CrowdStrike — 2025 — Global Threat Report (Отчет о глобальных угрозах)

Киберугрозы эволюционируют с невероятной скоростью, и каждый год приносит новые вызовы для специалистов по информационной безопасности. В отчете CrowdStrike Global Threat Report 2025 представлен детальный анализ современных атак, тенденций и тактик противников.

Краткий обзор, он же Введение из отчета CrowdStrike можно прочитать в CrowdStrike — 2025 — Global Threat Report (Отчет о глобальных угрозах) — Введение

Обзор ландшафта угроз

Скорость, объем и сложность кибератак растут. Пока организации работают над укреплением своей защиты, противники выбирают слабые места: сотрудников, подверженных социальной инженерии, и системы, в которых отсутствуют современные средства защиты. Проникнув внутрь, они действуют в течение нескольких секунд, незаметно перемещаясь по сетям для совершения атак. В 2024 году 79% обнаруженных CrowdStrike атак не содержали вредоносных программ, что указывает на то, что противники используют методы «ручной клавиатуры», которые смешиваются с легитимной деятельностью пользователей и препятствуют обнаружению.

---

Растущая зависимость от атак на идентификационные данные с использованием уязвимостей

Вместо традиционных вредоносных программ противники предпочитают более быстрые и незаметные методы, такие как вишинг, социальная инженерия, брокерские услуги доступа и злоупотребление доверительными отношениями.

Основной движущей силой этого сдвига является рост числа брокеров доступа: специалистов, которые приобретают доступ к организациям и продают его другим субъектам угроз, включая операторов вымогательского ПО. В 2024 году активность брокеров доступа резко возросла, причем количество рекламируемых доступов увеличилось почти на 50% по сравнению с 2023 годом. В то же время злоупотребление действительными учетными записями стало причиной 35% инцидентов, связанных с облачными средами, что отражает растущее внимание противников к компрометации идентификационных данных как способу доступа к более широким корпоративным средам.

Но идентификационные данные — не единственная цель: злоумышленники также используют уязвимости для получения первоначального доступа. В 2024 году 52% обнаруженных уязвимостей будут связаны с первоначальным доступом, что усиливает необходимость защиты открытых систем до того, как злоумышленники закрепились в них.

Поскольку противники расширяют масштабы атак на основе идентификационных данных и эксплуатации уязвимостей, организации должны внедрять стратегии проактивной защиты, включая проверку личности, исправления с учетом рисков и раннее обнаружение злоупотреблений учетными данными, чтобы пресекать действия противника до их эскалации.

Реклама брокеров доступа по месяцам, 2024 год

---

Продолжается рост интерактивных вторжений

В современных киберугрозах все большее место занимают методы «интерактивного вторжения», когда противники выполняют действия с клавиатуры (hands‑on‑keyboard) для достижения поставленных целей. В отличие от традиционных атак с использованием вредоносного ПО, такие вторжения основаны на использовании людей, имитирующих поведение легитимного пользователя или администратора, что делает их чрезвычайно сложными для обнаружения.

В 2024 году CrowdStrike отмечает 35% рост числа интерактивных кампаний вторжения по сравнению с предыдущим годом. Седьмой год подряд технологический сектор остается наиболее атакуемой отраслью, высокие объемы атак также наблюдаются в консалтинге, производстве и розничной торговле. Диаграммы далее отражают относительную частоту вторжений в ведущих географических регионах и отраслевых вертикалях.

---

Время прорыва: Гонка с противниками

Как только противники получают первоначальный доступ, их следующая цель — «прорваться» и продвинуться вбок от первоначального плацдарма к ценным активам. Скорость этого «прорыва» определяет, насколько быстро защитник должен отреагировать, чтобы снизить затраты и ущерб, связанные с вторжением.

В 2024 году среднее время прорыва интерактивных вторжений eCrime снизилось до 48 минут, по сравнению с 62 минутами в 2023 году. Самое быстрое проникновение было зафиксировано на отметке 51 секунда — это означает, что у защитников может быть меньше минуты на обнаружение и реагирование, прежде чем злоумышленники установят более глубокий контроль.

Такое быстрое увеличение времени отрыва усиливает необходимость:

• Обнаружения угроз в режиме реального времени для выявления и пресечения вторжений до их распространения

• Контроль идентификационных данных и прав доступа для предотвращения использования противниками действительных учетных данны

• Проактивный поиск угроз для выявления поведения перед атакой и раннего блокирования действий противника

ПРАКТИЧЕСКИЙ ПРИМЕРАтака CURLY SPIDER с помощью социальной инженерии

В 2024 году CURLY SPIDER стал одним из самых быстрых и адаптивных противников eCrime, совершающих высокоскоростные вторжения с использованием подручных средств. В этом случае злоумышленник пытался достичь своих целей, даже не прибегая к проникновению на другое устройство. Вся цепочка атак — от первоначального взаимодействия с пользователем и социальной инженерии до внедрения учетной записи с бэкдором для обеспечения стойкости — заняла менее четырех минут.

Как действует CURLY SPIDER

Этот противник в значительной степени полагается на социальную инженерию для получения первоначального доступа. В некоторых случаях происходит следующее:

1. Пользователь будет получать большое количество спама, выдавая себя за благотворительные организации, информационные бюллетени или финансовые предложения

2. Вскоре после этого абонент, представляющийся службой поддержки или ИТ‑отделом, заявляет, что спам вызван вредоносным ПО или устаревшими спам‑фильтрами.

3. Пользователю предлагается присоединиться к удаленному сеансу с помощью RMM‑инструмента, например Microsoft Quick Assist или TeamViewer, при этом злоумышленник направляет его в процессе установки, если инструмент еще не установлен; в данном случае злоумышленник выбрал Quick Assist для установления контроля.

4. Как только CURLY SPIDER получает первоначальный доступ, его возможности ограничены — доступ будет длиться только до тех пор, пока жертва остается на связи. Чтобы расширить контроль, ближайшая цель противника — установить постоянный доступ до окончания сеанса.

5. Получив удаленный доступ, CURLY SPIDER быстро — часто при активном взаимодействии с жертвой — развертывает свою полезную нагрузку и устанавливает постоянство. Большая часть времени вторжения уходит на обеспечение связи и устранение любых проблем с доступом, чтобы добраться до своих вредоносных скриптов, размещенных в облаке.

1. Проверка возможности подключения (3:43)

   1. Выдавая себя за ИТ‑поддержку, предлагающую помощь, противник запрашивает доступ к Quick Assist.

   2. Злоумышленник обеспечивает подключение к предварительно настроенному облачному хранилищу, где размещает вредоносные скрипты и преодолевает все барьеры доступа. После подтверждения доступа CURLY SPIDER загружает вредоносные скрипты.

2. Развертывание полезной нагрузки (0:06)

   1. CURLY SPIDER выполняет скрипты с помощью curl или PowerShell. Эти скрипты:

   2. Изменяет ключи запуска реестра, создав пользователя для обеспечения выполнения при запуске.

   3. Удаляет артефакты, полезные для форензики, чтобы стереть следы вторжения

3. Установление постоянного доступа (0:06)

   1. Противник создает пользователя‑бэкдора, внедряя постоянство непосредственно в систему.

   2. Конечная полезная нагрузка выполняется под видом легитимного двоичного файла, что позволяет CURLY SPIDER влиться в обычную деятельность и избежать обнаружения.

В этом примере CURLY SPIDER не использует традиционные методы «прорыва» для перемещения вбок. Вместо этого противник компрометирует сеть за считанные секунды, обеспечивая долговременный доступ еще до того, как жертва осознает происходящее.

---

Влияние и связь с программами-вымогателями

В данном случае CURLY SPIDER был остановлен CrowdStrike OverWatch, прежде чем он смог продолжить атаку. Однако разведка CrowdStrike заметила, что эта тактика напрямую поддерживает операции с программами‑вымогателями, и этот противник часто сотрудничает с WANDERING SPIDER, группой, стоящей за программами‑вымогателями Black Basta. Сочетая социальную инженерию в высоком темпе, легитимные удаленные инструменты и полезную нагрузку, размещенную в облаке, CURLY SPIDER демонстрирует, как современные противники обходят традиционные средства защиты и быстро добиваются успеха.

Проактивная защита необходима

Противники совершенствуют свою тактику, чтобы действовать быстрее и использовать доверенный доступ для обхода традиционных средств защиты. Взрывной рост активности брокеров доступа, злоупотребление действительными учетными данными и интерактивные вторжения подчеркивают острую необходимость для организаций внедрять проактивные стратегии безопасности, которые позволяют предотвращать, обнаруживать и реагировать на эти угрозы в режиме реального времени.

Команды безопасности должны:

• Уделять приоритетное внимание защите идентификационных данных для предотвращения несанкционированного доступа

• Защищать облачные среды от злоупотребления учетными данными и устранять ошибки в конфигурации

• Ускорять время реагирования для противодействия быстрым событиям, приводящим к прорывам

• Использовать искусственный интеллект для обнаружения незаметных перемещений противника

В 2025 году атакующие будут двигаться только быстрее. Успеют ли за ними защитники?

---

Ключевые темы противников

Бизнес социальной инженерии

С 2023 года противники, совершающие электронные преступления и целенаправленные вторжения, все чаще используют компрометацию личности и другие человекоориентированные приемы для получения первоначального доступа и осуществления латерального перемещения. Появление этой тактики отчасти обусловлено растущей эффективностью и обилием современных средств защиты на базе хоста, таких как решения для обнаружения и реагирования на конечные точки (EDR). Эти факторы способствовали развитию социальной инженерии, в ходе которой злоумышленники пытаются получить доступ к целевым учетным записям или убедить легитимных сотрудников предоставить удаленный доступ к целевым системам.

В 2024 году CrowdStrike Intelligence отметила значительное увеличение числа различных кампаний, использующих методы социальной инженерии, ориентированные на телефонную связь, для получения первоначального доступа, включая вишинг и социальную инженерию службы поддержки, что знаменует собой потенциальный сдвиг в экосистеме электронной преступности.

Тенденции вишинга в 2024 году

В 2024 году несколько противников eCrime включили вишинг в свои вторжения, в результате чего ежемесячный рост числа наблюдаемых операций с использованием вишинга составил 40%. Во второй половине 2024 года наблюдался значительный рост использования этой тактики.

Почему вишинг так эффективен?

Как и другие методы социальной инженерии, вишинг эффективен, поскольку направлен на человеческие слабости или ошибки, а не на недостатки программного обеспечения или операционной системы (ОС). Вредоносная активность может быть обнаружена только на поздних этапах вторжения, например во время выполнения вредоносных двоичных файлов или при работе с клавиатурой (hands‑on‑keyboard), что может отсрочить эффективную реакцию. Это дает агенту угрозы преимущество и возлагает на пользователей ответственность за распознавание потенциально вредоносного поведения.

В ходе вишинговых кампаний злоумышленники звонят целевым пользователям и пытаются убедить их загрузить вредоносную полезную нагрузку, установить сеанс удаленной поддержки или ввести свои учетные данные на фишинговых страницах adversary‑in‑the‑middle (AITM). В большинстве вишинговых кампаний 2024 года участники угроз выдавали себя за сотрудников службы ИТ‑поддержки, звоня целевым пользователям под предлогом решения проблем с подключением или безопасностью.

В течение 2024 года специалисты CrowdStrike Intelligence отследили как минимум шесть похожих, но, скорее всего, разных кампаний, в которых противники, выдававшие себя за ИТ‑специалистов, звонили своим объектам и пытались убедить их установить сеансы удаленной поддержки, часто используя Microsoft Quick Assist. Во многих случаях звонки осуществлялись через Microsoft Teams от внешних арендаторов.

По крайней мере в четырех из этих кампаний в качестве предлога для вишингового звонка использовалась спам‑бомбинг — рассылка тысяч спам‑сообщений на электронные адреса целевых пользователей. Команды CrowdStrike Falcon® Complete Next‑Gen MDR и CrowdStrike OverWatch заметили значительное увеличение числа таких кампаний во второй половине 2024 года, обнаруживая по несколько соответствующих вторжений в день. За одной из этих кампаний стоит eCrime противник CURLY SPIDER, а кульминацией соответствующих вторжений стало внедрение вымогательского ПО Black Basta.

Давний российский eCrime противник CHATTY SPIDER продолжал использовать callback‑фишинг в качестве первоначального вектора доступа в кампаниях по краже данных и вымогательству. При использовании callback‑фишинга злоумышленники обычно начинают с отправки целевым пользователям письма‑заманухи, часто касающегося предстоящей оплаты или просроченного платежа. Это побуждает пользователей начать телефонное взаимодействие. CHATTY SPIDER в основном нацелен на юридический и страховой секторы и требовал выкуп до 8 миллионов долларов США. В 2024 году несколько субъектов электронной преступности использовали callback‑фишинг для получения первоначального доступа, в том числе одна кампания использовала его для установки инструмента удаленной поддержки.

Бразильский eCrime противник PLUMP SPIDER в течение 2024 года атаковал исключительно бразильские организации, пытаясь совершить мошенничество с использованием электронной почты. PLUMP SPIDER использует вишинговые звонки, чтобы направить целевых пользователей на сайты, где размещены инструменты удаленной поддержки и RMM, такие как RustDesk и Supremo. Получив доступ, они компрометируют платежные системы жертвы, чтобы совершить мошеннические финансовые переводы. По имеющимся сведениям, помимо атак на невольных пользователей, злоумышленники пытаются завербовать инсайдеров в организациях, на которые направлены атаки.

Использование вишинга CURLY SPIDER, CHATTY SPIDER и PLUMP SPIDER для получения первоначального доступа

Социальная инженерия службы поддержки

В дополнение к вишингу многочисленные субъекты электронных преступлений все чаще используют тактику социальной инженерии службы поддержки. В ходе таких кампаний участники угроз звонят в службу технической поддержки организации и выдают себя за законного сотрудника, пытаясь убедить сотрудника службы технической поддержки сбросить пароли и/или пройти многофакторную аутентификацию (MFA) для соответствующей учетной записи.

С начала 2023 года SCATTERED SPIDER использовал эту технику для получения доступа к учетным записям единого входа (SSO) и пакетам облачных приложений. В 2024 году эту технику взяли на вооружение несколько субъектов электронной преступности. Несколько случаев были связаны с академическими и медицинскими организациями; в этих инцидентах злоумышленники использовали взломанные идентификационные данные для утечки данных из облачных приложений типа «программное обеспечение как услуга» (SaaS) или для изменения данных о заработной плате сотрудников.

ИТ‑службы поддержки часто требуют от сотрудников, желающих сбросить пароль и MFA, указать свое полное имя, дату рождения, идентификатор сотрудника и имя руководителя или ответить на заранее определенный вопрос безопасности. Однако субъекты электронной преступности, пытающиеся осуществить социальную инженерию сотрудников службы поддержки, часто точно отвечают на эти вопросы. Большая часть этой информации не обязательно является конфиденциальной и может быть найдена в открытых ресурсах и социальных сетях. Идентификационные данные, которые обычно являются конфиденциальными, например номер социального страхования, часто рекламируются на подпольных рынках.

В большинстве инцидентов, связанных с социальной инженерией службы поддержки, звонки совершались в нерабочее время жертвы. Вероятно, это объясняется тем, что таким образом злоумышленник может дольше сохранять доступ к взломанной учетной записи, прежде чем законный владелец сообщит о подозрительной активности.

Злоумышленники, использующие эту технику, часто регистрируют собственное устройство в MFA, чтобы обеспечить постоянный доступ к взломанным учетным записям. Они также часто вручную удаляют письма из взломанных почтовых ящиков, связанные с подозрительной активностью учетной записи, или настраивают правила транспортировки почты для перенаправления соответствующих писем в папку, отличную от основного почтового ящика.

За последний год несколько участников eCrime открыто набирали звонящих на популярных eCrime‑форумах. В объявлениях обычно предлагаются англоговорящие абоненты, владеющие инструментами RMM и имеющие опыт проведения удаленных сеансов. Некоторые злоумышленники eCrime также искали эффективные методы подмены телефонных номеров или шифрования звонков, чтобы идентификаторы звонящих могли быть отредактированы и выглядеть более легитимно. Такая активность позволяет предположить, что социальная инженерия, ориентированная на телефон, станет серьезной угрозой в 2025 году, поскольку спрос на эти возможности возрастет.

КАК ПРЕДОТВРАТИТЬ СОЦИАЛЬНУЮ ИНЖЕНЕРИЮ В СЛУЖБЕ ПОДДЕРЖКИ

• Требуйте видео-аутентификации с использованием правительственной идентификации для сотрудников, которые звонят, чтобы запросить сброс пароля в режиме самообслуживания.

• Обучите сотрудников службы поддержки проявлять осторожность при ответе на телефонные звонки с запросами на сброс паролей и MFA в нерабочее время, особенно если поступает необычно большое количество запросов за короткий промежуток времени или если звонящий утверждает, что звонит от имени коллеги.

• Используйте дополнительные факторы аутентификации, не основанные на нажатии кнопки, такие как FIDO2, для предотвращения компрометации учетной записи

• Отслеживайте, не регистрируют ли несколько пользователей одно и то же устройство или номер телефона для MFA

---

Генеративный искусственный интеллект и предприимчивый противник

GenAI стал привлекательным инструментом для противников благодаря низкому барьеру для входа, что делает его широко доступным. Последние достижения в области genAI повысили эффективность некоторых киберопераций, особенно тех, в которых используется социальная инженерия. Почти наверняка он будет применяться в кибероперациях 2025 года.

В течение 2024 года противники все чаще использовали genAI, особенно для поддержки усилий по социальной инженерии и высокотемповых кампаний по IO. И то, и другое поддерживалось инструментами genAI, способными создавать весьма убедительные результаты без точных подсказок, обучения пользовательской модели или тонкой настройки. Некоторые злоумышленники используют genAI, в частности LLM, для поддержки усилий CNO.

Социальная инженерия

• FAMOUS CHOLLIMA использовали фиктивные профили LinkedIn с текстом, созданным genAI, и поддельными изображениями профиля

• Глубоко подделанные видео‑ и голосовые клоны позволяли использовать схемы компрометации деловой электронной почты (BEC).

• Исследования подтвердили эффективность genAI в фишинге

• Сеть Green Cicada, поддерживаемая LLM и поддерживаемая Китаем, размещала скоординированное неаутентичное поведение в социальных сетях

• Операторы, поддерживающие Россию, использовали LLM для распространения дезинформации в социальных сетях

• genAI использовался во время предвыборного сезона в Индии для создания видеороликов и изображений

Вредоносные операции в компьютерных сетях

• В спам‑рассылке, распространяющей Snake Keylogger, вероятно, использовался контент, созданный LLM

• Операторы вымогательского ПО Big Game Hunter (BGH) APT INC развернули скрипт уничтожения данных, вероятно, написанный LLM

• Вероятно, сгенерированные LLM сайты‑приманки использовались в кампаниях NITRO SPIDER

• Участники преступных групп обсуждали использование LLM для кодирования и команд оболочки

• LLM, вероятно, использовался для разработки предполагаемого эксплойта для CVE-2024-3400

• Облачные злоумышленники пытались получить доступ к корпоративным LLM

GenAI поддерживает социальную инженерию 

Модели LLM и genAI, создающие фотореалистичные изображения, могут генерировать убедительный контент в масштабе с минимальным опытом. Эти инструменты могут поддерживать усилия по социальной инженерии или IO. Несмотря на относительную новизну genAI, CrowdStrike выявила несколько примеров использования этих инструментов противниками.

