ИИ на службе у хакеров: российские компании атакуют гибридные вредоносы, которые меняют код на лету

фишинг кибератаки нейросети хактивисты кибербезопасность Positive Technologies
ИИ на службе у хакеров: российские компании атакуют гибридные вредоносы, которые меняют код на лету
фишинг кибератаки нейросети хактивисты кибербезопасность Positive Technologies

Positive Technologies: APT-группировки стали чаще использовать фишинг даже в сложных атаках.

image

Во втором квартале 2025 года специалисты департамента threat intelligence экспертного центра безопасности Positive Technologies зафиксировали рост активности киберпреступных группировок и хактивистов против российских организаций. Основным вектором атак оставались фишинговые письма, как по распространённым сценариям, так и с использованием уязвимостей нулевого дня. Отмечен рост вредоносных файлов, код которых частично генерировался нейросетями: применяя доступные AI-сервисы, злоумышленники быстро модифицировали модули для обхода защитных систем.

Группировка TA Tolik рассылала архивы с вредоносным файлом, замаскированным под официальный документ или уведомление от госорганов. При открытии на устройстве жертвы запускался набор скриптов, которые маскировались под легитимное ПО, создавали задачи в планировщике и добавляли код в реестр Windows. Зловред активировался только в процессе выполнения, что затрудняло его обнаружение.

Группа Sapphire Werewolf использовала бесплатный легитимный сервис для отправки больших файлов. Их вредонос проверял, не находится ли он в песочнице, и прекращал работу, если фиксировал запуск в изолированной среде. PhaseShifters применяла схожую технику: перед выполнением вирус оценивал наличие средств защиты у жертвы и адаптировал дальнейшие действия, распространяясь через письма от имени Минобрнауки.

Хактивисты также усилили активность. Сообщество Black Owl провело кампанию, приуроченную к транспортно-логистическому форуму, распространяя вредонос через поддельные сайты, имитирующие страницы организаторов.

Как отмечают в компании, хактивисты чаще всего взламывают небольшие сайты — онлайн-магазины, блоги, региональные медиа. На таких ресурсах размещают пропаганду, перенаправляют трафик на фишинговые страницы или встраивают вредоносный код для дальнейших атак. Некоторые APT-группы используют эти сайты в многоступенчатых кампаниях, а часть злоумышленников продаёт доступ на теневом рынке.

Эксперты напоминают: первые признаки фишинга — незнакомый или подозрительный адрес отправителя, срочные просьбы, упоминание государственных или надзорных органов. Пользователям советуют проверять письма перед открытием вложений, а компаниям — выстраивать эшелонированную систему защиты и регулярно тестировать её эффективность.