- 25,250
- 46
- 8 Ноя 2022
Свежее исследование Solar 4RAYS о том, как меняется киберпреступность в нашей стране.
В 2025 году число расследованных киберинцидентов у команды Solar 4RAYS не выросло, но сама картина угроз заметно изменилась. Атак стало не больше, зато они стали дольше, тише и заметно профессиональнее. Хактивистский шум просел, шпионаж укрепился, а подрядчики превратились в 1 из самых удобных входов в чужую инфраструктуру. Если год назад главный разговор шел о громких и довольно прямолинейных атаках, то теперь все чаще речь идет о долгом скрытом присутствии в сети, работе по доверительным связям и охоте за крупными организациями из чувствительных отраслей.
В основу нового исследования Solar 4RAYS легли данные расследований, которые команда проводила весь 2025 год в российских государственных и частных организациях. Речь в основном идет не о случайных взломах и не о массовом фоновом шуме, а об атаках подготовленных игроков. Часть из них работала ради денег, часть, как считают исследователи, действовала в интересах иностранных государств. В большинстве случаев причины компрометации знакомы: либо злоумышленники обходили уже установленные защитные средства, либо в инфраструктуре просто не было инструментов, сопоставимых с реальным уровнем угрозы.
Самый заметный сдвиг произошел в наборе целей. В 2025 году расследования затронули уже не 19 отраслей, как годом ранее, а 10. Такой спад не означает, что атаковать стали меньше. Скорее злоумышленники плотнее сосредоточились на самых важных секторах. В верхней части списка оказались госорганы, промышленность, ИТ, здравоохранение и энергетика. Причем энергетика впервые за все время наблюдений Solar 4RAYS вошла в число реально атакованных сфер. Для исследователей это важный сигнал: инфраструктура, от которой зависит базовая работа страны, все сильнее интересует группы, связанные с государственными задачами и разведкой.
Доля инцидентов в госсекторе прибавила 3 процентных пункта. Выросло и число атак на промышленность и ИТ-компании. Для ИТ-сектора рост оказался особенно заметным. Причина здесь практическая: такие компании часто обслуживают более крупных заказчиков и оказываются для атакующих не конечной целью, а промежуточной точкой входа. Если у подрядчика есть сетевая связанность с клиентом, компрометация небольшого партнера может открыть дорогу в гораздо более защищенную среду. Именно поэтому атаки через доверительные отношения в исследовании названы 1 из главных трендов года.
<!--'start_frame_cache_Zg1Ab0'--><div class="banner-detailed"><div class="banner-detailed__shell"><div class="banner-detailed__title">Это только верхушка айсберга... <span>Заглядывай к нам!</span><div class="banner-detailed__arrow"><svg viewBox="0 0 40 40" fill="none" xmlns="http://www.w3.org/2000/svg"><path d="M20.5375 34.4392L22.465 31.7392C22.5739 31.5872 22.7145 31.4607 22.8772 31.3684C23.0399 31.2762 23.2207 31.2205 23.407 31.2052C23.5934 31.1898 23.7809 31.2152 23.9564 31.2796C24.132 31.344 24.2915 31.4458 24.4237 31.578L29.6025 36.758C30.0787 37.2333 30.724 37.5002 31.3969 37.5002C32.0697 37.5002 32.715 37.2333 33.1912 36.758L36.7575 33.1917C37.2328 32.7155 37.4998 32.0702 37.4998 31.3973C37.4998 30.7245 37.2328 30.0792 36.7575 29.603L31.5775 24.4242C31.4453 24.2919 31.3435 24.1325 31.2791 23.9569C31.2147 23.7814 31.1893 23.5939 31.2047 23.4075C31.22 23.2211 31.2757 23.0404 31.368 22.8777C31.4602 22.715 31.5867 22.5743 31.7387 22.4655L34.4387 20.538C34.6405 20.3939 34.7965 20.1947 34.8878 19.9641C34.9791 19.7336 35.0018 19.4816 34.9534 19.2385C34.9049 18.9953 34.7873 18.7713 34.6146 18.5934C34.442 18.4155 34.2216 18.2912 33.98 18.2355L13.5112 13.5117L18.235 33.9805C18.2907 34.2221 18.415 34.4425 18.5929 34.6151C18.7708 34.7878 18.9948 34.9054 19.238 34.9539C19.4812 35.0023 19.7331 34.9795 19.9637 34.8882C20.1942 34.7969 20.3934 34.641 20.5375 34.4392Z" fill="#FFD98C"></path><path d="M34.0751 37.6413C33.3582 38.3389 32.3973 38.7293 31.397 38.7293C30.3966 38.7293 29.4358 38.3389 28.7189 37.6413L23.4826 32.4663L21.5539 35.165C21.2699 35.5626 20.8773 35.8698 20.423 36.0497C19.9688 36.2295 19.4723 36.2744 18.9931 36.179C18.514 36.0836 18.0726 35.8518 17.7219 35.5117C17.3713 35.1715 17.1263 34.7373 17.0164 34.2613L12.2926 13.7925C12.2447 13.5858 12.2502 13.3702 12.3086 13.1662C12.367 12.9622 12.4764 12.7764 12.6264 12.6263C12.7765 12.4763 12.9623 12.3669 13.1663 12.3085C13.3703 12.2501 13.5859 12.2446 13.7926 12.2925L34.2614 17.0175C34.7374 17.1271 35.1717 17.3719 35.512 17.7225C35.8523 18.073 36.0841 18.5144 36.1795 18.9935C36.275 19.4726 36.23 19.9691 36.0501 20.4233C35.8701 20.8775 35.5628 21.27 35.1651 21.5538L32.4614 23.54L37.6414 28.7188C38.3498 29.43 38.7476 30.393 38.7476 31.3969C38.7476 32.4008 38.3498 33.3637 37.6414 34.075L34.0751 37.6413ZM35.8751 30.4863L30.6951 25.3075C30.4344 25.047 30.2336 24.7328 30.1068 24.3868C29.9799 24.0407 29.9299 23.6712 29.9604 23.3039C29.9908 22.9366 30.101 22.5804 30.2831 22.26C30.4653 21.9396 30.7151 21.6628 31.0151 21.4488L33.6989 19.4488L15.1851 15.1763L19.5001 33.7275L19.5139 33.7113L21.4414 31.0125C21.6555 30.7124 21.9325 30.4626 22.253 30.2805C22.5735 30.0983 22.9298 29.9882 23.2972 29.9577C23.6646 29.9272 24.0342 29.9772 24.3803 30.1041C24.7264 30.231 25.0407 30.4318 25.3014 30.6925L30.4864 35.875C30.728 36.1163 31.0555 36.2518 31.397 36.2518C31.7385 36.2518 32.066 36.1163 32.3076 35.875L35.8751 32.3075C36.1161 32.0657 36.2514 31.7383 36.2514 31.3969C36.2514 31.0555 36.1161 30.728 35.8751 30.4863ZM8.14636 9.385C7.98292 9.38706 7.82069 9.35675 7.66901 9.29583C7.51733 9.2349 7.37921 9.14455 7.26261 9.03L4.58011 6.3475C4.35242 6.11175 4.22643 5.796 4.22927 5.46825C4.23212 5.1405 4.36358 4.82699 4.59534 4.59523C4.8271 4.36347 5.14062 4.23201 5.46836 4.22916C5.79611 4.22631 6.11186 4.3523 6.34761 