🕵️ Изучите реальные кейсы расследований Solar 4RAYS
В 2025 APT-группировки продолжают менять стиль работы. Их атаки становятся точнее, инструменты — разнообразнее, а цели — более избирательными. Для SOC это значит, что простых индикаторов уже недостаточно. Важно видеть, как именно действует атакующий.
Центр исследования киберугроз Solar 4RAYS как раз собирает такую информацию. Эксперты круглосуточно следят за десятками группировок, фиксируют их тактики и переводят наблюдения в правила и индикаторы Solar TI Feeds. Благодаря этому SOC получает не сырые сигналы, а готовые сценарии для быстрой реакции.
В материале — пять тенденций 2025 года, которые Solar 4RAYS отмечает в своей работе и которые особенно важны для SOC-команд
Фокус на отраслях, а не на всех подряд
В первом полугодии 2025 года число атакованных индустрий заметно сократилось. Злоумышленники перестали распыляться и сосредоточились на госсекторе, промышленности, ИТ и медицине — там, где ценность украденных данных выше всего.
Эксперты Solar 4RAYS видят это в реальных расследованиях: именно эти сферы чаще других оказываются под прицелом APT-группировок, и там атакующие закрепляются на долгий срок.
ГК «Солар» работает с организациями по всей стране — от госсектора до коммерческих компаний. За счет этого в Solar TI Feeds попадает широкая телеметрия об актуальных кибератаках и любой аномальной активности. Сервис передает не только индикаторы компрометации (IoC), но и гипотезы для обнаружения атак (IoA), чтобы SOC мог заранее замечать действия противников.
Смена лидеров среди группировок
В 2025 году распределение сил на ландшафте угроз изменилось. Четверть всех расследованных инцидентов пришлась на несколько группировок: Shedding Zmiy, Erudite Mogwai, Cloud Atlas, Goffee, XDSpy и новую — Proxy Trickster. Многие старые игроки ушли в тень или сменили тактики настолько, что их активность пока невозможно однозначно атрибутировать.
Эксперты Solar 4RAYS постоянно отслеживают изменения: анализируют новые техники, проверяют их по MITRE ATT&CK, сопоставляют с инфраструктурой атакующих. Каждое такое наблюдение проходит через верификацию и тестирование в крупнейшем коммерческом SOC в России.
Необычные точки входа
Помимо привычных уязвимостей веб-приложений и скомпрометированных аккаунтов, в расследованиях Solar 4RAYS встречались более редкие сценарии: проникновение через инфраструктуру подрядчиков и даже с участием инсайдера. Такие векторы особенно коварны: формально это «разрешенный» доступ, поэтому стандартные системы защиты почти не видят проблему. В результате злоумышленники могут закрепиться в сети на долгий срок, оставаясь незамеченными.
Каждый такой случай специалисты 4RAYS разбирают подробно. Проверяется вся цепочка атаки, сопоставляются техники с MITRE ATT&CK, моделируются способы закрепления. После этого формируются и тестируются правила детекта — чтобы быть уверенными, что они реально работают и не дают ложных срабатываний.
Маскировка и обход защитных систем
APT-группировки стараются действовать максимально скрытно. Solar 4RAYS отмечает, как атакующие отключают или модифицируют защитное ПО, маскируют свои процессы под легитимные системные службы, применяют обфускацию кода и редкие техники закрепления. Для SOC это особенно сложные сценарии: стандартные средства защиты часто не замечают подмены и пропускают вредоносную активность.
Чтобы такие атаки не оставались «невидимыми», специалисты Solar 4RAYS фиксируют и анализируют все примененные методы. На основе этого в Solar TI Feeds появляются проверенные индикаторы и сигнатуры. Они позволяют обнаруживать даже те техники, которые специально разработаны для обхода защитных систем.
Инструменты, которые постоянно обновляются
Хакерские группировки редко используют один и тот же набор инструментов долго. Они постоянно выпускают новые версии и модификации. Так, в расследованиях Solar 4RAYS за последний год выявлены десятки вариантов руткита Puma и его связки с модулем Pumatsune. Эти версии отличались механизмами маскировки, способами закрепления в системе и методами кражи данных.
Другие группировки тоже развивают свой набор средств. По данным Solar 4RAYS, Erudite Mogwai использует собственные сборки легитимных утилит, вроде кастомизированного Stowaway, и применяет новый бэкдор LuckyStrike Agent, который скрывает канал управления в OneDrive.
Эксперты Solar 4RAYS отслеживают эти изменения в реальных расследованиях, проверяют новые образцы в инфраструктурах заказчиков и оперативно переводят результаты анализа в рабочие правила. Поэтому Solar TI Feeds пополняется свежими IoC и сигнатурами сразу после выявления новых версий. SOC получает актуальные данные без задержек и может реагировать на эволюцию инструментов так же быстро, как они появляются у противника.
Как видно, APT-группировки меняют инструменты быстрее, чем обновляются стандартные сигнатуры. Без проверенных данных SOC рискует реагировать с опозданием.
Solar TI Feeds превращает опыт расследований Solar 4RAYS в рабочие правила и индикаторы. Данные проходят двойную проверку и поступают в SOC в течение 24 часов, что позволяет реагировать на атаки на старте.
Что еще отличает Solar TI Feeds:
- Живой опыт Solar 4RAYS. Центр ежедневно ведет наблюдение за десятками APT-группировок, разбирает сложные инциденты и публикует исследования.
- Собственные источники. Данные поступают с сенсоров телеком-оператора федерального масштаба — Ростелеком. А еще глобальной сети honeypot-серверов и из телеметрии Solar JSOC.
- Надежность без лишнего шума. Индикаторы проходят двойную проверку, а правила обкатываются в крупнейшем коммерческом SOC.
- Полный срез атаки. В потоках — не только IoC, но и гипотезы потенциальной вредоносной активности и индикаторы атак (IoA).
- Оперативность без формальных задержек. Как только эксперты Solar 4RAYS подтверждают, что это реальная атака, IoC сразу попадает в Solar TI Feeds. В ряде случаев это считанные минуты — например, если индикатор совпадает с техникой или инфраструктурой уже атрибутированной группировки.
- Интеграция в любой ландшафт. Фиды подключаются через API или агент и работают в SIEM, SOAR, EDR, NGFW и других решениях.
Листайте дальше, чтобы узнать, какие актуальные данные Solar TI Feeds может дать именно вашему SOC, и подключить пилот на сайте.