ESET: русские хакеры усилили атаки в Европе, применяя уязвимости нулевого дня и Wiper-ов
Изображение: recraft
Компания ESET представила отчёт, посвящённый активности кибергрупп, действующих по всему миру, за период с октября 2024 года по март 2025 года. Исследование охватывает деятельность структур из КНР, КНДР, Ирана, России и других регионов. Особое внимание уделено всплеску атак со стороны российских APT-группировок, наблюдавшемуся в Европе и на территории Украины.
Согласно выводам аналитиков, российские хакеры перешли к более агрессивным сценариям, используя свежие уязвимости и внедряя вредоносные программы-стирания. На фоне конфликта с Украиной и роста напряжённости в отношениях с Евросоюзом были зафиксированы многочисленные эпизоды применения сложных технических решений, затрудняющих обнаружение атак. Отчёт отмечает, что киберагрессия стала более продуманной и направленной.
В Азии основную часть зафиксированных эпизодов составляют операции китайских игроков, на долю которых пришлось 40,1% всех обнаруженных кампаний. Их интерес сконцентрирован на политике ЕС и объектах морской логистики. Северокорейские киберформирования, действуя в ином ключе, сосредоточились на извлечении финансовой выгоды. Они используют поддельные вакансии и психологические приёмы, направленные на сотрудников международных компаний.
Иран в отчёте представлен действиями, направленными на Ближний Восток. Его хакеры продолжают охотиться за данными, проникая в государственные структуры и производственные системы Израиля.
ESET подчеркнула, что вся информация в документе собрана через собственные инструменты защиты и подкреплена независимыми данными партнёров. Доступ к подробному анализу открыт только для клиентов компании, но основные тенденции представлены публично.
В числе самых активных российских APT-групп названы Fancy Bear, Gamaredon и Sandworm. Эти структуры вели масштабные кампании в отношении Украины и европейских стран. По данным ESET, украинская критическая инфраструктура оказалась основной целью. Удары приходились по энергетике, связи и органам управления.
Gamaredon, также фигурирующий под названиями Primitive Bear, UNC530 и Aqua Blizzard, продолжил развивать вредоносные инструменты. Отмечено появление новой программы — PteroBox. Эта утилита похищает файлы, маскируясь под сервис Dropbox, и активно применяется в Украине.
Fancy Bear (APT28) усовершенствовал методы эксплуатации XSS-уязвимостей в почтовых веб-сервисах. Под прицел попала украинская деловая переписка. Вредоносные действия были направлены на почтовые платформы, включая MDaemon, где использовалась брешь CVE-2024-11182. Эта кампания, известная как RoundPress, расширила охват, задействовав большее количество почтовых шлюзов.