Социальная инженерия

Операторы, связанные с противником из КНДР FAMOUS CHOLLIMA, получают должности в компаниях по всему миру под вымышленными именами, иногда используя инструменты genAI для социальной инженерии рекрутеров в процессе подачи заявки на работу. Они также создают фиктивные профили в LinkedIn с текстом, созданным genAI, и поддельными изображениями профиля. Во время собеседований многие кандидаты на должность FAMOUS CHOLLIMA дают ответы, вероятно, полученные из внешних источников. LLM, скорее всего, поддерживают эти собеседования, быстро генерируя правдоподобные ответы.

GenAI также используется для BEC и мошенничества. В феврале 2024 года неизвестные злоумышленники использовали публичные видеозаписи финансового директора и других сотрудников целевой компании для создания правдоподобных видеоклонов deepfake и социальной инженерии жертвы, чтобы заставить ее перевести 25,6 млн долларов США злоумышленнику(ам). В мае 2024 года, согласно отраслевым сообщениям, злоумышленники выдавали себя за генерального директора международной компании, оказывающей профессиональные услуги, и пытались вымогать мошеннические платежи. Угрожающий субъект также использовал genAI для клонирования голоса генерального директора и пытался убедить получателя звонка перевести средства.

Взаимосвязь genAI и социальной инженерии подтверждается и развивающимся направлением мобильных вредоносных программ. С конца 2023 года вредоносная программа GoldPickaxe используется для кражи биометрических данных о лицах с устройств на базе iOS и Android в Азиатско‑Тихоокеанском регионе (АТР). Вредоносная программа, которая не может обойти аутентификацию, перехватывает изображения и видео для создания видеороликов deepfake или выполнения операций по подмене лица.

Академические исследования еще больше подчеркивают привлекательность LLM для социальной инженерии. LLM могут генерировать фишинговые сообщения электронной почты или веб‑сайты для сбора учетных данных, по крайней мере, не хуже, чем люди. В исследовании 2024 года, посвященном количеству переходов по фишинговым письмам, было показано, что количество переходов по фишинговым сообщениям, сгенерированным LLM, значительно выше (54%), чем по фишинговым сообщениям, написанным человеком (12%). Отдельное исследование 2024 года показало, что показатели обнаружения фишинговых страниц, сгенерированных LLM, были сопоставимы с показателями фишинговых страниц, созданных человеком.

ОБЗОР ПРОТИВНИКА: FAMOUS CHOLLIMA

В 2024 году FAMOUS CHOLLIMA быстро оказалась в центре внимания благодаря своим широкомасштабным операциям, высокому темпу работы и уникальной тактике вредоносных инсайдеров. Противник регулярно проводил финансово мотивированные кибероперации по всему миру, используя свои характерные семейства вредоносных программ BeaverTail и InvisibleFerret.

Противник также руководил более масштабной кампанией по борьбе с вредоносными инсайдерскими угрозами, используя сеть персон для получения фиктивной работы в качестве разработчиков программного обеспечения в крупных компаниях Северной Америки, Западной Европы и Восточной Азии. CrowdStrike OverWatch отреагировала на активность FAMOUS CHOLLIMA в 304 инцидентах в течение года, причем почти 40% из них представляли собой операции, связанные с инсайдерскими угрозами.

Кибероперации FAMOUS CHOLLIMA оставались на удивление последовательными на протяжении всего 2024 года. Они основывались на доставке имплантата первой стадии с помощью троянизированного приложения Node.js. Это приложение было замаскировано под задачу для разработчиков блокчейна и доставлялось жертвам под видом собеседования при приеме на работу. В 2024 году FAMOUS CHOLLIMA развернула семь различных семейств вредоносных программ, избежав обнаружения за счет незначительных изменений в способах загрузки и выполнения файлов.

Вредоносные инсайдеры FAMOUS CHOLLIMA, по‑видимому, оппортунистически стремятся получить доступ к инсайдерской информации в различных секторах. Деятельность противника, скорее всего, обусловлена доступными возможностями трудоустройства, а не конкретными целевыми требованиями.

Оперативники используют украденные или поддельные личные данные, чтобы получить работу по разработке программного обеспечения, а затем отправляют свой ноутбук, предоставленный компанией, стороннему посреднику, управляющему фермой ноутбуков. CrowdStrike OverWatch обнаружила несколько ферм ноутбуков в Иллинойсе, Нью‑Йорке, Техасе и Флориде. FAMOUS CHOLLIMA устанавливает на ноутбуки инструменты удаленного управления и несколько расширений для браузера. Хотя в некоторых случаях разведка CrowdStrike наблюдала утечку кода или интеллектуальной собственности, большинство инсайдерских угроз, похоже, мотивированы зарплатой за работу.

FAMOUS CHOLLIMA была одним из самых активных противников в 2024 году, значительно превосходя по темпам работы других противников, находящихся в состоянии невесомости. Примечательно, что активность возросла во второй половине 2024 года. Этот противник, скорее всего, продолжит проводить параллельные кампании по борьбе с кибер‑ и инсайдерскими угрозами вплоть до 2025. Эта оценка основана на успехе противника, его продолжающемся высоком оперативном темпе и минимальном влиянии правительственных обвинений и действий против него в течение 2024 года.

Информационные операции

Злоумышленники могут легко использовать инструменты genAI для проведения IO‑кампаний и, в первую очередь, для создания индивидуального контента в масштабе. В отличие от других методов социальной инженерии, IO‑кампании с использованием контента, сгенерированного ИИ, как правило, не проверяются на достоверность большинством потребителей. Злоумышленники могут достичь своих целей, даже если цель знает, что контент сфабрикован.

В августе 2024 года отраслевые источники сообщили о Green Cicada — сети IO, вероятно, созданной с помощью китайскоязычной системы LLM и состоящей из более чем 5000 неаутентичных аккаунтов на платформе социальных сетей X. Эта сеть усиливала политические разногласия, чтобы обострить социальные противоречия в преддверии президентских выборов в США в 2024 году. Отраслевые источники связывают эту операцию с китайскими структурами, использующими LLM.

Операторы, поддерживающие Россию, также использовали genAI для распространения дезинформации. В 2024 году пропагандист, вероятно, использовал LLM для создания индивидуального контента и средств автоматизации рабочего процесса, которые поддерживали обширную кампанию IO, направленную на американскую аудиторию. В течение 2024 года в ходе многочисленных IO‑кампаний, связанных с Россией, в том числе направленных на Израиль, США и различные европейские страны, использовались genAI для создания текстов и изображений.

Угрозы используют GenAI для поддержки CNO

Некоторые противники изучают возможность использования genAI для непосредственной поддержки CNO, вероятно, используя его для помощи в написании служебных скриптов и разработке инструментов или вредоносного ПО. Ограниченный прямой обзор использования противниками LLM часто препятствует анализу этих кампаний. Тем не менее, многие противники, использующие LLM, вероятно, все еще знакомятся с этими инструментами.

В марте 2024 года преступный агент распространил спам‑рассылку, в которой использовался шаблон.txt, вероятно, сгенерированный LLM. В письмах содержался архивный файл с вредоносным ПО Snake Keylogger. Эта кампания — первый подтвержденный CrowdStrike случай использования преступным сообществом вероятного LLM‑содержимого во вредоносной спам‑кампании.

Операторы вымогательского ПО BGH APT INC использовали необычный разрушительный сценарий PowerShell для уничтожения данных на физическом хосте. Судя по форматированию комментариев, схожести с результатами, выдаваемыми другими LLM, и отсутствию публичных источников, похожих на этот скрипт, он, скорее всего, был создан с помощью LLM. В прошлом злоумышленники уже использовали LLM для генерации скриптов; например, SCATTERED SPIDER использовал скрипт, вероятно, сгенерированный LLM в 2023 году.

Участники eCrime также использовали genAI для создания контента. NITRO SPIDER, использующий вредоносную рекламу для доставки азота, в 2024 году использовал сгенерированные LLM сайты‑обманки. Злоумышленники заманивают потенциальные цели, покупая рекламу по определенным поисковым запросам через Google или Bing. Они отфильтровывают запросы, поступающие не от вредоносной рекламы, чтобы вредоносную программу получали только законные жертвы; остальные запросы перенаправляются на сайты‑обманки, созданные с помощью сгенерированных LLM текстов и изображений.

В другой кампании агент eCrime использовал аналогичную технику при распространении инструментария, зашифрованного криптером Davey, среди пользователей, искавших программное обеспечение для двухфакторной аутентификации (2FA). При нажатии на рекламу открывался вредоносный сайт загрузки, а прямые обращения перенаправлялись на сгенерированный LLM сайт‑обманку.

В течение 2024 года несколько злоумышленников обсуждали использование genAI на криминальных рынках и форумах. Например, один из злоумышленников, базирующийся в Латинской Америке (LATAM), обсуждал использование генеративных предварительно обученных трансформаторов (GPTs) и genAI для обучения созданию вредоносных программ на языках C и C++. По состоянию на декабрь 2024 года, базирующийся в Йемене кибероператор, связанный с семействами выкупных программ Dragon и Stormous, ведет на GitHub репозиторий для инструмента интерфейса командной строки, который предположительно использует модель GPT для выполнения различных задач, включая выполнение команд командной оболочки.

Исследование и эксплуатация уязвимостей

Модели GenAI являются как целью, так и средством для использования эксплойтов. Как и в случае с CNO, LLM могут ускорить исследование и тестирование уязвимостей, потенциально ускоряя сроки разработки. Однако подтвержденные свидетельства разработки эксплойтов для уязвимостей с помощью LLM и использования LLM в дикой природе по‑прежнему редки.

В 2024 году среди наиболее заметных групп, ищущих поддержку genAI в области уязвимостей, были субъекты, связанные с Ираном. Иранские правительственные инициативы направлены на использование ИИ для разработки помощников и создания систем исправления для внутренних сетей. Кроме того, правительство Ирана намерено использовать LLM в исследовании уязвимостей и разработке эксплойтов.

