Госсектор под угрозой, есть жертвы: Solar 4RAYS выявили хакерскую группировку, атаковавшую федеральное ведомство

Эксперты центра исследования киберугроз Solar 4RAYS группы компаний «Солар» обнаружили неизвестную ранее восточно-азиатскую группировку, которая с помощью публичных инструментов атаковала веб-приложение федерального ведомства, работавшее на кастомном движке. Хакеры смогли проникнуть в инфраструктуру жертвы и выполнить команды в операционной системе сервера. В ходе расследования эксперты выяснили, что группировка использовала имена внутренних серверов жертвы для попыток взлома и в других госструктурах. Специалисты Solar 4RAYS расследовали атаку и смогли выгнать хакеров из инфраструктуры.

По данным специалистов Solar 4RAYS, атаку, скорее всего, совершила группировка из Восточной Азии — на это указывают запросы хакеров к веб-серверу из данного региона и ряд других косвенных признаков — например, время начала атак (4 утра по МСК, когда начинается рабочий день в регионе). Группировка получила наименование NGC4141 (NGC, new generic cluster — вредоносная активность, которую пока невозможно отнести к какой-либо известной группе атакующих).

Согласно результатам расследования, атака началась еще в декабре 2024 года. На протяжении нескольких дней хакеры интенсивно сканировали онлайн-ресурс на предмет различных уязвимостей, в определенные моменты нагрузка на систему измерялась тысячами запросов в час. Еще спустя несколько недель злоумышленники перешли на ручное сканирование уязвимостей. Найдя их, они использовали незадокументированные возможности публичной платформы для работы с API, чтобы внедрить на веб-сервер сайта жертвы веб-шеллы (вредоносные скрипты для получения доступа к серверу и выполнению команд через веб-интерфейс). Так хакеры смогли внедрить вредоносное ПО и получить доступ к инфраструктуре организации.

Примечательно, что веб-приложение работало на кастомном движке, написанном с нуля или модифицированном на основе популярных платформ, и под него не было эксплойтов (ВПО для эксплуатации уязвимостей) в открытом доступе. Такие веб-приложения гораздо сложнее поддаются взлому, чем онлайн-ресурсы на Tilda, WordPress и других платформах. Сам веб-сервер был защищен антивирусом и системой защиты от веб-атак (WAF). Несмотря на это, NGC4141 получили доступ к инфраструктуре жертвы, что указывает на их высокую квалификацию. Эксперты Solar 4RAYS отмечают, что WAF и антивирус не смогли остановить продвижение атакующих, однако замедлили их и сигнализировали о возможном проникновении. Это говорит о необходимости комплексного подхода к внедрению средств защиты и ручного анализа аномальных ИБ-событий высококвалифицированными экспертами.

Параллельно имена внутренних серверов атакованного ведомства, которых нет в открытом доступе, хакеры пытались использовать и в других атаках на госструктуры — в надежде на совпадение. Это может означать, что хакеры могли обмениваться информацией со схожими группировками и нацелены совершать атаки на веб-приложения других организаций из госсектора.

Иван Сюхин

руководитель группы расследования инцидентов центра исследования Solar 4RAYS, ГК «Солар»

«По нашему мнению, атаки на кастомные веб-приложения для получения доступа к внутренней сети представляют собой недооцененную угрозу для владельцев онлайн-ресурсов. Данный кейс показал, что средства для автоматизированной защиты требуют дополнительного внимания и анализа событий, так как само наличие технических средств защиты усложняет атаку, но не делает её невозможной. При разработке кастомных веб-приложений мы рекомендуем держать в уме возможные риски: проводить аудит кода веб-приложения или даже полноценный пентест для оценки его устойчивости к кибератакам».

Специалисты Solar 4RAYS в своем блоге опубликовали индикаторы компрометации группировки — это поможет российским компаниям обнаруживать и блокировать вредоносную активность злоумышленников в своих корпоративных сетях.