«Солар» обнаружил иностранную хакерскую группировку, шпионившую за российским ведомством

Эк­спер­ты цен­тра ис­сле­дова­ния ки­беруг­роз за­мети­ли вре­донос­ное программное обеспечение и обез­вре­дили его.

Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» обнаружили иностранных хакеров в инфраструктуре одного из органов исполнительной власти. Злоумышленники использовали сложно закамуфлированное самописное ПО для шпионажа, а для его удалённого управления — скомпрометированные серверы организаций в разных странах, — сообщает пресс-служба «Ростелекома». К настоящему моменту всё обнаруженное вредоносное ПО обезвредили, а затронутые системы вернулись в работу.

В конце 2023 года специалисты Solar анализировали инфраструктуры одного из российских ведомств. Так выяснили, что один компьютер взломали. Более глубокое исследование обнаружило в ведомственной сети несколько образцов многоступенчатого вредносного ПО (ВПО). Обнаруженная версия никогда раньше не встречалась, зато удалось найти предыдущие его варианты и проследить их эволюцию, начиная с 2021 года.

— Нам удалось найти и проанализировать фрагмент кода управляющего сервера. Файл был загружен на один публичный сервис под именем config.jsp с IP-адреса Саудовской Аравии. Анализ сетевой инфраструктуры показал, что, вероятно, это была промежуточная жертва, сервер которой скомпрометировали для размещения на нём управляющего центра (С2). В актуальной версии импланта для координации его работы использовался взломанный компонент сервера Института нанонауки и нанотехнологий Национального центра научных исследований «Демокрит» в Греции, — отметил начальник отдела анализа угроз центра Solar 4RAYS ГК «Солар» Алексей Фирш.

С каждой новой версией ВПО становилось более сложным. В последнем экземпляре злоумышленники использовали технику DLL Side-Loading (размещение вредоносного кода в папке с легитимной программой — прим. Ф.). Они отказались от поэтапной передачи команд с сервера управления на целевую систему. Это говорит о том, что мошенники пытались скрыть вредоносную активность от средств защиты на конечном хосте. Один из найденных образцов предыдущей версии ВПО доставлялся на компьютер жертвы с помощью фишингового письма, начинённого загрузчиком. В последней атаке вектор заражения остался неизвестным.

— На основании анализа фрагмента управляющего сервера мы полагаем, что в дикой природе существует ещё больше образцов, относящихся к описанному кластеру. Архитектура ВПО качественно перерабатывалась хакерами от атаки к атаке: методы удаленного управления, доставки и развертывания совершенствовалась — неизменным оставалось только ядро самого импланта. Все это говорит о том, что за этими атаками стоит хорошо организованная группа, располагающая большим запасом ресурсов, которые, как мы знаем из других публичных исследований, часто выделяются при поддержке государства. В будущем мы ожидаем больше атак от NGC2180 (выявленной преступной группировке — прим. Ф.), поэтому призываем ИБ-сообщество воспользоваться индикаторами, приведёнными в нашем исследовании, для выявления следов присутствия данной группировки, — предупредил эксперт группы анализа ВПО центра исследования Solar 4RAYS ГК «Солар» Дмитрий Маричев.

Игорь Резанов

Читайте также

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter.

Похожие новости

Новая языковая модель «Ростелекома» очеловечит общение операторов контакт-центра с клиентами

Новая языковая модель «Ростелекома» очеловечит общение операторов контакт-центра с клиентами

«Ростелеком» перешёл на российский софт для работы с PDF-документами

«Ростелеком» перешёл на российский софт для работы с PDF-документами

Какие премьеры ждут пользователей Wink в августе*

Какие премьеры ждут пользователей Wink в августе*

Зрители видеосервиса Wink получат в подарок каждый четвёртый фильм*

Зрители видеосервиса Wink получат в подарок каждый четвёртый фильм*

Белгородских школьников и их родителей приглашают поучаствовать в семейном IT-марафоне

Белгородских школьников и их родителей приглашают поучаствовать в семейном IT-марафоне

Wink поможет зарабатывать видеоблогерам*

Wink поможет зарабатывать видеоблогерам*

«Ростелеком» занял первое место среди поставщиков услуг центров обработки данных*

«Ростелеком» занял первое место среди поставщиков услуг центров обработки данных*

В России в 2022 году выросли продолжительность и мощность DDoS-атак

В России в 2022 году выросли продолжительность и мощность DDoS-атак

«РТК Солар»: Средний годовой ущерб российским компаниям от хакеров вырос на треть

«РТК Солар»: Средний годовой ущерб российским компаниям от хакеров вырос на треть

Участниками проекта «Азбука интернета» стали почти 30 тысяч пенсионеров

Участниками проекта «Азбука интернета» стали почти 30 тысяч пенсионеров

«Ростелеком. Лицей» приглашает белгородцев написать «Диктант Победы»

«Ростелеком. Лицей» приглашает белгородцев написать «Диктант Победы»


-->