AI рд╕реЗ рд╕рд░рдХрд╛рд░реА рдиреЗрдЯрд╡рд░реНрдХ рдкрд░ APT рдЬрд╛рд╕реВрд╕реА рдХреИрд╕реЗ рдкрдХрдбрд╝реЗ

рд╕рд╛рдЗрдмрд░ рд╕реБрд░рдХреНрд╖рд╛ рдореЗрдВ AIтАвтАвBy 3L3C

LongNosedGoblin рдЬреИрд╕реЗ APT Group Policy рдФрд░ OneDrive рдХрд╛ рджреБрд░реБрдкрдпреЛрдЧ рдХрд░рддреЗ рд╣реИрдВред рдЬрд╛рдирд┐рдП AI рд╕реЗ AD/GPO anomalies рдкрдХрдбрд╝рдХрд░ рдЬрд╛рд╕реВрд╕реА рдХреИрд╕реЗ рд░реЛрдХреЗрдВред

APTActive DirectoryGroup PolicyThreat IntelligenceAI рд╕реБрд░рдХреНрд╖рд╛Incident Response
Share:

Featured image for AI рд╕реЗ рд╕рд░рдХрд╛рд░реА рдиреЗрдЯрд╡рд░реНрдХ рдкрд░ APT рдЬрд╛рд╕реВрд╕реА рдХреИрд╕реЗ рдкрдХрдбрд╝реЗ

AI рд╕реЗ рд╕рд░рдХрд╛рд░реА рдиреЗрдЯрд╡рд░реНрдХ рдкрд░ APT рдЬрд╛рд╕реВрд╕реА рдХреИрд╕реЗ рдкрдХрдбрд╝реЗ

19/12/2025 рдХреЛ рд╕рд╛рдордиреЗ рдЖрдИ рдПрдХ рд░рд┐рдкреЛрд░реНрдЯ рдиреЗ рдПрдХ рдирдИ рдЪреАрди-рд╕рдВрд░реЗрдЦрд┐рдд APT (Advanced Persistent Threat) рдЧрддрд┐рд╡рд┐рдзрд┐ рдХреА рддрд░рдл рдЗрд╢рд╛рд░рд╛ рдХрд┐рдпрд╛тАФрдирд╛рдо рджрд┐рдпрд╛ рдЧрдпрд╛ LongNosedGoblinред рдХрд╣рд╛рдиреА рдХрд╛ рд╕рдмрд╕реЗ рдбрд░рд╛рд╡рдирд╛ рд╣рд┐рд╕реНрд╕рд╛ тАЬрдореИрд▓рд╡реЗрдпрд░тАЭ рдирд╣реАрдВ рд╣реИ; рдбрд░ рдЗрд╕ рдмрд╛рдд рдХрд╛ рд╣реИ рдХрд┐ рд╣рдорд▓рд╛рд╡рд░реЛрдВ рдиреЗ Windows Active Directory рдХреА Group Policy рдЬреИрд╕реА рдкреВрд░реА рддрд░рд╣ рд╡реИрдз рдПрдбрдорд┐рди рд╕реБрд╡рд┐рдзрд╛ рдХреЛ рд╣реА рдореИрд▓рд╡реЗрдпрд░ тАЬрдбрд┐рд▓реАрд╡рд░реА рд╕рд┐рд╕реНрдЯрдотАЭ рдХреА рддрд░рд╣ рдЗрд╕реНрддреЗрдорд╛рд▓ рдХрд┐рдпрд╛ред

рд╕рд░рдХрд╛рд░реА рдиреЗрдЯрд╡рд░реНрдХ, рд╕рд╛рд░реНрд╡рдЬрдирд┐рдХ рдЙрдкрдХреНрд░рдо, рдФрд░ рдмрдбрд╝реЗ рдПрдВрдЯрд░рдкреНрд░рд╛рдЗрдЬ рдореЗрдВ Group Policy рд░реЛрдЬрд╝рдорд░реНрд░рд╛ рдХрд╛ рдФрдЬрд╝рд╛рд░ рд╣реИтАФрдкрд╛рд╕рд╡рд░реНрдб рдирд┐рдпрдо рд▓рд╛рдЧреВ рдХрд░рдиреЗ рд╕реЗ рд▓реЗрдХрд░ рд╕реЙрдлрд╝реНрдЯрд╡реЗрдпрд░ рдбрд┐рдкреНрд▓реЙрдп рдХрд░рдиреЗ рддрдХред рдЬрдм рдпрд╣реА рд╕рд┐рд╕реНрдЯрдо рдЙрд▓реНрдЯрд╛ рд╣реЛрдХрд░ рд╣рдорд▓рд╛рд╡рд░ рдХреЗ рд╣рд╛рде рдореЗрдВ рдЪрд▓рд╛ рдЬрд╛рддрд╛ рд╣реИ, рддреЛ рд╕рдВрдХреЗрдд рд╕рд╛рдлрд╝ рд╣реИ: рдбреЛрдореЗрди рдХрдВрдЯреНрд░реЛрд▓рд░ (Domain Controller) рдФрд░ рдбреЛрдореЗрди рдПрдбрдорд┐рди рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓реНрд╕ рддрдХ рдкрд╣реБрдБрдЪ рд╣реЛ рдЪреБрдХреА рд╣реИред рдпрд╣реА рд╡реЛ рдмрд┐рдВрджреБ рд╣реИ рдЬрд╣рд╛рдБ рдкрд╛рд░рдВрдкрд░рд┐рдХ рдЕрд▓рд░реНрдЯрд┐рдВрдЧ рдЕрдХреНрд╕рд░ рджреЗрд░ рд╕реЗ рдЖрддреА рд╣реИтАФрдФрд░ рдЬрд╣рд╛рдБ AI-рдЖрдзрд╛рд░рд┐рдд рд╕рд╛рдЗрдмрд░ рд╕реБрд░рдХреНрд╖рд╛ рд╡рд╛рд╕реНрддрд╡рд┐рдХ рдлрд╛рдпрджрд╛ рджреЗрддреА рд╣реИред

