Symantec: до половины инфраструктурных компаний сталкиваются с политическими ИТ-атаками

Symantec: до половины инфраструктурных компаний сталкиваются с политическими ИТ-атаками

Крупнейшая антивирусная компания Symantec провела опрос 1600 компаний, работающих в различных критически важных инфраструктурных системах. По итогам опроса выяснилось, что 53% респондентов сталкивались с так называемыми политически мотивированными атаками на их кибер-ресурсы. В целом аналитики Symantec говорят, что за последний год масштабы и изощренность политически мотивированных атак поднялись на качественно новый уровень и в большинстве случаев они проводятся хорошо подготовленными и довольно опытными группами.



В Symantec говорят, что в августе этого года крупнейшие клиенты компании сообщили о 1580 случаев нападения на их ИТ-ресурсы с целью вывода из строя ИТ-систем, кражи закрытых государственных данных, саботажа и проч. Антивирусная компания выделяет шесть критически важных областей, работая в которых компании имеют повышенные шансы стать объектом хакерского воздействия.

Из 1600 опрошенных компаний Symantec выделила чуть более половины и эта часть респондентов заявила, что за последние 5 лет они примерно 10 раз сталкивались с политически-мотивированными атаками, то есть в среднем компания, работающая в критически важной сфере экономики или государства, дважды в год подвергается подобным нападениям.

Интересно отметить, что среди компаний-поставщиков критически важных ИТ-сервисов 31% заявили, что они "очень хорошо" готовы у атакам хакеров, еще около 60% сказали, что они "достаточно неплохо" готовы отразить нападения. В качестве лучших методов диагностики эксперты называют обучение персонала, обмен данными и коллегами по отрасли и постоянные процедуры аудита безопасности.

Отдельно Symantec отмечает, что бизнесу необходимо наладить тесный контакт с правительствами своих стран для обмена данными, но пока этого нет, более того подавляющее большинство компаний заявило, что не готово делиться своими сведениями с чиновниками.

http://www.cybersecurity.ru

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В npm нашли пакет, ставивший AdaptixC2 на компьютеры разработчиков

Специалисты «Лаборатории Касперского» в октябре 2025 года обнаружили в популярном репозитории npm злонамеренный пакет под названием https-proxy-utils. Он маскировался под легитимные библиотеки для работы с прокси, но внутри прятал постинсталляционный скрипт, который загружал и запускал AdaptixC2.

AdaptixC2 представляет собой опенсорсный фреймворк командования и управления, похожий на Cobalt Strike и уже используемый в реальных атаках. Пакет уже удалён из npm.

Схема выглядела просто и опасно: название пакета имитировало привычные пакеты с похожими именами, поэтому разработчики могли взять его по невнимательности.

После установки вредоносный скрипт скачивал компонент AdaptixC2 и разворачивал его на машине жертвы, давая злоумышленникам удалённый доступ, возможность управлять файлами и процессами и закрепляться в системе для дальнейших действий.

Авторы кампании подстраивали способ доставки в зависимости от операционной системы жертвы: на Windows использовались техники, позволяющие запустить вредоносную библиотеку вместе с легитимным приложением (DLL sideloading), а для Linux и macOS применялись свои варианты загрузки и запуска. Именно такая адаптивность делает подобные цепочки особенно коварными.

«Инцидент с AdaptixC2 показывает, что хранилища опенсорс-пакетов всё чаще используют как вектор атак», — отмечает Владимир Гурский из «Лаборатории Касперского. — Злоумышленники применяют более изощрённые приёмы маскировки известных инструментов, а техники вроде sideloading становятся всё более популярны. Без современных средств защиты такие кампании тяжело обнаружить».

Что это значит для разработчиков и компаний? Во-первых, даже пакет с «правильным» названием не гарантирует безопасность — стоит внимательнее относиться к новым зависимостям и проверять, какие скрипты выполняются при установке.

Во-вторых, автоматические проверки и сканеры зависимостей в CI/CD помогают ловить подозрительные действия. И, конечно, на конечных машинах полезны средства мониторинга и EDR, которые заметят необычную сеть- или процессную активность.

Несколько простых правил, которые помогут снизить риск: использовать lock-файлы и проверенные версии библиотек, ограничивать права среды сборки, включать анализ зависимостей в пайплайны, не запускать установку пакетов под правами админа без необходимости и регулярно сканировать проекты на предмет подозрительных скриптов.

Случай с https-proxy-utils — ещё один напоминание: опенсорс полезен и удобен, но требует осторожности. Проверяйте пакеты и следите за зависимостями — ведь одно случайное «npm install» может дорого обойтись.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru