Добавить в корзинуПозвонить
Найти в Дзене
Secure Defence - Ваша кибербезопасность
1052 подписчика

Кампания Storming Tide: терпеливые атаки на сетевой периметр

4
12 мин
Представьте ситуацию: в понедельник утром система сигнализирует о шифровании резервных копий. При этом злоумышленники могли получить доступ к инфраструктуре задолго до этого. Как показывает практика, подобные инциденты нередко заканчиваются либо значительными финансовыми потерями, либо длительным простоем бизнеса. Кампания, зафиксированная в открытых источниках под названием «Storming Tide» (также встречается индексация как Mora_001), демонстрирует пример терпеливой многоэтапной атаки. Разберём этапы, используемые инструменты и, главное, меры защиты, которые можно применить уже сегодня. Современные кибератаки всё чаще характеризуются длительным скрытым присутствием. Злоумышленники могут оставаться в инфраструктуре месяцами, собирая данные и ожидая подходящего момента для активных действий. По данным открытых источников, в феврале 2026 года был зафиксирован инцидент: в одной из компаний обнаружили подозрительное сканирование из внутренней сети. В ходе разбора выяснилось, что следы акт
Оглавление
Обзор кампании и её признаки
Обзор кампании и её признаки

Терпеливые атаки в корпоративных сетях: анализ скрытых угроз и меры защиты


Представьте ситуацию: в понедельник утром система сигнализирует о шифровании резервных копий. При этом злоумышленники могли получить доступ к инфраструктуре задолго до этого. Как показывает практика, подобные инциденты нередко заканчиваются либо значительными финансовыми потерями, либо длительным простоем бизнеса. Кампания, зафиксированная в открытых источниках под названием «Storming Tide» (также встречается индексация как Mora_001), демонстрирует пример терпеливой многоэтапной атаки. Разберём этапы, используемые инструменты и, главное, меры защиты, которые можно применить уже сегодня.

Длительное присутствие в сети: реальная история, которая должна привлечь внимание каждого ответственного за кибербезопасность

Современные кибератаки всё чаще характеризуются длительным скрытым присутствием. Злоумышленники могут оставаться в инфраструктуре месяцами, собирая данные и ожидая подходящего момента для активных действий. По данным открытых источников, в феврале 2026 года был зафиксирован инцидент: в одной из компаний обнаружили подозрительное сканирование из внутренней сети. В ходе разбора выяснилось, что следы активности вели в конец 2025 года. Злоумышленники использовали необновлённое устройство на периметре (по информации из публичных каналов, речь идёт об устаревшей прошивке Fortinet с известной уязвимостью). После первоначального проникновения было настроено скрытое VPN-подключение, после чего наступила пауза.

Такое поведение — не единичный случай. В ряде публичных кейсов сообщается, что целью атакующих было не просто хищение документов, а внедрение в управление транспортной логистикой для последующего требования выкупа или нарушения работы. По имеющимся данным, пострадала европейская транспортно-логистическая компания, а аналогичные схемы могут тестироваться и в других сегментах рынка.

Почему «терпеливые» злоумышленники становятся типовым риском

Согласно отчётам по кибербезопасности за 2025–2026 годы, среднее время присутствия нарушителя в сети до обнаружения может достигать 120–150 дней. Компании продолжают работать, в то время как злоумышленники потенциально получают доступ к учётным записям и внутренним системам.

Причины этого явления связаны с сохраняющимся подходом к защите как к «крепости»: межсетевой экран и антивирус часто считаются достаточными. Однако терпеливый противник (особенно если это не одиночка, а группа с ресурсами) может дожидаться человеческой ошибки или использовать не закрытые вовремя уязвимости. В российском корпоративном секторе после 2022 года дополнительными факторами стали уход западных вендоров, активное импортозамещение и внедрение новых решений, которые не всегда проходят достаточную проверку. Атаки приобретают гибридный характер: разведка, закладка бэкдоров, затем — выкуп или утечка данных.

