Эксперты центра компетенций по сетевой безопасности компании «Гарда» проанализировали публичные отчеты о деятельности APT-группировок в России в 2025 году и подготовили сводный аналитический обзор.
Исследование подтверждает высокий уровень кибердавления на российские организации. Основной сценарий атак строится вокруг шпионажа и подрыва работы инфраструктуры. Как показал 2025 год хакеры стали умнее, осторожнее и избирательнее: они продолжают наращивать арсенал, комбинируя публичные инструменты постэксплуатации, собственные фреймворки и легитимное ПО для администрирования. Это усложняет компаниям как атрибуцию, так и детектирование нелегитимной активности.
Преимущественно все атаки APT начинаются с фишинга. Злоумышленники все реже используют «классические» вредоносные программы. Вместо этого они полагаются на легитимные утилиты удаленного управления, PowerShell-скрипты и даже облачные сервисы вроде Google Sheets или Telegram. Такие техники позволяют им долго оставаться незамеченными.
В статье рассмотрим, какие группировки были наиболее активны в прошлом году, благодаря чему им удается оставаться незамеченными и какие отрасли страдают чаще всего.
Awaken Likho
Группировка Awaken Likho (Core Werewolf, PseudoGamaredon), активна с лета 2021 года. Преимущественно атаки производятся на государственные организации и их подрядчиков. Но также жертвами группировки стали предприятия энергетики, телекоммуникаций, промышленности, научно-исследовательского сектора и оборонно-промышленного комплекса.
Изначально злоумышленники использовали только легитимные утилиты вроде UltraVNC и MeshAgent, но со временем стали применять и собственные разработки, включая самописный вайпер (Goodbye-wiper).
В подавляющем числе атак первичный доступ группировка получает через таргетированный фишинг: злоумышленники распространяют самораспаковывающиеся архивы или ссылаются на загрузочные URL, замаскированные под легитимные ресурсы. После длительного скрытного нахождения в инфраструктуре жертвы группировка выполняет эксфильтрацию и уничтожение данных.
Используемые инструменты
Название | Описание |
UltraVNC | Легитимное ПО для удаленного доступа, которое позволяет выполнять команды, передавать файлы и обеспечивать персистентность без явных признаков вредоносного трафика. Чтобы незаметно управлять скомпрометированными системами, злоумышленники используют UltraVNC после первоначального проникновения. |
MeshAgent/MeshCentral | Агент для удаленного управления устройствами, который злоумышленники используют как RAT. Он поддерживает WebSocket-соединения, RDP/VNC, передачу файлов, выполнение команд и управление аккаунтами, маскируясь под легитимный трафик. Атакующие настраивают конфиги (.msh) с MeshID, ServerID и C2-адресами для связи с серверами, на которых установлен MeshCentral. |
RClone | Открытая утилита командной строки для синхронизации и копирования данных между локальными дисками и облачными хранилищами (S3, Google Drive, OneDrive и др.), для эксфильтрации украденных данных. Она маскирует выгрузку под легитимные операции резервного копирования, поддерживая шифрование, сжатие и multipart-загрузки для больших объемов. |
Reverse SSH | SSH-сервер с функцией обратного подключения. Развернутый на целевой машине, он обеспечивает полноценную интерактивную оболочку, SFTP и перенаправление портов. |
Goodbye-wiper | Самописный вайпер, предназначенный для безвозвратного удаления данных на зараженных системах. Инструмент реализует перманентное затирание/повреждение файлов и служит для вывода инфраструктуры из строя. |
Angry Likho
Angry Likho активно начала вести деятельность с весны 2023 года. Помимо российских организаций, группировка также атаковала белорусские. Основными жертвами стали госсектор, промышленность и сфера образования.
Как правило, атака начинается с рассылки фишингового письма, содержащего вредоносный архив .rar или .zip. Внутри архива находится замаскированный под легитимные документы исполняемый файл.
На следующих этапах атаки злоумышленники используют популярные утилиты удаленного доступа и стилеры, код которых сильно обфусцирован, что усложняет их обнаружени��.
