Госсектор под угрозой, есть жертвы: Solar 4RAYS выявили хакерскую группировку, атаковавшую федеральное ведомство

Эксперты центра исследования киберугроз Solar 4RAYS группы компаний «Солар» обнаружили неизвестную ранее восточно-азиатскую группировку, которая с помощью публичных инструментов атаковала веб-приложение федерального ведомства, работавшее на кастомном движке. Хакеры смогли проникнуть в инфраструктуру жертвы и выполнить команды в операционной системе сервера. В ходе расследования эксперты выяснили, что группировка использовала имена внутренних серверов жертвы для попыток взлома и в других госструктурах. Специалисты Solar 4RAYS расследовали атаку и смогли выгнать хакеров из инфраструктуры.

По данным специалистов Solar 4RAYS, атаку, скорее всего, совершила группировка из Восточной Азии — на это указывают запросы хакеров к веб-серверу из данного региона и ряд других косвенных признаков — например, время начала атак (4 утра по МСК, когда начинается рабочий день в регионе). Группировка получила наименование NGC4141 (NGC, new generic cluster — вредоносная активность, которую пока невозможно отнести к какой-либо известной группе атакующих).

Согласно результатам расследования, атака началась еще в декабре 2024 года. На протяжении нескольких дней хакеры интенсивно сканировали онлайн-ресурс на предмет различных уязвимостей, в определенные моменты нагрузка на систему измерялась тысячами запросов в час. Еще спустя несколько недель злоумышленники перешли на ручное сканирование уязвимостей. Найдя их, они использовали незадокументированные возможности публичной платформы для работы с API, чтобы внедрить на веб-сервер сайта жертвы веб-шеллы (вредоносные скрипты для получения доступа к серверу и выполнению команд через веб-интерфейс). Так хакеры смогли внедрить вредоносное ПО и получить доступ к инфраструктуре организации.

Примечательно, что веб-приложение работало на кастомном движке, написанном с нуля или модифицированном на основе популярных платформ, и под него не было эксплойтов (ВПО для эксплуатации уязвимостей) в открытом доступе. Такие веб-приложения гораздо сложнее поддаются взлому, чем онлайн-ресурсы на Tilda, WordPress и других платформах. Сам веб-сервер был защищен антивирусом и системой защиты от веб-атак (WAF). Несмотря на это, NGC4141 получили доступ к инфраструктуре жертвы, что указывает на их высокую квалификацию. Эксперты Solar 4RAYS отмечают, что WAF и антивирус не смогли остановить продвижение атакующих, однако замедлили их и сигнализировали о возможном проникновении. Это говорит о необходимости комплексного подхода к внедрению средств защиты и ручного анализа аномальных ИБ-событий высококвалифицированными экспертами.

Параллельно имена внутренних серверов атакованного ведомства, которых нет в открытом доступе, хакеры пытались использовать и в других атаках на госструктуры — в надежде на совпадение. Это может означать, что хакеры могли обмениваться информацией со схожими группировками и нацелены совершать атаки на веб-приложения других организаций из госсектора.

Специалисты Solar 4RAYS в своем блоге опубликовали индикаторы компрометации группировки — это поможет российским компаниям обнаруживать и блокировать вредоносную активность злоумышленников в своих корпоративных сетях.

Источник: ГК «Солар»