Департамент комплексного реагирования на киберугрозы экспертного центра Positive Technologies завершил анализ проектов по расследованию и ретроспективному анализу за период с IV квартала 2024 года по III квартал 2025 года. За это время команда провела более сотни проектов и в очередной раз убедилась: киберугрозы не становятся сложнее, но становятся результативнее. Хакеры нечасто придумывают что-то принципиально новое — они совершенствуют уже проверенные методы и реализовывают их эффективнее.
Наша статья для тех, кто ответствен за информационную безопасность: от CTO и CISO до администраторов и аналитиков SOC. В ней собрана информация о том, как проникают хакеры, какие инструменты используют, и что из этого следует для защиты.
Полную версию исследования можно почитать на нашем сайте.
Кто мы и как работаем
Наш департамент комплексного реагирования на киберугрозы (PT ESC IR) существует уже более 10 лет. Каждый год мы выполняем сотню с лишним проектов. Наши эксперты готовы включиться в проект любой сложности и уже за 60 минут предоставить первые результаты и определить тип угрозы.
PT ESC IR эффективно расследует инциденты и восстанавливает хронологию событий — от атак с применением вайперов и вирусов-шифровальщиков (LockBit, Babyk и т. д.) до продвинутых целенаправленных APT-атак. PT ESC IR первыми выявили деятельность ряда APT-групп — Hellhounds, Dark River, Space Pirates, TaskMasters и т. д.
Специалисты индивидуально подходят к каждому проекту и придерживаются intelligence-driven-подхода при реагировании на инциденты, что позволяет получить первые результаты быстрее и сократить время простоя бизнес-процессов. Этот подход реализован на базе совместной работы с департаментом PT ESC Threat Intelligence, который осуществляет мониторинг широкого ландшафта угроз. За годы работы нам удалось аккумулировать уникальный набор индикаторов атак, индикаторов компрометации и сигнатур ВПО.
PT ESC IR ведет собственную разработку уникальных инструментов для digital forensics and incident response (DFIR), которые позволяют быстро и эффективно собирать и анализировать данные в географически распределенных инфраструктурах. Эти решения основаны на работе с накопителями (non-volatile), а также на энергозависимых данных (volatile), которые собираются и анализируются в режиме live response.
За расследуемый период команда выполнила больше 100 проектов по расследованию и ретроспективному анализу по всему миру. Результатами и выводами делимся в этой статье.
Как менялся спрос на расследование киберинцидентов
Год назад компании чаще всего обращались именно для расследования уже произошедших инцидентов. Теперь ситуация сдвинулась: спрос на ретроспективный анализ вырос в два раза. Это говорит о том, что организации начали всерьёз беспокоиться о состоянии своей инфраструктуры.
Параллельно сместился фокус атак. Если год назад промышленные предприятия обращались к PT ESC IR в 23% случаев, а госучреждения — в 22%, то теперь IT-компании и госорганизации поровну лидируют на уровне 24% каждая. Промышленный сектор в этом отношении упал до 9%.
Логика этого очевидна: взломать IT-провайдера выгоднее, чем одного клиента, потому что одновременно получаешь доступ ко всем его клиентам. Это экономит время и ресурсы.
Обнаружение атак ускорилось почти в два раза. Медиана времени обнаружения (TTD, time to detect) сократилась с 17 дней до 9 дней. Длительность самого инцидента упала с 23 дней до 9 дней. Это можно интерпретировать по-разному: либо компании установили лучший мониторинг, либо хакеры стали более дерзкими и оставляют более заметные следы.
По нашим данным, самый продолжительный инцидент тянулся 3,5 года — вредоносная активность оставалась незамеченной всё это время. Самый короткий — одни сутки.
Кто атакует
В 43% расследованных компаний обнаружены следы целевых атак (APT-атак). За рассматриваемый период выявлено 17 различных групп.
Интересные факты
Наиболее активной группировкой по-прежнему, как и в предыдущем отчетном периоде, является ExCobalt. Последний выявленный нами инструмент этой группы — руткит Puma, был рассмотрен в Telegram-канале ESCalator.
Самые разрушительные атаки с шифрованием инфраструктуры проводит финансово мотивированная группировка OldGremlin.
Самая долгоживущая APT-группировка — CloudAtlas.
Самые скрытные злоумышленники, которых мы часто встречаем в кейсах со шпионажем, — APT31.
В рассматриваемом периоде эксперты PT ESC IR зафиксировали ранее не наблюдавшиеся нами группировки DarkGaboon, BlackShadow и Rare Werewolf.
В 22% компаний выявлена деятельность киберпреступников, которые фокусируются на шифровании, удалении данных и нарушении операций. LockBit по-прежнему доминирует в этой категории, хотя его доля немного упала — с 37% до 29%.
