Назад к блогу

Необнаруженные годы: как скрытая кампания CL‑UNK‑1068 подрывала критически важные отрасли

3 мин. чтения1 просмотровИИ-генерация

Необнаруженные годы: как скрытая кампания CL‑UNK‑1068 подрывала критически важные отрасли

В течение нескольких лет в киберпространстве действовала группа, получившая условное обозначение CL‑UNK‑1068. Исследования Unit 42 показали, что её деятельность оставалась незамеченной, несмотря на целенаправленную работу в секторах с высоким уровнем риска. Основным арсеналом злоумышленников стали методы туннелирования, активная разведка и кража учётных данных.

Что известно о тактике и инструментах группы

  • Туннелирование – использование зашифрованных каналов для обхода традиционных средств контроля трафика. Это позволяло скрывать командно‑управляющие сообщения и перемещать данные без привлечения внимания систем IDS/IPS.
  • Разведка – автоматизированные сканирования и сбор информации о внешних ресурсах организации: открытые порты, публичные сервисы, конфигурации DNS и сертификаты. Полученные данные использовались для построения карты внешней поверхности атаки.
  • Кража учётных данных – внедрение вредоносных модулей, способных перехватывать ввод паролей, а также эксплуатация слабых механизмов аутентификации в публичных сервисах. Скомпрометированные учётные записи служили точкой входа для дальнейшего расширения доступа.

Эти три компонента образовали цепочку «разведка → туннель → учётные данные», позволяя группе оставаться в тени, пока не было получено достаточно привилегий для выполнения целевых действий.

Почему это важно для управления внешней атакующей поверхностью

Для большинства организаций внешняя поверхность (веб‑сайты, облачные сервисы, API, публичные репозитории) является первым вектором контакта с потенциальными злоумышленниками. Техники, применяемые CL‑UNK‑1068, демонстрируют, как даже тщательно защищённые сети могут стать уязвимыми, если:

  • Не отслеживается аномальный трафик между внутренними и внешними узлами, особенно зашифрованные каналы, которые могут скрывать вредоносные команды.
  • Отсутствует постоянный мониторинг публичных активов: изменения в DNS‑записях, новые субдомены или неожиданно открытые порты могут свидетельствовать о подготовке атаки.
  • Недостаточно строгие политики управления учётными данными: повторное использование паролей, отсутствие MFA и слабая защита API‑ключей создают благодатную почву для кражи учётных записей.

Эти уязвимости часто остаются незамеченными до тех пор, пока злоумышленник не получит достаточный уровень доступа, что делает раннее обнаружение критически важным.

Практические рекомендации для команд безопасности

  • Внедрить мониторинг зашифрованных туннелей

    • Использовать решения, способные анализировать метаданные TLS‑соединений (SNI, сертификаты, размеры пакетов).
    • Настроить оповещения о соединениях с неизвестными или редко используемыми удалёнными адресами.

  • Регулярно сканировать и картировать внешнюю поверхность

    • Автоматизировать проверку открытых портов, сервисов и сертификатов на всех публичных доменах и субдоменах.
    • Интегрировать результаты сканирования с системой управления уязвимостями (Vulnerability Management) для приоритезации исправлений.

  • Усилить управление учётными данными

    • Ввести обязательную многофакторную аутентификацию (MFA) для всех привилегированных и сервисных аккаунтов.
    • Проводить периодический аудит прав доступа, удаляя неиспользуемые учётные записи и ограничивая привилегии по принципу наименьших прав.

  • Развивать программу Threat Hunting

    • Сформировать набор индикаторов поведения (IOCs), связанных с туннелированием и типичными сценариями разведки.
    • Проводить регулярные поисковые операции в логах сетевого трафика, системных журналов и облачных сервисов.

  • Обучать персонал

    • Проводить тренинги по фишингу и безопасному использованию паролей, особенно для сотрудников, работающих с публичными сервисами.
    • Информировать о новых методах скрытого туннелирования и важности своевременного реагирования на подозрительные изменения в инфраструктуре.

  • Интегрировать EASM (External Attack Surface Management) в SOC

    • Связывать данные о внешних активах с внутренними системами обнаружения угроз, чтобы обеспечить сквозную видимость и ускорить реакцию.

Что сделать прямо сейчас

  1. Запустить аудит текущих публичных ресурсов – собрать список всех доменов, субдоменов, IP‑адресов и открытых сервисов.
  2. Настроить правила обнаружения аномального TLS‑трафика в существующей системе SIEM или специализированном решении.
  3. Ввести обязательную MFA для всех учетных записей, имеющих доступ к публичным сервисам и облачным ресурсам.
  4. Определить ответственных за мониторинг внешней поверхности и обеспечить их доступом к актуальным данным о конфигурациях и изменениях.

Применяя эти шаги, организации смогут сократить «слепые зоны» в своей внешней атакующей поверхности и повысить шансы вовремя обнаружить скрытую деятельность, подобную той, что демонстрирует CL‑UNK‑1068.

Поделиться:TelegramVK

Похожие статьи

Хакеры используют SEO-отравление и подписанные трояны для кражи учетных данных VPN

18 мар. 20263 мин. чтения1
управление поверхностью атакиeasmбезопасность идентичностивредоносное пооценка рисковуправление уязвимостями

Новая кампания китайского APT‑группы UAT‑9244: целенаправленные атаки на телекоммуникационные компании в Южной Америке

9 мар. 20264 мин. чтения1

Как закрыли одну из крупнейших платформ фишинга‑как‑услуги и что это значит для вашей организации

7 мар. 20263 мин. чтения2
РазработаноMagma

Мы используем файлы cookie для обеспечения работоспособности сервиса и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с политикой конфиденциальности.