рдЗрд╕ рдкреЛрд╕реНрдЯ рдореЗрдВ рдореИрдВ рдЗрд╕реА рдШрдЯрдирд╛ рдХреЛ тАЬрдХреЗрд╕ рд╕реНрдЯрдбреАтАЭ рдХреА рддрд░рд╣ рд▓реЗрдХрд░ рдмрддрд╛рдКрдБрдЧрд╛/рдмрддрд╛рдКрдБрдЧреА рдХрд┐ LongNosedGoblin рдЬреИрд╕реА APT рд░рдгрдиреАрддрд┐рдпрд╛рдБ рдХреИрд╕реЗ рдХрд╛рдо рдХрд░рддреА рд╣реИрдВ, Group Policy рдХреЗ рджреБрд░реБрдкрдпреЛрдЧ рдХрд╛ рдорддрд▓рдм рдХреНрдпрд╛ рд╣реИ, рдФрд░ AI threat intelligence + AI anomaly detection рдХреЗ рд╕рд╛рде рдЖрдк рдЗрд╕ рддрд░рд╣ рдХреА рдЬрд╛рд╕реВрд╕реА рдХреЛ рдЬрд▓реНрджреА рдкрдХрдбрд╝рдиреЗ рдХреЗ рд▓рд┐рдП рдХреНрдпрд╛-рдХреНрдпрд╛ рд╕реЗрдЯ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВтАФрдЦрд╛рд╕рдХрд░ рд╕рд░рдХрд╛рд░реА/рд╕рдВрд╡реЗрджрдирд╢реАрд▓ рд╕рдВрд╕реНрдерд╛рдиреЛрдВ рдХреЗ рд╕рдВрджрд░реНрдн рдореЗрдВред

LongNosedGoblin рд╕реЗ рдЕрд╕рд▓реА рд╕реАрдЦ: тАЬрдПрдбрдорд┐рди рдЯреВрд▓тАЭ рд╣реА рдЕрдЯреИрдХ рдЪреЗрди рдмрди рдЧрдпрд╛

рд╕реАрдзрд╛ рдорддрд▓рдм: рдЗрд╕ APT рдиреЗ рдРрд╕реЗ рдХрдВрдЯреНрд░реЛрд▓-рдкреЙрдЗрдВрдЯ рдЪреБрдиреЗ рдЬреЛ рд╣рд░ рдмрдбрд╝реЗ рдиреЗрдЯрд╡рд░реНрдХ рдореЗрдВ рдореМрдЬреВрдж рд╣реЛрддреЗ рд╣реИрдВтАФрдФрд░ рдЬрд┐рди рдкрд░ рднрд░реЛрд╕рд╛ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИред

рд░рд┐рдкреЛрд░реНрдЯ рдХреЗ рдореБрддрд╛рдмрд┐рдХ рд╣рдорд▓рд╛рд╡рд░реЛрдВ рдиреЗ рдХрд╕реНрдЯрдо C#/.NET рдЯреВрд▓рд┐рдВрдЧ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдФрд░ рдЦрд╛рд╕ рддреМрд░ рдкрд░ Group Policy рдХреЛ:

  • Malware dropper (рдиреЗрдЯрд╡рд░реНрдХ рдореЗрдВ рдореИрд▓рд╡реЗрдпрд░ тАЬрдкрд╣реБрдВрдЪрд╛рдиреЗтАЭ рдХрд╛ рддрд░реАрдХрд╛)
  • Lateral movement (рдПрдХ рд╕рд┐рд╕реНрдЯрдо рд╕реЗ рджреВрд╕рд░реЗ рд╕рд┐рд╕реНрдЯрдо рдореЗрдВ рдлреИрд▓рдиреЗ рдХрд╛ рд░рд╛рд╕реНрддрд╛)

рдХреЗ рд░реВрдк рдореЗрдВ рдЗрд╕реНрддреЗрдорд╛рд▓ рдХрд┐рдпрд╛ред

Group Policy рдХрд╛ рджреБрд░реБрдкрдпреЛрдЧ рдЗрддрдирд╛ рдЧрдВрднреАрд░ рдХреНрдпреЛрдВ рд╣реИ?

