Как киберпреступники используют ИИ и облака — кросс-доменные атаки, голосовой фишинг и скорость развертывания

21 октября, 2025, 09:30

Кибератаки с каждым годом все больше задействуют ИИ, а цели группировок меняются. Так, в 2025 году наблюдается активный рост интереса хакеров к облачным инфраструктурам в государственном секторе, а также в телекоммуникациях. Эти и многие другие выводы по отчету CrowdStrike читайте в материале SecPost.

Отчет компании CrowdStrike «Threat Hunting Report 2025» посвящен новой эре киберугроз, которые характеризуются появлением так называемого «предприимчивого противника». Эти злоумышленники действуют с бизнес-подходом: их тактика рассчитана на скорость, масштабируемость и эффективность. Они искусно обходят традиционные средства защиты, используя уязвимости в процессах, эксплуатируя человеческий фактор с помощью социальной инженерии (часто усиленной ИИ) и и атакуют устройства, которые не контролируются ИТ-службой. Предлагаемый ниже анализ суммирует ключевые выводы, статистику и рекомендации отчета. Полную версию отчета можно получить по ссылке.

Ключевые тренды и статистика

CrowdStrike фиксирует заметное усложнение и ускорение атак. За год количество интерактивных вторжений («hands-on-keyboard») выросло на 27%. При этом в 81% случаев злоумышленники обходились без использования традиционного вредоносного ПО, что делает такие операции особенно трудными для обнаружения.

Ландшафт угроз по-прежнему определяется киберпреступностью: на eCrime-группировки приходится 73% всех интерактивных атак. Это подтверждает, что финансово мотивированные акторы остаются ключевым источником рисков для компаний разных отраслей.

Одновременно наблюдается взрывной рост активности в облаках. Только за первую половину 2025 года число облачных вторжений превысило показатель всего 2024 года на 136%. Вклад китайских группировок в этот рост составляет около 40%, что подчёркивает их возрастающий интерес к облачным сервисам.

Дополнительным вызовом становится эпидемия вишинга: количество атак с использованием телефонных звонков уже за полгода превысило уровень прошлого года. Голосовой фишинг превращается в массовый инструмент злоумышленников, позволяя им эффективно обходить традиционные механизмы проверки.

Целевые секторы

Технологический сектор остаётся главной мишенью уже восьмой год подряд. Именно через компании этой отрасли злоумышленники получают доступ к другим сегментам экономики, что делает технологических игроков «узловыми точками» для киберпреступников и государственных группировок.

Резкий рост зафиксирован в государственном секторе: количество интерактивных вторжений увеличилось на 71%, а активность кибершпионских группировок выросла на 185%. Основными действующими лицами здесь стали российские акторы, в частности PRIMITIVE BEAR и VENOMOUS BEAR.

Заметна динамика и в телекоммуникациях. Сектор показал 53% всех вторжений и 130% роста активности государственных групп, в первую очередь китайских. Для хакеров телеком остаётся ценной целью: через него можно собирать разведданные и контролировать коммуникации. Под ударом также розница и производство, где eCrime-группы усилили давление — число атак выросло на 41% и 55% соответственно. В этих отраслях компании часто вынуждены платить выкуп, чтобы минимизировать простой и сохранить данные.

Тактики и техники злоумышленников

В 2025 году наиболее заметной тактикой стало уклонение от защиты. Противники маскируют свои действия под легитимную активность, отключают или изменяют средства мониторинга и тем самым затрудняют обнаружение вторжения. Однако не меньшее внимание они уделяют разведке: пять из десяти самых распространённых техник относятся именно к этой тактике. Злоумышленники тратят значительное время на изучение инфраструктуры, поиск учётных данных и картирование сетей, прежде чем перейти к активным действиям.

В числе популярных техник — Account Discovery и Remote System Discovery, позволяющие определить привилегированные учётные записи и потенциальные точки доступа. Для уклонения от защиты применяются маскировка и модификация инструментов, а для управления — Ingress Tool Transfer, когда в инфраструктуру незаметно заносятся дополнительные утилиты. Такой набор приёмов показывает, что противники предпочитают действовать осторожно и долго готовить почву, создавая основу для масштабных атак.

Генеративный ИИ в арсенале атакующих

В 2025 году генеративный ИИ стал важным элементом в арсенале киберпреступников. Он используется для подготовки фишинговых писем, создания deepfake-видео и синтетических профилей, а также для автоматизации технических задач: поиска уязвимостей и написания кода. Это не заменяет традиционные методы, но значительно повышает скорость и качество атак.

Характерный пример — северокорейская группировка FAMOUS CHOLLIMA, которая встроила ИИ в каждую фазу инсайдерских операций. С помощью поддельных резюме и deepfake-масок её участники устраивались на работу в зарубежные компании, а затем применяли Copilot-ассистентов для написания кода и ведения сразу нескольких проектов. За год их активность выросла на 220%, что подчёркивает масштабы новой угрозы.

