Positive Technologies: хакеры удвоили использование уникального вредоносного ПО в атаках на российские компании

Атаки на российские организации не только участились, но и стали сложнее. По данным департамента киберразведки экспертного центра безопасности Positive Technologies (PT ESC TI), в 2025 году APT-группировки более чем вдвое увеличили использование уникального вредоносного ПО — с 268 образцов в первом квартале до 584 в четвертом. Хакеры чаще применяют скрытные сценарии атак: доставляют вредоносные файлы в несколько этапов, а после проникновения используют инструменты корпоративных систем для продолжения атаки и удержания доступа. Такая тактика позволяет им дольше оставаться незамеченными.

Показательными стали действия киберпреступников в четвертом квартале 2025 года. Активно атакующая российские компании группировка ExCobalt регулярно адаптирует свой инструментарий под конкретные инфраструктуры и задачи. С недавних пор хакеры стали размещать вредоносные файлы внешних обработок «1С», маскируя их под легитимные. Таким образом атакующие сохраняли длительный контроль над инфраструктурой, получая возможность выполнять команды через среду «1С».

Ускорился и цикл эксплуатации уязвимостей. Группировка QuietCrabs продемонстрировала рекордную скорость: в одном случае хакеры использовали свежую брешь всего лишь через день после официального заявления разработчика ПО, а в другом начали успешную атаку в течение суток после публикации эксплойта.

В последнем квартале 2025 года эксперты PT ESC TI также зафиксировали фишинговые атаки на российские банки со стороны финансово мотивированной группировки Silver Fox, ранее не проявлявшей интерес к России. Злоумышленники использовали многослойную схему доставки вредоносного кода, спрятанного внутри обычного изображения: легитимный на вид исполняемый файл загружал скомпрометированную библиотеку, которая расшифровывала и запускала основной зловред.

«На протяжении 2025 года мы наблюдали тенденцию к усложнению атак. Злоумышленники прибегали не только к фишингу, но и ко взлому партнеров и подрядчиков, а также быстро использовали недавно опубликованные уязвимости в популярном ПО, — отмечает Денис Казаков, специалист группы киберразведки экспертного центра безопасности Positive Technologies (PT ESC TI). — При этом схемы проникновения в инфраструктуру организации, как и методы закрепления внутри нее, становились все изобретательнее. Во многом это связано с использованием больших языковых моделей для создания и модификации вредоносного кода. Чтобы эффективно противодействовать подобным угрозам, компаниям необходимо выстраивать эшелонированную защиту».

Эксперты Positive Technologies рекомендуют организациям ужесточить правила безопасности для подрядчиков и партнеров, а также максимально сократить время на установку исправлений. Необходимо комбинировать защиту на всех уровнях: использовать безопасный шлюз электронной почты и настроить его интеграцию с песочницей, которая вовремя обнаружит и заблокирует ВПО в почтовом трафике (PT Sandbox), тестировать ее защищенность с помощью специальных сервисов (PT Knockin), внедрять средства анализа сетевого трафика (PT Network Attack Discovery), применять комплексную защиту конечных устройств от массовых и целевых APT-атак (MaxPatrol Endpoint Security) и межсетевые экраны нового поколения (PT NGFW). А чтобы оперативнее реагировать на киберугрозы из единого интерфейса, все СЗИ можно интегрировать в единую SIEM-систему, например MaxPatrol SIEM. Ключевые данные о киберугрозах можно найти на портале PT Fusion.