Эксперты группы киберразведки PT ESC фиксируют рост активности APT-группировок и хактивистов в отношении российских организаций: https://vk.cc/cOyjO7 🐟 В отчете за второй квартал 2025 года специалисты департамента threat intelligence нашего экспертного центра безопасности (PT ESC TI) отмечают, что в качестве первоначального вектора злоумышленники чаще всего использовали фишинговые письма, причем как в распространенных сценариях, так и при использовании уязвимостей нулевого дня. 🎭 Фишинг с маскировкой под госорганы Например, группировка TA Tolik прикрепляла к таким письмам архив, внутри которого был вредоносный файл, похожий на официальный документ или уведомление от государственных органов. Маскируясь под легитимное ПО, вредонос создавал задачи в планировщике и добавлял зловредный код в реестр Windows. Далее скрипты запускались автоматически, получали команды и модули из реестра, расшифровывали их и загружали вредоносную нагрузку в оперативную память. 🤞 Фишинг со страховкой Хакеры из Sapphire Werewolf использовали бесплатный легитимный сервис для обмена файлами, размещая там вредоносные архивы и рассылая фишинговые письма со ссылками на их скачивание. При запуске вирусный документ проверял, не попал ли он в песочницу, и, если это подтверждалось, завершал работу. Группировка PhaseShifters также использовала вредонос, который выяснял, есть ли в инфраструктуре жертв средства защиты. В зависимости от результатов параметры последующего запуска ВПО модифицировались. Киберпреступники распространяли делали фишинговые рассылки от лица Минобрнауки. 🚩 Фишинг от хактивистов Во втором квартале высокую активность продемонстрировали и хактивисты. Например, злоумышленники из Black Owl приурочили свою целевую кампанию к транспортно-логистическому форуму. Они распространяли ВПО через специально созданные фишинговые сайты, якобы принадлежащие организаторам мероприятия. «Как показывает практика, хактивисты в основном взламывают небольшие сайты — онлайн-магазины, персональные блоги и региональные информационные порталы. Они размещают там пропагандистские материалы, перенаправляют трафик на поддельные страницы или внедряют вредоносный код для дальнейшего развития атаки. Некоторые APT-группировки используют взломанные ресурсы для проведения многоступенчатых фишинговых кампаний, а часть злоумышленников продают свои трофеи на теневом рынке», — рассказал Денис Казаков, специалист группы киберразведки TI-департамента PT ESC. Кроме того, эксперты отметили рост числа вредоносных файлов, код которых был частично сгенерирован нейросетями. Применяя общедоступные AI-сервисы, киберпреступники быстро адаптировали модули для обхода классических средств защиты. Подробнее о самых примечательных кибератаках, методах злоумышленников и способах им противостоять читайте в полной версии отчета: https://vk.cc/cOyjO7 #PTESC #PositiveTechnologies