4.58L9.03012 7.2625C9.20107 7.43787 9.31674 7.65959 9.36277 7.90013C9.4088 8.14068 9.38315 8.38944 9.28901 8.61553C9.19487 8.84162 9.03639 9.03508 8.83325 9.17188C8.63011 9.30867 8.39126 9.38278 8.14636 9.385ZM17.9726 9.03C17.7362 9.26044 17.419 9.3894 17.0889 9.3894C16.7587 9.3894 16.4416 9.26044 16.2051 9.03C15.9708 8.79559 15.8391 8.47771 15.8391 8.14625C15.8391 7.8148 15.9708 7.49691 16.2051 7.2625L18.8876 4.58C19.0029 4.46061 19.1409 4.36538 19.2934 4.29987C19.4459 4.23436 19.6099 4.19988 19.7759 4.19844C19.9418 4.197 20.1064 4.22862 20.2601 4.29147C20.4137 4.35432 20.5532 4.44714 20.6706 4.56451C20.788 4.68187 20.8808 4.82144 20.9436 4.97506C21.0065 5.12868 21.0381 5.29328 21.0367 5.45925C21.0352 5.62523 21.0008 5.78925 20.9352 5.94176C20.8697 6.09426 20.7745 6.23219 20.6551 6.3475L17.9726 9.03ZM6.34761 20.655C6.11146 20.886 5.79423 21.0154 5.46386 21.0154C5.1335 21.0154 4.81627 20.886 4.58011 20.655C4.34578 20.4206 4.21413 20.1027 4.21413 19.7713C4.21413 19.4398 4.34578 19.1219 4.58011 18.8875L7.26261 16.205C7.37792 16.0856 7.51585 15.9904 7.66836 15.9249C7.82086 15.8594 7.98489 15.8249 8.15086 15.8234C8.31684 15.822 8.48144 15.8536 8.63506 15.9165C8.78868 15.9793 8.92824 16.0721 9.04561 16.1895C9.16297 16.3069 9.25579 16.4464 9.31864 16.6001C9.38149 16.7537 9.41312 16.9183 9.41168 17.0843C9.41024 17.2502 9.37575 17.4143 9.31024 17.5668C9.24473 17.7193 9.1495 17.8572 9.03012 17.9725L6.34761 20.655ZM12.6176 7.54375C12.2861 7.54375 11.9682 7.41205 11.7337 7.17763C11.4993 6.94321 11.3676 6.62527 11.3676 6.29375V2.5C11.3676 2.16848 11.4993 1.85054 11.7337 1.61612C11.9682 1.3817 12.2861 1.25 12.6176 1.25C12.9491 1.25 13.2671 1.3817 13.5015 1.61612C13.7359 1.85054 13.8676 2.16848 13.8676 2.5V6.29375C13.8676 6.62527 13.7359 6.94321 13.5015 7.17763C13.2671 7.41205 12.9491 7.54375 12.6176 7.54375ZM2.50011 11.3675H6.29387C6.62539 11.3675 6.94333 11.4992 7.17775 11.7336C7.41217 11.968 7.54387 12.286 7.54387 12.6175C7.54387 12.949 7.41217 13.267 7.17775 13.5014C6.94333 13.7358 6.62539 13.8675 6.29387 13.8675H2.50011C2.16859 13.8675 1.85065 13.7358 1.61623 13.5014C1.38181 13.267 1.25011 12.949 1.25011 12.6175C1.25011 12.286 1.38181 11.968 1.61623 11.7336C1.85065 11.4992 2.16859 11.3675 2.50011 11.3675Z" fill="#272727"></path></svg> <!--'end_frame_cache_Zg1Ab0'--> По мотивации картина тоже стала жестче. Шпионаж в 2025 году занял уже 60% всех расследованных инцидентов, то есть прибавил 2 процентных пункта к прошлому году. Финансово мотивированные атаки остались примерно на том же уровне, а политически окрашенный хактивизм немного просел, с 19 до 16%. Падение не выглядит резким только на первый взгляд. Когда аналитики раньше сравнивали неполный 2025 год с тем же периодом 2024-го, снижение было заметнее. Позже разрыв частично сократила серия политически мотивированных атак в ноябре и декабре. Но общая тенденция все равно читается ясно: публичного шума стало меньше, а скрытных и сложных операций больше. Исследователи еще в начале 2025 года ожидали, что доля громких атак ради резонанса продолжит снижаться, и итоговая статистика этот прогноз в целом подтвердила.
Изменился и состав самих нападающих. В 2024 году около 70% расследованных инцидентов приходилось на проукраинские группировки. В 2025 году их доля снизилась до 24,6%. Одновременно выросло разнообразие всей вредоносной экосистемы. Если в 2024 году Solar 4RAYS отслеживали активность 9 группировок, то в 2025-м уже 18. Причем 7 из них аналитики встретили впервые. Иными словами, прежние заметные кластеры уже не определяют всю картину. На смену пришла более пестрая и менее предсказуемая среда, где стало больше новых или пока еще плохо описанных игроков.
Среди способов первоначального проникновения произошел, пожалуй, самый практический сдвиг для бизнеса. Уязвимости в веб-приложениях остались главным путем входа, но резко выросла доля атак через подрядчиков и другие доверительные связи. В 2024 году на такой сценарий приходилось 6% расследованных инцидентов, а в 2025-м уже 24%. Исследователи делают из этого прямой вывод: защищать нужно не только собственный периметр, но и всю цепочку связанных компаний. Если подрядчик подключен к инфраструктуре заказчика, слабая гигиена безопасности у подрядчика быстро становится проблемой заказчика.
Рост атак через доверительные отношения, по мнению Solar 4RAYS, говорит и о повышении зрелости противника. Чтобы зайти через подрядчика, мало случайно наткнуться на открытую дыру. Нужны разведка, понимание связей между организациями, накопление доступов и терпение. Такой сценарий требует времени и ресурсов, а значит, все чаще против защитников работают не импульсивные группы, а подготовленные команды.
Ту же мысль подтверждает длительность инцидентов. Каждый 5-й расследованный случай в 2025 году длился от полугода до года. Доля таких атак выросла сразу на 13 процентных пунктов. Одновременно прибавили и короткие инциденты длительностью до месяца. А вот промежуток «до 2 недель» почти схлопнулся. Исследователи связывают рост длинных кампаний с усилением шпионской составляющей. Группы, которые охотятся за данными, а не за мгновенным шумом, стараются как можно дольше оставаться внутри сети незаметно. В 2024 году атаки продолжительностью до года занимали 9% расследований, в 2025-м уже 22%. Перед нами заметный разворот в сторону терпеливых операций.
Если смотреть на сами группировки, год лучше всего описывает слово «разнообразие». Еще по итогам первого полугодия аналитики писали, что атрибуция идет тяжело. Тогда лишь 32% атак удавалось уверенно привязать к известным кластерам. К концу года показатель вырос до 54%, но важнее другое: появилось много новых следов, которые не укладывались в прежние схемы. В результате в 2025 году аналитики увидели артефакты деятельности 18 групп и кластеров, а не 8, как годом ранее.
