Эксперты центра исследования киберугроз Solar 4RAYS группы компаний «Солар» обнаружили неизвестную ранее восточно-азиатскую группировку, которая с помощью публичных инструментов атаковала веб-приложение федерального ведомства, работавшее на кастомном движке. Хакеры смогли проникнуть в инфраструктуру жертвы и выполнить команды в операционной системе сервера. В ходе расследования эксперты выяснили, что группировка использовала имена внутренних серверов жертвы для попыток взлома и в других госструктурах. Специалисты Solar 4RAYS расследовали атаку и смогли выгнать хакеров из инфраструктуры.

По данным специалистов Solar 4RAYS, атаку, скорее всего, совершила группировка из Восточной Азии — на это указывают запросы хакеров к веб-серверу из данного региона и ряд других косвенных признаков — например, время начала атак (4 утра по МСК, когда начинается рабочий день в регионе). Группировка получила наименование NGC4141 (NGC, new generic cluster — вредоносная активность, которую пока невозможно отнести к какой-либо известной группе атакующих).

Согласно результатам расследования, атака началась еще в декабре 2024 года. На протяжении нескольких дней хакеры интенсивно сканировали онлайн-ресурс на предмет различных уязвимостей, в определенные моменты нагрузка на систему измерялась тысячами запросов в час. Еще спустя несколько недель злоумышленники перешли на ручное сканирование уязвимостей. Найдя их, они использовали незадокументированные возможности публичной платформы для работы с API, чтобы внедрить на веб-сервер сайта жертвы веб-шеллы (вредоносные скрипты для получения доступа к серверу и выполнению команд через веб-интерфейс). Так хакеры смогли внедрить вредоносное ПО и получить доступ к инфраструктуре организации.

Примечательно, что веб-приложение работало на кастомном движке, написанном с нуля или модифицированном на основе популярных платформ, и под него не было эксплойтов (ВПО для эксплуатации уязвимостей) в открытом доступе. Такие веб-приложения гораздо сложнее поддаются взлому, чем онлайн-ресурсы на Tilda, WordPress и других платформах. Сам веб-сервер был защищен антивирусом и системой защиты от веб-атак (WAF). Несмотря на это, NGC4141 получили доступ к инфраструктуре жертвы, что указывает на их высокую квалификацию. Эксперты Solar 4RAYS отмечают, что WAF и антивирус не смогли остановить продвижение атакующих, однако замедлили их и сигнализировали о возможном проникновении. Это говорит о необходимости комплексного подхода к внедрению средств защиты и ручного анализа аномальных ИБ-событий высококвалифицированными экспертами.

Параллельно имена внутренних серверов атакованного ведомства, которых нет в открытом доступе, хакеры пытались использовать и в других атаках на госструктуры — в надежде на совпадение. Это может означать, что хакеры могли обмениваться информацией со схожими группировками и нацелены совершать атаки на веб-приложения других организаций из госсектора.

Иван Сюхин

руководитель группы расследования инцидентов центра исследования Solar 4RAYS, ГК «Солар»

«По нашему мнению, атаки на кастомные веб-приложения для получения доступа к внутренней сети представляют собой недооцененную угрозу для владельцев онлайн-ресурсов. Данный кейс показал, что средства для автоматизированной защиты требуют дополнительного внимания и анализа событий, так как само наличие технических средств защиты усложняет атаку, но не делает её невозможной. При разработке кастомных веб-приложений мы рекомендуем держать в уме возможные риски: проводить аудит кода веб-приложения или даже полноценный пентест для оценки его устойчивости к кибератакам».

Специалисты Solar 4RAYS в своем блоге опубликовали индикаторы компрометации группировки — это поможет российским компаниям обнаруживать и блокировать вредоносную активность злоумышленников в своих корпоративных сетях.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Компания «Софтлайн Решения» (ГК Softline) получила награду за самый быстрый рост продаж от ГК «Солар»

Компания «Софтлайн Решения» (ГК Softline) получила награду за самый быстрый рост продаж от ГК «Солар»

Узнать больше
Конвенция против киберпреступности в действии:  «Солар» проведет кибертурнир во Вьетнаме

Конвенция против киберпреступности в действии: «Солар» проведет кибертурнир во Вьетнаме

Узнать больше
Искусственный вайб: «Солар» зафиксировал всплеск уязвимостей в AI-сервисах

Искусственный вайб: «Солар» зафиксировал всплеск уязвимостей в AI-сервисах

Узнать больше
«Солар»: хакеры ежедневно публикуют от 2 до 5 сообщений об утечках, среди жертв – ритейл, соцсети и блоги

«Солар»: хакеры ежедневно публикуют от 2 до 5 сообщений об утечках, среди жертв – ритейл, соцсети и блоги

Узнать больше
«Солар» и «Гарда» создают Центр экспертизы в сфере кибербезопасности

«Солар» и «Гарда» создают Центр экспертизы в сфере кибербезопасности

Узнать больше
 Все включено: «Солар» запустил услугу по защите бренда с юридическим сопровождением

Все включено: «Солар» запустил услугу по защите бренда с юридическим сопровождением

Узнать больше
Конец «лоскутной» защите: MFASOFT и «Солар» решают проблему привилегированных пользователей

Конец «лоскутной» защите: MFASOFT и «Солар» решают проблему привилегированных пользователей

Узнать больше
«Солар» и Т2 представили готовое решение для киберзащиты малого и среднего бизнеса

«Солар» и Т2 представили готовое решение для киберзащиты малого и среднего бизнеса

Узнать больше