Используемые инструменты
Название | Описание |
Ozone RAT | Модульный троян удаленного доступа, распространяемый через фишинговые вложения. Состоит из двух компонент: - загрузчик, копируемый в %TEMP% под видом легитимных программ. Например, utorrent.exe. - основной модуль, скачиваемый с C2-сервера и внедряемый в память. Ozone RAT обеспечивает полный контроль над системой: запись клавиатуры, захват микрофона/веб-камеры, управление файлами, выполнение команд, кражу паролей из браузеров и почтовых клиентов (Outlook, Thunderbird). Для защиты от анализа злоумышленники используют протектор Themida. |
DarkTrack RAT | Троян удаленного доступа. Внедряется в легитимные процессы (например, RegAsm.exe), функционирует преимущественно в памяти без записи на диск, крадет системные данные, учетные записи и обеспечивает долгосрочный шпионаж. Доставляется через Ande Loader, загружаемый из легитимных сервисов (Bitbucket, GitHub). |
Quasar RAT | Усовершенствованная версия Ozone RAT с шифрованием данных и обходом UAC. Использовался в атаках через файлы .msc. |
Sliver | Популярный C2-фреймворк с поддержкой HTTPS-трафика и различных ОС. Внедряется через PowerShell-скрипты. |
Rhadamanthys Stealer | Модульный стилер, внедряемый в процессы dialer.exe. Крадет данные из более чем 11 браузеров, криптокошельков и аутентификаторов. Часто доставляется через следующую цепочку: SFX-архив → BAT-скрипт→ AutoIt-скрипт. Включает проверки на эмуляцию (например, поиск процессов avastui.exe) и использует техники анхукинга (например, перезапись .text-секции ntdll.dll). |
Lumma Stealer | Популярный стилер, специализирующийся на краже паролей браузеров, cookies, MFA-токенов, данных криптокошельков (MetaMask), а также информации из приложений (AnyDesk, KeePass). Передает данные на C2-серверы через шифрованные HTTP POST-запросы. Распространяется через фишинговые письма с поддельными CAPTCHA-формами, требующими выполнения команд PowerShell. |
MetaStealer | Вариация RedLine Stealer для кражи уче��ных данных. Использовался в ранних фишинговых кампаниях. |
Glory Stealer | Стилер для кражи аутентификационных данных из браузеров и почтовых клиентов. |
CypherIT Crypter | Криптор на основе NSIS-установщика для обфускации нагрузок (Ozone RAT, DarkTrack). |
Ande Loader | Загрузчик, распространяемый через сервис nanoshield[.]pro. Динамически загружает полезную нагрузку в память. Часто использует Bitbucket/GitHub для хранения вредоносных модулей. |
Themida | Протектор для защиты от анализа в виртуальных средах. Применялся для обфускации Ozone RAT. |
Mythic Likho
Mythic Likho (Arcane Werewolf) активна с лета 2024 года и сосредоточена исключительно на кибершпионаже против российских организаций. Помимо госучреждений, жертвами Mythic Likho нередко становятся компании телекоммуникационного сектора и промышленности.
В атаках используются фишинговые письма, содержащие вложение-приманку и LNK-файл,запуск которого приводит к заражению системы. На скомпрометированную систему устанавливается агент Merlin – открытый постэксплуатационный инструмент на Go, совместимый с фреймворком Mythic и работающий через HTTP/1.1, HTTP/2 и HTTP/3.
