
Анна Голушко
Старший аналитик направления аналитических исследований Positive Technologies
Анна Голушко
Старший аналитик направления аналитических исследований Positive Technologies
Отчет содержит информацию об общемировых актуальных угрозах информационной безопасности, основанную на экспертизе компании Positive Technologies, результатах расследований, проводимых PT Expert Security Center, а также на данных авторитетных источников.
По нашей оценке, большинство кибератак не предаются огласке из-за репутационных рисков. В связи с этим подсчитать точное число угроз не представляется возможным даже для организаций, занимающихся расследованием инцидентов и анализом действий хакерских групп. Наше исследование проводится с целью обратить внимание компаний и обычных граждан, интересующихся современным состоянием информационной безопасности, на наиболее актуальные методы и мотивы кибератак, а также с целью выявить основные тенденции в изменении ландшафта киберугроз.
В рамках отчета каждая массовая атака (в ходе которой злоумышленники проводят, например, фишинговую рассылку на множество адресов) рассматривается как одна отдельная атака, а не как несколько. Термины, которые мы используем в исследовании, приведены в глоссарии на сайте Positive Technologies.
В IV квартале 2024 года количество инцидентов увеличилось на 5% по сравнению с предыдущим кварталом и на 13% в сравнении с аналогичным периодом прошлого года. Вредоносное ПО остается основным инструментом злоумышленников: оно применялось в 66% успешных атак на организации и 51% на частных лиц. Против организаций чаще всего использовались шифровальщики (42%) и ВПО для удаленного управления (38%), против частных лиц — шпионское ПО (48%). Мы наблюдали увеличение интереса к шпионскому ПО в атаках на организации (20%, на 4 п. п. больше, чем в предыдущем квартале). За рассматриваемый период в результате 53% успешных атак на организации была раскрыта конфиденциальная информация, а нарушение основной деятельности компаний наблюдалось в 32% инцидентов. В 48% успешных атак на частных лиц злоумышленники были нацелены на получение финансовой выгоды, что на 18 п. п. больше по сравнению с аналогичным периодом прошлого года. Мы делаем вывод, что финансовые потери среди частных лиц в целом являются характерной чертой IV квартала года.
По итогам IV квартала 2024 года социальная инженерия продолжает оставаться одним из наиболее популярных методов для атак как на организации (50%), так и на частных лиц (88%). Основным каналом социальной инженерии для организаций остается электронная почта (84%), для частных лиц — сайты (44%). Вместе с тем в атаках на частных лиц увеличилась доля использования соцсетей (на 10 п. п., до 22%) и мессенджеров (на 11 п. п., до 18%). Это связано с тем, что социальные сети и мессенджеры дают злоумышленникам широкий выбор возможностей для обмана пользователей. На таких платформах переписка развивается быстрее и мошенникам легче ввести жертву в заблуждение, не давая ей времени подумать. Кроме того, атакующие используют в атаках утекшие персональные данные, взломанные аккаунты других пользователей и организаций, а также создают на их основе дипфейки.
Документы Microsoft Word используются в организациях по всему миру. Широкое распространение этого типа документов дает злоумышленникам хороший повод разработать очередную схему для кибератак. В IV квартале 2024 года была обнаружена новая фишинговая кампания по рассылке электронных писем, содержащих вложения Microsoft Office, которые намеренно повреждены таким образом, что их нельзя проверить с помощью средств безопасности. Такие почтовые вложения обходят антивирусное ПО, предотвращают загрузку файлов в песочницы и обходят спам-фильтры Outlook, позволяя вредоносным документам доходить до адресата. При открытии документа появляется сообщение о том, что документ поврежден и для его открытия требуется запустить процедуру восстановления.
Конечная цель атаки — обманным путем заставить пользователей открыть зараженные документы, в которые встроены QR-коды. При сканировании они перенаправляют жертв на мошеннические сайты для установки вредоносного ПО или на поддельные страницы входа для кражи учетных данных. Напомним, что квишинг1 вышел на пик популярности в первой половине 2024 года, о чем мы ранее рассказывали по итогам II квартала 2024 года. Эта техника сохраняла популярность и во второй половине года.
1Квишинг (quishing) — разновидность фишинга, осуществляемая при помощи QR-кодов. При сканировании такого QR-кода пользователи перенаправляются на вредоносный сайт, который либо содержит ссылки на скачивание вредоносного ПО на устройство, либо запрашивает номера кредитных карт или учетные данные, якобы для входа в систему.
