Команда центра исследования киберугроз Solar 4RAYS ГК «Солар» участвует в расследовании десятков ИБ-инцидентов в российских частных и государственных организациях. В большинстве случаев речь идет об атаках, осуществленных группами профессиональных взломщиков, преследующих финансовые цели или работающих в интересах иностранных правительств. Как правило, это инциденты, которые произошли, потому что злоумышленники смогли обойти использовавшиеся в атакованных организациях автоматизированные средства защиты, либо потому, что в организации просто не имелось соизмеримых угрозе ИБ-инструментов.

В ходе расследований эксперты Solar 4RAYS собирают различные данные о характеристиках атак, анализ которых позволяет сформировать представление об актуальных тактиках, техниках и процедурах злоумышленников, оценить уровень ИБ-риска для конкретной организации и в конечном итоге выстроить эффективную защиту ИТ-инфраструктуры от профессиональных киберпреступников.

В основе отчета - данные, собранные в ходе расследований, проведенных в 2024 году, и их сравнение с аналогичным набором сведений, собранных за 2023 год. Исследование содержит данные о наиболее атакуемых отраслях, квалификации злоумышленников и их мотивации. Кроме того, в отчете представлен обзор основных кибергруппировкок, с деятельностью которых эксперты Solar 4RAYS столкнулись в ходе расследований, и наиболее распространенных техник, использованных в этих атаках. Сравнивая данные за разные периоды, мы проследим, как за год изменился ландшафт сложных киберугроз.

Ключевые тренды

  • Количество расследований в 2024 году выросло на 52% по сравнению с 2023 годом;
  • Количество сфер экономики, в которых работают атакованные организации, выросло с 4 до 19. В топе: госсектор, промышленность, телеком-операторы и ИТ-компании;
  • Главные цели атакующих: получение конфиденциальных данных (шпионаж), финансовая выгода и продвижение политических заявлений (хактивизм);
  • Каждый четвертый инцидент в 2024 году длился не более недели. Годом ранее таких было 22%. Каждый пятый инцидент длился до полугода, в 2023 году таких было 35%;
  • Более 60% инцидентов относятся к деятельности проукраинских группировок. В 2023 году на них приходилось около четверти всех расследованных атак;
  • На эксплуатацию уязвимостей в веб-приложениях и использование скомпрометированных учетных данных в 2024 году пришлось 83% успешных первоначальных проникновений. Годом ранее этот показатель составлял 75%.

Обзор инцидентов. Кого атакуют

За 2024 год эксперты Solar 4RAYS расследовали инциденты в организациях из 19 различных индустрий. На графике ниже представлены только те отрасли, атаки на которые в 2024 году случались чаще других.

Атакованные индустрии в 2024 году

Пятая часть инцидентов пришлась на категорию “Другие”. В нее мы объединили отрасли, в которых за год было 1-2 расследования. Сюда попали организации из сферы агропромышленного комплекса, транспорта, логистики, энергетики, общественно-политической деятельности, информационной безопасности, религии, военно-промышленного комплекса и образования.

В 2023 году разнообразие атакованных индустрий было значительно меньшим.

Атакованные индустрии в 2023 году

В нашем предварительном отчете в ноябре 2024 года, опираясь на это изменение, мы зафиксировали один из ключевых трендов года: злоумышленники (особенно заявляющие о действиях в интересах Украины) стараются атаковать вообще любую организацию, в безопасности которой им удалось обнаружить дыры, а не только “традиционные” цели из госсектора, телекома, промышленности, финансов и ИТ.

За ноябрь и декабрь эта тенденция упрочилась: доля атакованных организаций в категории “Другие” возросла с 17% до 20%.

Цели атакующих

Главная цель атакующих в 2024 году - это похищение и вывод на подконтрольные ресурсы из скомпрометированных инфраструктур чувствительной информации в как можно больших объёмах (шпионаж). В сравнении с 2023 годом, доля подобных инцидентов увеличилась с 48% до 58%.

Доля атак с целью хактивизма и хулиганства, на которые в 2023 году пришлось 35% расследованных Solar 4RAYS инцидентов, в 2024 году сократилась до 10%. Категория уступила второе место атакам с финансовой мотивацией (17%).

Цели атакующих 2024

Также в 2024 году категория “Хактивизм и хулиганство” стала “Хактивизмом”, поскольку мы перестали фиксировать атаки, в которых взломщики просто проверяли себя и демонстрировали свои навыки. Однако инциденты, в которых злоумышленники преследовали цель политического активизма, продолжились.

Цели атакующих 2023

Способы проникновения

Самым распространенным способом первоначального проникновения в атакованные инфраструктуры второй год подряд остаются уязвимости в корпоративных приложениях, доступных из интернета (почтовые серверы, отдельные компоненты веб-серверов, базы данных, системы контроля версий, трекеры задачи, базы знаний и т.д.). Однако в 2024 году доля таких инцидентов сократилась на 10 процентных пунктов, до 46%.

Распространенные техники первоначального проникновения 2024

Зато за год возросла доля случаев, когда для проникновения использовались скомпрометированные учётные данные: с 19% до 37%.

Доля фишинга сократилась с 19% до 11%, а доля кейсов, когда для атаки использовались доверительные отношения осталась неизменной – 6%.

