Наступательный искусственный интеллект (Offensive AI) кардинально меняет стратегии кибератак, делая их более сложными, обманчивыми и трудно обнаружимыми для устаревших методов защиты. Полагаться исключительно на системы обнаружения и реагирования на конечных точках (EDR) сегодня недостаточно, поскольку злоумышленники научились эффективно обходить эти инструменты. Группа Google Threat Intelligence фиксирует использование больших языковых моделей (LLM) для маскировки вредоносного кода и генерации скриптов на лету, что позволяет вредоносному ПО видоизменяться в реальном времени и избегать традиционных сигнатурных сканирований.
В ноябре 2025 года компания Anthropic опубликовала отчет, подтверждающий проведение первой известной кампании кибершпионажа, оркестрируемой искусственным интеллектом. В ходе этого инцидента ИИ был интегрирован во все этапы атаки — от получения первоначального доступа до эксфильтрации данных — и действовал по большей части автономно. Злоумышленники также активно применяют стеганографию, скрывая полезную нагрузку, такую как трояны удаленного доступа (RAT) и инфостилеры, внутри файлов изображений. Такие методы, как ClickFix, маскируют атаки под экраны обновления легального ПО или формы ввода CAPTCHA, успешно обходя стандартные проверки безопасности.
Особую опасность представляет компрометация правил исключения антивирусов. Хакеры комбинируют социальную инженерию, атаки «человек посередине» и SIM-свопинг (подмену SIM-карт) для отключения защиты. Исследовательская группа Microsoft по угрозам в октябре 2025 года выявила деятельность группировки Octo Tempest, которая убеждала жертв самостоятельно отключать продукты безопасности. Злоумышленники автоматизировали удаление уведомлений по электронной почте, благодаря чему вредоносное ПО распространялось по корпоративным сетям, не вызывая срабатывания оповещений на конечных точках.
С апреля 2024 года активна группировка Blockade Spider, использующая программы-вымогатели и смешанные домены. Атакующие проникают через неуправляемые системы и осуществляют горизонтальное перемещение по сети с целью шифрования файловых коллекций. Для обнаружения подобной активности требуется не только EDR для управляемых устройств, но и система обнаружения и реагирования на сетевые угрозы (NDR), обеспечивающая видимость в виртуальных системах и облачных средах. Две недавние утечки в цепочке поставок Salesforce также продемонстрировали возможности ИИ, который использовался для сбора учетных данных OAuth и получения несанкционированного доступа к аккаунтам клиентов.
Ярким примером структурных уязвимостей стала кампания Volt Typhoon, замеченная Microsoft еще в 2023 году. Эти поддерживаемые китайским государством хакеры использовали тактику «living off the land» (LoTL), применяя легальные инструменты системы для избежания обнаружения на конечных точках. Их целью стали неуправляемые периферийные устройства, такие как маршрутизаторы SOHO и оборудование IoT. Чтобы скрыть свое происхождение, злоумышленники подменяли исходные пакеты данных, имитируя трафик кабельного модема в Техасе вместо китайского IP-адреса. Выявить этот подлог удалось только благодаря NDR, зафиксировавшему аномалии в объеме сетевого трафика.
Расширение поверхности атаки, охватывающей идентификационные данные, конечные точки, облачные и локальные инфраструктуры, создает идеальные условия для злоумышленников, стремящихся максимизировать радиус поражения. Риски усугубляются удаленной работой: доверенные VPN-соединения могут стать каналом для внедрения вредоносного ПО с зараженных устройств, а горизонтальное перемещение хакеров часто маскируется под типичные сетевые операции. Если EDR не обнаруживает инфекцию на локальной машине из-за отсутствия видимости в удаленных сетях, организация остается беззащитной.
