Старые уязвимости — новые возможности для злоумышленников
Сроки эксплуатации уязвимостей в корпоративных средах продолжают сокращаться: недавно раскрытые недостатки начинают активно использоваться почти мгновенно, а старые уязвимости остаются актуальными спустя годы после их обнаружения.
(Источник: Cisco Talos)
Результаты обзора Cisco Talos за 2025 год показывают, как злоумышленники сочетают быстрое внедрение новых методов с долгосрочными угрозами, затрагивающими инфраструктуру, системы идентификации и рабочие процессы пользователей.
Наиболее атакуемые уязвимости демонстрируют скорость и устойчивость угроз
Недавно обнаруженные уязвимости почти без задержек переходили в стадию активной эксплуатации. React2Shell стала самой атакуемой уязвимостью 2025 года, несмотря на то что была раскрыта в декабре, что иллюстрирует, насколько быстро злоумышленники начинают использовать новые недостатки.
В то же время старые уязвимости оставались активными. Уязвимости Log4Shell оставались в десятке наиболее атакуемых, подчёркивая непрерывную эксплуатацию с 2021 года, поскольку Log4j по-прежнему встроен в корпоративные приложения, интеграции сторонних разработчиков, устаревшие системы и интернет-сервисы.
«Компоненты вроде PHPUnit, ColdFusion и Log4j часто оказываются глубоко встроенными в приложения, где защитники могут даже не подозревать об их существовании, и/или тесно связаны с устаревшими приложениями, что делает обновления разрушительными и ресурсоёмкими», — предупреждают исследователи.
Долгосрочные риски также проявились в общих тенденциях по уязвимостям. Почти 40% наиболее атакуемых уязвимостей затрагивали устройства, поддержка которых прекращена, а 32% уязвимостей имели возраст не менее 10 лет. Эти цифры указывают на сохраняющийся разрыв между жизненными циклами продуктов у вендоров и практиками установки исправлений в компаниях.
Злоумышленники продолжали фокусироваться на масштабируемых слабостях. Около 25% уязвимостей затрагивали широко используемые фреймворки и библиотеки, а 23% напрямую воздействовали на сетевое оборудование, такое как VPN-устройства и межсетевые экраны.
Тип уязвимости также имел значение. Удалённое выполнение кода составляло 80% от топ-100 уязвимостей, что отражает предпочтение недостатков, позволяющих получить прямой доступ без необходимости взаимодействия с пользователем.
Talos проанализировал, на каком уровне стека находятся уязвимости, чтобы понять масштаб их потенциального воздействия. Большинство из 50 главных уязвимостей сетевой инфраструктуры, около 66%, затрагивают прошивки устройств и, как правило, остаются ограниченными конкретными моделями оборудования.
Меньшая доля уязвимостей затрагивает общие платформы, встроенные сервисы или системы управления, и они несут более широкие последствия. Платформенное программное обеспечение составляет 14% от общего числа CVE, однако единая уязвимость может одновременно подвергать риску маршрутизаторы, коммутаторы и контроллеры.
Активность программ-вымогателей сосредоточена на идентификации и постоянстве
Активность программ-вымогателей оставалась стабильной, при этом злоумышленники сохраняли неизменные модели выбора целей и операционные методы. Производственный сектор оставался наиболее атакуемым из-за низкой терпимости к простоям и широкой поверхности атаки.
Группа Qilin стала самой активной группой программ-вымогателей в 2025 году, на неё пришлось 17% публикаций на сайтах утечек данных, за ней следуют Akira с 10% и Play с 6%.
Январь зафиксировал самый низкий объём активности программ-вымогателей как в 2024, так и в 2025 году, с увеличением в более поздние месяцы.
Возможно, командам безопасности стоит рассмотреть возможность тестирования защиты от программ-вымогателей в месяцы с обычно более низким уровнем активности, например, в январе, так как в это время меньше шансов помешать реальным инцидентам.
Идентификация играла центральную роль в операциях с программами-вымогателями. Распространённые техники полагались на действительные учётные записи на нескольких этапах жизненного цикла атаки, поддерживаемые такими инструментами, как RDP, PsExec и PowerShell, которые требуют учётных данных пользователя.
Атаки на MFA концентрируются на системах идентификации
Многофакторная аутентификация стала основной целью, при этом злоумышленники сосредоточились как на массовых, так и на целенаправленных методах.
Массовые атаки на MFA были сфокусированы на системах идентификации. В 2025 году 30% таких атак были направлены на приложения управления идентификацией и доступом, что выше 24% в 2024 году. На технологические компании пришлось 36% активности массовых атак на MFA из-за предсказуемых шаблонов входа и стандартизированных сред.
Более целенаправленные методы также участились. Мошеннические события регистрации устройств выросли на 178% с 2024 по 2025 год. Эти атаки позволяют противникам зарегистрировать собственное устройство как доверенный фактор аутентификации, обеспечивая постоянный доступ.
Регистрация под управлением администратора составила 77% случаев компрометации устройств, по сравнению с 12% для регистрации под управлением пользователя и 5% для регистрации, инициированной по ссылке.
Выбор отраслей для атак варьировался в зависимости от типа атаки. Высшее образование заняло первое место по атакам на компрометацию устройств, что обусловлено разнообразными и неуправляемыми средами устройств, в то время как массовые атаки концентрировались в секторах с последовательной практикой идентификации.
Угрозы по электронной почте соответствуют бизнес-процессам
Электронная почта оставалась основным вектором проникновения, причём фишинг использовался в 40% случаев реагирования на инциденты. Злоумышленники также повторно применяли фишинг после первоначального доступа: в 35% фишинговых атак наблюдалась внутренняя переписка со скомпрометированных учётных записей.
В одном из кварталов 75% фишинговых вторжений начинались с доверенных аккаунтов, что повышало вероятность взаимодействия пользователей.
Основные темы приманок оставались стабильными. Около 60% наиболее частых тем в фишинговых письмах совпадали с теми, что наблюдались в 2024 году, включая язык, связанный со счетами, оплатами и встречами.
Термины, связанные с путешествиями, такие как «аэропорт», «маршрут» и «посадка», стали встречаться чаще, что отражает нацеленность на корпоративные процессы организации поездок. Техническая лексика также стала более распространённой, включая термины «ошибка», «домен» и «конфигурация», которые соответствуют сообщениям об операциях в IT-сфере.
Отдельной тенденцией стало злоупотребление инфраструктурой. Злоумышленники использовали функцию Microsoft 365 Direct Send для подделки внутренних адресов электронной почты без взлома учётных записей, что позволяло сообщениям обходить стандартные проверки аутентификации.
Искусственный интеллект расширяет возможности злоумышленников
ИИ продолжал влиять на поведение атакующих, не заменяя при этом существующие методы. ИИ снизил барьеры для социальной инженерии и позволил осуществлять более убедительную имитацию с помощью технологии дипфейков.
Организации столкнулись с новыми категориями рисков, связанных с использованием ИИ, включая инъекцию промптов и манипуляцию контекстом. В то же время защитники применяли ИИ для сортировки оповещений и корреляции активности в различных средах.