Как хакеры проникают в инфраструктуру компаний
Веб-приложения на сетевом периметре по-прежнему остаются главными воротами (36%). При этом поверхность атаки стала намного разнообразнее: кроме популярных ранее Microsoft Exchange и «1C-Битрикс», наши специалисты фиксировали взлом находившейся на периметре «1C», системы удаленного мониторинга и управления Assistant, СЭД Tessa, корпоративного почтового сервера CommuniGate Pro, системы виртуализации рабочих столов Omnissa Horizon, компонента корпоративной системы управления мобильными устройствами Ivanti Sentry, общедоступного серверного ПО для предоставления геопространственных данных GeoServer, сетевых продуктов Citrix Netscaler и Juniper Junos, платформы для совместной работы Microsoft SharePoint.
Особо важны две уязвимости в SharePoint: CVE-2025-53770 и CVE-2025-53771. Первая позволяет выполнить код удалённо без аутентификации. Вторая открывает доступ к файлам и криптографическим ключам. На практике уже видели попытки эксплуатации: на узлах SharePoint Server 2019 фиксировали HTTP-запросы, которые приводили к созданию локальных учётных записей и полному удалённому доступу.
Компрометация через подрядчика вышла на второе место (28%, год назад было 20%). Это логично: взлом IT-компании часто означает взлом всех её клиентов.
Третий способ — публичные сервисы (VPN, RDP, SSH) — остался на уровне 11%. Слабая аутентификация или отсутствие «двухфакторки» всё ещё работают.
На фишинг приходится 17%. В одном случае вредоносное письмо, отправленное злоумышленниками, содержало LNK-файл внутри ZIP-архива, который запускал Node.js с полезной нагрузкой и устанавливал DNS-туннель. В другом — хакеры создали обращение в Zendesk с ссылкой на вредонос, который открыл дверь в CRM.
В этом году мы отмечаем рост числа инцидентов, в которых наблюдалась компрометация сетевых устройств, зачастую с устаревшими прошивками или небезопасными настройками. Их доля составила 8%. Например, из-за недостатка в конфигурации протокола SNMPv2 в маршрутизаторах Cisco хакеры могли создавать GRE-туннели, контролировать часть почтового трафика и устранять следы через особые EEM-апплеты.
Как происходит закрепление в инфраструктуре
После проникновения хакеры создают точку опоры для долгого присутствия.
Один из наиболее часто используемых злоумышленниками способов закрепления связан с созданием задач в планировщике заданий (Scheduled Task/Job).
Из довольно необычных (и ранее не встречавшихся) примеров можем отметить закрпепление при помощи Docker-контейнера. Злоумышленники модифицировали образ, добавив копирование вредоносного скрипта и его запуск. Сам скрипт, в свою очередь, загружал с управляющего сервера ВПО, выдавал ему права на исполнение, прописывал в автозагрузку и в конце самоуничтожался. В рассмотренном случае образ был помещен в локальный реестр образов, что обеспечило автоматическое распространение ВПО и его запуск на новых контейнерах.
Но и классика всё еще работает – сервисы Windows с ImagePath, указывающим на вредоносный файл, по-прежнему в ходу.
В полной версии исследования вас ждет много примеров из нашей практики, начиная от конкретных случаев до общих рекомендаций, где и что можно искать.
Получение учётных записей
Уже долгое время наиболее распространенным инструментом для похищения учетных данных остается утилита Mimikatz (и ее модификации): она встречается почти в половине (49%) проектов. На втором месте по частоте использования для получения учетных данных — утилита ProcDump (10% проектов). Эта утилита входит в состав общедоступного пакета SysInternals и используется злоумышленниками для создания дампов памяти привилегированных процессов (в частности, lsass для дальнейшего извлечения аутентификационных данных).
В одном инциденте хакеры подменили inline-скрипт OWA flogon.js, перехватывая пароли прямо при вводе. Результат — около 650 скомпрометированных учётных записей. Для затирания следов они ещё и подделали временные метки файлов.
Движение хакеров по сети
Impacket (39% проектов) и PsExec (27%) — основной инструментарий для lateral movement. Сканирование выполняют Nmap и fscan (по 17%). ADRecon и ADExplorer (15% и 12%) используют для разведки Active Directory.
Интересный момент: хакеры начали применять Everything и LAN Search — утилиты для индексирования данных. Что ищут? Пароли, конфигурации, VPN-ключи — всё, что может быть полезно хакерам и, увы, нередко хранится в открытом виде.
Защита от обнаружения
Классические техники остаются эффективными.
UPX, VMProtect, garble — упаковщики кода, которые замедляют анализ. Defender Control и kavremvr вырубают антивирусы. Подмена временных меток скрывает реальное время создания вредоноса. Очистка логов стирает следы.