Об интересе злоумышленников к разработке эксплойтов с помощью genAI свидетельствует и активность, отмеченная в апреле 2024 года. Неатрибутированный злоумышленник, вероятно, использовал genAI для разработки предполагаемого эксплойта для уязвимости инъекции команд в GlobalProtect PAN‑OS Gateway (CVE-2024–3400). Хотя эксплойт в итоге оказался неэффективным, специалисты CrowdStrike Intelligence наблюдали попытки эксплуатации, когда злоумышленники пытались быстро перепрофилировать сгенерированные LLM эксплойты в дикой природе.

Кроме того, злоумышленники и исследователи изучают потенциальные векторы атак, связанные с уязвимостями в моделях genAI. Такие техники, как внедрение эксплойтов, могут обойти контроль доступа, добиться выполнения кода или повысить вероятность непреднамеренного раскрытия конфиденциальной информации. Кроме того, платформы genAI с внешними ресурсами могут содержать уязвимости, типичные для многих веб‑приложений, такие как подделка запросов на стороне сервера и SQL‑инъекции.

Агенты угроз облачных технологий

Противники, ориентированные на облачные технологии, начинают изучать возможности genAI и LLM для своих операций. По мере распространения облачных технологий и интеграции genAI в такие сервисы, как Azure AI Foundry (ранее Azure AI Studio), субъекты угроз, вероятно, начнут использовать сервисы genAI для кражи данных, манипулирования моделями, несанкционированного доступа и других вредоносных целей.

По прогнозам CrowdStrike Intelligence, сознательные злоумышленники с разным уровнем квалификации будут все чаще использовать технические уязвимости и неправильные конфигурации в растущей облачной экосистеме, управляемой GenAI. Они будут стремиться использовать сервисы ИИ и сервисы, которые клиенты интегрируют с помощью ИИ, для получения данных, представляющих стратегический интерес.

ЯРКИЙ ПРИМЕР: LLMJACKING

LLMJacking — это использование злоумышленниками украденных учетных данных для доступа к облачным сервисам искусственного интеллекта, что способствует росту криминального рынка несанкционированных LLM‑запросов. Во втором квартале 2024 года неизвестный злоумышленник скомпрометировал североамериканскую консалтинговую жертву. В ходе этой операции злоумышленник подготовился к LLMJacking, составив список доступных моделей машинного обучения (ML) для облачного сервиса ИИ. К недоступным моделям угроза пыталась получить доступ, используя API, который позволяет пользователям запрашивать разрешение на доступ к ограниченным моделям машинного обучения путем предоставления обоснования.

В ходе отдельной кампании, проведенной в 4 квартале 2024 года, злоумышленник взломал североамериканскую технологическую компанию и аналогичным образом попытался использовать тот же API для получения доступа к моделям, размещенным на облачной платформе. В обоих случаях злоумышленники, вероятно, намеревались перепродать доступ к ML‑моделям другим угрожающим лицам, которые хотели использовать эти модели в злонамеренных целях.

Перспективы GenAI 

В 2025 году противники, вероятно, будут чаще использовать genAI для дополнения кампаний по социальной инженерии и CNO. Эта оценка сделана с умеренной уверенностью на основе растущей доступности и возможностей инструментов genAI и растущего опыта противников по их интеграции. По оценке CrowdStrike Intelligence, более технически подкованные злоумышленники будут лучше всего оснащены для использования инструментов genAI, в то время как менее искушенные злоумышленники, скорее всего, не смогут полностью использовать их возможности.

---

Китайское киберпредприятие

Развивающийся кибернетический потенциал Китая

В 2024 году возможности Китая в области кибершпионажа и сбора разведданных достигли переломного момента по сравнению с предыдущими годами. В дополнение к активной и громкой деятельности по кибершпионажу, которая продолжала расти практически во всех секторах, отслеживаемых CrowdStrike Intelligence, противники Китая и более широкая экосистема, поддерживающая их операции, стали более зрелыми в плане возможностей и потенциала.

На протяжении 2024 г. противники из Китая демонстрировали все более смелые цели, более скрытные тактики и специализированные операции. Основным мотивом, скорее всего, является стремление Китая к региональному влиянию в ближнем зарубежье. Это включает в себя стремление к воссоединению Тайваня, что в конечном итоге может привести Китай к конфликту с Соединенными Штатами.

Помимо облегчения сбора разведданных против иностранных политических и военных структур, эти операции, вероятно, отвечают общим требованиям к разведке, предусмотренным стратегическими планами Коммунистической партии Китая (КПК). К ним относится 14-й пятилетний план, в котором выделены ключевые приоритеты в области промышленности и технологий. Противники, не имеющие отношения к Китаю, также занимаются сбором разведданных против общественно‑политических движений, воспринимаемых как угроза внутренней безопасности Китая. КПК называет последователей Фалуньгун, активистов китайской демократии, уйгурских сепаратистов, тибетских сепаратистов и тайваньских сепаратистов «пятью ядами» и рассматривает эти группы как угрозу своей легитимности и общей стабильности Китая.

Призыв генерального секретаря Си Цзиньпина в 2014 году сделать Китай кибердержавой (网络强国) и грандиозная стратегия КПК по национальному омоложению (伟大复兴) ускорили развитие кибервозможностей Китая в первой четверти XXI века. Инвестиции КПК в киберпрограммы, осуществляемые на протяжении десятилетий, включают:

• Расширение надзора КПК за информационными сетями в Китае с помощью широкой правовой базы кибербезопасности

• Инвестиции КПК в университетские системы, которые готовят высококвалифицированные и легкодоступные киберрабочие кадры

• Контракты с частным сектором, обеспечивающие квалифицированную поддержку и инфраструктуру для киберподразделений Народно‑освободительной армии (НОАК), Министерства общественной безопасности (МОБ) и Министерства государственной безопасности (МГБ).

• Обнаружение уязвимостей, охота за ошибками и внутренние соревнования по захвату флага, которые способствуют развитию китайских киберталантов и питают программы разработки эксплойтов, контролируемые КПК.

• Отраслевые сети, через которые кибероператоры МГБ и НОАК все чаще обмениваются уникальными инструментами и техническими средствами с закрытым доступом

Вполне вероятно, что в результате этих инвестиций операции по целенаправленному проникновению в сети Китая отличаются повышенной защищенностью и специализацией. Противники заранее позиционируют себя в критически важных сетях и получают поддержку со стороны промышленных сетей и более крупных экосистем, которые включают в себя общие инструменты и обучающие конвейеры, снабжающие их сложным вредоносным ПО и техническими средствами.

Противники, связанные с Китаем, доминируют в глобальном ландшафте угроз

По сравнению с 2023 годом число вторжений со стороны China‑nexus увеличилось в среднем на 150% во всех секторах и представляет собой наиболее активные угрозы целевого вторжения, отслеживаемые CrowdStrike Intelligence. В течение 2024 года противники из Китая продолжали действовать в каждом секторе и регионе по всему миру, сохраняя масштабы операций и увеличивая их масштаб.

Наиболее значительный рост наблюдался в секторах финансовых услуг, СМИ, производства, промышленности и машиностроения, где количество зафиксированных вторжений China‑nexus увеличилось на 200–300% по сравнению с предыдущими годами. Даже в трех ведущих секторах, на которые чаще всего нацеливаются противники China‑nexus, — правительстве, технологиях и телекоммуникациях — активность China‑nexus в 2024 году выросла на 50% по сравнению с 2023 годом.

Специализированные противники, связанные с Китаем

Разведка CrowdStrike выявила семь новых противников, осуществляющих целенаправленные вторжения из Китая в 2024 году, пять из которых уникальны по своей специализации и сложности. LIMINAL PANDA, LOCKSMITH PANDA и OPERATOR PANDA это противники с высоким потенциалом, обладающие уникальными целями и набором инструментов для атак на телекоммуникационные сети; VAULT PANDA нацелена на сектор финансовых услуг по всему миру; а ENVOY PANDA — это противник, ранее обладавший низким потенциалом, который заметно повысил уровень защиты от несанкционированного доступа. Появление противников с уникальными тактиками, ремеслами и целями представляет собой постоянный сдвиг во вторжениях China‑nexus от так называемых операций «разбей и захвати» к все более целенаправленным и специфическим вторжениям.

LIMINAL PANDA
Демонстрирует обширные знания телекоммуникационных сетей и использует скомпрометированную телекоммуникационную инфраструктуру для перемещения по регионам

LOCKSMITH PANDA
В ходе операций, вероятно, направленных на содействие сбору разведывательной информации, он атаковал компании, занимающиеся технологиями, игорным бизнесом, энергетикой и телекоммуникациями на Тайване и в Индонезии, а также активистов демократического движения в Гонконге.

OPERATOR PANDA
Он нацелен на компании, работающие в сфере телекоммуникаций и профессиональных услуг, и в основном использует для получения первоначального доступа устройства, выходящие в Интернет (например, коммутаторы Cisco).

VAULT PANDA
Использует веб‑приложения для получения первоначального доступа к сетям жертв и использует комбинацию уникальных, общих и общедоступных инструментов для вторжения; нацелен на финансовые услуги, азартные игры, технологии, академические, оборонные и правительственные организации, способные содействовать операциям по сбору разведданных

ENVOY PANDA
Нацеливается на расположенные в Африке и на Ближнем Востоке правительственные организации — особенно в дипломатическом пространстве — и все чаще использует в операциях попытки анонимизации

Противники реагируют на отслеживание и срывы

На протяжении 2024 года противники из Китая все чаще отвечали на продолжающиеся усилия правительства, правоохранительных органов и исследователей в области безопасности по отслеживанию и пресечению деятельности, удваивая свои попытки завуалировать операции. Многие противники использовали сети ORB, состоящие из сотен или тысяч взломанных устройств, для проксирования и маршрутизации трафика во время операций вторжения, пытаясь сохранить анонимность. Несмотря на попытки правоохранительных органов пресечь деятельность сетей ORB, противники из Китая продолжают использовать эти ресурсы в качестве ключевой части своих операций. Они также продолжают обмениваться инструментами; например, по меньшей мере пять различных противников China‑nexus теперь используют некогда уникальную вредоносную программу KEYPLUG.