Сильнее всего изменилась доля инцидентов, связанных с группировкой Shedding Zmiy. Если в предыдущие 2 года группа постоянно мелькала в расследованиях и занимала 37% от всех атрибутируемых случаев, то в 2025 году показатель упал до 7%. У Solar 4RAYS есть рабочая версия: группа могла снизить активность после того, как ее инструменты и приемы стали слишком хорошо известны рынку. Не исключено, что команда просто взяла паузу, чтобы обновить арсенал. Менее заметной стала и Obstinate Mogwai. Зато Erudite Mogwai, наоборот, усилилась. Рядом появилась и новая группа, которую аналитики назвали Snowy Mogwai.
Snowy Mogwai, также известная как UNC5174, относится к APT-кластеру, чью активность обычно отсчитывают от 2023 года. Тогда исследователи Mandiant зафиксировали использование уязвимости CVE-2023-46747 для удаленного выполнения кода через интерфейс F5 BIG-IP Traffic Management. Solar 4RAYS видит следы этой группы с осени 2024 года. В расследованиях фигурировали инструменты VShell, SNOWLIGHT и GOREVERSE. По выбору целей группа выглядит типично разведывательной: телеком, ИТ, государственные и научные организации, а также энергетика. География при этом широкая, от США и Канады до стран Европы, Азии и России. С учетом набора техник и открытых данных аналитики относят Snowy Mogwai к восточноазиатскому направлению.
Еще 1 заметная структура, Partisan Zmiy, связана с группой «Киберпартизаны». Формально группу часто относят к хактивизму, но в Solar 4RAYS считают такую маркировку слишком узкой. По оценке исследователей, у группы высокий уровень организованности и технической подготовки, а некоторые эпизоды указывают не только на политические акции, но и на шпионский интерес. Первые следы атак Partisan Zmiy в России команда заметила в конце 2024 года. Самым громким эпизодом 2025 года, который аналитики связывают с группой, стала летняя атака на инфраструктуру «Аэрофлота». В арсенале фигурируют Vasilek, Prianik, 3proxy, Gost proxy, ProcDump, Forklift и PartisansDNS. Основные цели, по данным отчета, это государственные структуры, транспорт и телеком, а география сосредоточена на России и Беларуси.
В отчете отдельно разобрана и группа Silent Zmiy, известная также как XDSpy. В отличие от более шумных кластеров, группа не стремится публично комментировать свои операции и предпочитает тишину. Именно за такую манеру Solar 4RAYS и дали ей это название. Группу связывают с активностью, которая прослеживается еще с 2011 года. Для начального доступа чаще всего используются фишинговые письма. Среди инструментов исследователи перечисляют XDSpy, CHMDownloader, DSDownloader, XDigo, forfiles, ETDownloader и NSDownloader. В 2025 году Solar 4RAYS видели только фишинговые рассылки на своих заказчиков, без развития в полноценную атаку, поэтому полного профиля TTP у команды пока нет. Тем не менее по выбору целей и характеру писем исследователи с низкой степенью уверенности относят группу к восточноевропейскому происхождению.
Среди проукраинских игроков отчет выделяет GOFFEE. Группа активна с 2022 года и располагает широкими ресурсами для комплексных операций. В расследованных инцидентах начальный доступ операторы получали через скомпрометированные <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>-учетные записи и небезопасную конфигурацию веб-приложений. В арсенале встречались Mythic Agent, Cobalt Strike, QwakMyAgent, DumpIt, SspiUacBypass, Impacket PsExec, Owowa, PowerTaskel и VisualTaskel. Отраслевая привязка у GOFFEE размытая, поскольку шпионский интерес группы не ограничивается 1 сектором. В разные периоды под удар попадали и ИТ-компании, и госструктуры. Главная географическая цель, по данным Solar 4RAYS, это Россия.
Среди новых кластеров особенно выделяется NGC5081. Впервые его активность Solar 4RAYS зафиксировали в октябре 2025 года. Исследователи описывают группу как очень профессиональную и ориентированную на высокозащищенные организации. Главное отличие от многих других игроков, по их оценке, состоит в собственном наборе инструментов. В частности, в расследованиях фигурировал написанный на Rust бэкдор IDFKA, который сложно анализировать. Также использовался TinyShell. Поведение группы было скрытным: операторы мимикрировали под системные процессы, легитимное ПО и даже под подрядчиков жертвы на уровне командно-управляющей инфраструктуры. Целью становились телеком-компании в России.
Отдельная роль в отчете отведена Fairy Trickster, также известной как Head Mare. Несмотря на риторику хактивизма, группа действует по куда более прагматичной модели. Операторы шифруют системы ради вымогательства и собирают конфиденциальные данные для дальнейшей продажи. Solar 4RAYS впервые увидели их следы в России в середине 2024 года. Среди инструментов перечислены MeshAgent, LockBit 3.0, PhantomProxyLite, Rust SOCKS5 Proxy, T1ck3tDump и PhantomTaskShell. По сути перед нами уже не классический политический активизм, а гибридный игрок, который умеет совмещать шум, давление и прямую монетизацию.
Исследователи обращают внимание и на рост числа атак с использованием шифровальщиков по модели RaaS, ransomware-as-a-service. В такой схеме вымогательское ПО распространяется почти как коммерческий продукт: одни его разрабатывают и поддерживают, другие арендуют и используют в реальных атаках. В 1 из инцидентов Solar 4RAYS обнаружили LokiLocker, также известный как BlackBit. Образец был написан на Rust, а по открытым данным сам шифровальщик связывают с группами из стран Ближнего и Среднего Востока. У семейства есть официальный портал Black Bit Premium, через который операторы получают вредоносное ПО, а владельцы RaaS сами компилируют сборки под исполнителей. Отдельно в расследованиях встречался и ELPACO-team ransomware. Исследователи отмечают у него необычно удобный графический интерфейс и поддержку конфигурационного файла, который помогает быстрее настраивать атаку. После шифрования вредонос удаляет себя с системы, что затрудняет разбор.
Кроме того, в нескольких случаях в инфраструктуре находили активность червей, оставшихся от более ранних инцидентов. Для специалистов по реагированию это важное напоминание: если во время разбора сосредоточиться только на текущей атаке и не обследовать всю среду на следы старых компрометаций, внутри сети могут остаться забытые заражения.
В отдельном разделе отчета Solar 4RAYS разбирает интересные техники по матрице MITRE ATT&CK. До атаки злоумышленники активно готовят ресурсы: покупают или получают доступы, регистрируют домены, поднимают инфраструктуру, добывают вредоносные инструменты и эксплойты, создают учетные записи, в том числе почтовые. Исследователи приводят показательный эпизод, когда в ходе расследования обнаружили сразу несколько скомпрометированных серверов, которые атакующие готовили под собственные серверы управления и прокси. То есть даже если жертва не потеряла данные и не столкнулась с шифрованием, взломанный сервер все равно мог стать частью чужой преступной инфраструктуры. В таком случае организация превращается в инструмент для атак на других.
