Эксперты центра исследования киберугроз Solar 4RAYS группы компаний «Солар» обнаружили неизвестную ранее восточно-азиатскую группировку, которая с помощью публичных инструментов атаковала веб-приложение федерального ведомства, работавшее на кастомном движке. Хакеры смогли проникнуть в инфраструктуру жертвы и выполнить команды в операционной системе сервера. В ходе расследования эксперты выяснили, что группировка использовала имена внутренних серверов жертвы для попыток взлома и в других госструктурах. Специалисты Solar 4RAYS расследовали атаку и смогли выгнать хакеров из инфраструктуры.

По данным специалистов Solar 4RAYS, атаку, скорее всего, совершила группировка из Восточной Азии — на это указывают запросы хакеров к веб-серверу из данного региона и ряд других косвенных признаков — например, время начала атак (4 утра по МСК, когда начинается рабочий день в регионе). Группировка получила наименование NGC4141 (NGC, new generic cluster — вредоносная активность, которую пока невозможно отнести к какой-либо известной группе атакующих).

Согласно результатам расследования, атака началась еще в декабре 2024 года. На протяжении нескольких дней хакеры интенсивно сканировали онлайн-ресурс на предмет различных уязвимостей, в определенные моменты нагрузка на систему измерялась тысячами запросов в час. Еще спустя несколько недель злоумышленники перешли на ручное сканирование уязвимостей. Найдя их, они использовали незадокументированные возможности публичной платформы для работы с API, чтобы внедрить на веб-сервер сайта жертвы веб-шеллы (вредоносные скрипты для получения доступа к серверу и выполнению команд через веб-интерфейс). Так хакеры смогли внедрить вредоносное ПО и получить доступ к инфраструктуре организации.

Примечательно, что веб-приложение работало на кастомном движке, написанном с нуля или модифицированном на основе популярных платформ, и под него не было эксплойтов (ВПО для эксплуатации уязвимостей) в открытом доступе. Такие веб-приложения гораздо сложнее поддаются взлому, чем онлайн-ресурсы на Tilda, WordPress и других платформах. Сам веб-сервер был защищен антивирусом и системой защиты от веб-атак (WAF). Несмотря на это, NGC4141 получили доступ к инфраструктуре жертвы, что указывает на их высокую квалификацию. Эксперты Solar 4RAYS отмечают, что WAF и антивирус не смогли остановить продвижение атакующих, однако замедлили их и сигнализировали о возможном проникновении. Это говорит о необходимости комплексного подхода к внедрению средств защиты и ручного анализа аномальных ИБ-событий высококвалифицированными экспертами.

Параллельно имена внутренних серверов атакованного ведомства, которых нет в открытом доступе, хакеры пытались использовать и в других атаках на госструктуры — в надежде на совпадение. Это может означать, что хакеры могли обмениваться информацией со схожими группировками и нацелены совершать атаки на веб-приложения других организаций из госсектора.

Иван Сюхин

руководитель группы расследования инцидентов центра исследования Solar 4RAYS, ГК «Солар»

«По нашему мнению, атаки на кастомные веб-приложения для получения доступа к внутренней сети представляют собой недооцененную угрозу для владельцев онлайн-ресурсов. Данный кейс показал, что средства для автоматизированной защиты требуют дополнительного внимания и анализа событий, так как само наличие технических средств защиты усложняет атаку, но не делает её невозможной. При разработке кастомных веб-приложений мы рекомендуем держать в уме возможные риски: проводить аудит кода веб-приложения или даже полноценный пентест для оценки его устойчивости к кибератакам».

Специалисты Solar 4RAYS в своем блоге опубликовали индикаторы компрометации группировки — это поможет российским компаниям обнаруживать и блокировать вредоносную активность злоумышленников в своих корпоративных сетях.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

«Солар» и Т2 представили готовое решение для киберзащиты малого и среднего бизнеса

«Солар» и Т2 представили готовое решение для киберзащиты малого и среднего бизнеса

Узнать больше
Хакеры нацелились на школьников и студентов: в ТОП-3 входят фишинг, онлайн-мошенничество и ресурсы для «посева» ВПО

Хакеры нацелились на школьников и студентов: в ТОП-3 входят фишинг, онлайн-мошенничество и ресурсы для «посева» ВПО

Узнать больше
Эмоции школьников и студентов – вот куда бьют мошенники

Эмоции школьников и студентов – вот куда бьют мошенники

Узнать больше
Solar appScreener 3.15.5 поддерживает анализ кода согласно национальному стандарту ГОСТ 71207-2024

Solar appScreener 3.15.5 поддерживает анализ кода согласно национальному стандарту ГОСТ 71207-2024

Узнать больше
Российская неделя кибербезопасности 2025:   цифровые художники, вузы и эксперты в ИТ и ИБ объединятся, чтобы дать отпор киберпреступности

Российская неделя кибербезопасности 2025: цифровые художники, вузы и эксперты в ИТ и ИБ объединятся, чтобы дать отпор киберпреступности

Узнать больше
Российский рынок сервисов безопасности «по подписке» может удвоиться к 2028 году

Российский рынок сервисов безопасности «по подписке» может удвоиться к 2028 году

Узнать больше
Три дня для защиты будущего: cтартовала регистрация на SOC Forum 2025

Три дня для защиты будущего: cтартовала регистрация на SOC Forum 2025

Узнать больше
«Солар»: хакеры активнее заражают компании вредоносным ПО, среди жертв – здравоохранение, госсектор и ТЭК

«Солар»: хакеры активнее заражают компании вредоносным ПО, среди жертв – здравоохранение, госсектор и ТЭК

Узнать больше
Хакеры теряют связь — «Солар» запускает проактивного блокировщика киберугроз в DNS-трафике

Хакеры теряют связь — «Солар» запускает проактивного блокировщика киберугроз в DNS-трафике

Узнать больше