Используемые инструменты
Название | Описание |
gTunnel | Инструмент для туннелирования интернет-трафика для обхода традиционных средств информационной безопасности и проникновения в защищенные сети. |
Loki (2.0 и 2.1) | Приватная версия агента для фреймворка Mythic, созданная на базе агента для фреймворка Havoc. Используется двухкомпонентная система: загрузчик собирает информацию о системе, шифрует данные AES и отправляет на C2, а DLL-имплант обрабатывает команды от сервера. Поддерживает 12 команд. Коммуникация осуществляется через HTTPS с POST-запросами, все данные кодируются в Base64, а также шифруются AES перед отправкой на C2. |
Merlin | Легитимный инструмент с открытым исходным кодом, написанный на Go, используемый группировкой на этапе постэксплуатации. Может быть скомпилирован для Windows, Linux и macOS и поддерживает протоколы HTTP/1.1, HTTP/2 и HTTP/3 (QUIC). Использует AES-шифрование с закодированном в Base64 ключом из конфигурации. Собирает информацию о системе (IP, ОС, имя хоста, имя пользователя, архитектура процессора) и отправляет на C2. Совместим с фреймворком Mythic. В некоторых кампаниях для обеспечения дополнительного уровня постэксплуатации он использовался для загрузки Loki 2.0. |
Mythic | Кроссплатформенный фреймворк постэксплуатации с открытым исходным кодом, разработанный в 2018 году. Изначально инструмент назывался Apfell для macOS, затем в 2020 году был переименован в Mythic. Этот фреймворк представляет собой предоставляет веб-интерфейс для коллаборации операторов и обеспечивает модульную архитектуру для создания агентов на любом языке программирования и для любой платформы (Windows, Linux, macOS). Mythic использует контейнеризацию через Docker и позволяет быстро без перезагрузки добавлять новых агентов, каналы связи и модификации. |
Ngrok | Легитимный инструмент для создания безопасных туннелей, позволяющий пробросить локальный сервер в интернет через публичный URL (этот прием широко используется разработчиками для тестирования вебхуков, API и временного доступа к сервисам). Злоумышленники эксплуатируют Ngrok для маскировки командно-контрольных (C2) серверов, обхода межсетевых экранов и обеспечения скрытой коммуникации с зараженными хостами. |
Go-дроппер | Дроппер, написанный на Go. Он маскируется под изображение, но на самом деле является PE32+ исполняемым файлом. Содержит закодированную в Base64 нагрузку с несколькими компонентами: загрузчик Loki 2.0, отвлекающий PDF-документ и другие полезные нагрузки. При выполнении извлекает и сохраняет файлы в %TEMP%, запускает загрузчик Loki с помощью техники непрямого запуска и открывает отвлекающий PDF-файл для создания видимости легитимной активности. |
CPP-дроппер | Дроппер на C++, пришедший на смену Go-дропперу. Он содержит полезную нагрузку, сжатую и помещенную в секцию ресурсов PE-файла. Для извлечения сжатой нагрузки используется WinAPI-функции (NtCreateFile и ZwWriteFile). Кроме того, CPP-дроппер применяет djb2-хеширование с магическим числом 2231 для скрытия API-функций. Извлекает два основных файла: отвлекающий PDF и загрузчик Loki 2.1. |
GoReflect | Инструмент для модификации Go-бинарников, позволяющий загружать и выполнять их в памяти без записи на диск. Группировка использует goReflect для модификации утилиты gTunnel, чтобы скрыть ее присутствие в системе. |
GOFFEE (Paper Werewolf)
GOFFEE (Paper Werewolf) действует с начала 2022 года, нацеливаясь исключительно на российские организации. Под удар попадает широкий спектр секторов: госучреждения, финансовые организации, представители СМИ, энергетики, строительства и даже компаний индустрии развлечений.
Атаки начинаются с целевого фишинга: вредоносные RAR-архивы с исполняемыми файлами, замаскированными под документы (.pdf.exe, .doc.exe), или Word-файлы с VBA-скриптами. После запуска файл загружает приманку и импланты вроде PowerTaskel, PowerModul или модифицированный Owowa.
Отличительной особенностью GOFFEE является использование в атаках множества различных инструментов, порой даже в избыточном количестве. В частности, группировка в одной атаке может применить сразу три различных C2-агента.
