Экспертный анализ киберугроз : Октябрь 2025

Home Экспертный анализ киберугроз : Октябрь 2025

Обзор киберугроз октября 2025: Почему атаки становятся проще, а защита — сложнее

«Современный киберпреступник не всегда гениальный хакер. Чаще — это прагматик, который ищет путь наименьшего сопротивления. Социальная инженерия, устаревшее ПО, злоупотребление доверенными системами вроде OAuth — вот его главные инструменты. Если ваша инфраструктура или корпоративная культура безопасности оставляет хотя бы один из этих векторов открытым, вы уже в зоне риска.

Октябрь 2025 года наглядно это демонстрирует: от внутренних разборок хакерских группировок до угона сессий искусственного интеллекта. Давайте разберемся, какие тренды определяют ландшафт угроз и как ваша компания может укрепить оборону».

— Матусевич Сергей, руководитель центра мониторинга и реагирования на инциденты.

Главные тренды месяца: 3 ключевых вывода для бизнеса

Прежде чем погрузиться в детали, выделим общие тенденции, которые задают тон всему месяцу:

  1. Война друг с другом: Внутренние конфликты в киберпреступных группах стали мощным дестабилизирующим фактором.
  2. Атаки через доверенные системы: Злоумышленники все реже «взламывают» и все чаще «авторизуются», используя уязвимости в OAuth, цепочках поставок и легитимных инструментах.
  3. AI — новая атакуемая поверхность: С распространением AI-инструментов появились и абсолютно новые векторы атак, такие как угон AI-сессий и инъекция в промпты.

Детальный разбор ключевых инцидентов

1. Внутренняя война хакеров: как доксинг обрушил рынок стилеров

Что произошло: Активность известного информационного вора Lumma Stealer резко снизилась после того, как в сети были раскрыты личности ключевых членов его команды. Кампания доксинга «Lumma Rats» обнародовала их персональные данные, финансовые записи и пароли.

Экспертное мнение: «Это классический пример того, как внутренние конфликты в преступной среде могут нанести больший урон, чем действия правоохранителей. Клиенты Lumma массово перебежали к конкурентам, что подорвало доверие и коммерческую жизнеспособность проекта. Для защитников это — окно возможностей: ослабление одной угрозы и ценная информация о внутренней кухне противника».

Пока Lumma был в упадке, на сцену вышел его конкурент.

Аспект Lumma Stealer (в упадке) Vidar Stealer 2.0 (на подъеме)
Технологии Устаревшая архитектура Переписан на C, многопоточность для скорости
Обход защиты Стандартные методы Инъекция в память для обхода encryption в Chrome
Обнаружение Знакомые сигнатуры Полиморфный билдер, усложняющий статический анализ
Статус Потеря доверия, проблемы с коммуникацией Активно развивается, привлекает новых клиентов

Что делать вашей компании?

  • Внедряйте EDR-решения с поведенческим анализом, а не только сигнатурным.
  • Обязательно используйте аппаратные ключи для многофакторной аутентификации.
  • Мониторьте аномальную активность в памяти процессов, особенно браузеров.

2. Фишинг нового уровня: как мошенники используют образ госчиновников

Что произошло: В Сингапуре злоумышленники использовали образы государственных чиновников в рекламе Google Ads, чтобы заманить жертв на фальшивые инвестиционные платформы.

Схема атаки:

  1. Таргетированная реклама: Платные объявления показывались только пользователям с IP-адресов Сингапура.
  2. Клоны новостных сайтов: Создано 119 доменов, имитирующих авторитетные СМИ.
  3. Агрессивный кол-центр: После заполнения формы на жертву выходили «менеджеры» с требованием внести крупные суммы.

Что делать вашей компании?

  • Внедрите мониторинг упоминаний вашего бренда в рекламных сетях.
  • Используйте сертификаты Extended Validation (EV SSL) для официальных сайтов.
  • Обучите сотрудников и клиенты правилам цифровой гигиены: всегда проверять домен и не доверять слепо рекламе.

3. Уязвимости в AI-экосистеме: угон сессий и RCE через промпты

Октябрь показал, что AI-инфраструктура стала лакомой целью для атакующих.

а) Угон AI-сессий (CVE-2025-6515)
Проблема: Критическая уязвимость в протоколе Model Context Protocol (MCP) от Anthropic позволяла предсказать или перехватить идентификаторы активных AI-сессий.
Риск: Злоумышленник мог «встревать» в диалог между пользователем и AI, подменяя ответы или инжектируя собственные команды.

б) RCE через обход human-in-the-loop
Проблема: Исследователи обнаружили, что можно обойти шаг одобрения человеком при выполнении AI-агентом чувствительных команд.
Механизм: Argument Injection — инъекция в аргументы pre-approved команд, ведущая к выполнению произвольного кода.