Мы предполагаем, что новая техника повреждения документов может быть взята на вооружение и другими злоумышленниками, которые используют документы Microsoft Office в качестве приманки для дальнейшей доставки вредоносного ПО. Атакующие внедряют в Word вредоносные макросы, шаблоны и эксплойты. Такие техники применяются давно и достаточно хорошо обнаруживаются такими средствами защиты информации, как шлюзы безопасности электронной почты (secure email gateways), антивирусные средства, песочницы и EDR-решения. По этой причине укрепляется тренд на многоэтапные сложные схемы доставки вредоносной нагрузки на скомпрометированные устройства, нацеленные на сокрытие от обнаружения. Новая техника повреждения документов может в ближайшие месяцы стать одним из эффективных инструментов для реализации таких сложных кампаний.
Для предотвращения запуска вредоносных макросов организациям рекомендуется настроить групповую политику «Блокирование запуска макросов в файлах Microsoft Office, полученных из Интернета», а для предотвращения перехода на фишинговые веб-страницы рекомендуется настраивать перечень разрешенных для посещения сайтов. Для лучшего обнаружения вредоносных почтовых вложений рекомендуется осуществлять принудительные проверки поврежденных или иным образом измененных файлов в песочнице. Для обнаружения вредоносной активности на рабочих местах мы советуем организациям использовать современные EDR-решения, способные выявить поведенческие аномалии.
Сотрудникам организаций при получении поврежденных или нечитаемых документов Microsoft Word и PDF-файлов необходимо с осторожностью относиться к их восстановлению и к работе с содержимым. При получении документов по электронной почте от неизвестных отправителей не стоит спешить с их скачиванием и просмотром. Мы советуем связаться с отправителем по доверенному каналу связи: это поможет избежать неприятных для компании последствий.
На протяжении всего 2024 года мы наблюдали фишинговые кампании Contagious Interview («Заразное собеседование»), направленные на разработчиков, которым предлагалось пройти фейковое собеседование и в результате загрузить вредоносный код на свое устройство. К концу года злоумышленники придумали новую схему с противоположной мотивацией. Новая фишинговая кампания нацелена на организации в разных отраслях и пугает получателей, заставляя их думать, что их могут уволить. Атака начинается с электронного письма, которое выглядит как официальное уведомление о судебном разбирательстве и прекращении трудовых отношений с сотрудником. Жертвам предлагается загрузить документ, чтобы получить доступ к соответствующей информации. Во вложении прикреплен архив RAR, содержащий вредоносный скрипт Visual Basic. Вредоносный скрипт обеспечивает доставку основной полезной нагрузки, предположительно банковского трояна, что говорит о финансовой мотивации злоумышленника. Предполагается, что в будущем эта кампания может выйти за пределы электронной почты и расшириться на социальные сети LinkedIn или Facebook.
В IV квартале 2024 злоумышленники стали массово использовать схему атак с поддельной CAPTCHA. Жертва заходит на вредоносный сайт, на котором отображается поддельная веб-страница CAPTCHA. При нажатии на кнопку «I'm not a robot», в буфер обмена устройства копируется зашифрованная строка PowerShell-команды. Злоумышленники предлагают пользователю вставить данные из буфера обмена в командную строку, что активирует скрипт для загрузки и установки вредоносной программы на устройство жертвы.
Эта схема появилась еще в III квартале и использовалась в атаках на геймеров для распространения популярного инфостилера Lumma Stealer, способного красть учетные данные из браузеров, а также доступы к криптокошелькам. В IV квартале 2024 эта фишинговая тактика приобрела по-настоящему масштабный характер. Злоумышленники использовали рекламную сеть Monetag для показа всплывающей рекламы и продвижения более трех тысяч вредоносных сайтов с поддельным ПО и пиратских платформ для просмотра видеоконтента с целью распространения Lumma Stealer через поддельную CAPTCHA. Помимо этого инфостилера киберпреступники распространяли вредоносную программу Amadey, которая крадет учетные данные из браузеров, подменяет адреса криптовалютных кошельков в буфере обмена на адреса, контролируемые злоумышленниками, а в ряде случаев еще загружает троян удаленного доступа Remcos RAT. Кроме того, страницы с поддельной CAPTCHA массово внедрялись во взломанные сайты на базе CMS WordPress для распространения нового вредоносного ПО CoinLurker, нацеленного на кражу данных из криптовалютных кошельков, а также из приложений Telegram, Discord и FileZilla. Техника поддельной проверки на робота была замечена не только в атаках на частных лиц, но и на организации. К примеру, в декабре была выявлена фишинговая кампания, нацеленная на гостиничный бизнес в Великобритании. Менеджерам отелей направлялись письма якобы от сервиса бронирования, которые содержали ссылку на фишинговую страницу. В результате атаки на устройствах сотрудников устанавливалась вредоносная программа XWorm RAT.