Распространенные техники первоначального проникновения 2023

Рост доли случаев, когда для проникновения использовались скомпрометированные учетные данные, может быть связан с тем, что в течение 2023 года случилось большое количество утечек конфиденциальных данных. По данным наших коллег из Solar AURA, за 2023 год в открытый доступ попали данные почти 400 российских организаций. Среди этих утечек оказалось немало паролей. Не исключено, что возросшее количество атак через скомпрометированные учетные данные – следствие именно этих событий.

Длительность инцидентов

Под длительностью инцидента мы понимаем отрезок времени между самым ранним обнаруженным артефактом компрометации и временем его обнаружения нашими специалистами.

Длительность 2023 2024
До недели 22% 25%
До двух недель 8% 13%
До месяца 16% 7%
До 6 месяцев 35% 21%
До 1 года 6% 9%
До 2-х лет 5% 14%
2+ года 8% 11%

В 2024 году появилось больше атак, продолжительность которых не превышала недели. Каждый четвертый исследованный нами инцидент именно такой. Годом ранее большая часть инцидентов длилась от 1 до 6 месяцев. Предполагаем, что изменения преимущественно связаны с тем, что организации стали быстрее реагировать на индикаторы возможной компрометации.

Однако о тренде на ускорение реагирования на атаки пока говорить рано. Доля инцидентов, в которых атакующие находились в инфраструктуре меньше месяца практически не изменилась: 45% в 2024 против 46% в 2023 году.

Также мы стали находить больше атак, длительностью до двух лет и более. В 2023 году на них пришлось 13%, а в 2024 - уже 25%. В этом году мы обнаружили несколько инцидентов, продолжительность которых составляла около 3,5 лет, а в одном случае следы компрометации имеют возраст более семи лет. Самые старые следы компрометации из обнаруженных нами в 2023 году имеют возраст около 2,5 лет.

Рост числа длительных инцидентов говорит не столько о каком-то особом профессионализме конкретных групп атакующих, сколько о росте компетенций компаний в части реагирования на существующие в открытом доступе индикаторы компрометации. Организации стали активнее использовать ИБ-продукты на базе киберразведки и, как результат, начали обнаруживать в своих сетях то, чего ранее просто не могли увидеть из-за недостатка сведений.

Кроме этого организации начали активнее заказывать Compromise Assessment, то есть поиск скрытного присутствия атакующих в сети организации. Такие работы позволяют не только выявить текущую атаку, но и обнаружить следы прошлых взломов, которые остались незамеченными средствами защиты.

Группировки и кластеры вредоносной активности

В ходе расследований за 2023 год мы выявили 14 группировок и кластеров вредоносной активности, самыми активными из которых были группировка Shedding Zmiy, APT 31, Sneacking Leprechaun и NGC 5350 (предполагаемая операция группировки Hellhounds).

Активные группировки в 2023

В 2024 году в поле зрения Solar 4RAYS попали девять группировок и потенциально несколько кластеров вредоносной активности, по которым мы пока не можем сделать однозначных выводов (на графике ниже они обозначены как NGCXXX).

Связано это, прежде всего, с возросшей активностью группировок Shedding Zmiy, Obstinate Mogwai и Lifting Zmiy – на их деятельность пришлось более половины всех инцидентов в 2024 году. Кроме того, в 2023 году мы нередко обнаруживали артефакты старых атак, случившихся задолго до начала расследования. В 2024 таких случаев стало меньше.

Из важных изменений, произошедших со времени публикации предыдущей версии этого отчёта: в последние два месяца 2024 года мы столкнулись с серией инцидентов от потенциально новой группировки, которую пока определяем как NGC5160. Детальнее об этом кластере расскажем в разделе о характеристиках встречавшихся нам группировок. готовы.

Активные группировки в 2024

Характеристики наиболее активных группировок

Lifting Zmiy

Восточноевропейская (предположительно, украинская) группировка, специализирующаяся на кибершпионаже и атаках, направленных на уничтожение инфраструктуры. Подробно рассказывали о группе в статье:

Используемые инструменты:

Цели

Целями группы является шпионаж либо уничтожение инфраструктуры жертвы (если цели по сбору данных достигнуты или атака начала развиваться не по плану). Основная масса наблюдаемых атак приходится на первый квартал 2024 года, а длительность проникновения злоумышленников в инфраструктуру варьировалась от одной недели до 3 месяцев. Последний на данный момент инцидент, связанный с Lifting Zmiy, мы расследовали в июле 2024 года.

Одна из характерных особенностей группировки в том, что для первоначального доступа злоумышленники не используют сложные атаки и полагаются на скомпрометированные учетные записи (украденные, подобранные). В некоторых случаях эксплуатируют уязвимости публично доступных сервисов. В частности, эта группировка размещала серверы управления на недостаточно защищенном оборудовании для управления лифтами. Кроме того, можем отметить отсутствие сложного программного обеспечения собственной разработки в арсенале атакующих и использование минимально измененных общедоступных программ. Из интересного - эта группа очень старается заметать свои следы в журналах, что, впрочем, не мешает команде Solar 4RAYS успешно расследовать их атаки.

Shedding Zmiy

Восточноевропейская (предположительно, украинская) группировка, специализирующаяся на шпионаже и атаках, направленных на уничтожение инфраструктуры. Подробно рассказывали о группе в серии статей об инцидентах и вредоносных инструментах.