Используемые инструменты
Название | Описание |
Owowa | Модифицированный вредоносный модуль для IIS (Internet Information Services). Ранее этот инструмент использовался в атаках только азиатскими группировками. Инструмент устанавливался на веб-серверах для обеспечения скрытого доступа и выполнения команд, маскируясь под легитимный компонент серверной инфраструктуры. Данный модуль позволяет получать аутентификационные данные пользователей при их входе в сервис OWA (Outlook Web Access). |
VisualTaskel | Внедряемый компонент для удаленного управления и выполнения задач на скомпрометированных системах. |
PowerTaskel | Непубличный агент для фреймворка Mythic, написанный на PowerShell. Основные функции включают отправку данных о системе на C2-сервер (checkin) и выполнение произвольных PowerShell-скриптов или команд, полученных в ответ на запросы get_tasking, с полезной нагрузкой в виде XML-объектов, зашифрованных XOR и Base64. Вероятно, PowerTaskel является модификацией открытого агента Medusa для Mythic. Агент позволяет загружать/выгружать файлы, запускать процессы, а также внедрять бинарные Mythic-агенты в память для горизонтального перемещения. |
PowerModul/PowerRAT | Скрипт на PowerShell для загрузки С2-агентов. Инструмент может получать и выполнять дополнительные PS-команды с командного сервера. |
Mythic bin agent | Бинарный агент для С2-фреймворка Mythic. Представляет собой кастомный шелл-код, разработанный на замену PowerTaskel на Windows-системах в середине 2024 года. Поддерживает стандартные Mythic-функции: checkin, получение заданий, выполнение команд, загрузку/выгрузку файлов, запуск процессов и доступ к WinRM. |
FlashFileGrabber | PowerShell-скрипт, используемый для кражи файлов со съемных носителей (USB-флешки и т.п.). Скрипт сканирует подключенные устройства на наличие файлов с целевыми расширениями, копирует их в созданную папку и отправляет на C2-сервер атакующих. |
FolderFileGrabber | PowerShell-скрипт, крадущий файлы с удаленных систем по SMB-путям с помощью New-SmbMapping. В отличие от FlashFileGrabber, ориентирован на сетевые ресурсы, а не съемные носители, загружая данные напрямую на C2. Скрипт развертывается как задача PowerTaskel. |
FlashFileGrabber-Offline | Офлайн-версия FlashFileGrabber, но без отправки файлов на C2. Копирует данные только локально в %TEMP%\CacheStore\connect<VolumeSerialNumber>. |
USBWorm | Червь, используемый как полезная нагрузка для импланта PowerModul. USBWorm заражает съемные носители (USB-флешки) с целью распространения вредоносного ПО. Обнаружив подключенное устройство, червь переименовывает находящиеся на нем файлы в случайные имена (сохраняя расширения), скрывает их атрибутом «hidden» и копирует PowerModul в файл UserCache.ini в корень флешки. |
XDSpy
XDSpy (Silent Zmiy, Silent Werewolf) активна с 2011 года и специализируется на краже конфиденциальных документов у государственных учреждений стран СНГ. Злоумышленники особенно тщательно подходят к выбору своих жертв: полезную нагрузку разворачивают только при подтверждении соответствия жертвы заданному профилю.
Первичный доступ осуществляется через фишинговые письма, содержащие архив с документом-приманкой, LNK-файлом и вредоносной DLL-библиотекой. Открытие LNK-файла инициализирует распаковку архива и запуск полезной нагрузки, что приводит к компрометации системы и развертыванию других вредоносных инструментов. Одним из таких является стилер XDigo, версия которого меняется от атаки к атаке.
Rezet
Rezet (Librarian Ghouls, Rare Werewolf) действует с осени 2018 года. Злоумышленники атакуют российские организации преимущественно с помощью фишинговых рассылок. Жертвами Rezet становятся промышленные, государственные структуры, телекоммуникационный сектор, строительство, образование, энергетика и др.
В атаках применяются сторонние утилиты, в основном легитимные. Основным средством доставки и исполнения вредоносного кода служат PowerShell-скрипты.
В качестве одной из особенностей проведения атак является использование злоумышленниками майнера криптовалют XMRig.