Пользователям важно помнить, что настоящие проверки CAPTCHA никогда не требуют ввода команд в операционной системе и в пределах непосредственно веб-страницы. Все существующие методы антибот-проверок предполагают только действия по упорядочиванию фигур, повторению буквенно-числовой последовательности из 6–8 символов или проставлению галочки в окне «Подтвердить, что я человек». Кроме того, настоящая CAPTCHA обычно не запрашивает от пользователя конфиденциальные данные, такие как логины, пароли, номера карт. Если после выполнения CAPTCHA вас просят ввести такие данные — это сигнал к осторожности.
В IV квартале 2024 года в успешных атаках на организации чаще всего использовались шифровальщики (42%), ВПО для удаленного управления (38%) и шпионское ПО (20%). Программы-вымогатели продолжают оставаться актуальной угрозой для организаций в разных странах мира и активно используются не только для получения финансовой выгоды, но и для нанесения ущерба в хактивистских целях. На протяжении рассматриваемого периода наиболее активной оставалась группировка RansomHub, которая выбилась в лидеры по числу жертв после ухода LockBit. Значительное увеличение числа жертв также демонстрировала известная группировка программ-вымогателей Akira, которая, вероятно, проникала в инфраструктуры организаций путем эксплуатации уязвимости CVE-2024-40766 (9,8 по CVSS 3.1) в SonicWall VPN или путем эксплуатации уязвимости CVE-2024-40711 (9,8 по CVSS 3.1) на серверах Veeam Backup & Replication. Последний квартал 2024 года также был отмечен появлением нескольких новых групп вымогателей, таких как Interlock, Termite, SafePay и FunkSec, которые сразу стали активно атаковать инфраструктуры организаций и публично размещать заявления на своих DLS2.
2Data leak site — сайт утечек данных, используемый киберпреступниками для публикации украденной информации с целью шантажа или вымогательства.
В успешных атаках на частных лиц в IV квартале 2024 года мы наблюдали сохранение тренда на использование шпионского ПО (48%) и увеличение интереса к банковским троянам (19%, на 8 п. п. больше по сравнению с предыдущим кварталом). По данным центра мониторинга киберугроз компании Cyble, с октября активизировалась кампания по распространению модифицированной версии известного банковского трояна Cerberus, код которого был обфусцирован для сокрытия от обнаружения. Вредоносное ПО маскировалось под установочный файл Google Play Store. Банковские трояны нередко маскируются под легитимные приложения. Так, в декабре вирусные аналитики Dr.Web выявили новые версии банковского трояна NGate, нацеленные на российских пользователей. Этот троян передает данные с NFC-чипа скомпрометированного устройства, позволяя злоумышленнику снимать деньги со счетов жертвы в банкоматах без участия самого пользователя. Вредоносное ПО скачивается в виде APK-файла по ссылке от злоумышленников и замаскировано под приложения портала Госуслуг или популярных российских банков.
Доли ВПО для удаленного доступа в успешных атаках на организации и на частных лиц в IV квартале 2024 года снизились на 6 п. п. по сравнению с предыдущим кварталом и составили 38% и 29% соответственно. Аналогичную тенденцию наблюдали исследователи Any.Run, по их оценкам общее число зафиксированных обнаружений троянов удаленного доступа по итогам рассматриваемого периода снизилось на 10,8%. Такое снижение мы считаем временным и связываем с возможными изменениями в стратегии и инструментах киберпреступников. Вместе с тем ВПО для удаленного доступа сохраняет высокие позиции по итогам 2024 года, а IV квартал показывает рост на 6 п. п. в сравнении с I кварталом 2024 года и на 16 п. п. по сравнению с IV кварталом 2023-го.
В рассматриваемый период мы наблюдали появление обновленных троянов удаленного доступа (RAT), использующих сложные методы обхода защиты. Так, злоумышленники модифицировали Remcos RAT, внедрив в него несколько уровней маскировки с использованием JavaScript, VBScript и PowerShell, чтобы избежать обнаружения средствами защиты. Еще один крайне популярный троян удаленного доступа AsyncRAT в последнем квартале 2024 года использовал сложную цепочку заражения, атака начиналась с текстового файла, в котором скрывался зашифрованный скрипт VBS, запускавший цепочку вредоносных команд, скрывающих следы заражения. Кроме того, центр анализа угроз AhnLab (ASEC) выявил новый способ доставки AsyncRAT через файлы формата SVG. Вредоносный файл направлялся по электронной почте и при его открытии пользователям предлагалось скачать PDF-документ, который незаметно загружал AsyncRAT в скомпрометированную систему. Опасности подверглись и разработчики: вредоносный пакет npm, замаскированный под инструмент для обнаружения уязвимостей в смарт-контрактах Ethereum, на самом деле устанавливал на устройства Quasar RAT. Вредоносный пакет, опубликованный 18 декабря 2024 года, при установке получал скрипт с удаленного сервера и незаметно выполнял его для развертывания RAT в системах Windows.