На этапе первоначального проникновения по-прежнему жив старый добрый фишинг. Несмотря на зрелость защитных средств, закрыть все уровни инфраструктуры одинаково хорошо удается не всем, а 1 невнимательный пользователь способен открыть злоумышленнику дорогу внутрь. В 2025 году Solar 4RAYS сталкивались с фишинговыми кампаниями Cloud Atlas с VBShower и VBCloud, Fairy Trickster с PhantomRemote, а также фиксировали другие группы, для которых фишинг остается штатным способом входа, включая Lifting Zmiy с BrokenDoor. Исследователи отдельно подчеркивают, что защита от фишинга строится не только на технологиях, но и на культуре обращения с письмами и ссылками.
Веб-приложения тоже продолжают подводить компании не только из-за уязвимостей как таковых, но и из-за плохих настроек. В 1 инциденте злоумышленники получили доступ к административной панели с учетной записью, права которой были сопоставимы с правами системного администратора. Пароль оказался словарным, а доступ к интерфейсу был открыт из внешней сети. В другом случае проблемы возникли на сервере с Bitrix. Базовую настройку веб-приложения не довели до конца, из-за чего атакующие получили доступ к restore.php, служебному файлу для восстановления из резервной копии, и использовали его для размещения вредоносного кода на сервере.
Тема подрядчиков в отчете раскрыта особенно подробно. Solar 4RAYS приводит показательный случай, когда злоумышленники использовали учетную запись сотрудника подрядной организации для атаки на заказчика. После первых нелегитимных входов команда рекомендовала заблокировать учетную запись. Заказчик так и сделал, но доступа к машине подрядчика для проверки получить не смог, поскольку тот уверял, что компрометация у него невозможна. Через 2 недели заказчик самостоятельно разблокировал учетную запись, договорившись с подрядчиком о смене пароля, и уже через сутки злоумышленники снова вошли под тем же пользователем. Только после полноценного исследования системы подрядчика удалось подтвердить компрометацию. Вдобавок на машине лежали файлы с паролями в открытом виде. Этот случай в отчете подается не как исключение, а как типичный пример того, как доверие и слабая дисциплина подрядчика ломают защиту заказчика.
На этапе выполнения злоумышленники в 2025 году активно использовали PowerShell, cmd, Unix shell, Python, Visual Basic, WMI, планировщики задач, системные сервисы и контейнеры. Но исследователи отдельно обращают внимание на более тонкий прием: использование легитимных функций самого веб-приложения для выполнения вредоносных задач. В 1 из свежих инцидентов атакующие вошли в административный интерфейс приложения под root-пользователем и использовали встроенный планировщик задач, который позволял запускать скрипты в контексте приложения. Внутрь таких скриптов злоумышленники вставили код, уже выполнявший команды на уровне операционной системы. Ответ они получали через перехват ошибок веб-приложения, фактически превратив штатную функцию автоматизации в инструмент разведки.
Закрепление в системе, как и прежде, чаще всего строилось на банальных, но надежных вещах: локальные и доменные учетные записи, веб-шеллы, скрипты автозапуска, планировщики задач, системные службы, подмена компонентов, DLL hijacking, модификация SSH authorized_keys. Одной из самых интересных комбинаций в отчете названо закрепление через системные сервисы с одновременной подменой легитимных скриптов. В 1 из инцидентов злоумышленники не трогали сам сервис GitLab, но изменили штатный скрипт запуска его компонентов. В результате при старте или перезагрузке легитимной службы вместе с ней поднималось и вредоносное ПО. Такой подход одновременно дает устойчивость и сильно мешает обнаружению.
Еще 1 редкий случай связан с PostgreSQL и TrueConf Server. Получив права системного администратора, атакующие создали в базе данных бэкдор из функции и триггера. После этого ввод специальной строки в поля аутентификации позволял выполнять произвольные SQL-запросы, а через функцию COPY сохранять результат в файлы на диске. Таким способом, например, можно было создать веб-шелл. История показательная хотя бы потому, что напоминает: база данных может стать не просто хранилищем, а точкой скрытого управления атакой.
Горизонтальное перемещение по сети в большинстве расследований не требовало от нападающих ничего экзотического. RDP, SSH и SMB оставались главными рабочими инструментами. Они позволяют полноценно работать с машиной, использовать слабые настройки и маскировать свои действия под обычное администрирование. Вывод Solar 4RAYS здесь звучит почти банально, но от этого не становится менее важным: злоумышленники часто не идут в сложные техники просто потому, что базовых средств им хватает.
Отдельный блок отчета посвящен уклонению от обнаружения. Примерно в каждом 10-м расследованном инциденте атакующие пытались отключить или ослабить защитные средства. В 1 случае антивирус не замечал веб-шеллы, которые на тот момент уже были известны и добавлены в сигнатуры. Прямого доказательства вмешательства в работу защитного ПО найти не удалось, но само такое поведение исследователи считают крайне подозрительным. В другом инциденте признаки удаления антивируса вели к PsExec. Маскировка под легитимные процессы и компоненты тоже никуда не делась. Особенно хорошо это, по словам Solar 4RAYS, умеют делать группы, работающие в Unix-подобных системах. В качестве примера исследователи снова ссылаются на NGC5081, которая тщательно подстраивалась под окружение жертвы.
В финале отчета исследователи подводят довольно жесткий итог. Первая половина 2025 года действительно выглядела относительно спокойной, но затем затишье закончилось. Во второй половине года стало больше заметных атак на транспорт и торговлю, а давление на промышленность, ИТ и энергетику усилилось. Атакующие меняют тактики, охотнее используют слабости подрядчиков, увеличивают срок скрытого присутствия и активнее расширяют инструментарий. Solar 4RAYS ожидает, что в 2026 году доля шпионских атак на значимые для экономики России отрасли как минимум не снизится. В финансово мотивированном сегменте главным риском останется вымогательство, а рост интереса к RaaS говорит еще и о снижении порога входа в этот рынок. Кроме того, исследователи со средней степенью уверенности ждут, что в 2026 году будет больше признаков использования ИИ-сервисов на этапах подготовки и проведения целевых атак.
Практические рекомендации в отчете вполне приземленные и поэтому особенно важные. Solar 4RAYS советует жестче контролировать подрядчиков и весь удаленный доступ, особенно если между сетями есть прямая связанность. Не откладывать обновление ПО и защиту веб-приложений, потому что дыры в них все еще остаются главным входом для многих атак. Следить за парольной политикой и утечками учетных записей, поскольку скомпрометированные аккаунты остаются 2-м по популярности способом проникновения. Серьезно относиться к уведомлениям о компрометации от НКЦКИ и частных ИБ-компаний. Делать резервные копии по принципу 3-2-1. Использовать не только классическое защитное ПО, но и более продвинутые средства, включая EDR и SIEM. Регулярно проводить оценку компрометации и не тянуть с привлечением специалистов по реагированию. И, наконец, не забывать про киберграмотность сотрудников, потому что даже сильная инфраструктура может посыпаться из-за 1 удачной социальной инженерии.
Профессиональные атаки в России никуда не делись, но за год стали взрослее, разнообразнее и осторожнее. Громких вывесок стало меньше. Долгих и тихих проникновений, наоборот, больше. А значит, в 2026 году побеждать будет не тот, кто просто купил еще 1 защитный продукт, а тот, кто умеет видеть слабые связи в своей экосистеме раньше, чем их увидит злоумышленник.
