Выросло число скрытых кампаний против российских организаций в 2025 году
3 мин
49
В 2025 году уровень кибердавления на российские организации повысился. Злоумышленники проявляют устойчивый интерес к государственному и промышленному сегментам, отмечают специалисты кибербез-компании «Гарда», которые подвели итоги активности APT-группировок за 2025 год. Основной сценарий атак строится вокруг шпионажа и подрыва работы инфраструктуры. Противники всё чаще уходят от шумных техник и действуют скрытно и методично
Во всех рассмотренных кампаниях отправной точкой компрометации стал фишинг. Каждая из выявленных группировок работала против российских государственных учреждений. Следом по частоте атак идут промышленность и энергетика, затем телекоммуникации и образование. В ряде кампаний злоумышленники комбинировали кражу данных с их последующим уничтожением. В других случаях выстраивали долгосрочное присутствие для выкачивания документов и учётных данных.
Злоумышленники делают ставку на две стратегии. Первая — таргетированные рассылки. Вторая — маскировка вредоносных файлов под легитимные документы и утилиты.
Контент писем подстраивается под профиль жертвы, повышая вероятность открытия и запуска нагрузки. После первичного доступа атакующие закрепляются в системе, опираясь на общедоступные инструменты администрирования, средства туннелирования и фреймворки постэксплуатации.
В ход идут PowerShell-скрипты, задания планировщика, ключи автозапуска в реестре. Устанавливаются легитимные агенты удалённого управления. Такой подход позволяет сохранить доступ после перезагрузки и не привлекает внимание средств защиты, ориентированных на поиск явного вредоносного кода.
На этапе развития атаки группировки переходят к разведке и боковому перемещению. Собирают сведения об учётных записях, доменной структуре и сетевых ресурсах. Используют инструменты для анализа Active Directory и сетевого сканирования. Для перемещения между узлами применяются штатные протоколы Windows — RDP, SMB и WinRM, а также украденные учётные данные.
Управление заражёнными системами строится через C2-инфраструктуру с маскировкой трафика. Атакующие используют HTTPS, WebSocket и туннелирование через сервисы вроде ngrok или публичные облачные платформы. Это усложняет сетевой анализ и позволяет скрывать реальные серверы управления. В ряде атак фиксируется переход на новые открытые C2-фреймворки, например AdaptixC2, которые дорабатывают под конкретные задачи.
