«Солар» обнаружил иностранную хакерскую группировку, шпионившую за российским ведомством

Эк­спер­ты цен­тра ис­сле­дова­ния ки­беруг­роз за­мети­ли вре­донос­ное программное обеспечение и обез­вре­дили его.

Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» обнаружили иностранных хакеров в инфраструктуре одного из органов исполнительной власти. Злоумышленники использовали сложно закамуфлированное самописное ПО для шпионажа, а для его удалённого управления — скомпрометированные серверы организаций в разных странах, — сообщает пресс-служба «Ростелекома». К настоящему моменту всё обнаруженное вредоносное ПО обезвредили, а затронутые системы вернулись в работу.

В конце 2023 года специалисты Solar анализировали инфраструктуры одного из российских ведомств. Так выяснили, что один компьютер взломали. Более глубокое исследование обнаружило в ведомственной сети несколько образцов многоступенчатого вредносного ПО (ВПО). Обнаруженная версия никогда раньше не встречалась, зато удалось найти предыдущие его варианты и проследить их эволюцию, начиная с 2021 года.

— Нам удалось найти и проанализировать фрагмент кода управляющего сервера. Файл был загружен на один публичный сервис под именем config.jsp с IP-адреса Саудовской Аравии. Анализ сетевой инфраструктуры показал, что, вероятно, это была промежуточная жертва, сервер которой скомпрометировали для размещения на нём управляющего центра (С2). В актуальной версии импланта для координации его работы использовался взломанный компонент сервера Института нанонауки и нанотехнологий Национального центра научных исследований «Демокрит» в Греции, — отметил начальник отдела анализа угроз центра Solar 4RAYS ГК «Солар» Алексей Фирш.

С каждой новой версией ВПО становилось более сложным. В последнем экземпляре злоумышленники использовали технику DLL Side-Loading (размещение вредоносного кода в папке с легитимной программой — прим. Ф.). Они отказались от поэтапной передачи команд с сервера управления на целевую систему. Это говорит о том, что мошенники пытались скрыть вредоносную активность от средств защиты на конечном хосте. Один из найденных образцов предыдущей версии ВПО доставлялся на компьютер жертвы с помощью фишингового письма, начинённого загрузчиком. В последней атаке вектор заражения остался неизвестным.

— На основании анализа фрагмента управляющего сервера мы полагаем, что в дикой природе существует ещё больше образцов, относящихся к описанному кластеру. Архитектура ВПО качественно перерабатывалась хакерами от атаки к атаке: методы удаленного управления, доставки и развертывания совершенствовалась — неизменным оставалось только ядро самого импланта. Все это говорит о том, что за этими атаками стоит хорошо организованная группа, располагающая большим запасом ресурсов, которые, как мы знаем из других публичных исследований, часто выделяются при поддержке государства. В будущем мы ожидаем больше атак от NGC2180 (выявленной преступной группировке — прим. Ф.), поэтому призываем ИБ-сообщество воспользоваться индикаторами, приведёнными в нашем исследовании, для выявления следов присутствия данной группировки, — предупредил эксперт группы анализа ВПО центра исследования Solar 4RAYS ГК «Солар» Дмитрий Маричев.

Игорь Резанов

Читайте также

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter.

Похожие новости

Новая языковая модель «Ростелекома» очеловечит общение операторов контакт-центра с клиентами

Новая языковая модель «Ростелекома» очеловечит общение операторов контакт-центра с клиентами

«Ростелеком» перешёл на российский софт для работы с PDF-документами

«Ростелеком» перешёл на российский софт для работы с PDF-документами

Платформа «Сферум» запустила онлайн-трансляции на 10 тысяч зрителей*

Платформа «Сферум» запустила онлайн-трансляции на 10 тысяч зрителей*

К столетию Петербургской филармонии создали бесплатный видеоэкскурс «Соло для зала с оркестром»*

К столетию Петербургской филармонии создали бесплатный видеоэкскурс «Соло для зала с оркестром»*

«Ростелеком»: Слитая в интернет база QR-кодов оказалась недействительной

«Ростелеком»: Слитая в интернет база QR-кодов оказалась недействительной

Виртуальная АТС «Ростелекома» поможет компаниям повысить эффективность общения с клиентами*

Виртуальная АТС «Ростелекома» поможет компаниям повысить эффективность общения с клиентами*

Первый жилой комплекс в Белгороде перешёл на цифру*

Первый жилой комплекс в Белгороде перешёл на цифру*

Эксперты «Ростелеком-Солар»: сотрудники 80 процентов компаний создают слабые пароли*

Эксперты «Ростелеком-Солар»: сотрудники 80 процентов компаний создают слабые пароли*

На горячую линию «Деда Мороза и его цифровых помощников» позвонили свыше 32 тысяч раз

На горячую линию «Деда Мороза и его цифровых помощников» позвонили свыше 32 тысяч раз

«Ростелеком» сделал бесплатными международные звонки в Израиль

«Ростелеком» сделал бесплатными международные звонки в Израиль

Нейросети и видеокамеры помогут вычислять нарушителей на ЕГЭ

Нейросети и видеокамеры помогут вычислять нарушителей на ЕГЭ