Используемые инструменты
Название | Описание |
AnyDesk | Легитимное ПО для удаленного доступа к рабочему столу. |
Blat | Легитимная утилита для отправки почтовых сообщений и файлов по SMTP-протоколу. |
Defender Control | Портативная утилита, предназначенная для полного отключения/включения защитника Windows (Microsoft Defender Antivirus) одним кликом мыши без редактирования реестра или групповых политик. |
Mipko Employee Monitor | DLP-система, которая используется атакующими для слежки за жертвой. ПО помогает собирать снимки экрана, записывать нажатые клавиши и т.п. |
Ngrok | Легитимный инструмент для создания безопасных туннелей, позволяющий пробросить локальный сервер в интернет через публичный URL. Этот прием широко используется разработчиками для тестирования вебхуков, API и временного доступа к сервисам. Злоумышленники эксплуатируют ngrok для маскировки командно-контрольных (C2) серверов, обхода межсетевых экранов и обеспечения скрытой коммуникации с зараженными хостами. |
NirCmd | Легитимная утилита, позволяющая выполнять различные действия в ОС без отображения пользовательского интерфейса. С ее помощью атакующие скрытно запускают скрипты и исполняемые файлы. |
WebBrowserPassView | Утилита для восстановления паролей, которая может извлекать пароли, сохраненные в веб-браузерах. Злоумышленники используют утилиту для кражи учетных данных. |
XMRig | Майнер криптовалют. |
4t Tray Minimizer | Программное обеспечение для сворачивания запущенных приложений в системный трей. |
Cloud Atlas
Cloud Atlas (Cloud Werewolf, Inception) – это прогосударственная группировка, действующая с 2014 года и специализирующаяся на кибершпионаже и краже конфиденциальных данных. Cloud Atlas атакует преимущественно промышленные и государственные структуры, хотя фиксируется значительное число атак на другие сферы.
Группировка использует многоэтапные атаки, применяя собственные загрузчики и зашифрованные каналы связи для скрытного сбора данных. Проникновение в инфраструктуру жертв осуществляется через таргетированный фишинг.
Используемые инструменты
Название | Описание |
BloodHound | Инструмент для анализа Active Directory, использующий теорию графов для визуализации связей между объектами домена и поиска путей эскалации привилегий. BloodHound собирает сведения о пользователях, группах, компьютерах, сессиях, GPO и ACL через коллектор данных SharpHound. Затем строит ориентированный граф и ищет кратчайшие пути к доменному администратору. |
Advanced Port Scanner | Портативная утилита для быстрого многопоточного сканирования локальных сетей на наличие открытых портов TCP/UDP, версий служб и сетевых устройств. |
Inception Framework | Модульный фреймворк, использующий многоуровневую инфраструктуру прокси‑серверов и легитимные облачные сервисы для скрытого C2-взаимодействия. Он связывается с операторами не напрямую, а через цепочку посредников (взломанные сайты, прокси, облако). |
Inveigh | Кроссплатформенный инструмент на .NET для проведения атак «man-in-the-middle» (MITM) в сетях Windows. Он перехватывает и подделывает сетевые запросы по разным протоколам (LLMNR, NBT-NS, mDNS, DHCPv6, HTTP, SMB, LDAP, WebDAV), чтобы похищать NTLM-хэши и учетные данные, а также выполнять релейные атаки для захвата сессий. |
Lazagne | Открытый инструмент для извлечения сохраненных учетных данных из различных приложений на Windows, Linux и macOS. |
Ngrok | Легитимный инструмент для создания безопасных туннелей, позволяющий пробросить локальный сервер в интернет через публичный URL. Этот прием широко используется разработчиками для тестирования вебхуков, API и временного доступа к сервисам. Злоумышленники эксплуатируют Ngrok для маскировки командно-контрольных (C2) серверов, обхода межсетевых экранов и обеспечения скрытой коммуникации с зараженными хостами. |
PowerShower | Бэкдор первоначального доступа, используемый для сбора данных с зараженной системы и загрузки дополнительной вредоносной нагрузки для реализации следующих этапов атаки. |
