Атаковали почти 900 серверов в 58 странах мира: Solar 4RAYS об-наружила новую хакерскую группировку Proxy Trickster

Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» обнаружили новую хакерскую группировку Proxy Trickster, которая занимается майнингом криптовалют и проксиджекингом – перехватом контроля над серверами для их преобразования и продажи. За год они атаковали почти 900 серверов в 58 странах мира, включая Россию, и все еще имеют к ним доступы, что потенциально позволяет проводить более разрушительные атаки.

В марте 2025 года команда Solar 4RAYS расследовала ИБ-инцидент в одной из российских ИТ-компаний, в ходе изучения которого обнаружила активность неизвестной ранее хакерской группировки, которая получила название Proxy Trickster – ранее ее деятельность не была подробно расследована ИБ-сообществом. Основной доход хакеры получают с майнинга криптовалют и проксиджекинга – вида кибератак, в ходе которого хакеры перехватывают легитимные серверы с помощью известных уязвимостей в публично доступных сервисах, преобразуют их в прокси-серверы, а затем продают в даркнете с возможностью скрывать свою онлайн-активность и IP-адреса.

Первые найденные следы атак Proxy Trickster датированы маем 2024 года, с тех пор хакеры не прекращали свою деятельность. Более чем за год их деятельности всего было заражено не менее 874 устройств в 58 странах. Больше всего атакованных группировкой серверов эксперты Solar 4RAYS обнаружили в CША (16% от общего числа зараженных серверов), Германии (6%), России (4%), Украине (4%), Франции (4%) других странах. Можно сделать вывод, что география целей не волнует хакеров –, они атакуют все доступные им серверы с целью заработка.

Несмотря на то, что группировка является скорее любительской, она использует инструменты и методики профессиональных хакеров, атакующих с целью шпионажа и деструктивных действий. Например, она подменяет системные утилиты на кастомные скрипты, которые маскируют вредоносные процессы от системных администраторов, а также используют многоуровневую автоматизацию атак. Помимо этого, группировка сохраняет доступы к атакованным серверам, что позволяет потенциально проводить и более сложные атаки – это означает, что она все же может представлять угрозу для сотен, если не тысяч компаний, в том числе и в России.

Иван Сюхин

руководитель группы расследования инцидентов центра исследования Solar 4RAYS, ГК «Солар»

«Мы в Solar 4RAYS пока не обнаружили подтверждения тому, что эти хакеры реализовали более сложные атаки, но не факт, что этого не может произойти в будущем. Например, доступ к взломанным серверам может быть продан другим злоумышленникам, и те могут использовать его для нанесения более серьезных ударов. ИБ-командам организаций следует обратить внимание на эту угрозу и принять меры для защиты от нее».

Специалисты Solar 4RAYS в своем блоге опубликовали индикаторы компрометации группировки – это поможет российским компаниям обнаруживать и блокировать вредоносную активность злоумышленников в своих корпоративных сетях.

Чтобы вовремя выявлять атаки Proxy Trickster, эксперты советуют проверять присутствие удаленного выполнения кода и своевременно обновлять уязвимое ПО, а также отслеживать появление неизвестных docker-контейнеров – особенно там, где их не должно быть. Более подробные рекомендации по противодействию группировке можно узнать в блоге 4RAYS.