Как показывает практика реагирования на инциденты, во многих случаях компании полагали, что их защита актуальна, но при детальном анализе находились учётные записи с неизменяемыми годами паролями или неуправляемые устройства. Таким образом, длительное присутствие злоумышленников во многом отражает собственные «дыры» в процессах.

Анализ типовой кампании — от компрометации до готовности к шифрованию

Ниже приведена реконструкция действий, основанная на открытых источниках и публичных отчётах.

Этап 1. Компрометация периметра (декабрь 2025)


По имеющимся данным, злоумышленники обнаружили в сети устаревшее устройство (например, межсетевой экран с непропатченной уязвимостью, известной с 2024 года). Через него был настроен VPN-канал для скрытого доступа. Активные действия на этом этапе отсутствовали — только пассивное наблюдение за трафиком.

Этап 2. Латентная фаза (январь–февраль 2026)


Почти два месяца не фиксировалось явных аномалий. Злоумышленники собирали информацию о сервисах, коммуникациях, расположении чувствительных данных. Затем, в середине февраля, последовал переход к активной фазе: через неуправляемые узлы (например, старые принтеры или IoT-устройства) был осуществлён доступ во внутреннюю сеть.

Этап 3. Развёртывание инструментов


В публичных источниках упоминается набор инструментов, включающий:

  • Загрузчик Matanbuchus 3.0, способный обходить некоторые EDR-решения за счёт использования легитимных процессов.
  • Astarion RAT — для удалённого управления заражёнными машинами.
  • SystemBC — прокси-туннель для сокрытия команд управления.
  • RClone — для выгрузки данных во внешние облачные хранилища.

Также сообщается о компрометации нескольких сервисных учётных записей и попытках продвижения к Active Directory. Обнаружение, согласно открытым данным, произошло благодаря аномалии в трафике — один из серверов начал передавать нехарактерный объём данных во внешнее облако.

Потенциальные последствия для бизнеса

На примере транспортно-логистической компании можно выделить следующие риски, которые могут рассматриваться как типовые для подобных инцидентов:

  • Сбор разведывательной информации. Становятся известны загруженные маршруты, клиентские контракты, слабые места в цепочках поставок. Это может использоваться для промышленного шпионажа.
  • Риск утечки данных. Персональные данные сотрудников, договоры, финансовая отчётность могут быть скопированы. В российской практике за утечку ПДн по 152-ФЗ предусмотрены штрафы, которые могут достигать десятков миллионов рублей — как для юридических, так и для должностных лиц.
  • Потенциальный запуск ransomware. Злоумышленники могут потребовать выкуп после того, как убедятся в шифровании резервных копий. В описываемом случае механизмы для шифрования были подготовлены, но не активированы.
  • Нарушение цепочек поставок. Для логистики остановка систем управления складами или маршрутизации может привести к параличу доставки.
  • Эскалация в гибридные атаки. К финансовым требованиям может добавляться репутационный ущерб (например, публикация данных с комментариями). Восстановление репутации часто требует значительно больше ресурсов.

Многие руководители по-прежнему рассматривают кибербезопасность как затраты, а не как страховку. В практике известны случаи, когда отказ от внедрения средств защиты приводил к выплатам выкупа и дополнительным расходам на восстановление, многократно превышающим стоимость превентивных мер.

Технические меры, которые показывают эффективность

Ниже приведены рекомендации, основанные на анализе публичных кейсов и отраслевых практиках.

