeds, выявления следов компрометации (Compromise Assessment), оценки готовности к реагированию и новой подписки на реагирование и расследование ИБ-инцидентов (Retainer).