Ключевые используемые инструменты:

  • Mimikatz;

  • SoftPerfect Network Scanner;
  • nmap;
  • fscan;
  • Psexec;
  • RemCom;
  • ssh-snake
  • chisel;
  • resocks;
  • gsocket;
  • Metasploit;
  • Sliver;
  • Cobalt Strike.

Malware:

  • CobInt;
  • Ekipa RAT;
  • DarkGate;
  • SystemBC;
  • Bulldog Backdoor;
  • FaceFish;
  • Kitsune;
  • XDHijack loader;
  • Nim loader;
  • Spark RAT;
  • PUMAKIT (Puma rootkit);
  • BADSTATE framework.

Цели

Целями группы является шпионаж либо, как и в случае с Lifting Zmiy, уничтожение инфраструктуры организации. В некоторых случаях группировка публиковала украденные данные в открытом доступе. В своих атаках злоумышленники фокусируются на самых разных областях: от государственных организаций до телекоммуникационных, технологических и прочих компаний. Группа нередко взламывает публичные веб-приложения маленьких компаний, не представляющих для них какой-либо ценности с точки зрения шпионажа или уничтожения данных. Эти доступы группировка потом использует для скрытной доставки инструментов в атаках на свои основных жертв. Для этих же целей используются легитимные ресурсы pastebin и webhook[.]site.

Так как Shedding Zmiy практикует шпионаж, длительность проникновения в инфраструктуру жертвы может быть очень большой, в расследованиях 2024 года наблюдали атаки продолжительностью от недели до полутора лет.

Арсенал группы растет с течением времени, также атакующие продолжают оправдывать свое наименование и начинают использовать такое программное обеспечение, которое они ранее не использовали. В 2024 году наблюдали еще не описанный в наших предыдущих статьях образец - SparkRAT.

Учитывая применение утилиты fscan и техники DLL sideloading, а также эксплуатацию уязвимости десериализации ViewState, активное злоупотребление которой с 2020 года свойственно азиатскими группировками, можно предположить, что Shedding Zmiy планомерно изучает опыт применения TTP групп из других регионов.

В течение 2024 года Shedding Zmiy не останавливали атаки: мы регулярно расследовали последствия их деятельности в государственных организациях различной направленности, а во второй половине года - ещё и в медицинских учреждениях.

Группа обладает высоким техническим уровнем, богатым набором различного ВПО, которое не используется другими группами (яркий пример - Bulldog Backdoor). Они предпочитают атаковать именно Unix-часть инфраструктуры жертвы, в которой они очевидно лучше разбираются. Достаточно много сил уделяют скрытности, как на уровне разработки ВПО, так и на уровне работы с журналами ОС.

Obstinate Mogwai

Азиатская высокопрофессиональная, предположительно, прогосударственная хакерская группировка из Восточной Азии, которая занимается кибершпионажем. Типичный профиль целей группировки - государственные организации, ИТ-компании и их подрядчики. Данную группу мы наблюдаем достаточно давно и частично о ней рассказывали в материале про случаи эксплуатации уязвимости десериализации ненадёжных данных в параметре VIEWSTATE в среде .NET.

Ключевые используемые инструменты:

  • Nbtscan
  • SharpHound
  • CMPSpy
  • RDCMan
  • SmbExec
  • Azazel
  • Venom proxy
  • Inveigh
  • Antak
  • SessionGopher
  • dns-dump
  • КingOfHeart
  • autokerberoast

Цели

Всегда целью атак был шпионаж с отсутствием каких-либо попыток проведения деструктивных активностей.

Как и Shedding Zmiy, группировка отличается “стабильностью” в плане целей и регулярности атак. В среднем за год мы расследуем не менее одной атаки Obstinate Mogwai ежеквартально.

Erudite Mogwai

Ещё одна азиатская группировка, атакующая российские организации. Она специализируется на краже конфиденциальной информации и шпионаже. Ее деятельность впервые была зафиксирована не позднее 2017 года. Группировка попала в наше поле зрения летом 2023 года в ходе расследования атаки на ИТ-инфраструктуру российской компании, последний раз мы сталкивались с ней в ноябре 2024 года. Впервые деятельность Erudite Mogwai была описана в 2019 году специалистами из компании Positive Technologies, которые дали группировке название Space Pirates. С тех пор их методы, инструменты и цели продолжали развиваться.

Основные инструменты

Среди актуальных инструментов, используемых злоумышленниками на данный момент, можно выделить:

  • LuckyStrike Agent - многофункциональный бэкдор на .NET, способный использовать в качестве C2 OneDrive, не встречался в предыдущих атаках;
  • Shadowpad Light (aka Deed RAT);

  • Кастомный Stowaway — пентест утилита, из функциональности которой оставлено SOCKS5 прокси. Используется для продвижения в сети жертвы;
  • Различные Open-Source утилиты для сканирования сети.

Цели

Основные жертвы — это государственные учреждения, ИТ-департаменты госорганизаций, а также предприятия, связанные с высокотехнологичными отраслями, такими как авиационно-космическая и электроэнергетическая индустрии. Географически их атаки были нацелены на организации в России, Грузии и Монголии.

Moonshine Trickster (Werewolves)

Восточноевропейская группировка.

