second_constantine
25e0a2a96a
Remove the "Лог файл" (Log file) column from the report generation as it's no longer needed. This simplifies the report structure and removes unused functionality.
3 lines
8.5 KiB
Plaintext
3 lines
8.5 KiB
Plaintext
Рекомендуем почитать: Хакер #319. Атаки на банкоматы Содержание выпуска Подписка на «Хакер»-60% Специалисты команды Solar 4RAYS ГК «Солар» обнаружили новый модульный бэкдор ShadowRelay. Он позволяет загружать шпионские инструменты, коммуницировать с другими своими копиями, а также получать доступ к данным в изолированных от интернета сегментах сети жертвы и самоликвидироваться в случае опасности. Сообщается, что вредонос уже проник в одну из организаций госсектора. Исследователи пишут, что еще в 2025 году они подключились к расследованию ИБ-инцидента в одной из госструктур, которая с высокой вероятностью была скомпрометирована азиатской группировкой Erudite Mogwai (она же Space Pirates). В результате анализа было обнаружено несколько зараженных систем, в которых среди прочего была найдена малварь Shadowpad Light (она же Deed RAT), а источником их заражения оказался почтовый сервер Exchange, который был скомпрометирован еще летом 2024 года с помощью эксплуатации цепочки уязвимостей ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207). Уязвимый почтовый сервер установили еще летом 2024 года, и уже спустя несколько недель он был обнаружен сразу множеством хакерских группировок. В итоге во время исследования системы были обнаружены различные вредоносы: оригинальный ShadowPad (азиатские хак-группы); Shadowpad Light (Erudite Mogwai); Donnect (Obstinate Mogwai); Mythic Agent (GOFFEE). Помимо уже известных инструментов атакующих, при исследовании системы был найден новый образец модульной малвари, который разместили в системе в период предполагаемой активности группы Obstinate Mogwai. Эта малварь позволяет атакующим скрытно подгружать плагины, которые реализуют необходимую в конкретной атаке функциональность. Также бэкдор может поддерживать связь с другими имплантами, которые, например, не имеют подключения к интернету. Сам бэкдор не содержит полезной нагрузки для шпионажа или удаленного управления, однако позволяет ее загрузить. Отмечается, что экспертам не удалось найти плагины для этой малвари, поэтому сценарий атакующих и их цели пока не ясны до конца. При успешном заражении бэкдор использует несколько функций сокрытия себя в системе компании (например, инъекцию самого себя в другие процессы и переиспользование портов). Кроме того, бэкдор пытается обнаружить дебаггеры, песочницы и имеет простейшие проверки обратной разработки. Вредоносная нагрузка запускается только в том случае, если в параметрах передается специальное значение из конфига. В случае провала проверок запускается функция самоликвидации малвари. Одной из наиболее интересных особенностей ShadowRelay является способность собирать данные с хостов в инфраструктуре жертвы, которые не подключены к интернету (как правило, именно на них располагаются критически важные системы или данные компании). Для этого вредонос, находящийся в сегменте инфраструктуры, подключенном к интернету, образует сеть со своими копиями в закрытых сегментах. Логика управления при этом реализуется подгружаемыми плагинами. Устройство бэкдора позволяет контролировать хосты, которые не подключены напрямую к интернету, образуя сеть из серверов и клиентов. Исследователи резюмируют, что все это свидетельствует о высоком уровне подготовки атакующих, которые планировали как можно дольше присутствовать в скомпрометированной инфраструктуре. Подобное поведение характерно прежде всего для шпионских APT-группировок. Подчеркивается, что в случае атаки на организацию из госсектора бэкдор не успел украсть данные и нанести какой-либо другой вред. Однако предполагается, что злоумышленники будут использовать ShadowRelay и в других атаках на организации российского госсектора, прямо влияющие на экономику и безопасность страны. Чтобы защититься от атак ShadowRelay, эксперты Solar 4RAYS советуют использовать приложенное к отчету Snort-правило для обнаружения бэкдора, а также применять современные средства защиты. Теги:MalwareShadowRelayБэкдорВзломКибератакиНовостиРоссия Подпишись на наc в Telegram! Только важные новости и лучшие статьи Подписаться Открыть комментарии Подписаться авторизуйтесь Уведомить о новых последующих комментариях новых ответах на мои комментарии Пожалуйста, войдите, чтобы прокомментировать 0 комментариев Старые Новые Популярные Межтекстовые Отзывы Посмотреть все комментарии Загрузить ещё комментарии
|
||
==============
|
||
Обнаружен новый модульный бэкдор ShadowRelay, разработанный группой Solar 4RAYS. Бэкдор позволяет загружать шпионские инструменты, общаться с другими копиями и получать доступ к данным в изолированных сегментах сети. Он уже проник в организацию госсектора. Бэкдор также использует плагины для реализации необходимой функциональности и обладает возможностями скрытия и самоликвидации. Обнаружены и другие вредоносные программы, включая Shadowpad Light и Donnect. Эксперты рекомендуют использовать Snort-правило и современные средства защиты для обнаружения и предотвращения атак ShadowRelay. |