Group Policy рдХрд╛ рд╡реИрдз рдЙрджреНрджреЗрд╢реНрдп рд╣реИ: Windows рдХреНрд▓рд╛рдЗрдВрдЯ/рд╕рд░реНрд╡рд░ рдкрд░ рдирд┐рдпрдо рд▓рд╛рдЧреВ рдХрд░рдирд╛ рдФрд░ AD рд╕рдВрд╕рд╛рдзрдиреЛрдВ рдХрд╛ рдирд┐рдпрдВрддреНрд░рдгред рд▓реЗрдХрд┐рди рдЕрдЧрд░ рдХреЛрдИ рд╣рдорд▓рд╛рд╡рд░ GPO рд╕реЗ рдореИрд▓рд╡реЗрдпрд░ рдкреБрд╢ рдХрд░ рд░рд╣рд╛ рд╣реИ, рддреЛ рдпрд╣ рдХреЗрд╡рд▓ тАЬрдПрдХ рдорд╢реАрди рд╕рдВрдХреНрд░рдорд┐рддтАЭ рд╡рд╛рд▓реА рдмрд╛рдд рдирд╣реАрдВ рд░рд╣рддреАред рдпрд╣ рдЖрдорддреМрд░ рдкрд░ рд╕рдВрдХреЗрдд рджреЗрддрд╛ рд╣реИ:

  1. Domain Admin рдЬреИрд╕реА рдЙрдЪреНрдЪ-рд╕реНрддрд░реАрдп рдкрд╣рдЪрд╛рди (identity) compromise
  2. Centralized trust рдХрд╛ рдЙрд▓реНрд▓рдВрдШрди: рдЬреЛ рдЪреАрдЬрд╝ рдкреВрд░реЗ рдиреЗрдЯрд╡рд░реНрдХ рдХреЛ рдирд┐рдпрдВрддреНрд░рд┐рдд рдХрд░рддреА рд╣реИ рд╡рд╣реА рдЕрдм attacker-controlled рд╣реИ
  3. Detection рдХрдард┐рди: рдХреНрдпреЛрдВрдХрд┐ GPO рдмрджрд▓рд╛рд╡ рдХрдИ рдмрд╛рд░ тАЬрд▓рд┐рдЧрд┐рдЯтАЭ рдПрдбрдорд┐рди рдмрджрд▓рд╛рд╡ рдЬреИрд╕рд╛ рджрд┐рдЦ рд╕рдХрддрд╛ рд╣реИ

рдпрд╣реА рд╡рдЬрд╣ рд╣реИ рдХрд┐ рдРрд╕реЗ рд╣рдорд▓реЛрдВ рдореЗрдВ тАЬрдХрд┐рд╕реА рдПрдХ EDR рдЕрд▓рд░реНрдЯтАЭ рд╕реЗ рдЬреНрдпрд╛рджрд╛ рдХрд╛рдо рдЖрддрд╛ рд╣реИ рд╡реНрдпрд╡рд╣рд╛рд░ (behavior) рдЖрдзрд╛рд░рд┐рдд рдирд┐рдЧрд░рд╛рдиреАтАФрдФрд░ рдпрд╣реА AI рдХрд╛ рдореИрджрд╛рди рд╣реИред

рдЗрд╕ APT рдХреА рдЯреВрд▓рдЪреЗрди: рдмреНрд░рд╛рдЙрдЬрд╝рд░ рд╣рд┐рд╕реНрдЯреНрд░реА рд╕реЗ рд▓реЗрдХрд░ рд╡реАрдбрд┐рдпреЛ рд░рд┐рдХреЙрд░реНрдбрд┐рдВрдЧ рддрдХ

рд╕реАрдзрд╛ рдорддрд▓рдм: LongNosedGoblin рдиреЗ рдПрдХ тАЬрдореЙрдбреНрдпреВрд▓рд░тАЭ рдЬрд╛рд╕реВрд╕реА рд╕реВрдЯ рдмрдирд╛рдпрд╛тАФрдкрд╣рд▓реЗ рдЫрд╛рдирдмреАрди, рдлрд┐рд░ рдЪрдпрдирд┐рдд рдЯрд╛рд░рдЧреЗрдЯ рдкрд░ рдЧрд╣рд░рд╛ рдирд┐рдпрдВрддреНрд░рдгред

рд░рд┐рдкреЛрд░реНрдЯ рдореЗрдВ рдЬрд┐рди рдЯреВрд▓реНрд╕ рдХрд╛ рдЙрд▓реНрд▓реЗрдЦ рд╣реИ, рдЙрдирдХрд╛ рдкреИрдЯрд░реНрди рд╕рд╛рдлрд╝ рд╣реИ:

