APT-группировки стали чаще использовать фишинг даже в сложных атаках

Во втором квартале 2025 года специалисты департамента киберразведки экспертного центра безопасности Positive Technologies (PT ESC TI) зафиксировали рост активности киберпреступных группировок и хактивистов в отношении российских организаций. В качестве первоначального вектора злоумышленники чаще всего использовали фишинговые письма, причем как в распространенных сценариях, так и в атаках нулевого дня. Эксперты также отметили рост числа вредоносных файлов, код которых был частично сгенерирован нейросетями. Применяя общедоступные AI-сервисы, киберпреступники быстро адаптировали модули для обхода классических средств защиты. О примечательных кибератаках исследователи рассказали в своем отчете.

Группировка TA Tolik отправляла фишинговые письма с архивом, внутри которого был вредоносный файл, замаскированный под официальный документ или уведомление от государственных органов. При его открытии на жестком диске устройства жертвы разворачивался набор скриптов. Выдавая свои алгоритмы за легитимные программы, злоумышленники создавали задачи в планировщике и добавляли зловредный код в реестр Windows (в нем хранятся все параметры и конфигурации операционной системы и установленных приложений). Далее скрипты запускались автоматически, получали команды и модули из реестра, расшифровывали их и загружали вредоносную нагрузку в оперативную память. Такие атаки сложно обнаружить, потому что код скрыт, он не хранится в явном виде и активируется только в процессе выполнения.

Другая группировка — Sapphire Werewolf — рассылала фишинговые письма с архивами с помощью бесплатного легитимного сервиса для оправки больших файлов. При запуске вирусный документ сначала проверял, не попал ли он в песочницу, то есть в изолированную виртуальную среду для