В IV квартале 2024 года мы наблюдали увеличение доли шпионского ПО в успешных атаках на организации на 4 п. п. по сравнению с предыдущим кварталом. Шпионское ПО при атаках на частных лиц, как мы уже отметили ранее, также не сдает позиции (48%) и лидирует среди других типов ВПО.
В атаках на российские организации злоумышленники часто использовали широко известные инфостилеры. Так, в середине ноября эксперты PT Expert Security Center Threat Intelligence зафиксировали кампанию по распространению Lumma Stealer и NetSupport RAT. Злоумышленники направляли фишинговые письма в организации с вложенными файлами форматов LNK и DOCX, при открытии которых происходила загрузка вредоносных программ из GitHub-репозитория киберпреступников или с их С2-сервера. Кроме того, в IV квартале была зафиксирована новая волна фишинговой кампании с использованием кейлоггера Snake на российские организации из сферы промышленности, сельского хозяйства и энергетики. Snake умеет перехватывать нажатия клавиш, создавать скриншоты, собирать данные из буфера обмена, а также красть учетные данные из популярных браузеров и почтовых клиентов. Злоумышленники рассылают фишинговые письма в целевые организации с поддельных или скомпрометированных адресов российских и зарубежных компаний. К письму прикладывается архив формата .bz, который содержит исполняемый файл .exe, отвечающий за доставку и установку ВПО в системе жертвы.
Оба инфостилера являются на данный момент одними из наиболее популярных у злоумышленников и выступают также основой для создания новых штаммов шпионского ПО. В IV квартале в атаках и на частных лиц, и на организации были замечены новые вредоносные программы — LummApp и Nova. Первое ВПО использует компоненты LummaStealer и предназначено для скрытой установки вредоносных расширений в браузер, для кражи данных. А второе является модификацией Snake с использованием протектора на базе AutoIt для усложнения детектирования средствами защиты.
Кроме того, атакующие нередко модернизируют вредоносные программы более узкого назначения, которые хорошо себя зарекомендовали в прошлом. Так, по данным PT Expert Security Center, в ходе атак на российские организации была замечена модификация известного вредоносного модуля Owowa, который нацелен на веб-серверы Microsoft IIS, работающие с Outlook Web Access (OWA), и позволяет злоумышленникам красть учетные данные пользователей Exchange. После того как атакующие проникают в инфраструктуру и находят почтовый сервер, они интегрируют вредоносную DLL-библиотеку Owowa в процесс целевого IIS-сервера, что усложняет обнаружение средствами защиты. Далее злоумышленники прослушивают веб-аутентификацию пользователей OWA, извлекая учетные данные через HTTP-запросы. В обновленной версии Owowa запись скомпрометированных учетных данных осуществляется в оперативную память сервера (с использованием структуры данных HashSet) вместо записи в журнал файловой системы. Такие изменения были внедрены с целью минимизации цифрового следа, обхода EDR-систем и оптимизации операций чтения и записи украденных данных.
В IV квартале 2024 года мы наблюдали рост активности ботнетов, успешно атакующих сетевое оборудование, IoT-устройства и веб-серверы. Скомпрометированные устройства и ресурсы затем используются для проведения DDoS-атак, майнинга криптовалюты, а также в целях кибершпионажа. По данным Cloudflare, в IV квартале 2024 года была зафиксирована самая масштабная из когда-либо зарегистрированных DDoS-атак мощностью 5,6 Тбит/с.
В качестве вектора первоначального доступа ботнеты используют непропатченные уязвимости в устройствах и ПО, а также методом подбора находят слабые пароли или пароли по умолчанию. Например, ботнет Ficora проявлял всплеск активности в октябре и ноябре в отношении популярных моделей маршрутизаторов D-Link, используемых организациями и частными лицами. Для первоначального доступа ботнет использует давно известные эксплойты уязвимостей, таких как CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 и CVE-2024-33112. Другой ботнет, Androxgh0st, активно использует уязвимости в веб-серверах Atlassian JIRA, GeoServer (CVE-2024-36401), Laravel и административных панелях сайтов на WordPress, чтобы проникать в критически значимые инфраструктуры. Еще один ботнет, Gafgyt, был нацелен на общедоступные неправильно настроенные серверы Docker Remote API. Злоумышленники создавали контейнер Docker на основе легитимного образа Docker, Alpine, и запускали в нем вредоносное ПО.
Помимо этого, злоумышленники прибегают к эксплуатации уязвимостей, не имеющих официальных обновлений от производителя и зарегистрированного идентификатора CVE. Так, новый ботнет Hail Cock на базе Mirai с ноября 2024 года активно эксплуатировал RCE-уязвимость в видеорегистраторах DigiEver DS-2105 Pro. Известно, что эксплуатируемая уязвимость была раскрыта исследователем на конференции по безопасности DefCamp в Бухаресте еще в 2023 году, но так и не получила номер и, по-видимому, не была устранена.