  • NosyHistorian: рдмреНрд░рд╛рдЙрдЬрд╝рд░ рд╣рд┐рд╕реНрдЯреНрд░реА/рдЧрддрд┐рд╡рд┐рдзрд┐ тАЬрд╕реВрдВрдШрдиреЗтАЭ рдХреЗ рд▓рд┐рдПтАФрдкрд╣рд▓реЗ рдпрд╣ рддрдп рдХрд░рдирд╛ рдХрд┐ рдЯрд╛рд░рдЧреЗрдЯ рдЙрдкрдпреЛрдЧреА рд╣реИ рдпрд╛ рдирд╣реАрдВ
  • NosyDoor: рдмреИрдХрдбреЛрд░тАФрдХрдорд╛рдВрдб рд▓реЗрдиреЗ рдФрд░ рдЖрдЧреЗ рдХреА рдХрд╛рд░реНрд░рд╡рд╛рдИ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП
  • OneDrive рдЬреИрд╕реЗ рдХреНрд▓рд╛рдЙрдб рд╕рд░реНрд╡рд┐рд╕ рдХреЛ C2 (command-and-control) рдХреА рддрд░рд╣ рдЙрдкрдпреЛрдЧ
  • рдЖрдЧреЗ рдЪрд▓рдХрд░:
    • NosyStealer (рдмреНрд░рд╛рдЙрдЬрд╝рд░ рдбреЗрдЯрд╛ exfiltration)
    • NosyDownloader (рдЗрди-рдореЗрдореЛрд░реА payload run)
    • NosyLogger (keylogger)
    • Reverse SOCKS5 proxy (рдиреЗрдЯрд╡рд░реНрдХ рдЯрдирд▓рд┐рдВрдЧ/рдкрд┐рд╡рдЯ)
    • Argument runner рдХреЗ рдЬрд░рд┐рдП FFmpeg рдЬреИрд╕рд╛ рд╡реАрдбрд┐рдпреЛ рд░рд┐рдХреЙрд░реНрдбрд░ рдЪрд▓рд╛рдХрд░ audio/video capture

тАЬрдХрдо рдкреАрдбрд╝рд┐рддтАЭ рдХрд╛ рдорддрд▓рдм тАЬрдХрдо рдЬреЛрдЦрд┐рдотАЭ рдирд╣реАрдВ рд╣реЛрддрд╛

рд░рд┐рдкреЛрд░реНрдЯ рдореЗрдВ рдкреАрдбрд╝рд┐рддреЛрдВ рдХреА рд╕рдВрдЦреНрдпрд╛ рджрд░реНрдЬрди рд╕реЗ рдХрдо рдмрддрд╛рдИ рдЧрдИ рд╣реИ, рдФрд░ sophistication тАЬmoderateтАЭред рдореИрдВ рдЗрд╕ рдкрд░ рдПрдХ рд╕реНрдкрд╖реНрдЯ рд╕реНрдЯрд╛рдВрд╕ рд▓реЗрдирд╛ рдЪрд╛рд╣реВрдБрдЧрд╛/рдЪрд╛рд╣реВрдБрдЧреА:

рд╕рд░рдХрд╛рд░реА рдиреЗрдЯрд╡рд░реНрдХ рдореЗрдВ APT рдХрд╛ тАЬрдХрдо рд╕реНрдХреЗрд▓тАЭ рдЕрдХреНрд╕рд░ тАЬрдЙрдЪреНрдЪ рдЧреБрдгрд╡рддреНрддрд╛тАЭ рдХрд╛ рд╕рдВрдХреЗрдд рд╣реИтАФрдХрдо рд╢реЛрд░, рдЕрдзрд┐рдХ рд╕рдЯреАрдХ рдЬрд╛рд╕реВрд╕реАред

рдпрд╣рд╛рдБ рд▓рдХреНрд╖реНрдп рдбреЗрдЯрд╛, рдиреАрддрд┐, рдХреВрдЯрдиреАрддрд┐, рд░рдХреНрд╖рд╛-рд╕рдВрдмрдВрдзреА рджрд╕реНрддрд╛рд╡реЗрдЬрд╝, рдпрд╛ рд░рдгрдиреАрддрд┐рдХ рдИрдореЗрд▓ рд╣реЛ рд╕рдХрддреЗ рд╣реИрдВтАФрдЬрд╣рд╛рдБ рдПрдХ рд╕рдлрд▓ compromise рдХрд╛ рдореВрд▓реНрдп рдмрд╣реБрдд рдмрдбрд╝рд╛ рд╣реЛрддрд╛ рд╣реИред

AI рдЗрд╕ рддрд░рд╣ рдХреЗ рдЬрд╛рд╕реВрд╕реА рд╣рдорд▓реЛрдВ рдХреЛ рдЬрд▓реНрджреА рдХреИрд╕реЗ рдкрдХрдбрд╝рддрд╛ рд╣реИ?