Ключевые используемые инструменты:

  • LockBit
  • Cobalt Strike

Цели

Пока что мы не наблюдали полноценных атак этой группировки, а лишь видели артефакты, указывающие на ее присутствие в инфраструктурах некоторых наших клиентов. В связи с этим не можем судить о целях группы со стопроцентной уверенностью, но судя по сообщениям других компаний, атакующие шифруют инфраструктуры с использованием LockBit для вымогательства. В апреле и мае мы наблюдали активные фишинговые рассылки нашим заказчикам от этой группы. Нам удалось вовремя остановить развитие этих атак.

Фишинговые письма содержали RTF-файл с уязвимостью CVE-2017-11882. В случае успешной эксплуатации на атакованный хост загружается .hta файл, который выполняет powershell-команду. Команда, в свою очередь, распаковывает и запускает Cobalt Strike Stager, который предназначен для загрузки и выполнения Cobalt Strike Beacon.

Morbid Trickster (Morlock)

Восточноевропейская (предположительно, украинская) группировка.

Используемые инструменты:

  • LockBit
  • Babuk
  • Anydesk
  • Ngrok
  • Mimikatz
  • Sliver
  • Localtonet
  • gsocket
  • Meterpreter
  • Chisel
  • Resocks
  • Facefish
  • SoftPerfect Network Scanner
  • XenAllPasswordPro

Цели

Вымогательство через шифрование инфраструктуры жертвы. В отличие от группы Shedding Zmiy, они не пытаются получить доступ к данным, в связи с чем их атаки гораздо более краткосрочны. В расследованиях, в которых мы принимали участие, атаки длились от 2 недель до 2 месяцев.

Можно отметить, что индикаторы группы достаточно сильно пересекаются с инструментами и индикаторами Shedding Zmiy, при этом наблюдается устойчивая разница в тактиках, техниках и процедурах, поэтому данную активность выделяем в отдельную группу.

NGC4020

Происхождение пока что неизвестно.

Используемые инструменты:

  • QuasarRAT
  • java-reverse-tcp
  • Кастомная утилита для обхода АВПО

Цели

Предположительной целью группы являлось построение ботнета, так как не наблюдалось попыток продвижения вглубь инфраструктуры, также не было какого-то деструктивного воздействия.

Для первоначального проникновения использовался эксплойт для приложения, публично доступного по нестандартному порту. После успешной атаки на системах размещались утилиты QuasarRAT и реверс шелл на java. Обе указанные утилиты размещаются в свободном доступе, в связи с чем атрибуцию по ним проводить не имеет смысла. Также в атаках использовалась кастомная утилита для обхода АВПО, эксплуатирующая CVE-2019-3980.

Подробнее о деятельности этого кластера мы недавно рассказали в отдельной статье

Fairy Trickster (Head Mare)

Восточноевропейская (предположительно, украинская) группировка.

Используемые инструменты:

  • PhantomRAT

Цели

Уничтожение данных.

Мы наблюдали только фишинговые рассылки на своих заказчиков, которые не привели к развитию таких атак. В связи с этим не располагаем полным набором тактик, техник и процедур группы. При этом, согласно заявлениям других компаний, фишинг с указанным инструментом они атрибутируют группе Head Mare. Указанная группа взяла на себя ответственность за громкую атаку на компанию CDEK в конце мая 2024 года, в результате которой компания приостановлена деятельность на несколько недель.

На системах наших заказчиков мы видели артефакты деятельности этой группировки в основном в первой половине года. Затем было несколько месяцев затишья, пока один из наших клиентов (медицинская организация), не столкнулся с фишинговыми рассылками, относящимися к деятельности группировки. Как и в случаях из первой половины года, наблюдавшиеся нами атаки были остановлены на этапе фишинга.

NGC6160 (Stone wolf)

Происхождение пока что неизвестно.

Используемые инструменты:

  • Meduza Stealer

Цели

Цели группы неизвестны, предположительно — это кража учетных данных.

Мы наблюдали только фишинговые рассылки в адрес заказчиков, которые не привели к развитию атаки. В связи с этим Solar 4RAYS не располагает полным набором тактик, техник и процедур группы.

Meduza Stealer — это коммерческий вредоносный инструмент, который содержит механизм самоуничтожения при обнаружении системы на территории СНГ и Туркменистана. Мы видели его в нескольких атаках. Механизм, предположительно, встроил создатель инструмента, но NGC6160, тем не менее, атакует цели на территории “запретных стран”. Либо участники группировки удалили блокирующие функции, либо просто используют его, нарушая “пользовательское соглашение” с создателем.

Другие группировки и кластеры

Кроме того, в 2024 году мы столкнулись с активностью группировки Cloud Atlas. Группировка известна с 2014 года, специализируется на шпионских операциях в организациях разной направленности по всему миру и, предположительно, является “наследницей” операции Red October, раскрытой “Лабораторией Касперского” в 2013 году. Данных, позволяющих надежно определить происхождение операторов Cloud Atlas, нет. В публикации о Red October “Лаборатория Касперского” приводила языковые артефакты, оставленные в коде ВПО разработчиками, указывающие на то, что они могут быть русскоговорящими. В ходе расследования мы тоже столкнулись с похожей уликой: в одном из обнаруженных скриптов английское слово domain было буквально транслитерировано с русского: domen_scan.ps1

Также, по данным “Лаборатории Касперского”, Cloud Atlas чаще всего атакует цели на территории России. Получается, что русскоязычные атакующие нападают на российские организации с целью шпионажа. Такая совокупность признаков может указывать на то, что атакующие действуют в интересах одной из стран постсоветского пространства – Украины, например, ведь проукраинские группировки в последние годы регулярно атакуют российские инфраструктуры. Однако в атаках, описанных в 2019 году, среди целей обнаружились и украинские государственные организации, правда, только на территориях Украины, на которых в то время происходил военный конфликт.