  • Мониторинг трафика на периметре. Необходимо отслеживать VPN-подключения, аномальное сканирование, нехарактерные протоколы, попытки туннелирования. Современные NGFW с IPS или выделенные системы анализа трафика (например, на базе Suricata с актуальными сигнатурами) могут помочь в этом.
  • EDR/XDR с правильной настройкой. Просто наличие решения недостаточно — важны корректная конфигурация и квалифицированный анализ алертов. EDR должен уметь обнаруживать загрузчики типа Matanbuchus, RAT-инструменты, прокси-туннели (соответствующие сигнатуры есть в SentinelOne, CrowdStrike, а также в российских аналогах — Kaspersky EDR, MaxPatrol EDR и др.). Также важно отслеживать аномальные цепочки процессов и блокировать попытки выгрузки данных через RClone.
  • Сегментация сети и контроль Active Directory. Не должно быть ситуации, когда компрометация малозначимого устройства (например, принтера) открывает доступ к домен-контроллеру. Сегментация VLAN и строгие правила доступа между ними — базовая необходимость. Сервисные учётные записи должны иметь минимально необходимые права.
  • Блокировка неразрешённых облачных синхронизаций на уровне DLP. Системы защиты от утечек должны контролировать попытки отправки данных в S3, Google Drive, Dropbox и подобные сервисы. RClone может быть ограничен через AppLocker или политики EDR.

Организационные и процессные меры

Технические средства бесполезны без отлаженных процессов. В практике встречались случаи, когда дорогостоящий SIEM и EDR были установлены, но логи Fortinet никто не анализировал, и подозрительные ночные подключения из нехарактерных регионов оставались незамеченными месяцами.

Рекомендуется:

  • Регулярный аудит логов (еженедельно или автоматизированно) — логи межсетевых экранов, сервисных учёток, контроллеров домена.
  • Принцип нулевого доверия (ZTNA) для VPN-доступа: многофакторная аутентификация, проверка здоровья устройства, ограничение по времени и IP.
  • Интеграция threat intelligence — подписка на фиды угроз (в том числе от экспертных организаций) для получения индикаторов компрометации (IoC) в режиме, близком к реальному времени.
  • План реагирования на инциденты (IR) с чёткими ролями: кто отключает сервер, сохраняет логи, взаимодействует с юристами (в том числе для фиксации утечки по 152-ФЗ). План должен тестироваться не реже раза в квартал.
  • Сканирование на латентные угрозы — поиск нестандартных служб, скрытых процессов, изменений в реестре. Желательно привлекать внешнюю команду, которая не имеет априорного знания инфраструктуры.

🧠 Рекомендации: чек-лист на основе практики

  1. Обновляйте периферийные устройства в день выхода патчей безопасности. Известны случаи, когда уязвимость закрывали в пятницу, а атака начиналась в понедельник.
  2. Внедряйте многофакторную аутентификацию (MFA) везде, где это возможно — включая сервисные учётки.
  3. Исключите хранение паролей от AD в общедоступных местах (например, файлов «пароли.xlsx» на сетевых дисках).
  4. Проводите активную «охоту на угрозы» (threat hunting) не реже раза в месяц — ищите аномалии, а не только срабатывания сигнатур.
  5. Установите DLP с контролем облачных сервисов для блокировки попыток выгрузки данных через браузер или RClone.
  6. Сегментируйте сеть до уровня VLAN на отдел и пропишите правила доступа, чтобы критичные системы были изолированы.
  7. Проверяйте сервисные учётки на уязвимости ежеквартально: слабые пароли, неиспользуемые аккаунты, избыточные права.
  8. Делайте офлайн-резервные копии и ежемесячно проверяйте их восстановление на тестовом сервере.
  9. Тренируйте сотрудников на реалистичных фишинговых рассылках — тех, кто кликает, отправляйте на повторное обучение. В ряде компаний это позволяло снизить риск компрометации на 60%.
  10. Заключите соглашение с внешней командой реагирования (IR) на случай инцидента — с горячей линией и SLA на прибытие.