рд╕реАрдзрд╛ рдорддрд▓рдм: AI тАЬрд╕рд┐рдЧреНрдиреЗрдЪрд░тАЭ рд╕реЗ рдЖрдЧреЗ рдЬрд╛рдХрд░ рдкреИрдЯрд░реНрди, рдЕрд╕рд╛рдорд╛рдиреНрдпрддрд╛ рдФрд░ рдкрд╣рдЪрд╛рди-рд╡реНрдпрд╡рд╣рд╛рд░ рдХреЗ рдЖрдзрд╛рд░ рдкрд░ рдЪреЗрддрд╛рд╡рдиреА рджреЗрддрд╛ рд╣реИред

LongNosedGoblin рдЬреИрд╕реЗ рд╣рдорд▓реЛрдВ рдореЗрдВ рддреАрди рдЬрдЧрд╣ AI рд╕рдмрд╕реЗ рдЬреНрдпрд╛рджрд╛ рдЕрд╕рд░ рджрд┐рдЦрд╛рддрд╛ рд╣реИ:

1) AD/GPO anomaly detection: тАЬрдХреМрди-рд╕рд╛ рдмрджрд▓рд╛рд╡ рд╕рд╛рдорд╛рдиреНрдп рдирд╣реАрдВ рд╣реИ?тАЭ

рдЕрдЧрд░ рдЖрдкрдХреЗ рдкрд╛рд╕ AD рдФрд░ GPO рдмрджрд▓рд╛рд╡реЛрдВ рдХрд╛ рдЕрдЪреНрдЫрд╛ рдЯреЗрд▓реАрдореЗрдЯреНрд░реА рдмреЗрд╕рд▓рд╛рдЗрди рд╣реИ, AI/ML рдореЙрдбрд▓ рдпрд╣ рдкрдХрдбрд╝ рд╕рдХрддрд╛ рд╣реИ рдХрд┐:

  • рдХреМрди-рд╕рд╛ рдПрдбрдорд┐рди рдЕрдХрд╛рдЙрдВрдЯ рд╕рд╛рдорд╛рдиреНрдпрддрдГ рдХрд┐рд╕ рд╕рдордп рдмрджрд▓рд╛рд╡ рдХрд░рддрд╛ рд╣реИ
  • рдХреМрди-рд╕реЗ OU (Organizational Units) рдкрд░ рдЖрдо рддреМрд░ рдкрд░ рдмрджрд▓рд╛рд╡ рд╣реЛрддреЗ рд╣реИрдВ
  • рдХреМрди-рд╕реЗ GPO рд╕реЗрдЯрд┐рдВрдЧреНрд╕ рдореЗрдВ рдЕрдЪрд╛рдирдХ рдирдП рд╕реНрдЯрд╛рд░реНрдЯрдЕрдк рд╕реНрдХреНрд░рд┐рдкреНрдЯ/рд╢реЗрдбреНрдпреВрд▓реНрдб рдЯрд╛рд╕реНрдХ/рд╕реЙрдлрд╝реНрдЯрд╡реЗрдпрд░ рдбрд┐рдкреНрд▓реЙрдпрдореЗрдВрдЯ рдЬреБрдбрд╝ рдЧрдпрд╛

рдЙрдЪреНрдЪ-рдЬреЛрдЦрд┐рдо рд╕рдВрдХреЗрдд (AI рдХреЗ рд▓рд┐рдП рд╢рд╛рдирджрд╛рд░ рдлреАрдЪрд░):

  • рдЧреИрд░-рдорд╛рдирдХ рд╕рдордп рдкрд░ GPO edit
  • рдирдпрд╛ GPO link/unlink рдмрдбрд╝реЗ OU рдкрд░
  • рдПрдХ рд╕рд╛рде рдХрдИ рдорд╢реАрдиреЛрдВ рдкрд░ startup script push
  • GPO рдореЗрдВ executable/powershell payload рдЬреИрд╕реА рд╕рд╛рдордЧреНрд░реА

2) Identity analytics: тАЬрдбреЛрдореЗрди рдПрдбрдорд┐рди рдЬреИрд╕рд╛ рд╡реНрдпрд╡рд╣рд╛рд░ рдЕрдЪрд╛рдирдХ рдХреНрдпреЛрдВ?тАЭ

Group Policy abuse рдХрд╛ root рдЕрдХреНрд╕рд░ identity compromise рд╣реИред AI-driven UEBA (User & Entity Behavior Analytics) рд╕реЗ рдЖрдк рдпрд╣ рдкрдХрдбрд╝ рд╕рдХрддреЗ рд╣реИрдВ:

  • рдбреЛрдореЗрди рдПрдбрдорд┐рди рд▓реЙрдЧрд┐рди рдХрд╛ рдЕрд╕рд╛рдорд╛рдиреНрдп рд╕реНрд░реЛрдд (рдирдИ рдорд╢реАрди/рдирдИ рд▓реЛрдХреЗрд╢рди/рдирдИ subnet)
  • admin credential рдХрд╛ тАЬlateral useтАЭ (рдПрдХ рд╣реА рдХреНрд░реЗрдбреЗрдВрд╢рд┐рдпрд▓ рдХрдИ endpoints рдкрд░ рддреЗрдЬреА рд╕реЗ)
  • privileged group membership рдореЗрдВ рдмрджрд▓рд╛рд╡

рд╡реНрдпрд╛рд╡рд╣рд╛рд░рд┐рдХ рдирд┐рдпрдо:

  • Domain Admin рдЕрдХрд╛рдЙрдВрдЯреНрд╕ рдХреЛ тАЬрдЯрд┐рдпрд░-0тАЭ рдорд╛рдирдХрд░ рдЕрд▓рдЧ рдмреЗрд╕рд▓рд╛рдЗрди рд░рдЦрд┐рдПред
  • AI рдореЙрдбрд▓ рдХреЛ тАЬрдЯрд┐рдпрд░-0 eventsтАЭ (DC logons, GPO edits, replication changes) рдкрд░ рдЬреНрдпрд╛рджрд╛ sensitivity рджреАрдЬрд┐рдПред