---

Облачные угрозы продолжают совершенствоваться

В 2024 году число новых и неатрибутированных вторжений в облачные среды увеличилось на 26% по сравнению с 2023 годом, что свидетельствует о том, что все большее число угроз стремится использовать облачные сервисы. CrowdStrike заметила больше вторжений, в которых злоумышленники получали первоначальный доступ через действующие учетные записи, использовали инструменты управления облачной средой для перемещения в сторону и злоупотребляли инструментами командной строки облачных провайдеров. Другие тактики использования «облака», такие как перечисление облачной инфраструктуры и идентификационных данных и поддержание постоянства с помощью альтернативных механизмов аутентификации, были неизменны в течение всего 2024 года.

В 2024 году появятся новые угрозы, ориентированные на Облака

В 2023 году на долю активного противника электронной преступности SCATTERED SPIDER приходилось 30% всех вторжений в облачную инфраструктуру. В 2024 году эта цифра снизилась до 13%, отчасти потому, что многочисленные национальные государства и оппортунистические угрозы все чаще нацеливаются на плоскость управления облачной инфраструктурой. Многие из этих угроз применяют методы, аналогичные тем, которые ранее использовал SCATTERED SPIDER, в том числе перемещаются в облачные виртуальные машины (ВМ) с помощью инструментов управления. Тактика этих вторжений существенно различалась: некоторые злоумышленники оппортунистически запрашивали плоскость управления облаком после эксплуатации хоста, а другие специально нацеливались на облачные среды через ключи доступа, практически не взаимодействуя с хостом.

Облачные злоумышленники Китая

В течение 2024 года China‑nexus разрабатывали методы, ориентированные на облачные среды, и все чаще нацеливаются на облачные среды для сбора данных. Увеличение числа неатрибутированных вторжений в облачные среды соответствует постепенному росту числа инцидентов, в которых подозревается Нексус Китая. В 2024 году число предполагаемых вторжений в облачную среду со стороны китайских недоброжелателей увеличилось на 6% в различных облачных сервисах, включая Alibaba и Azure.

Облачные злоумышленники КНДР

Противник из КНДР LABYRINTH CHOLLIMA постоянно атаковал облачные среды, компрометируя рабочие станции разработчиков через проекты GitHub, а затем переключаясь на облако, используя кэшированные учетные данные. FAMOUS CHOLLIMA также появился в качестве противника, ориентированного на облачные среды, в 2024 году. Он часто получал доступ к облачным средам в качестве внутренней угрозы, а затем устанавливал постоянство через бэкдор пользователя‑администратора.

Доступ к действующим учетным записям облегчает технику первоначального доступа

Злоупотребление действующими учетными записями стало основным вектором первичного доступа к облаку, на долю которого приходится 35% инцидентов в облаке в первой половине 2024 года. Злоумышленники все чаще используют тактику скрытности и пытаются получить доступ к учетным данным действующих учетных записей. При этом они не меняют учетные данные, что могло бы уведомить пользователя о незаконном доступе. Новые злоумышленники, скорее всего, продолжат искать подобные методы доступа к действующим облачным учетным записям, поскольку это позволяет получить более надежный доступ к облачным средам с меньшим риском обнаружения.

В 2023 году субъекты угроз обычно получали учетные данные в облаке через незащищенные источники, такие как служба метаданных облачных экземпляров ВМ, службы ИТ‑разработок или защищенные решения для хранения паролей. Хотя эта тенденция сохранилась и в 2024 году, злоумышленники также начали изучать другие механизмы доступа к действующим учетным записям через учетные данные и доверительные отношения.

Одним из вероятных механизмов первоначального доступа является использование похитителей информации; в 2024 году злоумышленники обновили Stealc и Vidar, чтобы атаковать облачные учетные записи. Эти похитители предоставляют злоумышленникам мгновенный доступ к учетным данным «облака» и спискам электронной почты, которые могут быть использованы для подбора паролей и фишинга.

Еще один способ сбора учетных данных — злоупотребление доверительными отношениями для получения доступа к облачным аккаунтам. Все больше злоумышленников использовали связи между бизнес‑партнерами и их арендаторами облачных сред для получения доступа к средам без необходимости получения учетных данных в арендаторе‑жертве. FAMOUS CHOLLIMA воспользовалась другой формой доверительных отношений в качестве инсайдерской угрозы, чтобы установить бэкдор в облачном арендаторе после того, как один из операторов был принят на работу в целевую организацию. Этот противник представляет собой особенно опасную инсайдерскую угрозу, поскольку его операторы часто нанимаются на должности разработчиков и получают доступ к облачным аккаунтам.

В 2024 году методы распыления паролей претерпели значительные изменения. Например, сеть ORB07, связанная с Китаем, атаковала учетные записи Entra ID, используя ошибку в потоке аутентификации Resource Owner Password Credentials для проверки учетных данных без регистрации события успешного входа в систему. Затем злоумышленник выполнял автоматическую эксфильтрацию всех документов SharePoint.

Снижение темпа работы SCATERED SPIDER в 2024 году, вероятно, объясняет уменьшение количества фишинговых вторжений в облако в течение года. Тем не менее некоторые злоумышленники используют фишинг на основе AITM, который пересылает запросы на аутентификацию фишингуемого пользователя в облачную службу аутентификации. Это позволяет угрожающему субъекту запрашивать у пользователя также и токен MFA, обходя один из основных элементов контроля безопасности облачных учетных записей.

Тенденции уклонения от защиты

Как и в других сферах безопасности, облачные угрозы постоянно пытаются обойти обнаружение защитников и средства контроля безопасности. Наиболее распространенной тактикой уклонения от защиты остается удаление индикаторов. Эта тактика в основном обусловлена тем, что SCATTERED SPIDER и другие противники препятствуют обнаружению вредоносной активности на основе электронной почты. Этот метод использовался примерно в 75% случаев удаления индикаторов в первой половине 2024 года и в 78% случаев во второй половине 2023 года.

Злоумышленники также постоянно пытаются обойти средства контроля безопасности на основе политик, применяемые защитниками. В основном это делается путем применения альтернативных методов MFA на скомпрометированных идентификаторах и обхода сегментации облачных брандмауэров.

В дополнение к этим тактическим приемам в 2024 году появились и продолжают развиваться более скрытные методы получения первоначального доступа и сбора учетных данных, которые позволяют еще больше уклоняться от защиты при вторжениях в облако.

РАСПРОСТРАНЕННЫЕ ПУТИ И ТАКТИКИ АТАК ПРИ ВТОРЖЕНИЯХ В ОБЛАКО

Хотя злоумышленники могут использовать не все показанные выше методы в конкретном вторжении, несколько злоумышленников с различными мотивами использовали каждый метод в различных облачных атаках.

Хотя у угроз есть множество методов получения первоначального доступа, это иллюстрирует ценность действительных учетных записей для успешного вторжения в облако. Они позволяют субъекту угрозы получить доступ к плоскости управления облаком и использовать несколько других техник для сохранения, повышения привилегий, обхода защиты, обнаружения, сбора и воздействия.

Получив доступ к действующей учетной записи, злоумышленник часто использует ее для сбора дополнительных учетных данных из защищенных и незащищенных источников, чтобы получить доступ к большему количеству учетных записей и продолжить свою деятельность. Действующая учетная запись также позволяет получить доступ и выполнять команды на инфраструктуре облачных виртуальных машин с помощью таких инструментов, как служба управления облачными виртуальными машинами, что дает возможность собирать файлы или развертывать вредоносные программы или программы‑вымогатели.

Путь каждого противника зависит от его целей и места размещения целевых данных. Субъекты электронной преступности используют облачные сервисы для эффективного развертывания программ‑вымогателей и увеличения их воздействия. Атакующие субъекты, осознающие необходимость облачных технологий, используют более скрытные облачные тактики, чтобы получить долгосрочный доступ к данным с меньшим риском обнаружения и удовлетворить свои потребности в сборе информации.

---

Предприимчивая эксплуатация уязвимости

В 2024 году субъекты угроз продолжали нацеливаться на устройства на периферии сети, где видимость традиционных EDR часто ограничена. Эксплуатация неуправляемых хостов с выходом в Интернет, в частности сетевых устройств, оставалась популярным вектором первоначального доступа на протяжении всего 2024 года. Сетевые устройства являются привлекательными целями для многих злоумышленников из‑за их многочисленных неустраненных недостатков в системе безопасности и зачастую преднамеренной уязвимости. Многие эксплойты, наблюдавшиеся в 2024 году, свидетельствуют о том, что злоумышленники используют ранее созданные векторы атак и компоненты для повторного использования одних и тех же продуктов.

Злоумышленники почти наверняка предпочитают использовать уязвимости, которые напрямую позволяют неаутентифицированное удаленное выполнение кода (RCE), и стремятся повысить свои шансы на успех с помощью творческих и изобретательных подходов.

В 2024 году злоумышленники все чаще будут добиваться RCE, используя двухуровневые подходы:

• Цепочка эксплойтов: Комбинирование двух или более эксплойтов для составления последовательности атак, что увеличивает их возможности и воздействие на целевые системы.

• Злоупотребление легитимными функциями: Хотя эксплойты часто обеспечивают первоначальный доступ, злоумышленники иногда используют функции продукта, такие как интегрированные командные оболочки, для обеспечения RCE.