Единственным эффективным решением является объединение EDR и NDR. В то время как EDR фокусируется на мониторинге внутри конкретных устройств, NDR непрерывно следит за сетевой средой, выявляя угрозы, пересекающие периметр организации, и поведенческие аномалии. NDR действует как страховочная сеть для того, что пропускает EDR, например, активность неуправляемых устройств. Системы должны обмениваться метаданными: NDR определяет слабые точки входа и рискованные зоны, а EDR предоставляет доказательства компрометации учетных записей. Платформа Open NDR от компании Corelight (подробнее на
Изображение носит иллюстративный характер
В ноябре 2025 года компания Anthropic опубликовала отчет, подтверждающий проведение первой известной кампании кибершпионажа, оркестрируемой искусственным интеллектом. В ходе этого инцидента ИИ был интегрирован во все этапы атаки — от получения первоначального доступа до эксфильтрации данных — и действовал по большей части автономно. Злоумышленники также активно применяют стеганографию, скрывая полезную нагрузку, такую как трояны удаленного доступа (RAT) и инфостилеры, внутри файлов изображений. Такие методы, как ClickFix, маскируют атаки под экраны обновления легального ПО или формы ввода CAPTCHA, успешно обходя стандартные проверки безопасности.
Особую опасность представляет компрометация правил исключения антивирусов. Хакеры комбинируют социальную инженерию, атаки «человек посередине» и SIM-свопинг (подмену SIM-карт) для отключения защиты. Исследовательская группа Microsoft по угрозам в октябре 2025 года выявила деятельность группировки Octo Tempest, которая убеждала жертв самостоятельно отключать продукты безопасности. Злоумышленники автоматизировали удаление уведомлений по электронной почте, благодаря чему вредоносное ПО распространялось по корпоративным сетям, не вызывая срабатывания оповещений на конечных точках.
С апреля 2024 года активна группировка Blockade Spider, использующая программы-вымогатели и смешанные домены. Атакующие проникают через неуправляемые системы и осуществляют горизонтальное перемещение по сети с целью шифрования файловых коллекций. Для обнаружения подобной активности требуется не только EDR для управляемых устройств, но и система обнаружения и реагирования на сетевые угрозы (NDR), обеспечивающая видимость в виртуальных системах и облачных средах. Две недавние утечки в цепочке поставок Salesforce также продемонстрировали возможности ИИ, который использовался для сбора учетных данных OAuth и получения несанкционированного доступа к аккаунтам клиентов.
Ярким примером структурных уязвимостей стала кампания Volt Typhoon, замеченная Microsoft еще в 2023 году. Эти поддерживаемые китайским государством хакеры использовали тактику «living off the land» (LoTL), применяя легальные инструменты системы для избежания обнаружения на конечных точках. Их целью стали неуправляемые периферийные устройства, такие как маршрутизаторы SOHO и оборудование IoT. Чтобы скрыть свое происхождение, злоумышленники подменяли исходные пакеты данных, имитируя трафик кабельного модема в Техасе вместо китайского IP-адреса. Выявить этот подлог удалось только благодаря NDR, зафиксировавшему аномалии в объеме сетевого трафика.
Расширение поверхности атаки, охватывающей идентификационные данные, конечные точки, облачные и локальные инфраструктуры, создает идеальные условия для злоумышленников, стремящихся максимизировать радиус поражения. Риски усугубляются удаленной работой: доверенные VPN-соединения могут стать каналом для внедрения вредоносного ПО с зараженных устройств, а горизонтальное перемещение хакеров часто маскируется под типичные сетевые операции. Если EDR не обнаруживает инфекцию на локальной машине из-за отсутствия видимости в удаленных сетях, организация остается беззащитной.
Единственным эффективным решением является объединение EDR и NDR. В то время как EDR фокусируется на мониторинге внутри конкретных устройств, NDR непрерывно следит за сетевой средой, выявляя угрозы, пересекающие периметр организации, и поведенческие аномалии. NDR действует как страховочная сеть для того, что пропускает EDR, например, активность неуправляемых устройств. Системы должны обмениваться метаданными: NDR определяет слабые точки входа и рискованные зоны, а EDR предоставляет доказательства компрометации учетных записей. Платформа Open NDR от компании Corelight (подробнее на
corelight.com/elitedefense) специализируется на многоуровневом обнаружении новых типов атак, включая методы ИИ, обеспечивая защиту от угроз, действующих на высоких скоростях.