3) Network + cloud C2 detection: тАЬOneDrive рдкрд░ рдЗрддрдирд╛ рдЯреНрд░реИрдлрд╝рд┐рдХ рдХреНрдпреЛрдВ?тАЭ

NosyDoor рдиреЗ OneDrive рдЬреИрд╕реЗ рдХреНрд▓рд╛рдЙрдб рдХреЛ C2 рдХреА рддрд░рд╣ рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ред рдпрд╣ рдЯреНрд░рд┐рдХ рдЗрд╕рд▓рд┐рдП рдЪрд▓рддреА рд╣реИ рдХреНрдпреЛрдВрдХрд┐ рдХреНрд▓рд╛рдЙрдб рдбреЛрдореЗрдиреНрд╕ рдмреНрд▓реЙрдХ рдХрд░рдирд╛ рдХрдард┐рди рд╣реЛрддрд╛ рд╣реИред AI рдпрд╣рд╛рдБ рдорджрдж рдХрд░рддрд╛ рд╣реИ:

  • рд╕рд╛рдорд╛рдиреНрдп OneDrive рдЙрдкрдпреЛрдЧ рдмрдирд╛рдо beaconing pattern (рдПрдХ рд╣реА рдЕрдВрддрд░рд╛рд▓ рдкрд░ рдЫреЛрдЯреЗ-рдЫреЛрдЯреЗ requests)
  • endpoints рд╕реЗ unusual upload bursts
  • рдРрд╕реЗ host/process рдЬреЛ рд╕рд╛рдорд╛рдиреНрдпрддрдГ OneDrive рд╕реЗ рдмрд╛рдд рдирд╣реАрдВ рдХрд░рддреЗ, рдЕрдЪрд╛рдирдХ рдХрд░рдиреЗ рд▓рдЧреЗрдВ

рдХреНрд▓рд╛рдЙрдб C2 рдХрд╛ рдореБрдХрд╛рдмрд▓рд╛ тАЬрдмреНрд▓реЙрдХ-рд▓рд┐рд╕реНрдЯтАЭ рд╕реЗ рдирд╣реАрдВ, behavior + process context рд╕реЗ рд╣реЛрддрд╛ рд╣реИред

рд╕рд░рдХрд╛рд░/рдПрдВрдЯрд░рдкреНрд░рд╛рдЗрдЬ рдХреЗ рд▓рд┐рдП AI-рдЖрдзрд╛рд░рд┐рдд рдбрд┐рдЯреЗрдХреНрд╢рди рдкреНрд▓реЗрдмреБрдХ (рдХрд╛рд░реНрдпрд╢реАрд▓ рдЪреЗрдХрд▓рд┐рд╕реНрдЯ)

рд╕реАрдзрд╛ рдорддрд▓рдм: рдЕрдЧрд░ рдЖрдк 30 рджрд┐рдиреЛрдВ рдореЗрдВ рд╕реБрд░рдХреНрд╖рд╛ рд╕реНрддрд░ рдмрдврд╝рд╛рдирд╛ рдЪрд╛рд╣рддреЗ рд╣реИрдВ, рддреЛ рдкрд╣рд▓реЗ AD, endpoints рдФрд░ cloud telemetry рдХреЛ AI-ready рдмрдирд╛рдЗрдПред

рдЪрд░рдг 1: рдЯреЗрд▓реАрдореЗрдЯреНрд░реА рд╕рд╣реА рдХрд░реЗрдВ (рдкрд╣рд▓реЗ рдбреЗрдЯрд╛, рдлрд┐рд░ AI)

AI рдХреЛрдИ рдЬрд╛рджреВ рдХреА рдЫрдбрд╝реА рдирд╣реАрдВред рдореИрдВрдиреЗ рджреЗрдЦрд╛ рд╣реИ рдХрд┐ рд╕рдмрд╕реЗ рдмрдбрд╝реА рд░реБрдХрд╛рд╡рдЯ тАЬрдбреЗрдЯрд╛ рдЧреИрдктАЭ рд╣реЛрддрд╛ рд╣реИред рдХрдо рд╕реЗ рдХрдо рдпрд╣ рд╕реБрдирд┐рд╢реНрдЪрд┐рдд рдХрд░реЗрдВ:

  • Domain Controller security logs, AD changes, GPO audit logs
  • EDR telemetry: process tree, command line, file writes, memory injection signals
  • DNS + proxy logs + TLS metadata (рдЬрд╣рд╛рдБ рд╕рдВрднрд╡)
  • Cloud access logs (OneDrive/SharePoint/Entra ID)