Одной из наиболее активных угроз для сетевого оборудования и IoT-устройств на текущий момент является XorBot, имеющий в своем арсенале по меньшей мере 12 эксплойтов для уязвимых устройств нескольких производителей. В последнее время это семейство вредоносного ПО является очень активным, а его скрипты демонстрируют совместимость с различными архитектурами ЦП, включая MIPS, PowerPC, ARM и x86_64. IoT-устройства, используемые частными лицами, также становятся объектами атак злоумышленников. В декабре 2024 года специализирующийся на устройствах Android ботнет BadBox разросся более чем до 192 000 устройств по всему миру, несмотря на недавнюю операцию по его уничтожению. По данным исследования BitSight Technologies, BadBox заражает устройства через атаки на цепочки поставок на этапе производства или непосредственно после него, однако точный вектор заражения остается неизвестным.
Центр мониторинга информационной безопасности AhnLab (ASEC) и центр мониторинга информационной безопасности Symantec во второй половине 2024 года независимо друг от друга выявили значительный рост распространения вредоносных программ, упакованных в скрипты AutoIt. AutoIt — это язык программирования, разработанный для автоматизации задач в Windows и позволяющий создавать исполняемые файлы .exe. AutoIt имеет меньше зависимостей от конфигурации и среды выполнения и не требует установки дополнительных библиотек, что делает его более простым в использовании по сравнению с разработкой в среде .NET. Выявленный тренд продолжал иметь место и в IV квартале 2024 года и показал некоторое снижение только в декабре. В течение IV квартала 2024 года были выявлены случаи использования AutoIt в цепочке атак по распространению вредоносного ПО DarkGate и Snake. А кроме того, как мы уже упоминали ранее, было обнаружено новое ВПО Nova, модификация кейлоггера Snake, которое для защиты от обнаружения использует протектор, написанный на AutoIt.
Чтобы обезопасить себя от современного вредоносного ПО, организациям следует использовать песочницы, которые позволяют запускать программы в изолированной виртуальной среде для выявления вредоносной активности. Чтобы проверить, насколько хорошо сотрудники защищены от фишинга, мы рекомендуем использовать сервисы для проверки защищенности корпоративной электронной почты. Кроме того, рекомендуется внедрить систему анализа сетевого трафика — чтобы своевременного обнаружить вредоносную активность в инфраструктуре и остановить нарушителя при попытке извлечь данные через C2-каналы.
Мы советуем для защиты облачных инфраструктур использовать решения для обеспечения безопасности контейнерных сред и обеспечивать защиту веб-ресурсов с помощью межсетевого экрана уровня веб-приложений в целях предотвращения несанкционированного доступа к информационным ресурсам клиентов. Для эффективной и отказоустойчивой защиты сетевого периметра мы рекомендуем применять межсетевые экраны нового поколения. Для усиления центра мониторинга и реагирования на инциденты ИБ мы рекомендуем внедрять метапродукты, обеспечивающие высокий уровень автоматизации процессов обнаружения и реагирования на инциденты.
На протяжении всего 2024 года мы наблюдали, как злоумышленникам удается совершенствовать свои техники и инструменты, применяя технологии искусственного интеллекта, — и последний квартал не стал исключением.
Уже не первый квартал мы наблюдаем активное применение постоянно совершенствующихся платформ phishing as a service (PHaaS)3. Чтобы фишинговые страницы дошли до конечного пользователя, киберпреступникам приходится придумывать способы эффективного обхода фильтров обнаружения вредоносной активности в антивирусных средствах, а также обхода фильтров, встроенных в современные браузеры. Так, на теневых форумах появились новые антибот-сервисы, которые помогают фишинговым страницам обходить защитные механизмы Google Safe Browsing. Сервисы Otus Anti-Bot, Remove Red и Limitless Anti-Bot предлагают злоумышленникам необходимые функции и обеспечивают вредоносным сайтам возможность дольше оставаться незамеченными и активными. Среди представленных сервисов стоит выделить Limitless Anti-Bot, который использует технологии искусственного интеллекта и фильтрации трафика на основе данных о геолокации и провайдерах интернета. Сервисы способны отличать настоящих пользователей от автоматических сканеров, снижая риск обнаружения фишинговых ресурсов.
3Это платформы, которые позволяют приобретать фишинговые наборы (фиш-киты) для атак, конструкторы, содержащие готовые шаблоны, с помощью которых можно быстро создать множество фишинговых страниц.
На фоне развития технологий искусственного интеллекта появляются новые инструменты, которые автоматизируют и ускоряют процесс поиска уязвимых устройств и эксплуатации уязвимостей. К примеру, в IV квартале 2024 года на GitHub был опубликован исследовательский проект Burpference — расширение для Burp Suite, которое собирает все in-scope ссылки из истории HTTP-запросов и отправляет их в удаленный API LLM в формате JSON — для автоматизации поиска уязвимостей в анализируемых ресурсах. Применение таких инструментов позволит атакующим ускорить выявление уязвимостей и сократить время от обнаружения уязвимости до ее эксплуатации.
