Фокус APT-атак в 2025 году сместился на российский госсектор и промышленность

Анализ публичных отчетов за 2025 год выявил высокий уровень кибердавления на российские организации, как сообщила компания «Гарда». Основное внимание злоумышленников было сосредоточено на государственном и промышленном сегментах.

Во всех рассмотренных кампаниях компрометация начиналась с фишинга, при этом атакам в первую очередь подвергались государственные учреждения, затем — промышленность и энергетика, а следом — телекоммуникации и образование.

Злоумышленники используют две основные стратегии: таргетированные рассылки и маскировку вредоносных файлов под легитимные документы. Контент писем адаптируется под профиль жертвы для повышения вероятности успеха.

Продолжение ниже

После получения доступа атакующие закрепляются в системе с помощью общедоступных инструментов администрирования, средств туннелирования и фреймворков постэксплуатации. Для сохранения доступа применяются PowerShell-скрипты, задания планировщика и установка легитимных агентов удаленного управления.

На этапе развития атаки группировки занимаются разведкой и боковым перемещением по сети, используя штатные протоколы Windows и украденные учетные данные. Управление осуществляется через C2-инфраструктуру с маскировкой трафика через HTTPS, WebSocket или публичные облачные платформы.

Как отмечается в сообщении, атакующие все чаще маскируют вредоносную активность под штатные процессы, что усложняет их обнаружение.