В 2025 году число расследованных киберинцидентов у команды Solar 4RAYS не выросло, но сама картина угроз заметно изменилась. Атак стало не больше, зато они стали дольше, тише и заметно профессиональнее. Хактивистский шум просел, шпионаж укрепился, а подрядчики превратились в 1 из самых удобных входов в чужую инфраструктуру. Если год назад главный разговор шел о громких и довольно прямолинейных атаках, то теперь все чаще речь идет о долгом скрытом присутствии в сети, работе по доверительным связям и охоте за крупными организациями из чувствительных отраслей.
В основу нового исследования Solar 4RAYS легли данные расследований, которые команда проводила весь 2025 год в российских государственных и частных организациях. Речь в основном идет не о случайных взломах и не о массовом фоновом шуме, а об атаках подготовленных игроков. Часть из них работала ради денег, часть, как считают исследователи, действовала в интересах иностранных государств. В большинстве случаев причины компрометации знакомы: либо злоумышленники обходили уже установленные защитные средства, либо в инфраструктуре просто не было инструментов, сопоставимых с реальным уровнем угрозы.
Самый заметный сдвиг произошел в наборе целей. В 2025 году расследования затронули уже не 19 отраслей, как годом ранее, а 10. Такой спад не означает, что атаковать стали меньше. Скорее злоумышленники плотнее сосредоточились на самых важных секторах. В верхней части списка оказались госорганы, промышленность, ИТ, здравоохранение и энергетика. Причем энергетика впервые за все время наблюдений Solar 4RAYS вошла в число реально атакованных сфер. Для исследователей это важный сигнал: инфраструктура, от которой зависит базовая работа страны, все сильнее интересует группы, связанные с государственными задачами и разведкой.
Доля инцидентов в госсекторе прибавила 3 процентных пункта. Выросло и число атак на промышленность и ИТ-компании. Для ИТ-сектора рост оказался особенно заметным. Причина здесь практическая: такие компании часто обслуживают более крупных заказчиков и оказываются для атакующих не конечной целью, а промежуточной точкой входа. Если у подрядчика есть сетевая связанность с клиентом, компрометация небольшого партнера может открыть дорогу в гораздо более защищенную среду. Именно поэтому атаки через доверительные отношения в исследовании названы 1 из главных трендов года.
<!--'start_frame_cache_Zg1Ab0'--><div class="banner-detailed"><div class="banner-detailed__shell"><div class="banner-detailed__title">Это только верхушка айсберга... <span>Заглядывай к нам!</span><div class="banner-detailed__arrow"><svg viewBox="0 0 40 40" fill="none" xmlns="http://www.w3.org/2000/svg"><path d="M20.5375 34.4392L22.465 31.7392C22.5739 31.5872 22.7145 31.4607 22.8772 31.3684C23.0399 31.2762 23.2207 31.2205 23.407 31.2052C23.5934 31.1898 23.7809 31.2152 23.9564 31.2796C24.132 31.344 24.2915 31.4458 24.4237 31.578L29.6025 36.758C30.0787 37.2333 30.724 37.5002 31.3969 37.5002C32.0697 37.5002 32.715 37.2333 33.1912 36.758L36.7575 33.1917C37.2328 32.7155 37.4998 32.0702 37.4998 31.3973C37.4998 30.7245 37.2328 30.0792 36.7575 29.603L31.5775 24.4242C31.4453 24.2919 31.3435 24.1325 31.2791 23.9569C31.2147 23.7814 31.1893 23.5939 31.2047 23.4075C31.22 23.2211 31.2757 23.0404 31.368 22.8777C31.4602 22.715 31.5867 22.5743 31.7387 22.4655L34.4387 20.538C34.6405 20.3939 34.7965 20.1947 34.8878 19.9641C34.9791 19.7336 35.0018 19.4816 34.9534 19.2385C34.9049 18.9953 34.7873 18.7713 34.6146 18.5934C34.442 18.4155 34.2216 18.2912 33.98 18.2355L13.5112 13.5117L18.235 33.9805C18.2907 34.2221 18.415 34.4425 18.5929 34.6151C18.7708 34.7878 18.9948 34.9054 19.238 34.9539C19.4812 35.0023 19.7331 34.9795 19.9637 34.8882C20.1942 34.7969 20.3934 34.641 20.5375 34.4392Z" fill="#FFD98C"></path><path d="M34.0751 37.6413C33.3582 38.3389 32.3973 38.7293 31.397 38.7293C30.3966 38.7293 29.4358 38.3389 28.7189 37.6413L23.4826 32.4663L21.5539 35.165C21.2699 35.5626 20.8773 35.8698 20.423 36.0497C19.9688 36.2295 19.4723 36.2744 18.9931 36.179C18.514 36.0836 18.0726 35.8518 17.7219 35.5117C17.3713 35.1715 17.1263 34.7373 17.0164 34.2613L12.2926 13.7925C12.2447 13.5858 12.2502 13.3702 12.3086 13.1662C12.367 12.9622 12.4764 12.7764 12.6264 12.6263C12.7765 12.4763 12.9623 12.3669 13.1663 12.3085C13.3703 12.2501 13.5859 12.2446 13.7926 12.2925L34.2614 17.0175C34.7374 17.1271 35.1717 17.3719 35.512 17.7225C35.8523 18.073 36.0841 18.5144 36.1795 18.9935C36.275 19.4726 36.23 19.9691 36.0501 20.4233C35.8701 20.8775 35.5628 21.27 35.1651 21.5538L32.4614 23.54L37.6414 28.7188C38.3498 29.43 38.7476 30.393 38.7476 31.3969C38.7476 32.4008 38.3498 33.3637 37.6414 34.075L34.0751 37.6413ZM35.8751 30.4863L30.6951 25.3075C30.4344 25.047 30.2336 24.7328 30.1068 24.3868C29.9799 24.0407 29.9299 23.6712 29.9604 23.3039C29.9908 22.9366 30.101 22.5804 30.2831 22.26C30.4653 21.9396 30.7151 21.6628 31.0151 21.4488L33.6989 19.4488L15.1851 15.1763L19.5001 33.7275L19.5139 33.7113L21.4414 31.0125C21.6555 30.7124 21.9325 30.4626 22.253 30.2805C22.5735 30.0983 22.9298 29.9882 23.2972 29.9577C23.6646 29.9272 24.0342 29.9772 24.3803 30.1041C24.7264 30.231 25.0407 30.4318 25.3014 30.6925L30.4864 35.875C30.728 36.1163 31.0555 36.2518 31.397 36.2518C31.7385 36.2518 32.066 36.1163 32.3076 35.875L35.8751 32.3075C36.1161 32.0657 36.2514 31.7383 36.2514 31.3969C36.2514 31.0555 36.1161 30.728 35.8751 30.4863ZM8.14636 9.385C7.98292 9.38706 7.82069 9.35675 7.66901 9.29583C7.51733 9.2349 7.37921 9.14455 7.26261 9.03L4.58011 6.3475C4.35242 6.11175 4.22643 5.796 4.22927 5.46825C4.23212 5.1405 4.36358 4.82699 4.59534 4.59523C4.8271 4.36347 5.14062 4.23201 5.46836 4.22916C5.79611 4.22631 6.11186 4.3523 6.34761 4.58L9.03012 7.2625C9.20107 7.43787 9.31674 7.65959 9.36277 