Мы сталкивались с Cloud Atlas значительно реже, чем с другими группировками и кластерами. В мае 2023 года мы наблюдали характерную для группировки фишинговую рассылку в адрес российской государственной организации. Тогда инцидент длился не более десяти дней. Расследуя атаку в сентябре 2024 года, мы обнаружили свидетельства, указывающие, что Cloud Atlas находился в сети атакованной организации более двух лет.

Помимо CloudAtlas, мы столкнулись с NGC5350 (Hellhounds) - нашли следы их присутствия в инфраструктуре, которая дополнительно была взломана другой группировкой, а также с одним новым кластером – NGC5160. Во второй половине года мы наблюдали серию схожих между собой атак на организации государственного сектора, транспортной сферы, сферы ВПК и др. Расследование обстоятельств этих атак ещё продолжается, и мы поделимся результатами, как только они будут готовы.

Распространенные техники атакующих

Для этого раздела нашего отчета мы взяли информацию о действиях атакующих в рамках инцидентов, расследованных командой Solar 4RAYS. Матрица Mitre ATT&CK позволяет достаточно гибко и подробно разбирать атаки на тактики\техники, тем самым давая ответы на вопрос: “почему атакующие осуществляют какие-то действия, и как именно они это делают?”. Все тактики важны, но мы решили сфокусироваться на пяти, на основе которых можно сделать общие выводы об основных этапах: и: Initial Compromise, Persistence, Lateral Movement, Exfiltration и Impact.

Первоначальное проникновение

Распространенные техники, зафиксированные в инцидентах:

  • T1078-Valid Accounts
  • T1078.002 - Valid Accounts: Domain Accounts
  • T1078.001 - Valid Accounts: Default Accounts
  • T1190 - Exploit Public-Facing Application
  • T1566.001 - Phishing: Spearphishing Attachment
  • T1133 - External Remote Services
  • T1199 - Trusted Relationship

T1078-Valid Accounts, T1078.002 - Valid Accounts: Domain Accounts и T1078.001 - Valid Accounts: Default Accounts, T1078.004 - Valid Accounts: Cloud Accounts

Эту технику атакующие эксплуатировали через подбор паролей к FTP-серверами, доступным из сети PostgreSQL грубой силой, подключение по RDP с помощью полученных где-то еще учетных записей. В нескольких случаях мы фиксировали использование техники в комбинации с T1133 - External Remote Services. Атакующие использовали для доступа к инфраструктуре корпоративный сервис VPN, а после подключения они использовали скомпрометированную доменную учетную запись.

T1190 - Exploit Public-Facing Application

Как мы уже отмечали, эксплуатация уязвимостей в публичных приложениях - один из самых распространенных способов первоначального доступа. К сожалению, все еще есть немало организаций, в которых уязвимые системы доступны из веба. В нескольких инцидентах мы видели свидетельства эксплуатации изъянов в продукции компании Bitrix. Она имеет весьма широкое распространение в российских организациях, но не всегда ПО в них обновлено до последней версии, чем и пользуются атакующие. Кроме того, нередкими были атаки на Microsoft Exchange и альтернативы этого решения, например, Zimbra Collaboration Suite. Также на протяжении года мы наблюдали эксплуатацию уязвимостей в следующих приложениях:

Network Weathermap - приложение для визуализации схемы сети;

Jenkins - приложение, используемое для реализации процесса непрерывной интеграции ПО; DameWare Mini Remote Control - ПО для удалённого доступа;

Teamcity - приложение, используемое для реализации процесса непрерывной интеграции ПО. 

T1566.001 - Phishing: Spearphishing Attachment

Целевой фишинг - классический метод первоначального проникновения, хотя в нашей практике он и встречается реже иных способов. В процедурах реализации техники, которые мы видели в прошлом году, новшеств нет. Например, в одном случае атакующие направили фишинговое письмо с архивом, содержащим xlsx-файл-приманку и вредоносный .lnk файл, в другом примере в фишинговом письме содержался файл с двойным расширением “.doc.exe”. Оба способа не новы, но, видимо, атакующие не стремятся менять то, что и так работает.

T1199 - Trusted Relationship

Техника регулярно встречалась в расследованиях и в 2023, и в 2024 году. Как правило, атакующие взламывают инфраструктуру подрядчика целевой организации пользуются его доступом для проникновения в нее. Характерный пример процедурной реализации этой техники: злоумышленники получают доступ к VPN-сервису подрядчика, находят смежную сеть и таким образом попадают в нужную инфраструктуру.