Методы достижения удаленного выполнения кода

Цепочка эксплойтов

В ноябре 2024 года два заметных инцидента стали примером эффективности цепочек эксплойтов. Несколько неатрибутированных злоумышленников объединили в цепочку уязвимость обхода (CVE-2024–0012) и уязвимость повышения привилегий (CVE-2024–9474) в веб‑интерфейсе управления ПО PAN‑OS компании Palo Alto Networks. В том же месяце CrowdStrike Services расследовала отдельную кампанию, в которой противник OPERATOR PANDA из Китая, вероятно, использовал две уязвимости Cisco IOS — уязвимость повышения привилегий (CVE-2023–20 198) и уязвимость инъекции команд (CVE-2023–20 273) — для атак на американские телекоммуникационные компании и предприятия, оказывающие профессиональные услуги.

Эти примеры также подчеркивают еще одну тему, прослеживающуюся на протяжении всего 2024 года: Злоумышленники используют уязвимости в собственной ОС сетевого устройства. Уязвимости в этих ОС являются привлекательными целями, поскольку потенциально позволяют злоумышленникам использовать одну уязвимость для поражения нескольких продуктов, работающих под управлением одной и той же ОС. Эти проприетарные ОС часто доступны через открытые через Интернет интерфейсы управления и обеспечивают легко идентифицируемый вектор атаки, что делает их все более привлекательными целями.

Сочетание двух или более уязвимостей дает злоумышленникам дополнительные преимущества. Во‑первых, она позволяет злоумышленникам достичь своей основной цели — не аутентифицированного RCE — путем объединения нескольких эксплойтов в одну бесшовную атаку. Часто эти уязвимости могут быть упакованы в один запрос или полезную нагрузку эксплойта с минимальной сложностью.

Во‑вторых, цепочка эксплойтов подрывает процесс исправления на основе оценки серьезности, которого придерживаются многие компании. В то время как уязвимости до аутентификации получают внесетевые исправления и обычно являются приоритетными для развертывания, связанные с ними эксплойты после аутентификации получают меньше внимания и могут быть проигнорированы, что потенциально позволяет соединить эксплойт с другой уязвимостью позднее, чтобы снова достичь RCE. Со временем такой подход потенциально повышает эффективность разработки цепочек эксплойтов RCE. Если производитель не устранит первопричину многочисленных уязвимостей, злоумышленники могут использовать аналогичные методы и быстро разрабатывать альтернативы, позволяющие обойти первоначальные меры защиты.

Цепочка эксплойтов может усложнить усилия по эффективному устранению уязвимостей. Понимание совокупного воздействия цепочки эксплойтов часто требует дополнительного анализа в дополнение к исправлению уязвимостей с опережением традиционных сроков, что может привести к усталости от исправлений. Команды безопасности, как правило, отдают приоритет исправлению сервисов, обращенных к интернету, перед другими внутренними процессами. Однако в зависимости от конкретной цепочки эксплойтов некоторые внутренние уязвимости (например, дефекты после аутентификации) могут потребовать приоритетного исправления, что может создать нагрузку на команды безопасности.

Злоупотребление законными функциями обеспечивает эффективную эксплуатацию 

В течение 2024 года злоумышленники комбинировали эксплуатацию уязвимости со злоупотреблением легитимными функциями для достижения неаутентифицированного RCE. Встроенная в Microsoft SQL Server функция xp_cmdshell использовалась в различных продуктах для достижения RCE; в их число входили CVE-2023–48 788 и CVE-2023–27 532. Использование легитимной функции xp_cmdshell, которая по умолчанию отключена из‑за известных недостатков в системе безопасности, скорее всего, указывает на то, что злоумышленники пытаются использовать методы, позволяющие жить на чужой территории.

Продолжение тенденции к обнаружению, повторному обнаружению и обходу

В 2024 году злоумышленники продолжали ориентироваться на ранее установленные векторы атак и нацеливались на схожие компоненты, чтобы добиться эксплуатации, продолжая тенденцию, впервые отмеченную в отчете CrowdStrike 2023 Global Threat Report. В нескольких инцидентах 2024 года злоумышленники использовали свой опыт работы с определенными продуктами для эксплуатации этих устройств с помощью одной или нескольких уязвимостей нулевого дня.

Например, в сентябре 2024 года неизвестный злоумышленник использовал уязвимость нулевого дня для раскрытия файлов (CVE-2024–21 287), чтобы получить учетные данные в открытом виде. Это позволило им использовать уязвимость десериализации (CVE-2024–20 953) для компрометации и выполнения кода. Хотя CVE-2024–20 953 была раскрыта до этого инцидента, ни эксплойт, ни существенные технические детали не были доступны публично. Несмотря на это, неизвестный злоумышленник успешно воспроизвел функциональный эксплойт n‑day для CVE-2024–20 953 и соединил его с уязвимостью нулевого дня (CVE-2024–21 287). Этот инцидент указывает на то, что злоумышленник обладал специальными знаниями о продукте, что позволило ему обнаружить новую уязвимость и в конечном итоге скомпрометировать эти устройства и совершить последующие вредоносные действия.

Еще один пример использования злоумышленниками ранее установленных векторов атак связан с уязвимостью локального повышения привилегий в драйвере mskssrv для Windows. Во время мероприятия Pwn2Own Vancouver в марте 2023 года компания Synacktiv, занимающаяся наступательной безопасностью, использовала логическую уязвимость в драйвере mskssrv (CVE-2023–29 360) для повышения привилегий до SYSTEM. С тех пор эта ранее не замеченная поверхность атаки привлекла внимание исследователей безопасности и злоумышленников, в результате чего с августа 2023 года было раскрыто по меньшей мере 16 уязвимостей.

Раскрытие уязвимости, особенно той, которая признана эксплуатируемой в дикой природе, указывает на потенциально жизнеспособные механизмы для будущей эксплуатации. Например, в сентябре 2024 года CrowdStrike Intelligence заметила несколько POST‑запросов, соответствующих эксплуатации уязвимости прямого запроса в Apache OFBiz (CVE-2024–45 195). Эти POST‑запросы повторяли руководство по эксплуатации CVE-2024–45 195, опубликованное известным отраслевым источником двумя неделями ранее. CVE-2024–45 195 возникает из‑за возможности десинхронизации переменных requestUri и overrideViewUri в компоненте RequestHandler логики Java‑приложения OFBiz.

CVE-2024–45 195 схожа с предыдущими уязвимостями (CVE-2024–32 113, CVE-2024–36 104 и CVE-2024–38 856), которые также использовали возможности десинхронизации для того, чтобы позволить неавторизованным пользователям обойти механизмы аутентификации. Несмотря на то, что производитель выпустил несколько исправлений и несколько отраслевых источников публично обсудили эти уязвимости, основной недостаток сохраняется и позволяет злоумышленникам манипулировать состоянием контроллера‑вида.

Кроме того, в январе 2024 года CrowdStrike Intelligence оценила, что злоумышленники почти наверняка использовали CVE-2023–29 324 в недавних операциях колючего фишинга. CVE-2023–29 324 обходит средства защиты Microsoft от ранее раскрытой уязвимости Microsoft Outlook (CVE-2023–23 397), которую FANCY BEAR, по всей вероятности, эксплуатирует по меньшей мере с марта 2022 года, чтобы атаковать организации в различных регионах и секторах. Тот же исследователь, который обнаружил первый обход (CVE-2023–29 324), позже нашел еще один обход (CVE-2023–35 384).

Злоумышленник может запустить оба обхода, вставив путь Universal Naming Convention в Server Message Block (TCP 445) или WebDAV ресурс на контролируемом злоумышленником сервере в свойство MAPI под названием PidLidReminderFileParameter.

Используют ли злоумышленники какой‑либо из этих обходов в 2024 году, неизвестно. Тем не менее, эти уязвимости подчеркивают, что обход средств защиты от более ранних патчей с целью использования тех же уязвимых компонентов часто является тривиальной задачей.

Эти тенденции свидетельствуют об эволюции тактики угроз и проблемах, связанных с эффективным устранением уязвимостей. Большая часть действий по эксплуатации, обсуждаемых в этом отчете, происходила после того, как уязвимости были публично раскрыты и стали доступны исправления.

СНИЖЕНИЕ РИСКА ИСПОЛЬЗОВАНИЯ УЯЗВИМОСТЕЙ

Усердное применение исправлений производителя и других применимых мер по устранению/обработке известных уязвимостей снизит риск их эксплуатации.

Чтобы предотвратить использование уязвимостей «нулевого дня», команды безопасности могут применять подход «защита в глубину» для обнаружения и устранения вредоносной активности до того, как злоумышленник сможет достичь своих целей.

Например, применение средств контроля доступа на уровне сети для ограничения доступа к серверу доверенных удаленных узлов может помочь снизить потенциальные угрозы, а периодическое обеспечение правильного сбора и хранения соответствующих журналов для последующего анализа может облегчить реагирование на инциденты.

Другие передовые методы, такие как изоляция серверов/приложений и создание «песочниц», сегментация сети и соблюдение принципов наименьших привилегий, могут помочь предотвратить или ограничить воздействие вредоносной активности, а также защитить от эксплуатации «нулевого дня» и «дня недели». Использование технологии расширенного обнаружения и реагирования (XDR), в качестве дополнительного уровня обнаружения и защиты на серверах, где размещены публичные приложения, также может сократить время отклика.

Нацеливание на устройства по периметру сети

В 2024 году субъекты угроз продолжали нацеливаться на устройства на периферии сети, часто используя отраслевые исследования уязвимостей, включая раскрытие информации, технические блоги и POC‑эксплойты, для поддержки своей вредоносной деятельности. Такое внимание к устройствам на периметре, как оппортунистическое, так и целенаправленное, подчеркивает их привлекательность для противников и настоятельную необходимость усиления видимости и защиты защитника.

Широта и масштаб взломанных устройств периметра Palo Alto Networks свидетельствуют о настойчивости, целях и воображении угрожающих субъектов при эксплуатации устройств периметра.