Экспертное мнение: «AI-агенты получают все больше полномочий в наших системах. Уязвимости, подобные этим, превращают инструмент для повышения продуктивности в троянского коня. Без надлежащей изоляции и контроля агент может стать точкой входа для полного захвата инфраструктуры».

Что делать вашей компании?

  • Изолируйте: Запускайте AI-агентов в песочницах (контейнерах) с ограниченным доступом.
  • Минимизируйте: Сократите список разрешенных для AI-агентов команд до абсолютного минимума.
  • Контролируйте: Внедрите строгий мониторинг и логирование всех действий агентов.

4. Цепочка поставок под ударом: от npm-пакетов до AI-серверов

Таблица: Инциденты цепочки поставок в октябре 2025

Объект атаки Суть инцидента Последствия
npm-пакет https-proxy-utils Вредоносный код в post-install скрипте Загрузка фреймворка AdaptixC2 для удаленного управления
AI-сервис Smithery.ai Ошибка конфигурации (path traversal) Утечка админ-доступа к 3000+ AI-серверам и клиентским секретам
AI-IDE Cursor & Windsurf Устаревшие компоненты Electron (94 уязвимости) Риск для 1.8 млн разработчиков и их supply chain

Что делать вашей компании?

  • Для разработчиков: Используйте npm install --ignore-scripts для проверки подозрительных пакетов. Внедрите инструменты Software Composition Analysis (SCA).
  • Для DevOps: Регулярно проводите аудиты конфигураций и используйте системы управления секретами (HashiCorp Vault).
  • Для всех: Создайте белые списки одобренных зависимостей и библиотек.

5. Безфайловые атаки: ransomware на чистом SQL и злоупотребление OAuth

Тренд: Атакующие все чаще обходятся без вредоносных файлов, используя легитимные инструменты и доступы.

а) Ransomware через SQL-команды
Схема: Злоумышленники находят в интернете открытые серверы баз данных (MongoDB, PostgreSQL). Подключившись, они копируют данные, шифруют или удаляют оригиналы, оставляя ransom note прямо в БД.
Почему это работает: Не требуется загружать вредоносные бинарники, что обходит сигнатурные антивирусы.

б) Персистентность через OAuth-приложения
Схема: С помощью фишинга злоумышленники получают доступ к учетной записи Microsoft. Затем они регистрируют в tenant вредоносное OAuth-приложение, которое сохраняет доступ даже после сброса пароля жертвы.
Почему это опасно: OAuth-приложения воспринимаются системой как доверенные, а стандартные процедуры безопасности их не затрагивают.

Что делать вашей компании?

  • Аудит: Регулярно проверяйте список зарегистрированных OAuth-приложений и их разрешения.
  • Доступ: Никогда не открывайте базы данных напрямую в интернет. Используйте VPN и бастион-хосты.
  • Мониторинг: Внедрите решения для мониторинга активности в базах данных и облачных средах.

Итоги и стратегические рекомендации для CISO

Октябрь 2025 года подтвердил: эпоха «взлома» уходит в прошлое. На смену приходит эра обмана, злоупотребления и угона.

Ключевые выводы:

  1. Доверяй, но проверяй. Любая доверенная система (OAuth, цепочка поставок, AI-агент) может быть использована против вас.
  2. Патчинг — основа основ. Простые ошибки в конфигурациях и устаревшие компоненты — главные союзники атакующего.
  3. Защита смещается к поведенческому анализу. Когда атаки не оставляют файловых артефактов, только анализ поведения и аномалий может их выявить.

План действий для вашей компании:

Срочно (1-2 недели) Среднесрочно (1-3 месяца) Стратегически (6+ месяцев)
• Провести аудит OAuth-приложений и выдатьть критические уязвимости (python-socketio, MCP).
• Проверить, нет ли в открытом доступе корпоративных БД.		 • Внедрить принципы Zero Trust для AI-агентов и автоматизации.
• Запустить программу безопасности цепочки поставок.
• Обучить сотрудников новым векторам фишинга (SVG, скрытый текст).		 • Внедрить AI-augmented Security Operations с человеческим контролем.
• Сфокусироваться на устойчивости (Resilience), а не только на предотвращении.
• Регулярно проводить упражнения Red Team.

Финальный комментарий эксперта:

«Каждый из этих инцидентов учит нас одному: атакующие не пробивают стены, они ищут открытую калитку. Разница между тем, чтобы стать заголовком и остаться в строю, определяется скоростью вашей реакции, качеством изоляции сегментов и культурой тотальной верификации. Пересмотрите свою защиту сегодня — потому что сценарии для утечек следующей недели уже пишутся в упущенных из виду ошибках настоящего».