7.90013C9.4088 8.14068 9.38315 8.38944 9.28901 8.61553C9.19487 8.84162 9.03639 9.03508 8.83325 9.17188C8.63011 9.30867 8.39126 9.38278 8.14636 9.385ZM17.9726 9.03C17.7362 9.26044 17.419 9.3894 17.0889 9.3894C16.7587 9.3894 16.4416 9.26044 16.2051 9.03C15.9708 8.79559 15.8391 8.47771 15.8391 8.14625C15.8391 7.8148 15.9708 7.49691 16.2051 7.2625L18.8876 4.58C19.0029 4.46061 19.1409 4.36538 19.2934 4.29987C19.4459 4.23436 19.6099 4.19988 19.7759 4.19844C19.9418 4.197 20.1064 4.22862 20.2601 4.29147C20.4137 4.35432 20.5532 4.44714 20.6706 4.56451C20.788 4.68187 20.8808 4.82144 20.9436 4.97506C21.0065 5.12868 21.0381 5.29328 21.0367 5.45925C21.0352 5.62523 21.0008 5.78925 20.9352 5.94176C20.8697 6.09426 20.7745 6.23219 20.6551 6.3475L17.9726 9.03ZM6.34761 20.655C6.11146 20.886 5.79423 21.0154 5.46386 21.0154C5.1335 21.0154 4.81627 20.886 4.58011 20.655C4.34578 20.4206 4.21413 20.1027 4.21413 19.7713C4.21413 19.4398 4.34578 19.1219 4.58011 18.8875L7.26261 16.205C7.37792 16.0856 7.51585 15.9904 7.66836 15.9249C7.82086 15.8594 7.98489 15.8249 8.15086 15.8234C8.31684 15.822 8.48144 15.8536 8.63506 15.9165C8.78868 15.9793 8.92824 16.0721 9.04561 16.1895C9.16297 16.3069 9.25579 16.4464 9.31864 16.6001C9.38149 16.7537 9.41312 16.9183 9.41168 17.0843C9.41024 17.2502 9.37575 17.4143 9.31024 17.5668C9.24473 17.7193 9.1495 17.8572 9.03012 17.9725L6.34761 20.655ZM12.6176 7.54375C12.2861 7.54375 11.9682 7.41205 11.7337 7.17763C11.4993 6.94321 11.3676 6.62527 11.3676 6.29375V2.5C11.3676 2.16848 11.4993 1.85054 11.7337 1.61612C11.9682 1.3817 12.2861 1.25 12.6176 1.25C12.9491 1.25 13.2671 1.3817 13.5015 1.61612C13.7359 1.85054 13.8676 2.16848 13.8676 2.5V6.29375C13.8676 6.62527 13.7359 6.94321 13.5015 7.17763C13.2671 7.41205 12.9491 7.54375 12.6176 7.54375ZM2.50011 11.3675H6.29387C6.62539 11.3675 6.94333 11.4992 7.17775 11.7336C7.41217 11.968 7.54387 12.286 7.54387 12.6175C7.54387 12.949 7.41217 13.267 7.17775 13.5014C6.94333 13.7358 6.62539 13.8675 6.29387 13.8675H2.50011C2.16859 13.8675 1.85065 13.7358 1.61623 13.5014C1.38181 13.267 1.25011 12.949 1.25011 12.6175C1.25011 12.286 1.38181 11.968 1.61623 11.7336C1.85065 11.4992 2.16859 11.3675 2.50011 11.3675Z" fill="#272727"></path></svg> <!--'end_frame_cache_Zg1Ab0'--> По мотивации картина тоже стала жестче. Шпионаж в 2025 году занял уже 60% всех расследованных инцидентов, то есть прибавил 2 процентных пункта к прошлому году. Финансово мотивированные атаки остались примерно на том же уровне, а политически окрашенный хактивизм немного просел, с 19 до 16%. Падение не выглядит резким только на первый взгляд. Когда аналитики раньше сравнивали неполный 2025 год с тем же периодом 2024-го, снижение было заметнее. Позже разрыв частично сократила серия политически мотивированных атак в ноябре и декабре. Но общая тенденция все равно читается ясно: публичного шума стало меньше, а скрытных и сложных операций больше. Исследователи еще в начале 2025 года ожидали, что доля громких атак ради резонанса продолжит снижаться, и итоговая статистика этот прогноз в целом подтвердила.
Изменился и состав самих нападающих. В 2024 году около 70% расследованных инцидентов приходилось на проукраинские группировки. В 2025 году их доля снизилась до 24,6%. Одновременно выросло разнообразие всей вредоносной экосистемы. Если в 2024 году Solar 4RAYS отслеживали активность 9 группировок, то в 2025-м уже 18. Причем 7 из них аналитики встретили впервые. Иными словами, прежние заметные кластеры уже не определяют всю картину. На смену пришла более пестрая и менее предсказуемая среда, где стало больше новых или пока еще плохо описанных игроков.
Среди способов первоначального проникновения произошел, пожалуй, самый практический сдвиг для бизнеса. Уязвимости в веб-приложениях остались главным путем входа, но резко выросла доля атак через подрядчиков и другие доверительные связи. В 2024 году на такой сценарий приходилось 6% расследованных инцидентов, а в 2025-м уже 24%. Исследователи делают из этого прямой вывод: защищать нужно не только собственный периметр, но и всю цепочку связанных компаний. Если подрядчик подключен к инфраструктуре заказчика, слабая гигиена безопасности у подрядчика быстро становится проблемой заказчика.
Рост атак через доверительные отношения, по мнению Solar 4RAYS, говорит и о повышении зрелости противника. Чтобы зайти через подрядчика, мало случайно наткнуться на открытую дыру. Нужны разведка, понимание связей между организациями, накопление доступов и терпение. Такой сценарий требует времени и ресурсов, а значит, все чаще против защитников работают не импульсивные группы, а подготовленные команды.
Ту же мысль подтверждает длительность инцидентов. Каждый 5-й расследованный случай в 2025 году длился от полугода до года. Доля таких атак выросла сразу на 13 процентных пунктов. Одновременно прибавили и короткие инциденты длительностью до месяца. А вот промежуток «до 2 недель» почти схлопнулся. Исследователи связывают рост длинных кампаний с усилением шпионской составляющей. Группы, которые охотятся за данными, а не за мгновенным шумом, стараются как можно дольше оставаться внутри сети незаметно. В 2024 году атаки продолжительностью до года занимали 9% расследований, в 2025-м уже 22%. Перед нами заметный разворот в сторону терпеливых операций.
Если смотреть на сами группировки, год лучше всего описывает слово «разнообразие». Еще по итогам первого полугодия аналитики писали, что атрибуция идет тяжело. Тогда лишь 32% атак удавалось уверенно привязать к известным кластерам. К концу года показатель вырос до 54%, но важнее другое: появилось много новых следов, которые не укладывались в прежние схемы. В результате в 2025 году аналитики увидели артефакты деятельности 18 групп и кластеров, а не 8, как годом ранее.
