В прошлом году Google зафиксировала 90 уязвимостей, использованных в качестве уязвимостей нулевого дня (zero-day), при этом китайские группы кибершпионажа удвоили их количество по сравнению с 2024 годом, а поставщики коммерческого шпионажа впервые обогнали хакеров, спонсируемых государствами. Почти половина зарегистрированных уязвимостей нулевого дня была нацелена на корпоративные технологии, такие как устройства безопасности, VPN, сетевое оборудование и платформы корпоративного программного обеспечения.
«Усиление эксплуатации устройств безопасности и сетевого оборудования подчеркивает критический риск, который может представлять доверенная периферийная инфраструктура, в то время как нацеленность на корпоративное ПО демонстрирует ценность высокоинтегрированных платформ, предоставляющих привилегированный доступ к сетям и данным», — заявила Группа анализа угроз Google (GTIG) в своем ежегодном отчете Zero-Days in Review.
Это знаменует собой продолжение сдвига в моделях первоначального доступа злоумышленников, который усилился за последние несколько лет. На корпоративное ПО пришлось 44% всех уязвимостей нулевого дня в 2024 году и 48% в прошлом году.
На группы, связанные с Китаем, пришлось не менее 10 из 16 уязвимостей нулевого дня, приписанных спонсируемым государством угрозам в 2025 году, что вдвое больше, чем в 2024 году. Это закрепляет за Китаем статус самого плодовитого пользователя эксплойтов нулевого дня за последнее десятилетие.
Однако поставщики коммерческого шпионажа (CSV) также являются постоянно растущим источником эксплойтов нулевого дня. CSV продают свою продукцию правоохранительным органам и разведывательным агентствам по всему миру, в том числе авторитарным режимам, которые используют это программное обеспечение для подавления активистов. CSV предоставляют обнаруженные ими уязвимости нулевого дня своим клиентам для облегчения развертывания своего шпионского ПО на мобильных телефонах и компьютерах целей.
Защитники сталкиваются с сокращением окон для реагирования
Эксплуатация уязвимостей остается основным методом первоначального доступа при расследованиях инцидентов, проводимых подразделением Mandiant компании Google, опережая кражу учетных данных и фишинг. Поскольку почти половина уязвимостей нулевого дня прошлого года затронула корпоративную инфраструктуру, организации, откладывающие установку исправлений даже на несколько часов, сталкиваются с растущим риском.
GTIG предупреждает, что скорость распространения кода эксплойтов между группами также ускоряется. Исторически сложилось так, что эксплойты нулевого дня находились в ведении наиболее обеспеченных ресурсами команд, но теперь растущее число групп, связанных с КНР, используют одни и те же уязвимости, что свидетельствует об усилении обмена эксплойтами или совместной разработке.
Эта закономерность распространяется и на уязвимости n-day, где GTIG наблюдает сокращение разрыва между публичным раскрытием и широкомасштабной эксплуатацией со стороны нескольких групп. Данные фирмы по анализу уязвимостей VulnCheck показывают, что почти треть из 884 уязвимостей, известных как эксплуатируемые в прошлом году, были атакованы в день их публичного раскрытия или ранее, по сравнению с примерно четвертью в 2024 году.
«Лишь около 1% уязвимостей, раскрытых в 2025 году, когда-либо были использованы, но те, которые были использованы, действовали быстрее, наносили более сильный удар и все чаще делали это до того, как у защитников появлялся шанс отреагировать», — заявил технический директор VulnCheck Джейкоб Бейнс.
Исследователи GTIG ожидают, что в этом году ИИ еще больше сократит эти временные рамки, поскольку противники используют его для ускорения разведки, обнаружения уязвимостей и разработки эксплойтов. «Защитники должны готовиться к тому, когда, а не если, произойдет компрометация», — предупредили исследователи.
Корпоративные среды в осаде
Китайские субъекты угроз продолжали демонстрировать предпочтение целям, которые трудно отслеживать и которые обеспечивают постоянный доступ к стратегическим сетям. Среди заметных примеров — группы, которые GTIG отслеживает как UNC5221, использовавшая уязвимость в Ivanti Connect Secure (CVE-2025-0282), и UNC3886, использовавшая уязвимость в маршрутизаторах Juniper (CVE-2025-21590).
Еще одна китайская группа, отслеживаемая как UNC6201, известная бэкдорами BRICKSTORM и GRIMBOLT, выделилась тем, что нацеливалась на интеллектуальную собственность, такую как исходный код и проприетарные документы по разработке технологических компаний. Такими активами могут воспользоваться для обнаружения новых уязвимостей в продуктах жертв, что создает риск для их последующих клиентов.
Продукты безопасности и сетевые продукты составили 21 из 43 уязвимостей нулевого дня, нацеленных на предприятия в 2025 году, и не менее 14 были нацелены на периферийные устройства, такие как маршрутизаторы, коммутаторы и устройства безопасности. Эти устройства, как правило, не имеют возможностей обнаружения конечных точек, что приводит к необнаружению компрометации.