Persistence

Распространенные техники, зафиксированные в инцидентах:

  • T1053.003 - Scheduled Task/Job: Cron
  • T1053.005 - Scheduled Task/Job: Scheduled Task
  • T1543.002 - Create or Modify System Process: Systemd Service
  • T1543.003 - Create or Modify System Process: Windows Service
  • T1546.004 - Event Triggered Execution: Unix Shell Configuration Modification
  • T1505.003 - Server Software Component: Web Shell
  • T1505.004 - Server Software Component: IIS Components
  • T1547.001 - Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder
  • T1547.004 - Boot or Logon Autostart Execution: Winlogon Helper DLL
  • T1574.006 - Dynamic Linker Hijacking
  • T1098.007 - Account Manipulation: Additional Local or Domain Groups
  • T1078.002 - Valid Accounts: Domain Accounts
  • T1136.002 - Create Account: Domain Account
  • T1136.001 - Create Account: Local Account
  • T1098.004 - Account Manipulation: SSH Authorized Keys
  • T1037 - Boot or Logon Initialization Scripts

Для того, чтобы изгнать атакующих из скомпрометированной инфраструктуры и восстановить ее в состояние, предшествующее компрометации, приходится проделать ряд различных процедур. Конечно, затронутые инцидентов системы можно просто "перезалить" - но не всегда есть такая возможность и иногда приходится работать с хирургической точность, вырезая артефакты присутствия атакующих словно опухоль. Помимо смены скомпрометированных учётных записей, удаления файлов, используемых атакующими, важно найти и "обезвредить" все точки закрепления. Как показывает наш опыт, в некоторых случаях атакующие используют разные техники закрепления на разных машинах или вовсе, закрепляются несколькими различными способами на одной. Ниже приводим такие примеры.

T1543.002 + T1037 + T1505.003

В одной из атак на религиозную (!) организацию, группировка Shedding Zmiy закрепляла утилиты gs-netcat через создание сервисов, добавляла строки, выполняющие запуск SSH-IT, в файл /root/.profile, а кроме того, размещала на скомпрометированных системах web-shell.

T1053.003 + T1543.002 + T1546.004 + T1505.003

В существующий файл задачи планировщика /var/spool/cron/bitrix атакующие добавили строки, выполняющие запуск утилиты туннелирования gs-netcat. В рамках той же атаки строки для тех же целей добавлялись в файл /home/bitrix/.bashrc. В третьем случае gs-netcat запускались через создание системных сервисов. В том же инциденте атакующие разместили на скомпрометированной системе WEB-shell phpsploit.

T1098.007 + T1078.002 + T1136.002 + T1053.005 + T1543.003 + T1543.002

Для обеспечения постоянного доступа к системам атакующие использовали скомпрометированную привилегированную УЗ. Кроме того, атакующие создали локальную учётную запись с привилегиями администратора, а ещё создавали системные службы и задачи планировщика для обеспечения постоянного запуска ВПО.

В другом инциденте создание служб и задач планировщика скомбинировали с использованием сервисов (для закрепления на Linux-системах):

  • /usr/lib/systemd/system/irqballanced.service
  • /usr/lib/systemd/system/hwrngd.service
  • /usr/lib/system/system/dcron.service
  • /usr/lib/systemd/system/at.service

Lateral Movement

Распространенные техники, зафиксированные в инцидентах:

  • T1021 - Remote Services
  • T1021.002 - Remote Services: SMB/Windows Admin Shares
  • T1021.001 - Remote Services: Remote Desktop Protocol
  • T1021.004 - Remote Services: SSH
  • T1021.006 - Remote Services: Windows Remote Management
  • T1021.008 - Remote Services: Direct Cloud VM Connections
  • T1210 - Exploitation of Remote Services
  • T1570 - Lateral Tool Transfer
  • T1563.002 - Remote Service Session Hijacking: RDP Hijacking
  • T1550.002 - Use Alternate Authentication Material: Pass the Hash

Чаще других в расследованных инцидентах на этапе горизонтального перемещения мы видели использование psexec для удаленного выполнения команд, а также SMBexec и Atexec. Это процедуры, имеющие значительное распространение среди атакующих.

Кроме того, очень часто атакующие используют протокол RDP для доступа к атакованной инфраструктуре, а если речь заходит о Linux-системах, то злоумышленники предпочитали использовать SSH.

В некоторых случаях для подключения к системам в скомпрометированной инфраструктуре мы наблюдали использование механизма WinRM.

Все еще встречаются случаи, когда атакующие используют протокол SMB и уязвимости в нем (например, CVE-2017-0144). Примеры экзотических процедур, встречавшихся в инцидентах: атакующие использовали скомпрометированный аккаунт для доступа к панели управления гипервизором. В другом случае атакующие соответствующее значение для закрепления ВПО через ключ реестра HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.

Exfiltration и Impact

Распространенные техники, зафиксированные в инцидентах

  • T1567 - Exfiltration Over Web Service
  • T1567.002 - Exfiltration Over Web Service: Exfiltration to Cloud Storage
  • T1048 - Exfiltration Over Alternative Protocol
  • T1486 - Data Encrypted for Impact
  • T1561.001 - Disk Wipe: Disk Content Wipe
  • T1491.002 - Defacement: External Defacement
  • T1496.001 - Resource Hijacking: Compute Hijacking
  • T1565.003 - Data Manipulation: Runtime Data Manipulation
  • T1565.001 - Data Manipulation: Stored Data Manipulation
  • T1485 - Data Dectruction
  • T1496.001 - Resource Hijacking: Compute Hijacking
  • T1496.002 - Resource Hijacking: Bandwidth Hijacking

Exfiltration и Impact - два заключительных и, субъективно, самых интересных этапа любой атаки, поскольку именно они позволяют сделать однозначные выводы о мотивах её операторов.

Большинство инцидентов 2024 года связаны со шпионажем и похищением конфиденциальных данных, в некоторых кейсах нам удалось установить, как именно были похищены данные.