рдЪрд░рдг 2: тАЬGPO changeтАЭ рдХреЛ High-Severity pipeline рджреЗрдВ

рдХрдИ рд╕рдВрдЧрдарди GPO changes рдХреЛ change-management рдХреА рддрд░рд╣ рдЯреНрд░реАрдЯ рдХрд░рддреЗ рд╣реИрдВ, security рдХреА рддрд░рд╣ рдирд╣реАрдВред рдЗрд╕ рдХреЗрд╕ рдХреЗ рдмрд╛рдж рдпрд╣ рдЧрд▓рддреА рдирд╣реАрдВ рдЪрд▓рдиреА рдЪрд╛рд╣рд┐рдПред

AI/Analytics rules рд╕реБрдЭрд╛рд╡:

  1. GPO edit by non-standard admin тЖТ рддреБрд░рдВрдд triage
  2. GPO applies to Tier-0/Tier-1 assets (DCs, admin workstations, sensitive servers) тЖТ auto-escalation
  3. GPO adds script/task/exe deployment тЖТ sandbox/scan + approve workflow

рдЪрд░рдг 3: тАЬNosyHistorian тЖТ NosyDoorтАЭ рдЬреИрд╕реА рд╕реНрдЯреЗрдЬрд┐рдВрдЧ рдкрдХрдбрд╝реЗрдВ

APT рдЕрдХреНрд╕рд░ рдкрд╣рд▓реЗ тАЬрд░рд┐рдХреЙрдитАЭ рдХрд░рддрд╛ рд╣реИ, рдлрд┐рд░ deep compromiseред рдЗрд╕рдХрд╛ рдорддрд▓рдм:

  • рдпрджрд┐ browser data scraping, credential access, unusual history reads рджрд┐рдЦреЗрдВ, рдЙрд╕реЗ тАЬlowтАЭ рдордд рдЫреЛрдбрд╝рд┐рдПред

AI рд╕реЗ рдЖрдк тАЬmulti-signal correlationтАЭ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ:

  • endpoint рдкрд░ browser-data access + shortly after cloud outbound beacons + privileged logon anomaly

рдЪрд░рдг 4: Incident response рдХреЛ automate рдХрд░реЗрдВтАФрд▓реЗрдХрд┐рди рд╕рдордЭрджрд╛рд░реА рд╕реЗ

AI-driven SOAR рдСрдЯреЛрдореЗрд╢рди рдХрд╛ рд▓рдХреНрд╖реНрдп тАЬрд╕рдм рдХреБрдЫ auto-blockтАЭ рдирд╣реАрдВ, рдмрд▓реНрдХрд┐ рд╕рдордп рдмрдЪрд╛рдирд╛ рд╣реИред рдХреБрдЫ рд╕реБрд░рдХреНрд╖рд┐рдд рдСрдЯреЛ-рдПрдХреНрд╢рди:

  • suspicious GPO change рдкрд░ read-only snapshot + diff report auto-generate
  • impacted endpoints рдХреА auto-isolation (рдХреЗрд╡рд▓ рдЬрдм 2-3 independent signals рдорд┐рд▓реЗрдВ)
  • suspected credentials рдкрд░ forced reset + token revocation runbook

рд▓реЛрдЧ рдЬреЛ рдкреВрдЫрддреЗ рд╣реИрдВ (рдФрд░ рдЬрд┐рдирдХрд╛ рдЬрд╡рд╛рдм рд╕реАрдзреЗ рдЪрд╛рд╣рд┐рдП)

рдХреНрдпрд╛ рдЫреЛрдЯреЗ/рдордзреНрдпрдо рд╕рдВрдЧрдарди рднреА рдЗрд╕ рддрд░рд╣ рдХреЗ APT рдХреЗ рдирд┐рд╢рд╛рдиреЗ рдкрд░ рд╣реЛрддреЗ рд╣реИрдВ?

рд╣рд╛рдБтАФрдЦрд╛рд╕рдХрд░ рд╡реЗ vendor/partner рдЬрд┐рдирдХреЗ рдкрд╛рд╕ рд╕рд░рдХрд╛рд░реА/рдХреНрд░рд┐рдЯрд┐рдХрд▓ рдЗрдиреНрдлреНрд░рд╛рд╕реНрдЯреНрд░рдХреНрдЪрд░ рдХреА рдкрд╣реБрдБрдЪ рд╣реЛрддреА рд╣реИред рд╕рдкреНрд▓рд╛рдИ-рдЪреЗрди рдПрдВрдЧрд▓ рдЕрдХреНрд╕рд░ рдХрдо рд╕реБрд░рдХреНрд╖рд┐рдд рджрд░рд╡рд╛рдЬрд╝рд╛ рд╣реЛрддрд╛ рд╣реИред

рдЕрдЧрд░ Group Policy compromise рд╣реЛ рдЬрд╛рдП рддреЛ рдкрд╣рд▓реА рдкреНрд░рд╛рдердорд┐рдХрддрд╛ рдХреНрдпрд╛?

Domain Controller containment рдФрд░ privileged credentials resetред рд╕рд╛рде рдореЗрдВ GPOs рдХреА integrity verification рдФрд░ replication scope рдЬрд╛рдВрдЪрдирд╛ред

рдХреНрдпрд╛ AI false positives рдмрдврд╝рд╛рдПрдЧрд╛?