Атака на многодоменные среды

Отчет CrowdStrike показывает, что современные атаки всё чаще охватывают сразу несколько сред: учётные записи, конечные устройства и облачные сервисы. По отдельности такие действия могут казаться неопасными, но в совокупности складываются в полноценную кампанию.

Примером является eCrime-группа BLOCKADE SPIDER, которая комбинирует удалённое шифрование через сетевые ресурсы с атаками на облака и гипервизоры VMware ESXi. В другом кейсе китайская OPERATOR PANDA использовала уязвимости сетевых устройств Cisco, остающихся «слепой зоной» для EDR. Эти примеры показывают, что без сбора и корреляции данных со всех источников компании рискуют не заметить атаку до её развертывания.

Охота на атаки через учетные записи и группа SCATTERED SPIDER

Одним из ключевых векторов eCrime остаётся компрометация учётных записей. В 2025 году CrowdStrike эксперты отмечают рост атак через службы поддержки: злоумышленники звонят, выдавая себя за сотрудников, добиваются сброса паролей и обходят MFA с использованием украденных персональных данных. Наиболее активно эту тактику применяет группа SCATTERED SPIDER. Её операции ускорились: время от получения доступа к аккаунту до запуска ransomware сократилось до 24 часов (годом ранее — более 35). После взлома акторы быстро перемещаются по корпоративным SaaS-приложениям (SharePoint, OneDrive), выгружают данные из Entra ID и ищут секреты в системах управления привилегиями. Такой подход делает идентичность новым периметром и требует постоянного мониторинга активности пользователей.

Охота в облачных средах

Китайские группировки активно развивают навыки атак на облака. Здесь выделяются два подхода. Группа GENESIS PANDA действует как брокер доступа: массово проникает в облачные ресурсы, часто через эксплуатацию уязвимостей. После входа злоумышленники запрашивают метаданные (IMDS), чтобы получить ключи управления облаком, и используют их для закрепления и перемещения по инфраструктуре. Более скрытная MURKY PANDA атакует через доверенные связи между организациями. В одном из кейсов злоумышленники взломали поставщика с административным доступом к Entra ID заказчика и создали в системе «чёрные» аккаунты. Такие методы делают традиционный контроль малоэффективным и показывают важность мониторинга взаимодействий в экосистеме партнёров.

Охота на конечных точках и «тихие» угрозы

Наряду с быстрыми атаками, CrowdStrike фиксирует и долгосрочные операции, где злоумышленники стремятся оставаться незамеченными. Такой подход особенно заметен в работе китайской группы GLACIAL PANDA, специализирующейся на телеком-секторе. Их цель — сбор разведданных, включая телеметрию и информацию о звонках.

Группа активно использует легитимные системные инструменты (Living off the Land), что позволяет маскировать действия под обычную активность администраторов. Дополнительно применяются троянизированные версии OpenSSH, предназначенные для кражи учётных данных и создания скрытых каналов доступа. Такая комбинация делает их присутствие минимально заметным и осложняет выявление даже при регулярных проверках.

Охота за уязвимостями и нулевые дни

Уязвимости остаются главным каналом начального доступа: порядка половины зафиксированных инцидентов связаны с получением первоначального доступа через баги в ПО. При этом злоумышленники активно используют как хорошо известные эксплойты, так и нулевые дни — уязвимости, о которых ещё не стало известно публично и для которых нет патча. Пример: в декабре 2024 года группа GRACEFUL SPIDER применила нулевой день в продуктах Cleo, что дало ей быстрый вход до появления исправлений.

Это меняет приоритеты защиты: вместо «патчим всё подряд» нужен приоритет по экспозиции — понимать, какие сервисы доступны извне, какие учётные записи привилегированы и где баг позволит быстро продвинуться дальше. CrowdStrike рекомендует сочетать автоматизированное управление экспозицией, временные меры (микросегментация, ограничение прав) и оперативное развертывание сигнатур/патов, пока не появится окончательный патч.

Заключение и выводы

Прошедший год показал переход к новой парадигме киберугроз. Противники больше не ограничиваются одним доменом — они одновременно работают с учётными записями, конечными устройствами и облачными сервисами, используя генеративный ИИ и доверенные отношения для обхода защиты. Это приводит к нескольким ключевым выводам.

Во-первых, угрозы становятся кросс-доменными, а значит, для их обнаружения нужен единый взгляд на данные из всех источников. Во-вторых, искусственный интеллект выступает двусторонним инструментом: он усиливает как атаки, так и оборону, но при этом создаёт новые поверхности для эксплуатации. Третье наблюдение связано с идентичностью — именно она превращается в новый периметр. Большая часть атак базируется на социальной инженерии и компрометации учётных записей. Отдельное внимание следует уделить облакам: китайские и другие группировки активно развивают техники проникновения в эти среды. И наконец, фактор времени выходит на первый план — промежуток между взломом и развёртыванием ransomware сокращается до часов, что требует автоматизированного реагирования.