Начиная с 14 ноября 2024 года или ранее, по крайней мере один неизвестный злоумышленник объединил уязвимость обхода аутентификации (CVE-2024–0012) с уязвимостью повышения привилегий (CVE-2024–9474) в веб‑интерфейсе управления программного обеспечения PAN‑OS компании Palo Alto Networks. Публичное раскрытие уязвимости и последующие сообщения в отрасли почти наверняка подтолкнули других угрожающих субъектов к использованию цепочки эксплойтов CVE-2024–0012 и CVE-2024–9474.

9 октября 2024 года компания Palo Alto Networks раскрыла информацию о пяти уязвимостях (CVE-2024–9463, CVE-2024–9464, CVE-2024–9465, CVE-2024–9466 и CVE-2024–9467), затрагивающих версии Expedition до 1.296. Expedition, работающий под управлением ОС Linux, является хостом и в основном способствует переходу клиентов с поддерживаемых производителей (Check Point, Cisco и Juniper) на межсетевые экраны Palo Alto Networks. В заявлении производителя о раскрытии информации признается, что злоумышленник может использовать эти уязвимости для чтения содержимого базы данных Expedition и/или записи произвольных файлов во временные хранилища.

В тот же день отраслевой источник, обнаруживший CVE-2024–9464, CVE-2024–9465 и CVE-2024–9466, опубликовал технический блог с руководством по эксплуатации всех трех уязвимостей, а также CVE-2024–5910, которая была ранее раскрыта Palo Alto Networks в июле 2024 года.

В течение 24 часов после раскрытия информации разведка CrowdStrike зафиксировала HTTP‑запросы, соответствующие эксплуатации CVE-2024–5910, CVE-2024–9463 и CVE-2024–9465. Первоначальные действия угрожающих субъектов после эксплуатации, включая криптомайнинг, развертывание вредоносного ПО и базовую разведку, были обычными для оппортунистической эксплуатации. Однако 18 октября 2024 года CrowdStrike Intelligence заметила эксплуатацию CVE-2024–5910, которая, вероятно, исходила с двух IP‑адресов, подключенных к сети ORB, связанной с Китаем.

Каждая из уязвимостей Palo Alto Networks, описанных в этом разделе, предоставляет необходимую информацию и/или привилегии для осуществления вредоносной деятельности в сетях жертв. В частности, субъекты угроз почти наверняка использовали эти уязвимости с намерением в конечном итоге скомпрометировать межсетевые экраны Palo Alto Networks, которые являются привлекательными целями, поскольку часто размещаются перед демилитаризованной зоной (DMZ) или локальными вычислительными сетями (LAN).

Компрометация таких устройств может позволить злоумышленникам достичь следующих целей:

• Легко осуществлять латеральное перемещение по сети жертвы

• Мониторинг, перенаправление или обнаружение сетевого трафика

• Принимать или отбрасывать определенный сетевой трафик

---

Эксплуатация SAAS, вероятно, продолжится

В 2025 году предприимчивые противники, несомненно, продолжат искать возможности расширенной эксплуатации в различных областях, в частности облачных SaaS‑приложений, чтобы получить доступ к конфиденциальным данным и осуществить латеральное перемещение. Поскольку многие организации переносят данные из локальных систем в облачные сервисы, ожидается, что противники продолжат адаптировать свои методы работы соответствующим образом. В течение 2024 года, по данным CrowdStrike Intelligence, несколько противников электронных преступлений и целенаправленных вторжений использовали доступ к облачным SaaS‑приложениям для получения данных, чтобы облегчить латеральное перемещение, вымогательство и последующее нападение на третьи стороны. Таким образом, эксплуатация SaaS будет одной из угроз, за которыми стоит следить в 2025 году.

В большинстве случаев угрозы получали доступ к SaaS‑приложениям после компрометации SSO‑аккаунта. eCrime‑противник SCATTERED SPIDER применяет эту тактику, по крайней мере, с 2022 года. Получив доступ к SSO‑аккаунту, SCATTERED SPIDER часто проверяет доступ ко всем доступным SSO‑интегрированным приложениям, особенно к тем, которые используются для чата и видеоконференций, управления учетными данными, управления взаимоотношениями с клиентами, управления и хранения документов, производительности и продажи билетов, а также безопасности.

Во многих случаях вторжения злоумышленник искал в этих приложениях следующую информацию:

• учетные данные и документация по сетевой архитектуре для осуществления латерального перемещения.

• сведения о киберстраховании и доходах для получения информации о вымогательстве

Microsoft 365 также стал популярной мишенью для «облачных» угроз: В первой половине 2024 года доступ к SharePoint и Outlook был получен в 22% и 17% соответствующих вторжений, соответственно. SCATTERED SPIDER часто использует такие строки, как менеджер паролей, инвентаризация серверов, и инструкции vpn для поиска скомпрометированных арендаторов SharePoint и почтовых ящиков в поисках данных, которые помогут в дальнейшем скомпрометировать учетные записи и переместиться в локальные системы. Многие организации не проверяют данные, которые сотрудники загружают в «облачные» хранилища (например, SharePoint) или передают по электронной почте, что делает эти ресурсы ценными целями для противников, стремящихся перевербовать среду жертвы.

Злоумышленники также могут использовать доступ к инструментарию SaaS, чтобы облегчить атаку на третьи стороны. В 2024 году SCATTERED SPIDER получил API‑ключи к коммерческому приложению для рассылки SMS из взломанного почтового ящика. Впоследствии злоумышленник использовал это приложение для отправки более 700 000 SMS‑сообщений, содержащих ссылки на фишинговые страницы AITM и страницы для слива криптовалюты.

Злоумышленник eCrime, отслеживаемый в отраслевых отчетах как Atlas Lion, умело использует SaaS‑приложения в своих кампаниях по мошенничеству с подарочными картами. Подобно SCATTERED SPIDER, Atlas Lion часто получает первоначальный доступ с помощью SMS‑фишинга (smishing), обычно получая учетные данные Microsoft 365. Они используют свой доступ к взломанным почтовым ящикам для внутреннего фишинга в поддержку латерального перемещения. Atlas Lion использует доступ к SaaS‑приложениям, связанным с HR, чтобы определить сотрудников, имеющих прямой доступ к ресурсам подарочных карт, а затем ищет строки, связанные с подарочными картами, в приложениях с поддержкой SSO, включая Microsoft 365, чат‑платформы и репозитории кода.

Кампания по компрометации базы данных клиентов

Вредоносный доступ к SaaS‑приложениям не всегда следует за более широкой сетевой компрометацией. В апреле 2024 года и мае 2024 года один из угрожающих субъектов провел широко известную кампанию по краже данных и вымогательству, направленную на клиентов платформы для хранения данных. Для доступа к экземплярам баз данных клиентов, не требующим MFA или других средств контроля, таких как политики сетевого доступа, злоумышленник использовал скомпрометированные учетные данные, полученные из журналов кражи информации, которые были широко доступны в каналах и на рынке электронной преступности.

Эта кампания была нацелена только на экземпляры баз данных организации, и не было замечено никаких боковых перемещений или вредоносной активности, затрагивающей другие приложения или системы. Злоумышленники могут применить эту технологию для кражи данных из других общедоступных баз данных или облачных хранилищ, не защищенных MFA.

В 2025 году злоумышленники, скорее всего, продолжат атаковать SaaS‑приложения. Эта оценка сделана с умеренной уверенностью на основе распространения активности электронных преступников, нацеленных на учетные записи SSO и другие соответствующие идентификационные данные в течение 2024 года.

Учитывая, что вредоносный доступ к SaaS‑приложениям обычно начинается с компрометации идентификационных данных, соответствующие кампании лучше всего предотвращать путем защиты учетных записей с помощью MFA. Чтобы свести к минимуму риск манипуляций MFA со стороны противников, подобных SCATTERED SPIDER, организациям следует рассмотреть возможность использования устройств сопоставления номеров или аппаратных устройств FIDO2, таких как YubiKeys. Кроме того, организациям следует применять политики MFA с безопасными методами проверки для всех учетных записей и регулярно проверять все доверенные зоны и исключения из ограничений, чтобы избежать сценариев беспрепятственного доступа.

РЕКОМЕНДАЦИИ ПО СМЯГЧЕНИЮ ПОСЛЕДСТВИЙ

Организации могут еще больше укрепить свою защиту от компрометации SaaS, внедрив следующие стратегии по снижению рисков:

Внедрите надежное управление идентификацией и доступом (IAM).

• Используйте MFA для всех учетных записей пользователей

• Примените надежных политик паролей

• Внедрите принципов доступа с наименьшими привилегиями

• Регулярно проверяйте и аудируйте разрешения пользователей.

Усильте защиту данных

• Шифруйте данные в состоянии покоя и при передаче

• Внедряйте решения по предотвращению потери данных (DLP)

• Регулярно создавайте резервные копии критически важных данных и тестируйте процессы восстановления.

Проводите регулярные оценки безопасности

• Проводите аудит поставщиков SaaS на предмет соответствия соответствующим нормам безопасности.

Улучшите мониторинг и реагирование на инциденты

• Внедрите мониторинг на основе поведения пользователей

• Разработка и регулярное тестирование планов реагирования на инциденты

Обучите пользователей

• Проводите регулярные тренинги по повышению осведомленности о безопасности

• Научите сотрудников распознавать попытки фишинга и тактики социальной инженерии

Внедрите безопасное управление конфигурацией

• Регулярно проверяйте и обновляйте настройки SaaS‑приложений

• Отключение ненужных функций и интеграций

Разработайте надежную программу управления поставщиками

• Оцените уровень безопасности поставщика SaaS, прежде чем использовать его программное обеспечение.

• Регулярно проверяйте методы обеспечения безопасности и сертификаты поставщика

---

Заключение 

С наступлением 2025 года ландшафт кибербезопасности продолжает стремительно развиваться, создавая серьезные проблемы для организаций всех отраслей и географических регионов. Устойчивость, инновации и адаптивность противников подчеркивают острую необходимость всестороннего понимания современных угроз во всех аспектах ландшафта.

