Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» обнаружили новую хакерскую группировку Proxy Trickster, которая занимается майнингом криптовалют и проксиджекингом – перехватом контроля над серверами для их преобразования и продажи. За год они атаковали почти 900 серверов в 58 странах мира, включая Россию, и все еще имеют к ним доступы, что потенциально позволяет проводить более разрушительные атаки.

В марте 2025 года команда Solar 4RAYS расследовала ИБ-инцидент в одной из российских ИТ-компаний, в ходе изучения которого обнаружила активность неизвестной ранее хакерской группировки, которая получила название Proxy Trickster – ранее ее деятельность не была подробно расследована ИБ-сообществом. Основной доход хакеры получают с майнинга криптовалют и проксиджекинга – вида кибератак, в ходе которого хакеры перехватывают легитимные серверы с помощью известных уязвимостей в публично доступных сервисах, преобразуют их в прокси-серверы, а затем продают в даркнете с возможностью скрывать свою онлайн-активность и IP-адреса.

Первые найденные следы атак Proxy Trickster датированы маем 2024 года, с тех пор хакеры не прекращали свою деятельность. Более чем за год их деятельности всего было заражено не менее 874 устройств в 58 странах. Больше всего атакованных группировкой серверов эксперты Solar 4RAYS обнаружили в CША (16% от общего числа зараженных серверов), Германии (6%), России (4%), Украине (4%), Франции (4%) других странах. Можно сделать вывод, что география целей не волнует хакеров –, они атакуют все доступные им серверы с целью заработка.

Несмотря на то, что группировка является скорее любительской, она использует инструменты и методики профессиональных хакеров, атакующих с целью шпионажа и деструктивных действий. Например, она подменяет системные утилиты на кастомные скрипты, которые маскируют вредоносные процессы от системных администраторов, а также используют многоуровневую автоматизацию атак. Помимо этого, группировка сохраняет доступы к атакованным серверам, что позволяет потенциально проводить и более сложные атаки – это означает, что она все же может представлять угрозу для сотен, если не тысяч компаний, в том числе и в России.

Иван Сюхин

руководитель группы расследования инцидентов центра исследования Solar 4RAYS, ГК «Солар»

«Мы в Solar 4RAYS пока не обнаружили подтверждения тому, что эти хакеры реализовали более сложные атаки, но не факт, что этого не может произойти в будущем. Например, доступ к взломанным серверам может быть продан другим злоумышленникам, и те могут использовать его для нанесения более серьезных ударов. ИБ-командам организаций следует обратить внимание на эту угрозу и принять меры для защиты от нее».

Специалисты Solar 4RAYS в своем блоге опубликовали индикаторы компрометации группировки – это поможет российским компаниям обнаруживать и блокировать вредоносную активность злоумышленников в своих корпоративных сетях.

Чтобы вовремя выявлять атаки Proxy Trickster, эксперты советуют проверять присутствие удаленного выполнения кода и своевременно обновлять уязвимое ПО, а также отслеживать появление неизвестных docker-контейнеров – особенно там, где их не должно быть. Более подробные рекомендации по противодействию группировке можно узнать в блоге 4RAYS.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

PROF-IT GROUP и «Солар» начинают сотрудничество в сфере кибербезопасности для промышленных предприятий

PROF-IT GROUP и «Солар» начинают сотрудничество в сфере кибербезопасности для промышленных предприятий

Узнать больше
Тонкие настройки прав доступа в новом релизе IdM-системы Solar inRights

Тонкие настройки прав доступа в новом релизе IdM-системы Solar inRights

Узнать больше
«Солар» расширяет пул разработчиков OCR-технологий

«Солар» расширяет пул разработчиков OCR-технологий

Узнать больше
Новая версия CyberMir 7.2: более 30 тематических мероприятий по отработке навыков от «красных» до «белых» команд

Новая версия CyberMir 7.2: более 30 тематических мероприятий по отработке навыков от «красных» до «белых» команд

Узнать больше
От атаки до защиты за 5 секунд: «Солар» запускает услугу облачной сигнализации для экстренного реагирования на DDoS-атаки

От атаки до защиты за 5 секунд: «Солар» запускает услугу облачной сигнализации для экстренного реагирования на DDoS-атаки

Узнать больше
MULTIFACTOR и Solar SafeInspect усиливают защиту учетных записей привилегированных пользователей

MULTIFACTOR и Solar SafeInspect усиливают защиту учетных записей привилегированных пользователей

Узнать больше
«Солар» приобрел 90% компании Hexway для выхода в новые сегменты рынка решений для безопасной разработки ПО

«Солар» приобрел 90% компании Hexway для выхода в новые сегменты рынка решений для безопасной разработки ПО

Узнать больше
Это мы не проходили: как стать администратором СЗИ?

Это мы не проходили: как стать администратором СЗИ?

Узнать больше
Безопасное цифровое общество начинается здесь: объявлены даты Российской недели кибербезопасности и SOC Forum

Безопасное цифровое общество начинается здесь: объявлены даты Российской недели кибербезопасности и SOC Forum

Узнать больше