Advanced Persistent Threat (APT) — це найскладніший тип кібератак, який передбачає довготривале приховане перебування зловмисників у системі. Такі атаки зазвичай здійснюються державними або добре організованими кіберугрупуваннями.
На відміну від фішингу чи ransomware, APT не спрямовані на миттєвий результат. Їхня мета — тривалий доступ до конфіденційної інформації, промислового шпигунства або впливу на інфраструктуру.
Початковий доступ часто здійснюється через zero-day вразливості — невідомі виробнику помилки в програмному забезпеченні. Такі експлойти можуть залишатися активними місяцями або роками, поки не будуть виявлені та закриті.
Після проникнення використовується складна система прихованості. Атакуючі встановлюють backdoor-імпланти, які маскуються під системні процеси. Часто застосовується техніка process injection, коли шкідливий код виконується всередині легітимного процесу Windows, наприклад explorer.exe.
Для комунікації з командними серверами (C2 — command and control) використовуються зашифровані канали або навіть легітимні сервіси, такі як GitHub, Telegram API або DNS-запити. Це ускладнює виявлення трафіку.
APT-групи також активно використовують MITRE ATT&CK framework як модель поведінки атак. Вона описує тактики: від первинного доступу до ексфільтрації даних, що дозволяє їм планувати багаторівневі операції.
Особливо небезпечним є те, що такі атаки можуть тривати місяцями без виявлення. У деяких випадках зловмисники мають доступ до системи настільки глибоко, що можуть впливати на конфігурації мережі, логування та навіть засоби безпеки.