По итогам 2025 года специалисты Amazon Threat Intelligence представили анализ многолетней кампании, демонстрирующей значительную эволюцию в методах целевых атак на критическую инфраструктуру. Ключевым изменением стал тактический переход: в качестве основного вектора первоначального доступа теперь всё чаще выступают, по всей видимости, неверно сконфигурированные клиентские устройства на границе сети. В то же время активность по эксплуатации уязвимостей снизилась. Эта адаптация позволяет злоумышленникам достигать тех же оперативных целей - хищения учетных данных и перемещения внутри сетей жертв - при одновременном снижении собственных рисков обнаружения и затрат ресурсов.
Описание
Кампания демонстрирует устойчивую концентрацию на объектах западной критической инфраструктуры, в первую очередь в энергетическом секторе. Операции продолжаются с 2021 года по настоящее время. Анализ перекрывающейся инфраструктуры и согласованных паттернов целей с высокой степенью уверенности указывает на связь этой активности с группой, известной под названиями Sandworm, APT44 и Seashell Blizzard.
Эволюция тактики и основные цели
Мониторинг Amazon выявил устойчивое целевое воздействие на глобальную инфраструктуру в период с 2021 по 2025 год. В течение этого времени наблюдалась чёткая эволюция методов. В 2021-2022 годах фиксировалась эксплуатация уязвимости в устройствах WatchGuard (CVE-2022-26318), а также первые случаи атак на неверно настроенное оборудование. В последующие периоды, вплоть до 2024 года, отмечалась активность с использованием уязвимостей в Confluence (CVE-2021-26084, CVE-2023-22518) и Veeam (CVE-2023-27532) на фоне продолжающихся атак на сконфигурированные с ошибками устройства. К 2025 году устойчивое целевое воздействие на клиентские устройства на границе сети стало доминирующим вектором, в то время как активность по эксплуатации как новых, так и известных (N-day) уязвимостей пошла на спад.
Основными целями выступают организации энергетического сектора в западных странах, поставщики критической инфраструктуры в Северной Америке и Европе, а также компании с сетевой инфраструктурой, размещённой в облаке. Чаще всего атакам подвергаются корпоративные маршрутизаторы, VPN-концентраторы, сетевые устройства управления, платформы для совместной работы и вики, а также облачные системы управления проектами.
Фокусировка на "низко висящих плодах" - вероятно, неверно настроенных клиентских устройствах с открытыми интерфейсами управления - позволяет достичь тех же стратегических целей. Речь идёт о получении устойчивого доступа к сетям критической инфраструктуры и сборе учётных данных для доступа к онлайн-сервисам организаций-жертв. Этот сдвиг в оперативном темпе представляет собой тревожную эволюцию. Хотя атаки на ошибки конфигурации продолжаются как минимум с 2022 года, в 2025 году злоумышленники сохранили устойчивый фокус на этой деятельности, одновременно сократив инвестиции в эксплуатацию уязвимостей нулевого дня. При этом они значительно снижают риск раскрытия своих операций, поскольку эксплуатация уязвимостей часто более заметна для систем защиты.
Хищение учётных данных и работа с инфраструктурой
Хотя механизм прямого извлечения учётных данных из организаций-жертв не наблюдался, несколько индикаторов указывают на перехват пакетов и анализ трафика как основной метод сбора. Временной анализ показывает задержку между компрометацией устройства и попытками аутентификации к сервисам жертв, что указывает на пассивный сбор, а не на активную кражу. Использование именно корпоративных учётных данных, а не данных самого устройства, для доступа к онлайн-сервисам свидетельствует о перехвате трафика аутентификации пользователей. Известные методы работы группы Sandworm также постоянно включают возможности перехвата сетевого трафика. Стратегическое позиционирование на клиентских устройствах границы сети специально позволяет злоумышленникам перехватывать учётные данные при их передаче.
Телеметрия Amazon также выявила скоординированные операции против клиентских устройств границы сети, размещённых на AWS. Важно подчеркнуть, что это не связано со слабостью облачной платформы; причиной, по всей видимости, являются ошибки конфигурации со стороны клиентов. Анализ сетевых подключений показывает, что контролируемые злоумышленниками IP-адреса устанавливают устойчивые соединения со скомпрометированными EC2-инстансами, на которых работает программное обеспечение сетевых устройств клиентов. Эти соединения соответствуют интерактивному доступу и извлечению данных с нескольких затронутых инстансов.
Помимо прямой компрометации инфраструктуры жертв, наблюдались систематические атаки с повторным использованием украденных учётных данных против онлайн-сервисов организаций. В наблюдаемых случаях злоумышленники компрометировали клиентские устройства на границе сети, размещённые в AWS, а затем пытались пройти аутентификацию в онлайн-сервисах жертв, используя учётные данные, связанные с доменом этой организации. Хотя конкретные попытки были неудачными, сам паттерн - компрометация устройства с последующими попытками аутентификации - подтверждает оценку, что злоумышленники собирают данные с компрометированной инфраструктуры для их повторного использования. Через свою инфраструктуру они обращались к конечным точкам аутентификации жертв из различных организаций критического сектора в течение 2025 года, включая электроэнергетику, технологические и телекоммуникационные компании. Географический охват демонстрирует глобальный масштаб: Северная Америка, Европа и Ближний Восток.
Ответные меры и рекомендации по защите
Amazon предпринял ряд ответных действий, включая идентификацию и уведомление затронутых клиентов, обеспечение немедленного устранения последствий компрометации EC2-инстансов, обмен разведданными с партнёрами по отрасли и поставщиками затронутых решений. Благодаря скоординированным усилиям, активные операции злоумышленников были нарушены, а доступная им поверхность атаки сокращена.
В преддверии 2026 года организациям рекомендуется предпринять срочные приоритетные действия. Во-первых, необходимо провести аудит всех устройств на границе сети на предмет неожиданных файлов или утилит для перехвата пакетов, проверить конфигурации на наличие открытых интерфейсов управления, внедрить сегментацию сети для их изоляции и обеспечить строгую аутентификацию. Во-вторых, важно настроить обнаружение повторного использования учётных данных, анализируя логи аутентификации на предмет их применения как для управления сетевыми устройствами, так и для доступа к онлайн-сервисам, а также отслеживая попытки входа из неожиданных географических локаций. В-третьих, необходимо усилить мониторинг доступа, обращая внимание на интерактивные сессии к порталам администрирования с неожиданных IP-адресов и проверяя, не выставлены ли интерфейсы управления сетевых устройств в интернет по ошибке. Соблюдение этих мер позволит организациям повысить устойчивость к этой сохраняющейся угрозе.
Индикаторы компрометации
IPv4
- 103.11.190.99
- 145.239.195.220
- 185.66.141.145
- 212.47.226.64
- 213.152.3.110
- 217.153.191.190
- 51.91.101.177
- 91.99.25.54