рдЧрд▓рдд рддрд░реАрдХреЗ рд╕реЗ рд▓рд╛рдЧреВ рдХрд░реЗрдВрдЧреЗ рддреЛ рд╣рд╛рдБред рд╕рд╣реА рддрд░реАрдХрд╛: рдЯрд┐рдпрд░рд┐рдВрдЧ (Tier-0 focus), рдмреЗрд╕рд▓рд╛рдЗрдирд┐рдВрдЧ, рдФрд░ multi-signal correlationред AI рдХрд╛ рдлрд╛рдпрджрд╛ рддрднреА рд╣реИ рдЬрдм рдЖрдк рдЙрд╕реЗ тАЬcontextтАЭ рджреЗрдВред

рдЗрд╕ рдХреЗрд╕ рд╕реНрдЯрдбреА рд╕реЗ рдореЗрд░рд╛ рд╕реНрдкрд╖реНрдЯ рдирд┐рд╖реНрдХрд░реНрд╖: AI рдЕрдм тАЬрд╡реИрдХрд▓реНрдкрд┐рдХтАЭ рдирд╣реАрдВ рд╣реИ

LongNosedGoblin рдЬреИрд╕реА APT рдЧрддрд┐рд╡рд┐рдзрд┐ рдПрдХ рдмрд╛рдд рд╕рд╛рдл рдХрд░ рджреЗрддреА рд╣реИтАФрд╣рдорд▓рд╛рд╡рд░ trusted admin planes рдХреЛ рд╣рдерд┐рдпрд╛рд░ рдмрдирд╛ рд░рд╣реЗ рд╣реИрдВред рдЬрдм рд╣рдорд▓рд╛ рд╡реИрдз рдЯреВрд▓реНрд╕ (Group Policy) рдФрд░ рд╡реИрдз рдХреНрд▓рд╛рдЙрдб (OneDrive) рдХреЗ рд░рд╛рд╕реНрддреЗ рдЖрддрд╛ рд╣реИ, рддрдм рд╕рд┐рд░реНрдл signatures рдФрд░ static rules рдкрд░реНрдпрд╛рдкреНрдд рдирд╣реАрдВ рд░рд╣рддреЗред AI-driven threat intelligence рдФрд░ behavior analytics рдпрд╣рд╛рдБ рд╡рд╛рд╕реНрддрд╡рд┐рдХ рд╕реБрд░рдХреНрд╖рд╛ рдмрдирд╛рддреЗ рд╣реИрдВ: рдЬрд▓реНрджреА detection, рдмреЗрд╣рддрд░ triage, рдФрд░ рддреЗрдЬрд╝ incident responseред

рд╣рдорд╛рд░реА тАЬрд╕рд╛рдЗрдмрд░ рд╕реБрд░рдХреНрд╖рд╛ рдореЗрдВ AIтАЭ рд╕реАрд░реАрдЬрд╝ рдХрд╛ рдпрд╣ рд╣рд┐рд╕реНрд╕рд╛ рдЙрд╕реА рдмрдбрд╝реЗ рд╕рдВрджреЗрд╢ рдХреЛ рдЖрдЧреЗ рдмрдврд╝рд╛рддрд╛ рд╣реИ: AI рд╕реБрд░рдХреНрд╖рд╛ рдЯреАрдо рдХреА рдЬрдЧрд╣ рдирд╣реАрдВ рд▓реЗрддрд╛, рд▓реЗрдХрд┐рди рд╕реБрд░рдХреНрд╖рд╛ рдЯреАрдо рдХреЛ рд╕рдордп рд╡рд╛рдкрд╕ рджреЗрддрд╛ рд╣реИтАФрдФрд░ APT рдХреЗ рд╕рд╛рдордиреЗ рд╕рдордп рд╣реА рд╕рдмрд╕реЗ рдХреАрдорддреА рд╕рдВрд╕рд╛рдзрди рд╣реИред

рдЕрдЧрд░ рдЖрдк рдЪрд╛рд╣реЗрдВ, рдореИрдВ рдЖрдкрдХреЗ рд╡рд╛рддрд╛рд╡рд░рдг рдХреЗ рд╣рд┐рд╕рд╛рдм рд╕реЗ рдПрдХ AI-рдЖрдзрд╛рд░рд┐рдд AD/GPO monitoring blueprint (рдбреЗрдЯрд╛ рд╕реНрд░реЛрдд, detection rules, triage flow, рдФрд░ SOAR playbooks) рддреИрдпрд╛рд░ рдХрд░рдиреЗ рдореЗрдВ рдорджрдж рдХрд░ рд╕рдХрддрд╛/рд╕рдХрддреА рд╣реВрдБред рдЖрдкрдХрд╛ рд╕рдВрдЧрдарди рдЖрдЬ рдХрд┐рд╕ рдкрд░ рдЬреНрдпрд╛рджрд╛ рдирд┐рд░реНрднрд░ рд╣реИтАФAD Group Policy, cloud collaboration, рдпрд╛ remote admin? рд╡рд╣реАрдВ рд╕реЗ рд╢реБрд░реБрдЖрдд рдХрд░рдиреА рдЪрд╛рд╣рд┐рдПред