Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» обнаружили новую хакерскую группировку Proxy Trickster, которая занимается майнингом криптовалют и проксиджекингом — перехватом контроля над серверами для их преобразования и продажи. За год они атаковали почти 900 серверов в 58 странах мира, включая Россию, и все еще имеют к ним доступы, что потенциально позволяет проводить более разрушительные атаки.

В марте 2025 года команда Solar 4RAYS расследовала ИБ-инцидент в одной из российских ИТ-компаний, в ходе изучения которого обнаружила активность неизвестной ранее хакерской группировки, которая получила название Proxy Trickster — ранее ее деятельность не была подробно расследована ИБ-сообществом. Основной доход хакеры получают с майнинга криптовалют и проксиджекинга — вида кибератак, в ходе которого хакеры перехватывают легитимные серверы с помощью известных уязвимостей в публично доступных сервисах, преобразуют их в прокси-серверы, а затем продают в даркнете с возможностью скрывать свою онлайн-активность и IP-адреса.

Первые найденные следы атак Proxy Trickster датированы маем 2024 года, с тех пор хакеры не прекращали свою деятельность. Более чем за год их деятельности всего было заражено не менее 874 устройств в 58 странах. Больше всего атакованных группировкой серверов эксперты Solar 4RAYS обнаружили в CША (16% от общего числа зараженных серверов), Германии (6%), России (4%), Украине (4%), Франции (4%) других странах. Можно сделать вывод, что география целей не волнует хакеров —, они атакуют все доступные им серверы с целью заработка.

Несмотря на то, что группировка является скорее любительской, она использует инструменты и методики профессиональных хакеров, атакующих с целью шпионажа и деструктивных действий. Например, она подменяет системные утилиты на кастомные скрипты, которые маскируют вредоносные процессы от системных администраторов, а также используют многоуровневую автоматизацию атак. Помимо этого, группировка сохраняет доступы к атакованным серверам, что позволяет потенциально проводить и более сложные атаки — это означает, что она все же может представлять угрозу для сотен, если не тысяч компаний, в том числе и в России.

Иван Сюхин

руководитель группы расследования инцидентов центра исследования Solar 4RAYS, ГК «Солар»

«Мы в Solar 4RAYS пока не обнаружили подтверждения тому, что эти хакеры реализовали более сложные атаки, но не факт, что этого не может произойти в будущем. Например, доступ к взломанным серверам может быть продан другим злоумышленникам, и те могут использовать его для нанесения более серьезных ударов. ИБ-командам организаций следует обратить внимание на эту угрозу и принять меры для защиты от нее».

Специалисты Solar 4RAYS в своем блоге опубликовали индикаторы компрометации группировки — это поможет российским компаниям обнаруживать и блокировать вредоносную активность злоумышленников в своих корпоративных сетях.

Чтобы вовремя выявлять атаки Proxy Trickster, эксперты советуют проверять присутствие удаленного выполнения кода и своевременно обновлять уязвимое ПО, а также отслеживать появление неизвестных docker-контейнеров — особенно там, где их не должно быть. Более подробные рекомендации по противодействию группировке можно узнать в блоге 4RAYS.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

«Солар»: злоумышленники используют спрос на инструменты для обхода блокировок Telegram

«Солар»: злоумышленники используют спрос на инструменты для обхода блокировок Telegram

Узнать больше
Корпоративная почта под новой защитой: SEG-T и «Солар» создают барьер от хакеров и индустрии фишинга

Корпоративная почта под новой защитой: SEG-T и «Солар» создают барьер от хакеров и индустрии фишинга

Узнать больше
УЦСБ и ГК «Солар»: 50,5% российских компаний подозревают или фиксируют утечки данных через ИИ-инструменты

УЦСБ и ГК «Солар»: 50,5% российских компаний подозревают или фиксируют утечки данных через ИИ-инструменты

Узнать больше
Большая кража денег и учетных записей: как мошенники обманывают россиян с предзаказом игры GTA VI

Большая кража денег и учетных записей: как мошенники обманывают россиян с предзаказом игры GTA VI

Узнать больше
«Делимобиль» обеспечивает защиту данных и повышает киберграмотность сотрудников на базе решений «Солара»  и собственной разработки

«Делимобиль» обеспечивает защиту данных и повышает киберграмотность сотрудников на базе решений «Солара» и собственной разработки

Узнать больше
АО «НТЦ ИТ РОСА» и «Солар» защищают работу привилегированных пользователей в виртуальной среде

АО «НТЦ ИТ РОСА» и «Солар» защищают работу привилегированных пользователей в виртуальной среде

Узнать больше
Праздник к ним приходит: как Santa Stealer ворует для хакеров аккаунты Roblox, криптовалютные активы и корпоративные секреты

Праздник к ним приходит: как Santa Stealer ворует для хакеров аккаунты Roblox, криптовалютные активы и корпоративные секреты

Узнать больше
«Солар» и ShiftLeft Security объявили об интеграции решений  по безопасной разработке

«Солар» и ShiftLeft Security объявили об интеграции решений по безопасной разработке

Узнать больше
Солар» и «Тантор Лабс» подтвердили совместимость Solar SafeInspect с СУБД Tantor Postgres в рамках программы Ready for Astra

Солар» и «Тантор Лабс» подтвердили совместимость Solar SafeInspect с СУБД Tantor Postgres в рамках программы Ready for Astra

Узнать больше
«Солар» и «РуПост» подтвердили совместимость DLP-системы и почтового сервера

«Солар» и «РуПост» подтвердили совместимость DLP-системы и почтового сервера

Узнать больше