Новое в этом году — использование легитимных инструментов Microsoft. DevTunnels используется для туннелирования через инфраструктуру Microsoft. AdobeFips (компонент Adobe Reader, это реальный OpenSSL, подписанный Adobe) устанавливает шифрованное соединение и выглядит как легитимный сервис в логах.
Туннелирование и удалённое управление
gsocket (20%), AnyDesk (20%) и Ngrok (17%) — тройка лидеров среди инструментов для туннелирования. LocaltoNet, PuTTY, Chisel тоже активно применяются.
Необычный пример — Google Sheets API как канал управления. Вредонос запрашивал столбец B таблицы для получения зашифрованных команд, выполнял их и писал результаты в столбец A.
Для эксфильтрации данных используются HeidiSQL, pgAdmin, RawCopy (копирование дисков), ShadowSpawn, а также извлечение содержимого директории tdata из Telegram — это позволяет войти в аккаунт без аутентификации.
Масштаб и последствия атак
Доля инцидентов, которые нарушили бизнес-процессы, выросла с 50% до 55%. Это означает, что хакеры становятся активнее.
В каждой пятой компании (21%) была скомпрометирована как минимум одна копия контроллера домена. Получив доступ сюда, хакеры могут развернуть вредонос на любой машине домена через групповую политику.
Внутренние информационные системы (БД, порталы и т.д.) скомпрометированы в 19% случаев. Серверы управления СЗИ и системы виртуализации — в 11% каждая. Почтовые серверы Exchange — тоже в 11%.
В половине случаев (55%) компрометация ограничилась менее чем 10 узлами и 5 учётными записями. Но если взломан администратор домена — под угрозой все пользователи домена.
Почему происходят кибератаки
Основные причины атак остаются неизменны.
Недостаточная сегментация сети (26%) — хакер один раз вошёл, потом гуляет от отдела к отделу. Устаревшие ОС и ПО (25%) — Windows 7, непатченные серверы, отсутствие лицензий. Отсутствие двухфакторной аутентификации (23%) — скомпрометированный пароль даёт полный доступ. Слабая антивирусная защита (21%) — либо её нет, либо она неправильно настроена.
Что же делать?
Только без паники. В первую очередь мы рекомендуем провести инвентаризацию инфраструктуры и IT-процессов и расставить приоритеты в соответствии с рисками — от локального инцидента до потери контроля над всей системой. Максимальное внимание следует уделять узлам с наибольшим потенциалом ущерба, например серверам с централизованными системами управления инфраструктурой, доменным контроллерам и иным критически значимым ресурсам. Для таких систем необходим усиленный контроль доступа, регулярное обновление, мониторинг и резервирование, так как их компрометация оказывает наибольшее влияние на организацию. Наши основные рекомендации:
✅ Патчить системы. CVE-2025-53770 и CVE-2025-53771 в SharePoint — это не теория, последствия эксплуатации этих уязвимостей уже видно в атаках. Установите SLA на критические уязвимости в 24 часа.
✅ Включайте «двухфакторку» везде. На VPN, почте, админ-аккаунтах. Везде.
✅ Сегментируйте сеть. DMZ, VLAN, межсетевые экраны между сегментами. Делайте так, чтобы хакер не мог пойти от бухгалтерии к серверу БД напрямую.
✅ Делайте резервные копии правильно. Правило 3-2-1: три копии, два носителя, одна оффлайн. Тестируйте восстановление.
✅ Ловите конечные точки. EDR/XDR-решения должны быть на критических серверах. Антивирусы нескольких вендоров видят разные угрозы.
✅ Собирайте логи. Минимум 6 месяцев хранения, лучше — год. SIEM помогает это автоматизировать.
✅ Управляйте привилегиями. PAM для привилегированных учётных записей, Credential Guard для защиты паролей.
✅ Ищите аномалии. Network Traffic Analysis (NTA) помогает заметить необычный трафик. Поведенческий анализ видит странные логины и действия.
Заключение
Что нового отмечаем за год по итогам наших проектов:
? IT-компании в роли одной из главных мишеней (выгодно взломать провайдера, чтобы попасть ко всем его клиентам)
?Обнаружение атак ускорилось в два раза, но 9 дней всё ещё достаточно для хакера
? Ретроспективный анализ спросили в два раза чаще (люди начали разбираться, что происходит в их инфраструктуре)
? Растёт доля атак на сетевые устройства и гипервизоры
? Хакеры осмелели — доля нарушений бизнеса выросла с 50% до 55%
Защищайтесь, пока не стало поздно. Базовые меры работают (по крайней мере, достаточно ощутимо усложняют «работу» хакерам). Только их нужно применять постоянно и комплексно. Stay safe!