Raport CrowdStrike 2025 dotyczący wykrywania zagrożeń, część 2: Najbardziej inwazyjni przeciwnicy i ich taktyki

Po moim wstępnym wpisie na temat raportu CrowdStrike 2025 Threat Hunting Report: link , przechodzimy teraz do sedna danych.

Najbardziej inwazyjni przeciwnicy

Raport zwraca uwagę na dziesiątki podmiotów sponsorowanych przez państwo, #eCrime i #hacktivist działających we wszystkich głównych regionach:

🔹 Kampanie sponsorowane przez państwo – np. GENESIS PANDA, MURKY PANDA, GLACIAL PANDA, VENOMOUS BEAR, FAMOUS CHOLLIMA, SUNRISE PANDA

Skupiają się na rządzie, energetyce, produkcji, telekomunikacji i opiece zdrowotnej.

Ich celem jest szpiegostwo, długoterminowy dostęp i przewaga geopolityczna.

🔹 Liderzy cyberprzestępczości – np. SCATTERED SPIDER, PLUMP SPIDER, VICE SPIDER, MUTANT SPIDER, PUNK SPIDER

Ich celem jest handel detaliczny, finanse, technologia, usługi i nieruchomości.

Motywowani zyskiem finansowym, często wykorzystują oprogramowanie ransomware lub zajmują się kradzieżą danych w celu ich sprzedaży.

🔹 Specjalizacja regionalna – niektóre grupy dominują w określonych regionach geograficznych.

Wiele grup atakuje sektor usług, doradztwa i usług profesjonalnych, co wskazuje, że zaufane strony trzecie pozostają kluczowym wektorem ataku umożliwiającym dostęp do wielu klientów niższego szczebla.

MITRE ATT&CK

Analiza najczęściej stosowanych technik ujawnia trzyetapowy schemat ataku:

1️⃣ Wstępny dostęp

Ważne konta – naruszone dane uwierzytelniające pozostają jedynym punktem wejścia.

Wykorzystanie aplikacji publicznych – wykorzystanie luk w zabezpieczeniach systemów podłączonych do Internetu.

2️⃣ Wykonanie i trwałość

Interpreter poleceń i skryptów – automatyzuje działania po wykorzystaniu luki.

Zaplanowane zadania/prace – utrzymuje trwałość bez wywoływania alertów.

Powłoki internetowe – zapewniają zdalne sterowanie przejętymi serwerami.

3️⃣ Eskalacja uprawnień i omijanie zabezpieczeń

Wstrzykiwanie procesów – osadza złośliwy kod w legalnych procesach.

Narzędzia do wyłączania/modyfikacji – neutralizuje EDR, rejestrowanie i kontrole bezpieczeństwa.

Zaszyfrowane/zaciemnione pliki – ukrywa ładunki przed skanowaniem.

Inne zaobserwowane krytyczne fazy:

Ruch boczny – dominują RDP, udziały SMB i usługi zdalne.

Wpływ – szyfrowanie danych przez oprogramowanie ransomware pozostaje głównym celem.

To połączenie mapowania przeciwników i MITREATTACK ma kluczowe znaczenie, ponieważ łączy to, kto atakuje, z tym, w jaki sposób atakuje. Nadużywanie poświadczeń i wykorzystywanie tożsamości dominuje w każdej kategorii przeciwników, co sprawia, że bezpieczeństwo tożsamości i zarządzanie dostępem uprzywilejowanym są niepodważalne. Mapa celów potwierdza również trudną prawdę: łańcuch dostaw i dostawcy usług są głównymi punktami ataku, wykorzystywanymi zarówno przez grupy przestępcze, jak i państwowe.

Autor: Sebastian Burgemejster