Сильнее всего изменилась доля инцидентов, связанных с группировкой Shedding Zmiy. Если в предыдущие 2 года группа постоянно мелькала в расследованиях и занимала 37% от всех атрибутируемых случаев, то в 2025 году показатель упал до 7%. У Solar 4RAYS есть рабочая версия: группа могла снизить активность после того, как ее инструменты и приемы стали слишком хорошо известны рынку. Не исключено, что команда просто взяла паузу, чтобы обновить арсенал. Менее заметной стала и Obstinate Mogwai. Зато Erudite Mogwai, наоборот, усилилась. Рядом появилась и новая группа, которую аналитики назвали Snowy Mogwai.
Snowy Mogwai, также известная как UNC5174, относится к APT-кластеру, чью активность обычно отсчитывают от 2023 года. Тогда исследователи Mandiant зафиксировали использование уязвимости CVE-2023-46747 для удаленного выполнения кода через интерфейс F5 BIG-IP Traffic Management. Solar 4RAYS видит следы этой группы с осени 2024 года. В расследованиях фигурировали инструменты VShell, SNOWLIGHT и GOREVERSE. По выбору целей группа выглядит типично разведывательной: телеком, ИТ, государственные и научные организации, а также энергетика. География при этом широкая, от США и Канады до стран Европы, Азии и России. С учетом набора техник и открытых данных аналитики относят Snowy Mogwai к восточноазиатскому направлению.
Еще 1 заметная структура, Partisan Zmiy, связана с группой «Киберпартизаны». Формально группу часто относят к хактивизму, но в Solar 4RAYS считают такую маркировку слишком узкой. По оценке исследователей, у группы высокий уровень организованности и технической подготовки, а некоторые эпизоды указывают не только на политические акции, но и на шпионский интерес. Первые следы атак Partisan Zmiy в России команда заметила в конце 2024 года. Самым громким эпизодом 2025 года, который аналитики связывают с группой, стала летняя атака на инфраструктуру «Аэрофлота». В арсенале фигурируют Vasilek, Prianik, 3proxy, Gost proxy, ProcDump, Forklift и PartisansDNS. Основные цели, по данным отчета, это государственные структуры, транспорт и телеком, а география сосредоточена на России и Беларуси.
В отчете отдельно разобрана и группа Silent Zmiy, известная также как XDSpy. В отличие от более шумных кластеров, группа не стремится публично комментировать свои операции и предпочитает тишину. Именно за такую манеру Solar 4RAYS и дали ей это название. Группу связывают с активностью, которая прослеживается еще с 2011 года. Для начального доступа чаще всего используются фишинговые письма. Среди инструментов исследователи перечисляют XDSpy, CHMDownloader, DSDownloader, XDigo, forfiles, ETDownloader и NSDownloader. В 2025 году Solar 4RAYS видели только фишинговые рассылки на своих заказчиков, без развития в полноценную атаку, поэтому полного профиля TTP у команды пока нет. Тем не менее по выбору целей и характеру писем исследователи с низкой степенью уверенности относят группу к восточноевропейскому происхождению.
Среди проукраинских игроков отчет выделяет GOFFEE. Группа активна с 2022 года и располагает широкими ресурсами для комплексных операций. В расследованных инцидентах начальный доступ операторы получали через скомпрометированные <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>-учетные записи и небезопасную конфигурацию веб-приложений. В арсенале встречались Mythic Agent, Cobalt Strike, QwakMyAgent, DumpIt, SspiUacBypass, Impacket PsExec, Owowa, PowerTaskel и VisualTaskel. Отраслевая привязка у GOFFEE размытая, поскольку шпионский интерес группы не ограничивается 1 сектором. В разные периоды под удар попадали и ИТ-компании, и госструктуры. Главная географическая цель, по данным Solar 4RAYS, это Россия.
Среди новых кластеров особенно выделяется NGC5081. Впервые его активность Solar 4RAYS зафиксировали в октябре 2025 года. Исследователи описывают группу как очень профессиональную и ориентированную на высокозащищенные организации. Главное отличие от многих других игроков, по их оценке, состоит в собственном наборе инструментов. В частности, в расследованиях фигурировал написанный на Rust бэкдор IDFKA, который сложно анализировать. Также использовался TinyShell. Поведение группы было скрытным: операторы мимикрировали под системные процессы, легитимное ПО и даже под подрядчиков жертвы на уровне командно-управляющей инфраструктуры. Целью становились телеком-компании в России.
Отдельная роль в отчете отведена Fairy Trickster, также известной как Head Mare. Несмотря на риторику хактивизма, группа действует по куда более прагматичной модели. Операторы шифруют системы ради вымогательства и собирают конфиденциальные данные для дальнейшей продажи. Solar 4RAYS впервые увидели их следы в России в середине 2024 года. Среди инструментов перечислены MeshAgent, LockBit 3.0, PhantomProxyLite, Rust SOCKS5 Proxy, T1ck3tDump и PhantomTaskShell. По сути перед нами уже не классический политический активизм, а гибридный игрок, который умеет совмещать шум, давление и прямую монетизацию.
Исследователи обращают внимание и на рост числа атак с использованием шифровальщиков по модели RaaS, ransomware-as-a-service. В такой схеме вымогательское ПО распространяется почти как коммерческий продукт: одни его разрабатывают и поддерживают, другие арендуют и используют в реальных атаках. В 1 из инцидентов Solar 4RAYS обнаружили LokiLocker, также известный как BlackBit. Образец был написан на Rust, а по открытым данным сам шифровальщик связывают с группами из стран Ближнего и Среднего Востока. У семейства есть официальный портал Black Bit Premium, через который операторы получают вредоносное ПО, а владельцы RaaS сами компилируют сборки под исполнителей. Отдельно в расследованиях встречался и ELPACO-team ransomware. Исследователи отмечают у него необычно удобный графический интерфейс и поддержку конфигурационного файла, который помогает быстрее настраивать атаку. После шифрования вредонос удаляет себя с системы, что затрудняет разбор.
Кроме того, в нескольких случаях в инфраструктуре находили активность червей, оставшихся от более ранних инцидентов. Для специалистов по реагированию это важное напоминание: если во время разбора сосредоточиться только на текущей атаке и не обследовать всю среду на следы старых компрометаций, внутри сети могут остаться забытые заражения.
В отдельном разделе отчета Solar 4RAYS разбирает интересные техники по матрице MITRE ATT&CK. До атаки злоумышленники активно готовят ресурсы: покупают или получают доступы, регистрируют домены, поднимают инфраструктуру, добывают вредоносные инструменты и эксплойты, создают учетные записи, в том числе почтовые. Исследователи приводят показательный эпизод, когда в ходе расследования обнаружили сразу несколько скомпрометированных серверов, которые атакующие готовили под собственные серверы управления и прокси. То есть даже если жертва не потеряла данные и не столкнулась с шифрованием, взломанный сервер все равно мог стать частью чужой преступной инфраструктуры. В таком случае организация превращается в инструмент для атак на других.
