Согласно новому отчёту Insikt Group, посвящённому тенденциям развития вредоносных программ, 53% эксплойтов уязвимостей, выявленных в первой половине 2025 года, было осуществлено субъектами, спонсируемыми государством, в стратегических целях.
Исследователи заявили, что результаты демонстрируют растущую способность госхакеров использовать уязвимости в «геополитических» целях: шпионаж и слежка являются ключевыми мотивами этих злоумышленников. «Значительное участие государства также подразумевает, что эти угрозы не случайные, а часто представляют собой целенаправленные и непрерывные кампании против конкретных секторов или высокоприбыльных систем», — отметили безопасники.
Как утверждают эксперты на Западе, большинство подобных кампаний было проведено китайскими субъектами. Эти группы в первую очередь были нацелены на периферийную инфраструктуру и корпоративные решения, а сама тактика применяется с 2024 года. Так, группировка UNC5221, предположительно связанная с Китаем, эксплуатировала наибольшее количество уязвимостей в первом полугодии 2025-го. Она отдавала предпочтение продуктам Ivanti, включая Endpoint Manager Mobile, Connect Secure и Policy Secure.
Оставшиеся 47% эксплойтов уязвимостей пришлось на финансово мотивированные группы: 27% — на злоумышленников, занимающихся кражами и мошенничеством, а 20% — на группировки, выступающие операторами программ-вымогателей. Наиболее частой мишенью для атак стала компания Microsoft (17% эксплойтов). ИБ-эксперты прогнозируют, что эксплуатация периферийных устройств безопасности, инструментов удалённого доступа и другого ПО шлюзового уровня останется главным приоритетом как для спонсируемых государством, так и для финансово мотивированных хак-групп.
В отчёте отмечается, что в первой половине текущего года злоумышленники, профилирующиеся на вымогательском софте, стали использовать новые методы начального доступа. Это подразумевает значительное увеличение числа атак с применением техники ClickFix: клиенты получают сообщения об ошибке или проверочные сообщения, которые побуждают жертв скопировать и вставить вредоносный скрипт, а затем запустить его. Эта тактика основана на желании пользователей самостоятельно устранять проблемы, а не предупреждать свой ИТ-отдел или кого-либо ещё. Таким образом, она эффективна для обхода средств защиты, поскольку жертва сама заражает себя.
Группировка Interlock была замечена в использовании ClickFix в кампаниях в январе и феврале 2025-го. Она также применяла в последующих атаках FileFix. Этот метод представляет собой усовершенствование ClickFix, где пользователей обманным путём заставляют вставлять путь к вредоносному файлу в адресную строку Проводника Windows, а не использовать диалоговое окно.
Группа Inskit ожидает дальнейшего применения ClickFix злоумышленниками, если только широкомасштабные меры по защите от угроз не снизят эффективность этой техники. Совершая компрометацию, группы-операторы вымогательского ПО стали чаще использовать обход системы обнаружения и реагирования на конечные точки (EDR) с помощью методов «принеси свой установщик» (BYOI), а также специальные полезные нагрузки, подразумевающие JIT-перехват и внедрение памяти для обхода обнаружения.
Усам Оздемиров
.jpg)
.png)