В отчете '2025 Threat Hunting Report' исследователи из CrowdStrike предупреждают, что киберпреступники перешли на новый уровень: они действуют с деловой эффективностью и стратегической точностью, обращаются к искусственному интеллекту и атакуют сразу по нескольким фронтам – от облаков до учетных записей и оконечных устройств. Одной из самых тревожных тенденций стал массовый переход злоумышленников к использованию генеративного ИИ, который применяется для создания более убедительных фишинговых писем, проведения мошеннических операций с компрометацией деловой электронной почты, генерации поддельных цифровых личностей и автоматизации социальной инженерии.

Особую угрозу представляют голосовые фишинговые атаки (vishing), количество которых за последний год выросло на 443%. По прогнозам, к концу 2025 года их число удвоится. Злоумышленники звонят в службу поддержки, имитируя сотрудников компании, и просят сбросить пароль, обходя таким образом двухфакторную аутентификацию.

CrowdStrike выделяет пять ключевых направлений атак.

1. Междоменные атаки: Blockade Spider и Operator Panda

Злоумышленники больше не ограничиваются одним вектором атаки. Они перемещаются между идентификационными системами, облаками и оконечными устройствами, маскируя свои действия. Скомпрометировав идентификационные данные, они используют их для перехода в облако, а затем на неуправляемые устройства.

В начале 2025 года хакеры из группы Blockade Spider, проникнув в сеть через незащищенную VPN, попытались украсть резервные копии из базы Veeam и удалить их.

Китайская государственная группа Operator Panda (или Salt Typhoon) в 2024 году атаковала телекоммуникационные и консалтинговые компании, используя уязвимости в системе Cisco IOS/XE. Для сокрытия следов хакеры очищали системные журналы и объединяли эксплойты, чтобы получить полный контроль над устройствами.

2. Угрозы идентификации: Scattered Spider

Используя человеческие слабости, злоумышленники компрометируют учетные записи с помощью методов социальной инженерии и таким образом получают доступ к сетям. Scattered Spider занимает лидирующие позиции в развитии атак социальной инженерии. В апреле 2025 года после некоторого периода бездействия группа вновь активизировалась. В одном из инцидентов хакеры прошли путь от первоначального доступа к шифрованию данных всего за 24 часа – значительно быстрее по сравнению с 80 часами в 2023 году.

3. Угрозы в облаке: Genesis Panda и Murky Panda

За последний год CrowdStrike зафиксировала 40-процентный рост числа вторжений в облачные сервисы. Облако – идеальная мишень. Оно огромно, и в нем хранятся гигантские объемы данных.

Группа Genesis Panda использовала скомпрометированные учетные данные виртуальных машин для доступа к облачным аккаунтам, создавая бэкдоры через метаданные экземпляров (IMDS).

Еще одна китайская группа, Murky Panda, проникла в сеть североамериканской компании через администратора поставщика, добавив временный аккаунт к Entra ID клиента компании-жертвы и модифицировав служебные учетные записи для управления Active Directory и почтой.

4. Угрозы оконечным узлам: Glacial Panda

Эта группа действует в течение длительного периода времени, скрытно и настойчиво, стремясь сохранить доступ, собрать данные и подготовиться к будущим операция. Группа Glacial Panda работает в телекоммуникационной отрасли, проводя целенаправленные вторжения в целях сбора разведданных и нацеливаясь на Linux-системы телекоммуникационных компаний, в том числе устаревшие. На взломанных компьютерах Linux Glacial Panda внедряет троянские инструменты OpenSSH для регистрации событий аутентификации пользователей, отслеживая удаленные подключения к другим хостам с помощью метода, который в CrowdStrike называют ShieldSlide.

5. Эксплуатация уязвимостей: Graceful Spider

В декабре 2024 года группа атаковала серверы на платформе Cleo, используя, вероятно, эксплойт нулевого дня. Уязвимость позволяла загружать файлы и выполнять произвольный код. При этом криминальные элементы быстро перенимают техники государственных хакеров, публикуемые в блогах, и применяют их массово.

На основе сделанных наблюдений CrowdStrike предлагает организациям шесть основных рекомендаций.

1. Внедрите систему обнаружения угроз для идентификации. Контролируйте аномалии в поведении учетных записей и активности входа.

2. Обязательно включите двухфакторную аутентификацию. Но не используйте SMS –предпочтительны специальные приложения для аутентификации или аппаратные токены.

3. Укрепите облачную среду. Облако все чаще становится уязвимым местом для организаций, которые не обеспечили надлежащую облачную защиту.

4. Устраните пробелы в междоменной видимости. Нужен единый мониторинг идентификации, облака и оконечных узлов, включая мониторинг неуправляемых устройств. Установите у себя систему EDR или подключитесь к современным SIEM-системам.

5. Проверьте приоритеты обновлений. Не стоит ориентироваться исключительно на критичность уязвимости. Сначала закрывайте те из них, которые уже активно эксплуатируются. Руководствуйтесь списком известных используемых уязвимостей CISA (KEV).

6. Изучайте врага. Важно понимать, кто является вашим противником, каковы его действия, что он замышляет и как меняется. Адаптируйте защиту под реальные угрозы.