План на ближайшее время — что можно сделать завтра

  1. Проверьте версии прошивок всех межсетевых экранов (Fortinet и других). Если прошивка старше полугода — запланируйте обновление; рассмотрите автоматические обновления безопасности.
  2. Проанализируйте логи VPN-доступа за последние 3 месяца: подключения из необычных стран, в нерабочее время, короткие сессии. Зафиксируйте подозрительные IP.
  3. Включите аудит сервисных учёток в Active Directory, получите отчёт о входах. Удалите учётки, не использовавшиеся более 90 дней.
  4. Настройте политики AppLocker или Group Policy для блокировки RClone, любых S3-клиентов и неутверждённых облачных синхронизаций.
  5. Запросите у вашего EDR-вендора актуальные сигнатуры на инструменты типа Matanbuchus, Astarion RAT, SystemBC. Если вендор не российский — уточните покрытие этих угроз; при необходимости рассмотрите альтернативы.
  6. Проведите короткий брифинг с IT-отделом о правилах работы с вложениями из незнакомых писем — это остаётся одним из основных векторов.
  7. Рассмотрите заказ внешнего аудита безопасности с фокусом на латентные угрозы (поиск «спящих» закладок), а не просто сканирование уязвимостей.

❓ Часто задаваемые вопросы

1. Чем описанная кампания отличается от типовых атак с вымогателями?
Обычный вымогатель действует быстро — шифрует и требует выкуп. В данном случае (по открытым данным) злоумышленники месяцами вели разведку и закладку бэкдоров, готовясь к долговременному контролю.

2. Какие версии Fortinet были скомпрометированы в этой атаке?
Устаревшие, с непропатченными уязвимостями 2024 года. Конкретные модели в открытых источниках обычно не раскрываются, но под риском оказываются устройства, на которых не установлены актуальные обновления.

3. Как узнать, есть ли у меня в сети скрытое присутствие?
Только через активный threat hunting или внешний аудит с анализом логов. Признаки: исходящие соединения на неизвестные IP, необычный DNS-трафик. Если нет внутренних инструментов — стоит привлечь специалистов.

4. Обнаружит ли обычный антивирус Matanbuchus 3.0?
Базовый антивирус — вряд ли, так как загрузчик использует обфускацию и легитимные процессы. Требуется EDR с поведенческим анализом. Российские решения (например, Kaspersky EDR) при правильной настройке способны его обнаружить.

5. Какие штрафы по 152-ФЗ возможны при утечке данных?
Для юридических лиц — до 15 млн рублей за повторное нарушение, для должностных лиц — до 1,8 млн рублей, плюс возможные иски от пострадавших.

6. Нужно ли внедрять ZTNA для VPN?
Если в компании более 50 сотрудников или обрабатываются персональные данные — настоятельно рекомендуется. Классические корпоративные VPN часто являются уязвимым местом.

7. Что делать при обнаружении признаков SystemBC или Astarion RAT?
Немедленно изолировать узел от сети (физически или политиками), сохранить дампы памяти и логи, вызвать IR-команду. Не удалять вручную — это уничтожит следы.

8. Есть ли российские аналоги SentinelOne для обнаружения таких угроз?
Да, Kaspersky EDR, Positive Technologies MaxPatrol EDR, Group-IB (в части TI и Huntbox). Однако ни одна система не даёт 100% гарантии без человеческого анализа.

9. Как часто проводить аудит сервисных учётных записей?
Идеально — непрерывно автоматически. Минимально — раз в месяц. При количестве более 100 учёток — еженедельно.

10. Что важнее: технологии или обучение людей?
И то, и другое. Но примерно 80% успеха обеспечивают технологии, так как даже обученный сотрудник может ошибиться. Правильно настроенный EDR и сегментация снижают риски.

ВЫВОД


Компании регулярно сталкиваются с угрозами длительного скрытого присутствия. Своевременный аудит, внедрение современных средств защиты и отработка процессов реагирования позволяют существенно снизить риски. Если вам важно понять уровень защищённости вашей инфраструктуры от подобных угроз, вы можете провести аудит с фокусом на латентные угрозы и скрытые каналы.

══════
Оставьте заявку на консультацию на сайте: https://securedefence.ru/ — специалисты подготовят чек-лист и предложат конкретные шаги с учётом особенностей вашей инфраструктуры.

Больше материалов: Центр знаний SecureDefence.

══════

⚖️ Данный материал носит информационно-аналитический характер. Все выводы основаны на открытых источниках и не являются утверждением фактов, не подтверждённых официально. Материал не является юридической или технической рекомендацией. Любые решения принимаются читателем самостоятельно.