Ресерчеры из Лаборатории Касперского выкатили отчет с обзором активности APT и финансово мотивированных атак на промышленные предприятия и объекты критической инфраструктуры, раскрытых в первом квартале 2025 года.

Не вдаваясь в детали, выделим основные отмеченные исследователями по итогам квартала тренды.

На корейском направлении исследователи отмечают риски атак на цепочки поставок. На этот раз целью стал местный разработчик VPN-решения.

Пострадала как минимум одна промышленная компания - производитель полупроводниковой продукции.

В двух инцидентах задействовались 0-day в ходе атак на промышленные организации - один касался уязвимости 7-Zip, а другой - 0-click в MS Windows.

Разработчик отказался исправить последнюю уязвимость, хотя она была отслежена в нескольких вредоносных кампаниях, самая ранняя из которых произошла в 2017 году.

Техника использования файлов-полиглотов, которые создаются из данных разных форматов таким образом, что их интерпретируют разные легитимные интерпретаторы, внезапно стала популярной среди злоумышленников.

Исследователи Proofpoint сообщили об одной такой кампании с участием полиглотов PDF/HTA и PDF/ZIP, в то время как эксперты ЛК предупредили о другой - участием полиглота PE/ZIP.

Еще одна история - это сложные методы кражи данных аутентификации на этапах бокового перемещения. Подчеркивается необходимость для постоянно проверять периметр промышленных предприятий на предмет признаков потенциальной компрометации.

Настоятельно рекомендуем ознакомиться всем, кто интересуется APT-тематикой.

Фактурно в новом обзоре раскрыты:

- атаки SalmonSlalom, нацеленные на организации в Азиатско-Тихоокеанском регионе с помощью фишинга и FatalRAT;

- вредоносная кампания по доставке VIP Keylogger, ориентированная на инжиниринговые компании в Азиатско-Тихоокеанском регионе;

- новейшая виктимология и арсенал SideWinder;

- фишинговая кампания Squid Werewolf с финальной нагрузкой - VeilShell;

- деятельность связанной с Китаем APT PlushDaemon, которой удалось провернуть атаку на цепочку поставок южнокорейского VPN IPany;

- атаки на маршрутизаторы Juniper и VPN-шлюзы с использованием J-magic;

- использование Shadowpad для для развертывания ранее не документированного семейства ransomware;

- новая кампания атак под названием RevivalStone, организованная группой Winnti;

- новые кампании китайской APT Lotus Blossom на Филиппинах, во Вьетнаме, Гонконге и Тайване с обновленным бэкдором Sagerunex;

- TTPs впервые замеченного китайскоязычного злоумышленника Earth Alux;

- удары по российским научно-производственным предприятиям, предпринимаемые Sticky Werewolf;

- особенности кибершпионажа Rezet (Rare Wolf) на российском, белорусском и украинском направлениях;

- задействование CVE-2025-0411 для развертывания вредоносного ПО SmokeLoader в кампании, нацеленной на украинские организации;

- атаки на российские компании со стороны группировки Mythic Likho;

- новые активности группы ReaverBits;

- разоблачение ранее неизвестной APT-группы под названием Telemancon;

- разбор инструментария и волны новых целевых атак Head Mare;

- описание инциированной подгруппой Seashell Blizzard кампании BadPilot;

- атаки с использованием GoGo Exfiltration;

- расследование новой APT-атаки под названием NGC4020;

- препарирование нового злоумышленника, получившего название Desert Dexter;

- деятельность UNK_CraftyCamel;

- атаки с использованием загрузчика вредоносного ПО под названием MintsLoader, а также уязвимости ZDI-CAN-25373;

- IOC и TTPs программы-вымогателя Ghost (Cring).

В общем, полная версия отборной аналитики - здесь.