Advanced Persistent Threat (APT) остается одной из наиболее сложных и опасных киберугроз современности. В 2025 году APT-атаки участились на 27%, при этом 43% из них направлены против государственных организаций. Детальный разбор реальной кампании показывает, что успех таких операций зависит от тщательно спланированной многоэтапной стратегии, использования передовых техник и длительного скрытого присутствия в инфраструктуре жертвы.   Фаза 1: Разведка и планирование стратегии Первый этап APT-кампании может длиться от нескольких месяцев до нескольких лет. Злоумышленники детально изучают свою цель через открытые источники: сайты госзакупок, корпоративные пресс-релизы, профили сотрудников в социальных сетях. В реальном кейсе группировки Cobalt, атакующие использовали информацию об уязвимости CVE-2018-15982 всего через 34 часа после её публикации. Современные APT-группы применяют OSINT-техники для составления подробного профиля организации: структуру IT-инфраструктуры, используемое ПО, контактную информацию ключевых сотрудников. Особое внимание уделяется системам защиты — например, информация о закупленных средствах ИБ доступна на сайтах госзакупок.   Фаза 2: Первоначальное проникновение В 87% случаев APT-группировки начинают атаку с целенаправленного фишинга.Злоумышленники создают персонализированные письма, используя собранную на этапе разведки информацию. Письма содержат вредоносные вложения, замаскированные под легитимные документы — приказы, резюме, методические указания. Альтернативным вектором атаки являются drive-by compromise и watering hole атаки, применяемые 27% группировок. Злоумышленники компрометируют сайты, которые посещают сотрудники целевых организаций. Статистика показывает, что каждый пятый сайт может быть использован как платформа для размещения вредоносного ПО.   Фаза 3: Закрепление и развитие присутствия После получения первоначального доступа злоумышленники устанавливают backdoor для долгосрочного присутствия в сети. Средний срок скрытого пребывания APT-группы в инфраструктуре составляет 203 дня. На этом этапе активно используются техники MITRE ATT&CK: T1190 (эксплуатация публично доступных приложений) и T1566 (фишинг).   Фаза 4: Lateral Movement и повышение привилегий Злоумышленники используют техники перемещения внутри периметра для расширения своего присутствия. Наиболее популярными методами являются внедрение вредоносного кода в память легитимного процесса и обход механизма User Access Control. Атакующие осуществляют нелегитимное подключение к системам по протоколу RDP и анализируют внутреннюю структуру организации.   Реальный кейс: атака на турецкую оборонную компанию В июне 2025 года группа Stealth Falcon провела сложную кибератаку на турецкую оборонную компанию, используя уязвимость нулевого дня CVE-2025-33053. Через специально сформированный .url-файл в фишинговом письме злоумышленники использовали легитимную утилиту Windows для запуска вредоносного ПО с удалённого WebDAV-сервера.

Меры противодействия на каждом этапе Противодействие разведке: мониторинг внешних сканирований периметра, контроль информации в открытых источниках, honeypot-системы для выявления попыток разведки. Защита от проникновения: современные email security gateway, регулярные симуляции фишинга, многофакторная аутентификация, endpoint protection с поведенческим анализом. Предотвращение закрепления: application whitelisting, контроль выполнения в PowerShell, мониторинг изменений в автозагрузке, блокировка подозрительного сетевого трафика. Ограничение lateral movement: микросегментация сети, системы UEBA для выявления аномальной активности пользователей, контроль привилегированного доступа.   Современные технологии защиты Эффективное противодействие APT требует многоуровневого подхода. Необходимо использовать межсетевые экраны, антивирусы, системы обнаружения вторжений (IDS/IPS) и современные решения класса EDR/XDR. По статистике, 47% организаций приоритизируют внедрение XDR/EDR-систем для защиты от APT.