На этапе первоначального проникновения по-прежнему жив старый добрый фишинг. Несмотря на зрелость защитных средств, закрыть все уровни инфраструктуры одинаково хорошо удается не всем, а 1 невнимательный пользователь способен открыть злоумышленнику дорогу внутрь. В 2025 году Solar 4RAYS сталкивались с фишинговыми кампаниями Cloud Atlas с VBShower и VBCloud, Fairy Trickster с PhantomRemote, а также фиксировали другие группы, для которых фишинг остается штатным способом входа, включая Lifting Zmiy с BrokenDoor. Исследователи отдельно подчеркивают, что защита от фишинга строится не только на технологиях, но и на культуре обращения с письмами и ссылками.
Веб-приложения тоже продолжают подводить компании не только из-за уязвимостей как таковых, но и из-за плохих настроек. В 1 инциденте злоумышленники получили доступ к административной панели с учетной записью, права которой были сопоставимы с правами системного администратора. Пароль оказался словарным, а доступ к интерфейсу был открыт из внешней сети. В другом случае проблемы возникли на сервере с Bitrix. Базовую настройку веб-приложения не довели до конца, из-за чего атакующие получили доступ к restore.php, служебному файлу для восстановления из резервной копии, и использовали его для размещения вредоносного кода на сервере.
Тема подрядчиков в отчете раскрыта особенно подробно. Solar 4RAYS приводит показательный случай, когда злоумышленники использовали учетную запись сотрудника подрядной организации для атаки на заказчика. После первых нелегитимных входов команда рекомендовала заблокировать учетную запись. Заказчик так и сделал, но доступа к машине подрядчика для проверки получить не смог, поскольку тот уверял, что компрометация у него невозможна. Через 2 недели заказчик самостоятельно разблокировал учетную запись, договорившись с подрядчиком о смене пароля, и уже через сутки злоумышленники снова вошли под тем же пользователем. Только после полноценного исследования системы подрядчика удалось подтвердить компрометацию. Вдобавок на машине лежали файлы с паролями в открытом виде. Этот случай в отчете подается не как исключение, а как типичный пример того, как доверие и слабая дисциплина подрядчика ломают защиту заказчика.
На этапе выполнения злоумышленники в 2025 году активно использовали PowerShell, cmd, Unix shell, Python, Visual Basic, WMI, планировщики задач, системные сервисы и контейнеры. Но исследователи отдельно обращают внимание на более тонкий прием: использование легитимных функций самого веб-приложения для выполнения вредоносных задач. В 1 из свежих инцидентов атакующие вошли в административный интерфейс приложения под root-пользователем и использовали встроенный планировщик задач, который позволял запускать скрипты в контексте приложения. Внутрь таких скриптов злоумышленники вставили код, уже выполнявший команды на уровне операционной системы. Ответ они получали через перехват ошибок веб-приложения, фактически превратив штатную функцию автоматизации в инструмент разведки.
Закрепление в системе, как и прежде, чаще всего строилось на банальных, но надежных вещах: локальные и доменные учетные записи, веб-шеллы, скрипты автозапуска, планировщики задач, системные службы, подмена компонентов, DLL hijacking, модификация SSH authorized_keys. Одной из самых интересных комбинаций в отчете названо закрепление через системные сервисы с одновременной подменой легитимных скриптов. В 1 из инцидентов злоумышленники не трогали сам сервис GitLab, но изменили штатный скрипт запуска его компонентов. В результате при старте или перезагрузке легитимной службы вместе с ней поднималось и вредоносное ПО. Такой подход одновременно дает устойчивость и сильно мешает обнаружению.
Еще 1 редкий случай связан с PostgreSQL и TrueConf Server. Получив права системного администратора, атакующие создали в базе данных бэкдор из функции и триггера. После этого ввод специальной строки в поля аутентификации позволял выполнять произвольные SQL-запросы, а через функцию COPY сохранять результат в файлы на диске. Таким способом, например, можно было создать веб-шелл. История показательная хотя бы потому, что напоминает: база данных может стать не просто хранилищем, а точкой скрытого управления атакой.
Горизонтальное перемещение по сети в большинстве расследований не требовало от нападающих ничего экзотического. RDP, SSH и SMB оставались главными рабочими инструментами. Они позволяют полноценно работать с машиной, использовать слабые настройки и маскировать свои действия под обычное администрирование. Вывод Solar 4RAYS здесь звучит почти банально, но от этого не становится менее важным: злоумышленники часто не идут в сложные техники просто потому, что базовых средств им хватает.
Отдельный блок отчета посвящен уклонению от обнаружения. Примерно в каждом 10-м расследованном инциденте атакующие пытались отключить или ослабить защитные средства. В 1 случае антивирус не замечал веб-шеллы, которые на тот момент уже были известны и добавлены в сигнатуры. Прямого доказательства вмешательства в работу защитного ПО найти не удалось, но само такое поведение исследователи считают крайне подозрительным. В другом инциденте признаки удаления антивируса вели к PsExec. Маскировка под легитимные процессы и компоненты тоже никуда не делась. Особенно хорошо это, по словам Solar 4RAYS, умеют делать группы, работающие в Unix-подобных системах. В качестве примера исследователи снова ссылаются на NGC5081, которая тщательно подстраивалась под окружение жертвы.
В финале отчета исследователи подводят довольно жесткий итог. Первая половина 2025 года действительно выглядела относительно спокойной, но затем затишье закончилось. Во второй половине года стало больше заметных атак на транспорт и торговлю, а давление на промышленность, ИТ и энергетику усилилось. Атакующие меняют тактики, охотнее используют слабости подрядчиков, увеличивают срок скрытого присутствия и активнее расширяют инструментарий. Solar 4RAYS ожидает, что в 2026 году доля шпионских атак на значимые для экономики России отрасли как минимум не снизится. В финансово мотивированном сегменте главным риском останется вымогательство, а рост интереса к RaaS говорит еще и о снижении порога входа в этот рынок. Кроме того, исследователи со средней степенью уверенности ждут, что в 2026 году будет больше признаков использования ИИ-сервисов на этапах подготовки и проведения целевых атак.
Практические рекомендации в отчете вполне приземленные и поэтому особенно важные. Solar 4RAYS советует жестче контролировать подрядчиков и весь удаленный доступ, особенно если между сетями есть прямая связанность. Не откладывать обновление ПО и защиту веб-приложений, потому что дыры в них все еще остаются главным входом для многих атак. Следить за парольной политикой и утечками учетных записей, поскольку скомпрометированные аккаунты остаются 2-м по популярности способом проникновения. Серьезно относиться к уведомлениям о компрометации от НКЦКИ и частных ИБ-компаний. Делать резервные копии по принципу 3-2-1. Использовать не только классическое защитное ПО, но и более продвинутые средства, включая EDR и SIEM. Регулярно проводить оценку компрометации и не тянуть с привлечением специалистов по реагированию. И, наконец, не забывать про киберграмотность сотрудников, потому что даже сильная инфраструктура может посыпаться из-за 1 удачной социальной инженерии.
Профессиональные атаки в России никуда не делись, но за год стали взрослее, разнообразнее и осторожнее. Громких вывесок стало меньше. Долгих и тихих проникновений, наоборот, больше. А значит, в 2026 году побеждать будет не тот, кто просто купил еще 1 защитный продукт, а тот, кто умеет видеть слабые связи в своей экосистеме раньше, чем их увидит злоумышленник.
- Источник новости
- www.securitylab.ru