«Недостаточная проверка ввода и неполные процессы авторизации были распространенными недостатками в этих продуктах, демонстрируя, как сохраняются базовые системные сбои, которые, однако, можно исправить с помощью надлежащих стандартов и подходов к реализации», — написали исследователи GTIG.
Субъекты угроз, мотивированные финансовыми соображениями, включая банды, занимающиеся программами-вымогателями, также нацеливались на корпоративные технологии и стали причиной девяти уязвимостей нулевого дня в 2025 году, что вдвое больше, чем пять, приписанных им в 2024 году.
FIN11, группа, стоящая за вымогательством CL0P, в прошлом году нацелилась на две уязвимости нулевого дня в Oracle E-Business Suite (CVE-2025-61882 и CVE-2025-61884). Storm-1175, группа, связанная с вымогательством Medusa, использовала уязвимость в GoAnywhere MFT (CVE-2025-10035).
Тем временем UNC2165, российская группа, мотивированная финансовыми соображениями, которая пересекается с публичными сообщениями о Evil Corp, использовала уязвимость нулевого дня в WinRAR (CVE-2025-8088). Та же уязвимость была использована другой российской группой, отслеживаемой как UNC4895 или RomCom, которая проводит как финансово мотивированные операции, так и шпионаж.
Согласно данным VulnCheck, более половины из 39 CVE, связанных с атаками программ-вымогателей в 2025 году, были использованы в качестве уязвимостей нулевого дня, и около трети не имели публичного или коммерческого кода эксплойта по состоянию на январь 2026 года, что свидетельствует о том, что эти группы разрабатывают собственные эксплойты и держат их в секрете.
Поставщики шпионского ПО впервые превзошли хакеров, спонсируемых государством
Впервые с тех пор, как GTIG начала отслеживать эксплуатацию уязвимостей нулевого дня, на счету поставщиков коммерческого шпионажа оказалось больше приписанных уязвимостей нулевого дня, чем у традиционных групп государственного шпионажа. Этот рубеж отражает постепенный сдвиг, который исследователи наблюдали в течение последних нескольких лет.
CSV сохранили свой фокус на мобильных устройствах и браузерах, адаптируя свои цепочки эксплойтов для обхода улучшений безопасности, которые со временем внедрили поставщики платформ. Несколько цепочек эксплойтов, обнаруженных в 2025 году, требовали трех или более последовательных уязвимостей для достижения одной цели на мобильных устройствах, что свидетельствует о том, что укрепление платформ увеличивает стоимость эксплуатации, но не останавливает ее.
Уязвимости операционных систем составили 39 уязвимостей нулевого дня, 15 из которых затронули мобильные ОС. Доля браузеров упала ниже 10%, что является историческим минимумом, который GTIG объясняет усилиями по укреплению безопасности, хотя исследователи отметили вероятность того, что группы улучшили операционную безопасность, и некоторые эксплойты были упущены.
Microsoft стала наиболее часто атакуемым поставщиком: 25 уязвимостей нулевого дня было использовано в ее продуктах, за ней следуют Google с 11, Apple с восемью, а также Cisco и Fortinet — по четыре. Двадцать поставщиков пострадали от одной уязвимости нулевого дня каждый, что иллюстрирует, насколько широко злоумышленники забрасывают свою сеть в ландшафт корпоративного программного обеспечения.
Готовьтесь к эксплуатации уязвимостей нулевого дня
«Приоритизация является постоянной проблемой для большинства организаций из-за ограниченных ресурсов, требующих принятия решений о том, какие решения внедрять — и за каждым выбором того, куда направить ресурсы, остается без внимания другая потребность в безопасности», — заявили исследователи GTIG. «Знайте свои угрозы и свою поверхность атаки, чтобы расставить приоритеты в решениях для наилучшей защиты ваших систем и инфраструктуры».
Рекомендации включают сегментацию брандмауэров, VPN и инфраструктуры DMZ от основных сетевых активов и контроллеров домена для ограничения бокового перемещения при взломе периферийного устройства.
Предприятиям также рекомендуется устанавливать базовые уровни для системных процессов, чтобы отмечать активность типа living-off-the-land, и развертывать canary tokens для обнаружения бокового перемещения. Также рекомендуется ведение реестра программного обеспечения (software bill of materials) для определения того, какие системы затронуты при раскрытии новой уязвимости нулевого дня, особенно для широко используемых библиотек, где радиус поражения трудно оценить.
Руководители служб безопасности также должны определить процедуры экстренного исправления, которые могут обходить стандартное управление изменениями, когда критические уязвимости требуют немедленных действий. Когда исправление недоступно, группы безопасности должны изолировать затронутые системы и компоненты с помощью временных мер, таких как отключение определенных служб или блокировка портов на периметре.
GTIG настоятельно призывает организации поддерживать инвентаризацию активов в режиме реального времени и проектировать системные архитектуры с учетом сегментации и доступа с минимальными привилегиями, встроенными, а не прикрепленными в качестве дополнения.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lucian Constantin
