Гарда: APT-группировки целятся в российский госсектор

Центр компетенций по сетевой безопасности компании «Гарда» подвел итоги активности APT-группировок за 2025 год. Анализ публичных отчетов подтверждает высокий уровень кибердавления на российские организации и устойчивый интерес злоумышленников к государственным и промышленным сегментам. Основной сценарий атак строится вокруг шпионажа и подрыва работы инфраструктуры, при этом противники все чаще уходят от шумных техник и действуют скрытно и методично.

Во всех рассмотренных кампаниях отправной точкой компрометации инфраструктуры стал фишинг. Анализ показал, что каждая из выявленных группировок работала против российских государственных учреждений. Следом по частоте атак идут промышленность и энергетика, затем телекоммуникации и образование. В ряде кампаний злоумышленники комбинировали кражу данных с их последующим уничтожением, а в других – выстраивали долгосрочное присутствие, чтобы выкачивать документы и учетные данные.

Злоумышленники делают ставку на две стратегии: таргетированные рассылки и маскировку вредоносных файлов под легитимные документы и утилиты. Причем контент писем подстраивается под профиль жертвы, повышая тем самым вероятность открытия и запуска нагрузки. После первичного доступа атакующие закрепляются в системе, при этом они опираются на общедоступные инструменты администрирования, средства туннелирования и фреймворки постэксплуатации.

Злоумышленники активно применяют PowerShell-скрипты, задания планировщика, ключи автозапуска в реестре и легитимные агенты удаленного управления. Такой подход позволяет сохранить доступ после перезагрузки и не привлекать внимание средств защиты, ориентированных на поиск явного вредоносного кода.

На этапе развития атаки группировки переходят к разведке и боковому перемещению. Они собирают сведения об учетных записях, доменной структуре и сетевых ресурсах, используют инструменты для анализа Active Directory и сетевого сканирования. Для перемещения между узлами применяются штатные протоколы Windows, RDP, SMB и WinRM, а также украденные учетные данные.

Управление зараженными системами строится через C2-инфраструктуру с маскировкой трафика. Атакующие используют HTTPS, WebSocket и туннелирование через сервисы вроде ngrok или публичные облачные платформы. Это усложняет сетевой анализ и позволяет скрывать реальные серверы управления. В ряде атак фиксируется переход на новые открытые C2-фреймворки (например, AdaptixC2), которые дорабатываются под конкретные задачи. «Результаты исследования показывают, что атакующие все чаще маскируют вредоносную активность под штатные процессы и легитимное администрирование. Поэтому так важно не только контролировать все действия в инфраструктуре, но и обогащать системы защиты потоками данных об угрозах, TI-фидами. Они позволяют заранее учитывать тактики, техники и инструменты конкретных группировок, быстрее выявлять подозрительные цепочки событий и сокращать время реакции на инциденты», — отметил Илья Селезнев, руководитель продукта «Гарда Threat Intelligence Feeds».