Целевые кибератаки на японские компании в 2024 году: новые угрозы

Одной из ключевых угроз в отчете названы уязвимости нулевого дня в VPN-решениях, которые остаются популярным инструментом хакеров для первоначального проникновения. В январе 2025 года злоумышленники использовали уязвимость CVE-2025-0282 в Ivanti Connect Secure, останавливая пересылку syslog-сообщений, что затрудняло обнаружение атаки. После этого они внедряли вредоносные бэкдоры, такие как SPAWN и Gh0stRAT, позволявшие им долгое время оставаться незамеченными. Около 50% пострадавших организаций столкнулись с латеральным перемещением атакующих из филиалов в Юго-Восточной Азии в корпоративные сети головных офисов. Это привело к несанкционированному доступу к контроллерам домена, что могло обернуться полной компрометацией инфраструктуры. Важно отметить, что злоумышленники активно используют кастомизированные версии BusyBox для шифрования трафика, а также веб-шеллы (WebShell), что усложняет их обнаружение.

Еще одной тревожной тенденцией стал рост использования USB-устройств в качестве инструмента кибератак. В июне 2024 года хакерская группа Mustang Panda провела атаку на производственное предприятие в Юго-Восточной Азии, распространяя вредоносное ПО PlugX через зараженные USB-накопители. Устройства были сконфигурированы для автоматического запуска при подключении, а для обхода систем защиты применялась техника подмены легитимных файлов (DLL side-loading). Аналогичные методы использует и группа TELEBOYi, что делает USB-носители серьезным вектором угрозы. Macnica рекомендует компаниям ограничить использование USB-устройств в зарубежных филиалах, если это не является критически важным для бизнеса.

Особую опасность представляют атаки, нацеленные на криптовалютные компании. Группа Famous Chollima активно использует социальную инженерию, предлагая разработчикам фиктивные высокооплачиваемые проекты через LinkedIn. В рамках операции «Contagious Interview» злоумышленники заражали жертв вредоносным ПО BeaverTail через поддельные пакеты Node.js. С мая 2024 года количество похищенных криптокошельков увеличилось с 9 до 21, что свидетельствует о росте масштабов таких атак.

На этапе пост-компрометации хакеры все чаще применяют тактики Living Off The Land (LotL), используя легитимные системные инструменты для вредоносной деятельности. Это усложняет их обнаружение, поскольку команды вроде whoami, net group или доступ к файлу ntds.dit выглядят как обычная административная активность. В производственной компании после эксплуатации уязвимости FortiGate атакующие успешно применяли PSEXEC для поддержания доступа, а их действия были выявлены только благодаря глубокому анализу журналов в Splunk.

Социальная инженерия остается одним из наиболее эффективных инструментов киберпреступников. Группы, связанные с КНДР, разработали новую схему вербовки разработчиков через соцсети под видом «технического тестирования», что в итоге приводит к заражению систем. Также растет число фишинговых атак с использованием deepfake-технологий. Например, злоумышленники создают фальшивые экраны технической поддержки, такие как «ClickFix», или используют синтезированный голос в вишинговых атаках (vishing). В условиях роста подобных угроз критически важно усилить обучение сотрудников, особенно в финансовом и Web3-секторах, где пересмотр процедур верификации личности при найме становится необходимостью.

Управление уязвимостями остается слабым звеном многих компаний. Уровень непропатченных публичных серверов в Азии составляет 57%, что значительно выше, чем в Европе и США (25%). Продукты Ivanti и Fortinet фигурируют в 68% случаев компрометации VPN. В одном из инцидентов злоумышленники эксплуатировали уязвимость CVE-2024-55591, создавая поддельные учетные записи и используя синхронизацию настроек для обеспечения персистентности. Macnica отмечает, что установка патчей недостаточна: требуется мониторинг с использованием инструментов проверки целостности (ICT) и их интеграция с SIEM.

Кроме того, растут риски, связанные с интеграцией скомпрометированных устройств в сети ORB (Operational Relay Box), которые используются как плацдармы для атак на другие компании. Только в 2024 финансовом году зафиксировано 14 таких случаев.

IPv4

• 139.84.137.8
• 173.211.106.101
• 185.239.226.5
• 207.180.206.216
• 3.112.192.119

URLs

• http://139.162.38.102
• http://147.124.214.129:1244
• http://192.46.215.56

SHA256

• 161fd76c83e557269bee39a57baa2ccbbac679f59d9adff1e1b73b0f4bb277a6
• 1dd64c00f061425d484dd67b359ad99df533aa430632c55fa7e7617b55dab6a8
• 2b5a821407a0b1a6d4e5d1c59826a386a6de062af13e2f5f7c8e9b27a341a9d6
• 362b0959b639ab720b007110a1032320970dd252aa07fc8825bb48e8fdd14332
• 3bbadd3cbe848c09c8136e3320978c0926ebc2e8ec3ca466861722c093acfa2f
• 47f7c7a137500ba6e1102e34d4c4239cd5970a685a7e5174ebe559988e9052cf
• 488201c08219f5cbd79d16702fb909d4e8ad8fa76819a21e0f262e2935e58dd2
• 4a9c479111bb13a01e4900c5112fee7641dc1e52712a5238ed4b1977c7edc886
• 51f40132bcfa822f5bea009f96f1e433b5255e563f1bd3a44c0c4b27707f83f3
• 6f7e2148a5d20c17780a80e9bc9a1982f80820d5340a77e11beed940124eadd7
• 77c9de359ef536edf166ccf6f99138ade17ae5fc21120e7d8bb7ef0ed86ea980
• 88649e3b341a1f8b11ae2f535bff0c24c1582604eafbd3df79044374bab6ba17
• b1221000f43734436ec8022caaa34b133f4581ca3ae8eccd8d57ea62573f301d
• c86b0045f2aa3c398f712517419cff164a4cf4de8268b04370adddd0d4054fc4
• ce80a75d1dc940502c8a99a9ffdaaae9679874f79a0f48a85e2daab2264600da
• dca07176220b5831fe1fbe0c056fffb78f4c561bd24f6d85a74a2b1cc6146913
• f23246ca0d8a71ae02c88a8b2cb07ed69f38e74d5e1a0b2f130a3f4ae9ef369a
• f48857263991eea1880de0f62b3d1d37101c2e7739dcd8629b24260d08850f9c
• f9c6e5c3d5349a47e51c11e9e8e537bd803ed6f793136c2f7dfc1f5028c0079e

• cyberespionage_report_2024.pdf