В 2024 году социальная инженерия получила широкое распространение, поскольку противники искали новые методы получения первоначального доступа, чтобы обойти средства защиты. Особой популярностью пользовался вишинг: противники eCrime стали чаще использовать вишинг, фишинг обратного звонка и атаки на справочные службы для проникновения в целевые сети. Ожидается, что эта тенденция сохранится и расширится в 2025 году.

GenAI стал ключевым инструментом противника в 2024 году, особенно для поддержки кампаний социальной инженерии и высокоскоростных кампаний ИО. Низкий барьер для входа позволяет противникам создавать убедительный контент в масштабах без точных подсказок или обучения моделей. Несмотря на то что genAI еще относительно нова, CrowdStrike выявила несколько примеров ее использования и ожидает, что она будет применяться в операциях противника в 2025 году.

Несмотря на то, что они в меньшей степени влияют на жертв, чем противники BGH, целевые противники электронной преступности остаются постоянной угрозой для определенных секторов. На протяжении 2024 года эти субъекты угроз демонстрировали упорство в выборе целей, часто компенсируя низкую изощренность путем получения глубоких знаний о секторах, географических регионах и связанных с ними технологиях своих жертв. В 2024 году противники целевых электронных преступлений проявляли все больший интерес к латиноамериканским целям, получая более выгодные доходы за счет кражи криптовалюты в этом регионе.

Противники, осуществляющие целенаправленные вторжения, в 2024 году также проявляли исключительную активность и новаторство, адаптируя свою тактику для достижения геополитических и стратегических целей и уклоняясь от усовершенствованных защитных мер. Ожидается, что противники из числа стран «Россия — Нексус» продолжат агрессивное стремление к победе в Украине, сосредоточившись в основном на операциях по сбору разведданных, направленных против Украины и членов НАТО. Китайские противники, вероятно, получат выгоду от долгосрочных инвестиций в киберпрограммы, что проявится в повышении уровня безопасности, устойчивом высоком оперативном темпе и активной деятельности по вторжению в глобальном масштабе. Эти противники, вероятно, сосредоточатся на организациях, действующих в ключевых секторах, соответствующих стратегическим приоритетам КПК.

Проблема эксплуатации уязвимостей по‑прежнему актуальна. Ожидается, что злоумышленники продолжат агрессивно атаковать устройства на периферии сети, в частности сетевые устройства. Эксплуатация продуктов с истекшим сроком службы (EOL) почти наверняка продолжится или возрастет в 2025 году. В своем стремлении обнаружить новые уязвимости или злоупотребить законными функциями продукта противники, вероятно, будут использовать технические блоги и внедрять публичные POC‑эксплойты быстрее, чем в предыдущие годы.

Приложения SaaS также вызывают опасения. После того как в 2024 году несколько противников электронных преступлений и целенаправленных вторжений использовали доступ к облачным SaaS‑приложениям для получения данных с целью латерального перемещения, вымогательства и нацеливания на третьих лиц, CrowdStrike также ожидает, что эксплуатация SaaS станет одной из угроз, за которыми стоит следить в 2025 году.

Кроме того, 2024 год ознаменовался появлением злоумышленников, нацеленных исключительно на облачные среды и обладающих уникальными, специфическими для облака навыками. Противники стали уделять больше внимания уклонению от защиты в облачных средах, применяя тактики и инструменты, ориентированные на скрытность, для получения первоначального доступа и доступа к учетным данным. Ожидается, что в 2025 году эта направленность усилится.

В течение 2024 года предприимчивые противники повышали зрелость и изощренность своих операций в различных секторах и географических регионах. По мере развития этих угроз в 2025 году команда CrowdStrike Counter Adversary Operations будет по‑прежнему стремиться выявлять, отслеживать и уничтожать злоумышленников везде, где это возможно.

---

Рекомендации

Защитите всю экосистему идентификации

Недоброжелатели все чаще используют кражу учетных данных, обход MFA и социальную инженерию, скрытно перемещаясь между локальными, облачными и SaaS‑средами через доверенные отношения. Это позволяет им выдавать себя за легитимных пользователей, расширять доступ и уходить от обнаружения.

Для предотвращения несанкционированного доступа организациям следует внедрять устойчивые к фишингу решения MFA, например аппаратные ключи безопасности. Важное значение имеют строгие политики идентификации и доступа, включая доступ «точно в срок», регулярные проверки учетных записей и условный контроль доступа. Средства обнаружения угроз идентификации должны отслеживать поведение конечных точек и локальных, облачных и SaaS‑сред, чтобы выявить повышение привилегий, несанкционированный доступ или создание учетных записей «черного хода». Интеграция этих инструментов с платформами XDR обеспечивает всестороннюю видимость и единую защиту от противников.

Кроме того, организациям следует обучать пользователей распознавать попытки вишинга и фишинга, поддерживая проактивный мониторинг для обнаружения и реагирования на угрозы, основанные на идентификации личности.

Устраните пробелы в междоменной видимости

Все более широкое использование злоумышленниками методов «ручной клавиатуры» и легитимных инструментов усложняет процесс обнаружения и реагирования. В отличие от традиционного вредоносного ПО, эти методы позволяют злоумышленникам обходить традиционные меры безопасности, выполняя команды и используя легитимное программное обеспечение для имитации обычных операций.

Чтобы противостоять этому, организации должны модернизировать свои стратегии обнаружения и реагирования. Решения XDR и следующего поколения для управления информацией о безопасности и событиями (SIEM) обеспечивают единую видимость конечных точек, сетей, облачных сред и систем идентификации, позволяя аналитикам сопоставлять подозрительное поведение и видеть весь путь атаки.

Проактивный поиск угроз и анализ угроз еще больше повышают эффективность обнаружения, выявляя потенциальные схемы атак и предоставляя информацию о тактике, методах и процедурах противника. Благодаря аналитическим данным в режиме реального времени организации могут быть в курсе возникающих угроз, предвидеть атаки и определять приоритеты критически важных мер безопасности.

Защитите облако как основную инфраструктуру

Противники, ориентированные на облака, используют неправильную конфигурацию, украденные учетные данные и инструменты управления облаком для проникновения в системы, перемещения и сохранения постоянного доступа для таких вредоносных действий, как кража данных и развертывание программ‑вымогателей.

Для противодействия этим угрозам крайне важны платформы защиты приложений, основанные на облачных технологиях (CNAPP), с возможностями обнаружения и реагирования на облачные вычисления (CDR).

Эти решения предоставляют операторам единую картину безопасности облачных сред, помогая им быстро обнаруживать, определять приоритеты и устранять неправильные конфигурации, уязвимости и угрозы противника. Кроме того, строгий контроль доступа — например, ролевой доступ и условные политики — ограничивает доступ к критическим системам и обеспечивает постоянный мониторинг аномалий, включая вход в систему из неожиданных мест.

Регулярные аудиты также важны для поддержания безопасности. Автоматизированные инструменты могут выявить слишком свободные настройки хранения, открытые API и неустраненные уязвимости. Частые проверки облачных сред позволяют оперативно устранять неиспользуемые разрешения и устаревшие конфигурации.

Определите приоритеты уязвимостей с помощью подхода, ориентированного на противника

Противники все чаще используют публично раскрытые уязвимости и цепочки эксплойтов, комбинируя несколько уязвимостей для получения быстрого доступа, повышения привилегий и обхода защитных систем. Эти многоступенчатые атаки часто опираются на общедоступные ресурсы, такие как POC‑эксплойты и технические блоги, что позволяет злоумышленникам создавать эффективные и трудно обнаруживаемые полезные нагрузки.

Чтобы противостоять этим угрозам, организации должны уделять первоочередное внимание регулярному исправлению или обновлению критически важных систем, особенно часто подвергающихся атакам со стороны интернет‑сервисов, таких как веб‑серверы и VPN‑шлюзы. Мониторинг тонких признаков цепочки эксплойтов, таких как неожиданные сбои или попытки повышения привилегий, может помочь обнаружить атаки до их развития.

Такие инструменты, как Falcon Exposure Management, созданные на основе встроенного искусственного интеллекта для определения приоритетов, позволяют командам уменьшить шум и сосредоточиться на уязвимостях, которые имеют наибольшее значение, в частности на тех, которые затрагивают критически важные и высокорискованные системы. Применяя проактивные подходы к безопасности, обнаруживая уязвимости по всей поверхности атаки и используя автоматизацию, организации могут смягчить сложные угрозы и ограничить возможности противника.

Знайте своего противника и будьте готовы 

Когда кибератака разворачивается за считанные минуты или даже секунды, готовность к ней может стать разницей между сдерживанием и катастрофой. Подход, основанный на аналитике, позволяет командам безопасности выйти за рамки реактивной защиты, понимая, какой противник их атакует, как он действует и каковы его цели. Благодаря анализу угроз, профилированию противника и анализу профессиональных навыков команды безопасности могут определять приоритеты ресурсов, адаптировать защиту и активно искать угрозы до их эскалации. Аналитика угроз CrowdStrike не только обнаруживает известные угрозы, но и предвидит новые и развивающиеся технические приемы, что позволяет защитникам всегда быть на шаг впереди. Благодаря беспрепятственной интеграции аналитических данных в рабочие процессы по обеспечению безопасности организации могут ускорить время реагирования, обезвредить противника и превратить полученную информацию в действие.

Несмотря на то что технологии играют важнейшую роль в обнаружении и пресечении вторжений, конечный пользователь остается важнейшим звеном в цепи, позволяющей предотвратить взлом. Организациям следует инициировать программы повышения осведомленности пользователей, чтобы противостоять постоянной угрозе фишинга и других методов социальной инженерии. Для команд безопасности практика помогает добиться совершенства. Поощряйте среду, в которой регулярно проводятся настольные учения и «красные/синие» команды, чтобы выявить пробелы и устранить слабые места в практике кибербезопасности и реагирования.