PowerView | Модуль PowerShell из фреймворка PowerSploit, предназначенный для разведки и анализа Active Directory в средах Windows-доменов. Он предоставляет набор «чистых» PowerShell-функций для перечисления объектов домена без внешних зависимостей, заменяя стандартные утилиты вроде net.exe или dsquery более гибким и объектно-ориентированным выводом. |
Putty | Клиент с открытым исходным кодом для различных протоколов. Например, SSH. |
VBCloud | Модуль вредоносного ПО, устанавливаемый через VBShower и предназначенный для выполнения PowerShell-скриптов. VBCloud отправляет результаты на С2-сервер. Только в отличие от VBShower, это ПО использует публичные облачные хранилища в качестве C2. |
VBShower | Бэкдор, используемый для реализации второй стадии атаки. Одной из ключевых особенностей является то, что в некоторых атаках в качестве C2-сервера использовались Google Sheets. |
YoroTrooper
Группировка YoroTrooper (Tomiris, Cavalry Werewolf) – APT-группировка, которая предположительно базируется в Казахстане. Первые упоминания о действиях группы появились весной 2023 года. Атакам в подавляющем большинстве случаев подвергаются государственные дипломатические учреждения.
Основная цель злоумышленников – кража конфиденциальных данных. Злоумышленники рассылают вредоносные вложения и перенаправляют жертв на поддельные сайты для сбора учетных данных. Для повышения доверия к фишинговым письмам злоумышленники маскируются под официальных лиц. Например, руководителей, коллег или партнеров. Для рассылок также используются скомпрометированные корпоративные почтовые ящики.
Интересно, что в качестве C2-платформ они применяют популярные мессенджеры – Telegram и Discord. Один из бэкдоров (StallionRAT) написан на Python и получает команды через Telegram-бота, используя вшитый токен. Другие реверс-шеллы и загрузчики также общаются с операторами через Discord API.
Используемые инструменты
Название | Описание |
Havoc | C2-фреймворк с открытым исходным кодом. Является очередной альтернативой Cobalt Strike. Havoc способен обходить Microsoft Defender на Windows за счет таких техник, как Sleep obfuscation, подмены стека возвратных адресов и непрямых системных вызовов. Он включает множество модулей для выполнения команд, управления процессами, загрузки полезной нагрузки, манипуляции токенами Windows и запуска шелл-кода. |
AdaptixC2 | С2-фреймворк с открытым исходным кодом. После установки на устройстве жертвы агента фреймворка AdaptixC2 злоумышленники получают удаленный доступ и могут выполнять команды, управлять файлами и процессами, а также применять различные методы закрепления в системе. Это дает хакерам устойчивый контроль над зараженным устройством, позволяет анализировать сеть и развертывать дальнейшие этапы атаки. |
JLORAT | Легковесный троян удаленного доступа, применяемый группировкой как минимум с 2022 года. При этом инструмент практически не претерпел изменений с момента первого применения. |
C/C++ ReverseShell | Реверс-шелл, используемый как полезная нагрузка на первом этапе атаки для загрузки фреймворков Havoc или AdaptixC2. |
Rust ReverseShell | Реверс-шелл на языке Rust, использующий в качестве командной оболочки PowerShell. |
C# ReverseShell | Реверс-шелл на C#, обрабатывающий консольные команды. |
Go ReverseShell | Простой реверс-шелл на Go, который открывает TCP-соединение с C2-сервером, запускает процесс cmd.exe и перенаправляет стандартный ввод и вывод на установленное соединение. |
Python Telegram ReverseShell (StallionRAT) | Написан на Python и собран в исполняемый файл через PyInstaller. В качестве командного сервера используется Telegram. Cкрипт подключается к боту, от которого получает команды. Это делается с помощью «вшитых» в код аутентификационного токена и id чата. Есть также другая версия данного инструмента, написанная на языке C#. |