В конце IV квартала 2024 года новая группировка вымогателей FunkSec стремительно ворвалась на киберпреступную арену и взяла на себя ответственность за атаки более чем на 80 жертв. По данным исследования Check Point, члены группировки FunkSec имеют низкую квалификацию, но компенсируют это тем, что свой вариант шифровальщика на языке Rust, вероятно, создали с помощью ИИ. Группировка требует низкие суммы выкупа, в некоторых случаях до 10 тыс. долл., и проявляет склонность к хактивизму. Однако в январе 2025 года FunkSec объявили, что готовится обновленная версия шифровальщика, которая будет распространяться по подписке (ransomware as a service, RaaS). Кроме того, группировка планирует организовать курсы для обучения новоиспеченных хакеров методам эксплуатации уязвимостей и техникам фишинга. После этих обновлений размер выкупа за расшифровку данных увеличится до 1 млн долл. Кроме того, группировка объявила об аукционе, где планирует продавать различные инструменты и украденные базы данных.
В IV квартале 2024 года мы наблюдали как финансово мотивированные злоумышленники и APT-группировки проводят успешные атаки на цепочки поставок. Так, в рассматриваемый период киберпреступники взломали репозиторий Python-библиотеки Ultralytics, широко используемой в задачах компьютерного зрения, и разместили на PyPI вредоносные версии библиотеки, предназначенные для майнинга криптовалюты. Получить доступ к публикации кода от имени разработчика удалось за счет выявленной уязвимости в написанных обработчиках действий в GitHub Actions. Уязвимость заключалась в возможности форматировать код проекта через pull-запросы. Разработчики оперативно устранили проблему и выпустили обновление, однако спустя два дня злоумышленники вновь опубликовали вредоносные версии, включающие другой код. Точное число скомпрометированных пользователей остается неизвестным, тем не менее инцидент подчеркивает важность внедрения процессов безопасной разработки на всех этапах жизненного цикла любого программного продукта.
В последний квартал года, как правило, происходит рост числа атак на веб-ресурсы компаний в сфере ритейла и e-commerce. Злоумышленники взламывают слабозащищенные сайты на базе WordPress, WooCommerce и «1С-Битрикс» с целью внедрить веб-скиммеры для кражи данных банковских карт клиентов. Однако в 2024 году злоумышленники реализовали более изощренную схему, взломав приложение FreshClick, используемое SaaS-платформой электронной коммерции BigCommerce. Неизвестный злоумышленник внедрил в приложение FreshClick вредоносный код, предназначенный для сбора данных кредитных карт. Неизвестно точное число ритейл-компаний, пострадавших в результате этой атаки, однако как минимум одна компания, производитель аксессуаров для бытовой электроники ZAGG, подала официальное уведомление о компрометации данных кредитных карт покупателей, оформивших заказы в период с 26 октября по 7 ноября.
Более масштабная атака на цепочку поставок в конце 2024 года привела ко взлому 35 расширений для Google Chrome и внедрению в них вредоносного кода для кражи учетных данных пользователей. Злоумышленники направляют разработчикам расширений фишинговое электронное письмо, которое выглядит так, будто оно пришло от Google. В письме утверждается, что расширение нарушает правила Chrome Web Store и может быть удалено. Разработчику предлагается перейти по ссылке якобы для принятия политики Chrome Web Store, а на деле он предоставляет сторонним приложениям разрешение на доступ к ресурсам его учетной записи Google. Первой об этом сообщила компания Cyberhaven, производитель решений по кибербезопасности, расширение которой тоже было скомпрометировано.
При планировании атаки злоумышленники использовали инструмент GoIssue, который позволяет автоматически извлекать адреса электронной почты из профилей GitHub и массово рассылать письма непосредственно на почтовые ящики разработчиков. В ходе расследования было установлено, что злоумышленники были нацелены на получение учетных данных от аккаунтов Facebook. Встроенный в расширение вредоносный код добавил прослушиватель событий щелчка мыши, предназначенный специально для взаимодействия жертвы с Facebook, и искал изображения QR-кодов, связанные с двухфакторной аутентификацией или механизмами CAPTCHA. Злоумышленники атаковали бизнес-аккаунты Facebook для того, чтобы совершать прямые платежи с кредитных карт жертв, распространять дезинформацию или монетизировать доступ к аккаунту, продавая его другим пользователям.
