Solar 4RAYS обнаружил новый вредонос: он ворует данные даже из отключенных от интернета критичных систем

Специалисты центра исследования киберугроз Solar 4RAYS ГК «Солар» выявили новый уникальный вредонос — бэкдор ShadowRelay. Он позволяет загружать шпионские инструменты, коммуницировать с другими своими копиями для реализации атаки, а также получать доступ к данным в изолированных от интернета сегментах сети, где располагаются наиболее критичные системы организации. В дополнение бэкдор умеет самоликвидироваться в случае опасности. Вредонос уже проник в одну из организаций госсектора — эксперты Solar 4RAYS вовремя выявили его, нейтрализовали угрозу и опубликовали инструкции по выявлению ShadowRelay.

В 2025 году специалисты Solar 4RAYS подключились к расследованию ИБ-инцидента в одной из госструктур. По итогам эксперты обнаружили несколько ИТ-систем, которые хакеры заразили через одну из популярных уязвимостей в почтовом сервере платформы Microsoft Exchange. Там же оказалось несколько инструментов, а также индикаторы компрометации и тактики, характерные для азиатской группировки Erudite Mogwai. В то же время в инфраструктуре присутствовала группировка Obstinate Mogwai и ряд других хакерских объединений и инструментов. Среди них в зараженных системах и был обнаружен неизвестный ранее модульный вредонос — ShadowRelay.

ShadowRelay может собирать данные с хостов инфраструктуры жертвы, которые не подключены к интернету — как правило, именно на них располагаются критически важные системы или данные компании, к которым бэкдор позволяет иметь доступ. Для этого вредонос, находящийся в сегменте инфраструктуры, подключенном к интернету, образует сеть со своими копиями в закрытых сегментах. Отсюда и произошло название ВПО, которое буквально переводится как «теневая передача».

Для реализации атаки бэкдор (ВПО) позволяет атакующим скрытно подгружать плагины для кражи данных или удаленного управления зараженных устройств.

ShadowRelay сам пытается обнаружить песочницы (изолированные виртуальные среды для обнаружения и запуска подозрительных файлов без вреда для организации) и дебаггеры — инструменты для анализа вредоносного программа и уязвимостей в коде ПО. В случае обнаружения таких сред или инструментов вредонос самоликвидируется.

При успешном заражении бэкдор использует несколько функций сокрытия себя в системе компании — например, инъекцию себя в другие процессы и переиспользование портов.

Все это говорит о высоком уровне подготовки атакующих, которые планировали как можно дольше присутствовать в атакованной инфраструктуре. Это поведение, характерное прежде всего для шпионских APT-группировок, работающих в интересах спецслужб других стран.

В случае атаки на организацию из госсектора бэкдор не успел украсть данные и нанести какой-либо другой вред. Предположительно, злоумышленники будут использовать бэкдор и в других атаках на организации российского госсектора, прямо влияющие на экономику и безопасность страны.

Эксперты Solar 4RAYS в своем блоге опубликовали индикаторы обнаружения бэкдора, а также правило детектирования общения между шпионскими имплантами.

Чтобы защититься от атак ShadowRelay, эксперты Solar 4RAYS советуют использовать Snort-правило в блоге команды для обнаружения бэкдора, а также применять современные средства защиты, включая Solar TI Feeds — сервис поставки потоков данных (фидов) об актуальных угрозах для непрерывного усиления SOC, предотвращения атак и раннего реагирования.