В частности, мы видели свидетельства тому, как атакующие выполняли эксфильтрацию данных с атакованных систем с использованием утилиты Rclone или выгружали информацию на подконтрольные ресурсы с помощью WebDAV. В некоторых случаях для этого использовался плагин WinSCP для файлового менеджера FarManager. В одном из расследований мы обнаружили, что атакующие выгрузили около 20 Гигабайт данных через уязвимость SSRF в Microsoft Exchange.

В финансово мотивированных атаках мы чаще всего наблюдали, что атакующие размещают в скомпрометированных системах ПО для майнинга криптовалют и рекламное ПО. Однако были и исключения: например, в одном из инцидентов атакующие размещали в системе инструмент, позволяющей платно предоставлять в пользование интернет-соединение скомпрометированной системы.

Самые тяжёлыми с точки зрения последствий для атакованной организации являются инциденты, результатом которых становилось уничтожение данных. В расследованных нами атаках, мы видели применение шифровальщиков Enmity и Blackshadow (причем с именно с целью сделать данные нечитаемыми, а не для выкупа), а кроме того, уничтожение ресурсов виртуализации, на которых опираются многие организации: например, в одном из случаев атакующие получили доступ к веб-консоли vSphere и через нее удалили виртуальные машины. В другом инциденте атакующие удалили логические виртуальные тома внутри RAID-групп, и сделали таким образом виртуальную часть инфраструктуры неработоспособной.

Основные тренды 2024 года

Сейчас уже ясно, что список трендов, которые мы привели в ноябрьской версии этого отчёта, по итогам года не изменился. Для удобства повторим их здесь.

  • Атакуют всех. Рост числа сфер экономики, в которых работают атакованные организации свидетельствует о том, что у группировок (особенно проукраинских) нет фокуса на определённый тип организаций, как это было в прежние годы, когда существовало деление на сферы, которые атакуют с более или менее высокой вероятностью.
  • Уровень атакующих растёт. В 2024 году стало меньше хактивистских атак и больше атак, целью которых является кража данных (в некоторых случаях с целью последующей перепродажи или передачи иным заинтересованным лицам), а также атак с целью нарушения работоспособности инфраструктуры.
  • Уровень защищенности организаций всё ещё оставляет желать лучшего. Не смотря на вал атак на российские организации, начавшийся в 2022 году, далеко не все целевые атаки, которые мы наблюдали, можно назвать сложными просто потому, что зачастую не нужно быть профессиональным взломщиком, чтобы проникнуть в инфраструктуру организации. В одном из инцидентов для проникновения в организацию использовались учетные данные, о которых было известно, что они скомпрометированы ещё несколько лет назад. Уровень атакующих растёт быстрее, чем уровень защищённости атакуемых организаций. О значительном повышении безопасности инфраструктуры в подавляющем большинстве случаев задумываются только компании, столкнувшиеся с серьёзными инцидентами, нанёсшими значительный ущерб или получившие публичную огласку;
  • Многочисленные утечки корпоративных данных создали “плацдарм” для атакующих. Как мы уже отмечали ранее, использование скомпрометированных учетных записей в 2024 году стало одним из самых распространённых методов проникновения в организации. Предположительно, злоумышленники используют утекшие учетные записи, которые не обновили вовремя или о которых до сих пор неизвестно, что они были скомпрометированы.
  • Атаки на СЗИ получают всё более широкое распространение. В нескольких инцидентах в 2024 году (один мы относим к деятельности группировки Morbid Trickster, другой - к кластеру NGC4020) мы наблюдали успешные попытки отключения используемых в организации средств защиты информации. В одном инциденте злоумышленники использовали механизм взаимодействия ОС Windows c сертификатами ПО, а в другом - технику bring your own vulnerable driver (BYOVD), которая из-за уязвимости ядра Windows позволяет атакующему установить в систему вредоносный драйвер и с его помощью отключить защиту антивирусного продукта.
  • Время между публикацией PoC и началом “боевой” эксплуатации уязвимостей сокращается. Некоторые группировки стараются максимально оперативно эксплуатировать свежие уязвимости. Как мы уже рассказывали в этом отчете, атакующим нужно всего несколько часов, чтобы взять Proof-of-concept и использовать его в реальных атаках, пользуясь, тем что многие еще могли не успеть применить патчи безопасности;
  • Linux атакуют всё чаще. В 2023 году мы обнаружили первую за всю историю наших наблюдений сложную целевую атаку, направленную преимущественно на Linux-инфраструктуры. В нашей таксономии эта операция получила название NGC2140. В ней использовался чрезвычайно скрытный вредонос GoblinRAT, о котором мы рассказали в ноябре.

В расследованиях 2024 года мы увидели развитие тренда, зародившегося в 2023 году: мы продолжили встречать инструменты, направленные на Unix-системы (преимущественно Linux). Их активно применяет, например, группировка Shedding Zmiy. Рост подобных атак опровергает многолетнее убеждение, что на Unix-системах вредоносного ПО нет. Более того, некоторые группировки атакующих, по нашему мнению, специализируются именно на атаках данного семейства операционных систем и сознательно не хотят обширно затрагивать другую инфраструктуру.