Мы рекомендуем организациям, разрабатывающим программное или программно-аппаратное обеспечение, выстроить процессы безопасной разработки и защиты цепочки поставок ПО. Следует своевременно обновлять инструменты для управления и хранения исходного кода, а также обеспечить защищенность и целостность всех этапов разработки. Для этого мы советуем внедрить инструменты класса application security, а также использовать инструменты динамического анализа защищенности приложений и анализаторы пакетов и исходного кода, например PT PyAnalysis.
Полученные в ходе атак данные платежных карт клиентов могут перепродаваться на теневых ресурсах и использоваться в дальнейших атаках. Чтобы избежать таких последствий, мы рекомендуем своевременно устанавливать обновления для CMS и плагинов, использовать надежные пароли и многофакторную аутентификацию. Это особенно важно, поскольку злоумышленники, как правило, используют слабые пароли и уязвимости в плагинах для получения расширенного доступа к сайту и развития атаки.
В IV квартале 2024 года мы наблюдали рост числа успешных атак на телекоммуникационные компании, их доля составила 6% среди всех успешных атак на организации и показала рост на 2 п. п. в сравнении с III кварталом. В атаках на телекоммуникации были замечены APT-группировки, финансово мотивированные киберпреступники и группировки хактивистов.
Телеком аккумулирует огромные объемы данных об абонентах, частных и юридических лиц, в том числе записи телефонных звонков; успешные атаки на провайдеров связи могут приводить к крупным утечкам и серьезным последствиям. К примеру, в декабре 2024 года государственная компания Намибии Telecom Namibia стала жертвой атаки программы-вымогателя Hunters International, в результате чего произошла утечка конфиденциальных данных клиентов объемом более 600 ГБ, включая персональные и финансовые данные. По данным новостного сайта The Namibian, в список пострадавших клиентов входят по меньшей мере восемь министерств республики, пять региональных советов и десять муниципальных органов власти, а также корпоративные клиенты, такие как Qatar Airways, Ethiopian Airlines.
Среди наиболее громких инцидентов рассматриваемого периода необходимо отметить продолжительную кампанию кибершпионажа в отношении ряда крупнейших телеком-провайдеров США, которая, предположительно, началась еще в начале 2024 года и продолжалась вплоть до президентских выборов в ноябре. Киберпреступникам удалось проникнуть в инфраструктуру по меньшей мере восьми крупных провайдеров, среди которых AT&T, Lumen Technologies, T-Mobile и Verizon. В результате кибератаки были скомпрометированы системы, используемые федеральным правительством США для санкционированной судом сетевой прослушки. Конечной целью, вероятно, являлась компрометация устройств кандидатов в президенты и других участников президентской кампании. В результате расследования было обнаружено, что киберпреступники проникли в сети телекоммуникационных компаний по всей стране путем эксплуатации уязвимостей устаревшего сетевого оборудования и из-за отсутствия механизмов двухфакторной аутентификации. За этой крупномасштабной кампанией, предположительно, стоит APT-группировка Salt Typhoon, которая, по данным Trend Micro, использует в своих атаках вредоносное ПО для удаленного доступа GhostSpider, Masol RAT и модульный бэкдор SnappyBee, а также руткит Demodex. Среди эксплуатируемых уязвимостей были отмечены CVE-2023-46805 и CVE-2024-21887 (Ivanti Connect Secure VPN), CVE-2023-48788 (Fortinet FortiClient EMS), CVE-2022-3236 (межсетевые экраны Sophos), CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 (Microsoft Exchange, ProxyLogon).
Российские телекоммуникационные компании также подвергались кибератакам в рассматриваемый период. К примеру, эксперты PT Expert Security Center выявили активную кампанию социальной инженерии Gapucino (GOFFEE), в ходе которой сотрудникам организаций из ряда отраслей, включая операторов связи и их подрядчиков, направлялись электронные письма с документами Microsoft Word, содержащими вредоносные макросы.
Телеком-операторы предоставляют услуги связи организациям из ключевых отраслей — государственным, промышленным, финансовым. Операторы могут предоставлять свое оборудование корпоративным клиентам и иметь удаленный доступ к управлению им, поддерживая канал связи между инфраструктурами. Такая тесная интеграция делает телекоммуникационные компании привлекательными для киберпреступников, поскольку с получением доступа к инфраструктуре провайдера они могут совершить атаки на клиентов. Это подчеркивает актуальность угрозы атак на организации путем компрометации доверенных каналов связи (trusted relationship compromise).
Телекоммуникационным компаниям и провайдерам связи мы рекомендуем внедрять комплекс мер защиты, включающий в себя замену или обновление устаревшего оборудования и ПО, выстраивание процессов управления уязвимостями и внедрение методов многофакторной аутентификации к корпоративным сервисам. Рекомендуется использовать песочницы для своевременного выявления вредоносных вложений в электронных письмах. Мы также советуем обеспечивать безопасность сетевого периметра с помощью межсетевых экранов нового поколения.