Python Discord ReverseShell | Основан на Python-пакете discord, который позволяет использовать Discord API для обмена сообщениями. В код также вшит URL-адрес командного сервера (ссылка на Discord) и аутентификационный токен. |
Rust Downloader | Троянец на языке Rust. После запуска сначала собирает информацию о системе и пути к определенным каталогах, затем отправляет ее на Discord C2-сервер. |
Python FileGrabber | Устанавливается в систему через Python Discord ReverseShell. Данный инструмент собирает файлы формата .jpg, .png, .pdf, .txt, .docx и .doc, а затем упаковывает их в ZIP-архив и отправляет на командный сервер через HTTP POST запрос. |
Python Distopia Backdoor | Бэкдор, написанный на Python и полностью основанный на репозитории dystopia-c2 из GitHub. |
ReverseSocks | Обратный прокси-сервер, представленный в двух вариантах: на языке C++ и Go. В первом случае код практически полностью взят из репозитория https://github.com/Neosama/Reverse-SOCKS5, во втором – https://github.com/Acebond/ReverseSocks5. В обоих случаях из заимствованного кода удалена отладочная информация и добавлена функция скрытия консольного окна. |
Выводы
Анализ активности APT-группировок в 2025 году еще раз подтверждает, что главной целью злоумышленников по-прежнему остаются российские государственные учреждения. Следом по частоте атак идут промышленность и энергетика, затем телекоммуникации и образование. Все эти сектора либо представляют стратегическую важность, либо содержат данные, представляющие интерес для долгосрочного киберразведывания.
Детальная статистика по отраслям представлена ниже.
При этом тактики злоумышленников становятся все более изощренными. Одни кампании сочетают кражу информации с ее последующим уничтожением, а другие, напротив, строятся на скрытном, почти «тихом» присутствии в инфраструктуре жертвы.
Эта тактика подчеркивает общий тренд: атакующие все чаще маскируют вредоносную активность под штатные процессы и легитимное администрирование. Поэтому так важно не только контролировать все действия в инфраструктуре, но и обогащать системы защиты потоками данных об угрозах, TI-фидами. Они позволяют заранее учитывать тактики, техники и инструменты конкретных группировок, быстрее выявлять подозрительные цепочки событий и сокращать время реакции на инциденты.
Ниже приведены техники из матрицы MITRE ATT&CK, которые применяли более чем 30 % описанных в статье APT-группировок. Техники расположены по убыванию частоты использования: от самых распространенных до редко встречающихся.
Command and Scripting Interpreter: Windows Command Shell (T1059.003)
User Execution: Malicious File (T1204.002)
Ingress Tool Transfer (T1105)
Deobfuscate/Decode Files or Information (T1140)
Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (T1547.001)
Phishing: Spearphishing Attachment (T1566.001)
Command and Scripting Interpreter: PowerShell (T1059.001)
Indicator Removal: File Deletion (T1070.004)
Obfuscated Files or Information: Encrypted/Encoded File (T1027.013)
Masquerading: Double File Extension (T1036.007)
Exfiltration Over C2 Channel (T1041)
Application Layer Protocol: Web Protocols (T1071.001)
System Information Discovery (T1082)
File and Directory Discovery (T1083)Obfuscated Files or Information: Embedded Payloads (T1027.009)
System Owner/User Discovery (T1033)
Masquerading: Rename Legitimate Utilities (T1036.003)
Masquerading: Match Legitimate Resource Name or Location (T1036.005)
Masquerading: Masquerade File Type (T1036.008)
Process Discovery (T1057)
Automated Collection (T1119)
Phishing: Spearphishing Link (T1566.002)
System Network Configuration Discovery (T1016)
Data from Removable Media (T1025)
Obfuscated Files or Information: Command Obfuscation (T1027.010)
Windows Management Instrumentation (T1047)
Scheduled Task/Job: Scheduled (T1053.005)
Command and Scripting Interpreter: JavaScript (T1059.007)
Native API (T1106)
Screen Capture (T1113)
Credentials from Password Stores: Credentials from Web Browsers (T1555.003)