  • Шифровальщики целятся в виртуализацию. Одной из характерных черт при попытках уничтожения инфраструктуры является повреждение или уничтожение серверов виртуализации. Эта тактика встречалась и ранее, но в этом году она наиболее ярко проявилась в наших расследованиях. Наряду с попыткой выведения из строя самой виртуализации, целью являются системы, которые на ней функционируют.
  • Вымогатели-шифровальщики продолжают представлять серьезную угрозу. За громкими новостями о политически мотивированных атаках атаки шифровальщиков будто бы ушли “в тень”, но в 2024 году нам периодически доводилось сталкиваться с такими шифровальщиками, как Blackshadow, Enmity, Lockbit.
  • Проукраинские группировки атакующих остаются главной угрозой для российских ИТ-инфраструктур. Хотя в течение года мы наблюдали атаки, осуществленные группировками, имеющими иное происхождение (например, восточноазиатская группа Obstinate Mogwai), атаки проукраинских групп превалируют и обычно имеют более разрушительный, чем “просто шпионаж” эффект. Характерный modus operandi этих атакующих: получить максимально глубокий доступ к инфраструктуре, собрать все конфиденциальные данные и, когда атакованная инфраструктура перестаёт представлять ценность или возникает угроза обнаружения атакующих, уничтожить её.

Прогнозы развития ландшафта сложных киберугроз в 2025 году

Инциденты, которые мы наблюдали в течение года, позволяют сделать некоторые предположения о том, каким может быть грядущий год:

  • Количество инцидентов сохранится или вырастет, а разнообразие атакуемых отраслей сохранится. По нашим наблюдениям, количество атак и атакованных организаций в последние годы (особенно после начала СВО) только увеличивалось. Комментируя свои действия в социальных сетях, представители проукраинских группировок нередко указывают на связь кибератак с военными действиями на Украине. Также сохранится разнообразие атакованных инфраструктур, поскольку атакующие очевидно не выбирают конкретные цели, а вместо этого используют все доступные возможности.
  • В атаках будет применяться больше кастомных вредоносных инструментов. Все чаще атакующие используют либо полностью кастомные, либо существенно доработанные публично доступные вредоносные инструменты. Мы считаем, что этот тренд сохранится. Злоумышленники активно модернизируют свой арсенал, добавляют новую функциональность в инструменты, уделяя все большее внимание скрытности и техникам обхода защитных решений. Например, после серии публикаций об атаках Shedding Zmiy группировка существенно обновила свой арсенал, отказавшись от применения инструментария, о котором в первой половине года рассказывали и Solar 4RAYS, и коллеги по индустрии.
  • Атакующие сфокусируются на более масштабных целях. После всплеска массовых хактивистских атак в 2022 году (дефейс сайта, например, или политически мотивированные DDoS-атаки), их число продолжает падать. А вот более изощренных операций стало больше. Уровень злоумышленников, вовлеченных в атаки на российские инфраструктуры, вырос, и в 2025 году мы ожидаем больше инцидентов, направленных на кражу конфиденциальных корпоративных данных, перехват ключевых сервисов, уничтожение ключевой инфраструктуры, взлом подрядчиков для доступа к целевым сетям и т.д.
  • Linux останется в фокусе атакующих. В российских организациях растет количество Linux-систем и, соответственно, будет расти количество атак на них. Также связываем этот тренд с традиционно более низким уровнем знаний Linux-систем по сравнению с Windows у многих специалистов, администрирующих такие системы внутри организаций. Защитные решения для NIXов также, как правило, уступают по уровню погруженной в них экспертизы своим аналогам для Windows.

Заключение и рекомендации

События, происходящие на российском ландшафте сложных киберугроз в последние годы, можно образно охарактеризовать, как большое и продолжительное тестирование на проникновение всей российской ИТ-инфраструктуры. Пока что, судя по статистике инцидентов, “красная” команда ведёт с большим отрывом, но для организаций эта ситуация может поводом для кардинальных перемен в подходе к обеспечению информационной безопасности своих инфраструктур. Из нашего анализа мы делаем вывод, что даже базовые меры безопасности при грамотном подходе, если не исключат вероятность успешной кибератаки полностью, то серьёзно её снизят.

Мы рекомендуем:

  • Строго контролировать удалённый доступ в инфраструктуру, особенно для подрядчиков;
  • Предельно ответственно относиться к соблюдению парольных политик, пользоваться сервисами мониторинга утечек учётных записей и вовремя их обновлять;
  • Серьёзно относиться к уведомлениям о возможной компрометации от Национального координационного центра по компьютерным инцидентам (НКЦКИ) и частных компаний, обладающих экспертизой в области ИБ.
  • Создавать инфраструктуру бэкапов, следуя принципу “3-2-1”, который предполагает наличие не менее трех копий данных, хранение копии как минимум на двух физических носителях разного типа, и наличие минимум одной копии за пределами основной инфраструктуры;
  • Использовать продвинутые средства защиты (EDR, SIEM) наряду с классическим защитным ПО, чтобы иметь возможность отслеживать события в инфраструктуре и вовремя обнаруживать нежелательные;
  • В случае подозрения на атаку, не медлить с оценкой компрометации, а лучше - делать её на регулярной основе;
  • Оперативно обновлять все используемое в инфраструктуре ПО;
  • Заниматься повышением киберграмотности сотрудников - ведь успешная атака на основе социальной инженерии возможна даже в самой защищённой инфраструктуре.
  • Следить за тем, чтобы служба ИБ имела постоянный доступ к последним сведениям о ландшафте киберугроз конкретного региона и индикаторам компрометации;