По итогам анализа актуальных киберугроз конца 2024 года, а также на основе сведений о недавно выявленных уязвимостях, вредоносном ПО, о предоставлении широкого доступа к появляющимся информационным технологиям и на основе иных данных мы предполагаем, что в первом полугодии 2025 года будут наблюдаться следующие тенденции:
4SEO poisoning, отравление поисковой оптимизации — это метод кибератаки, при котором злоумышленники манипулируют алгоритмами поисковых систем с целью вывести вредоносные или мошеннические сайты в топ выдачи.
5Malvertising, вредоносная реклама — это техника распространения вредоносного ПО или фишинговых страниц через поддельные рекламные объявления, которые показываются пользователям на популярных сайтах или в социальных сетях.
6Bring your own vulnerable driver, BYOVD — техника кибератаки, которая позволяет злоумышленникам использовать легитимный, но уязвимый драйвер для обхода защитных механизмов ОС и выполнения вредоносных действий с повышенными привилегиями.
Эксплуатация уязвимостей продолжает оставаться одним из самых эффективных методов атак на организации (она использовалась в 32% успешных атак). Перечислим наиболее заметные уязвимости, которые активно эксплуатировались в IV квартале:
С расширенным списком наиболее популярных уязвимостей можно ознакомиться в ежемесячном дайджесте на нашем сайте.
7Use after free — тип ошибок, когда освобожденная память продолжает использоваться программой.
Использование систем, содержащих уязвимости, может поставить под угрозу любую компанию. Мы рекомендуем выстроить процесс управления уязвимостями для их своевременного выявления и устранения. Злоумышленники немедленно берут на вооружение недостатки в популярных решениях, особенно если для них есть эксплойты. Кроме того, атакующие постоянно ищут возможности для эксплуатации давно известных уязвимостей и в первую очередь обращают внимание на слабости сетевого периметра организации. Также мы рекомендуем сегментировать сети и периодически актуализировать данные об имеющихся сетевых активах: старые, забытые компоненты, имеющие доступ к корпоративному сегменту сети, могут быть одной из причин попадания атакующих в инфраструктуру.
Успешные кибератаки в IV квартале минувшего года имели различные последствия, которые затронули как отдельных пользователей, так и организации, и даже целые регионы. Как и весь год, преступники сосредоточивали свое внимание на краже конфиденциальной информации (53% успешных атак) и нарушении основной деятельности предприятий (32%). В атаках на частных лиц утечка информации продолжает оставаться основным последствием (55%), при этом значительно увеличилась доля атак, завершившихся прямыми финансовыми потерями (48%), что соответствует тенденции, которую мы наблюдали год назад.
Атаки в IV квартале, которые повлекли за собой негативные последствия и вызвали большой резонанс:
В успешных атаках на организации, повлекших утечки конфиденциальной информации, преступники чаще были нацелены на персональные данные (29% атак), учетные данные (26%) и коммерческую тайну (20%). В атаках на частных лиц целью злоумышленников чаще всего становились учетные данные (47%), персональные данные (22%) и данные платежных карт (12%).
Во многом благодаря развитию сервисов PHaaS и активному внедрению инфостилеров злоумышленникам удается успешно красть учетные данные как сотрудников организаций, так и частных лиц. Так, в IV квартале 2024 года доля утечек учетных данных из организаций показала рост на 4 п. п. в сравнении с предыдущим кварталом и на 16 п. п. в сравнении с аналогичным периодом прошлого года. В успешных атаках на частных лиц по итогам IV квартала 2024 доля учетных данных составила 47% (прирост 18 п. п. по сравнению с предыдущим кварталом и 20 п. п. в сравнении с аналогичным периодом прошлого года).
Для защиты от кибератак мы советуем придерживаться общих рекомендаций по обеспечению личной и корпоративной кибербезопасности. Мы рекомендуем пользователям быть внимательными при вводе учетных данных на незнакомых ресурсах, а также при загрузке вложений и переходе по ссылкам из сообщений. Нужно всегда объективно и критически оценивать ситуацию: это поможет уберечь ваши данные и деньги.
Чтобы защитить организацию от возможных утечек корпоративной информации, важно уделить внимание защите данных. Мы рекомендуем проводить регулярную инвентаризацию и классификацию активов, устанавливать политики разграничения доступа к данным, осуществлять мониторинг обращений к чувствительной информации, а также использовать специализированные решения класса data security, реализующие концепцию data-centric security.
Для защиты периметра рекомендуем применять межсетевые экраны уровня приложений (web application firewalls, WAF). Для защиты устройств от современного вредоносного ПО используйте песочницы, которые позволяют проанализировать поведение файлов в виртуальной среде, выявить вредоносную активность и предотвратить ущерб. Организациям следует развивать процессы управления уязвимостями и участвовать в программах багбаунти.
23% успешных атак были направлены на частных лиц