Специалисты центра исследования киберугроз Solar 4RAYS ГК «Солар» выявили новый уникальный вредонос — бэкдор ShadowRelay. Он позволяет загружать шпионские инструменты, коммуницировать с другими своими копиями для реализации атаки, а также получать доступ к данным в изолированных от интернета сегментах сети, где располагаются наиболее критичные системы организации. В дополнение бэкдор умеет самоликвидироваться в случае опасности. Вредонос уже проник в одну из организаций госсектора — эксперты Solar 4RAYS вовремя выявили его, нейтрализовали угрозу и опубликовали инструкции по выявлению ShadowRelay.

В 2025 году специалисты Solar 4RAYS подключились к расследованию ИБ-инцидента в одной из госструктур. По итогам эксперты обнаружили несколько ИТ-систем, которые хакеры заразили через одну из популярных уязвимостей в почтовом сервере платформы Microsoft Exchange. Там же оказалось несколько инструментов, а также индикаторы компрометации и тактики, характерные для азиатской группировки Erudite Mogwai. В то же время в инфраструктуре присутствовала группировка Obstinate Mogwai и ряд других хакерских объединений и инструментов. Среди них в зараженных системах и был обнаружен неизвестный ранее модульный вредонос — ShadowRelay.

ShadowRelay может собирать данные с хостов инфраструктуры жертвы, которые не подключены к интернету — как правило, именно на них располагаются критически важные системы или данные компании, к которым бэкдор позволяет иметь доступ. Для этого вредонос, находящийся в сегменте инфраструктуры, подключенном к интернету, образует сеть со своими копиями в закрытых сегментах. Отсюда и произошло название ВПО, которое буквально переводится как «теневая передача».

Для реализации атаки бэкдор (ВПО) позволяет атакующим скрытно подгружать плагины для кражи данных или удаленного управления зараженных устройств.

ShadowRelay сам пытается обнаружить песочницы (изолированные виртуальные среды для обнаружения и запуска подозрительных файлов без вреда для организации) и дебаггеры — инструменты для анализа вредоносного программа и уязвимостей в коде ПО. В случае обнаружения таких сред или инструментов вредонос самоликвидируется.

При успешном заражении бэкдор использует несколько функций сокрытия себя в системе компании — например, инъекцию себя в другие процессы и переиспользование портов.

Все это говорит о высоком уровне подготовки атакующих, которые планировали как можно дольше присутствовать в атакованной инфраструктуре. Это поведение, характерное прежде всего для шпионских APT-группировок, работающих в интересах спецслужб других стран.

В случае атаки на организацию из госсектора бэкдор не успел украсть данные и нанести какой-либо другой вред. Предположительно, злоумышленники будут использовать бэкдор и в других атаках на организации российского госсектора, прямо влияющие на экономику и безопасность страны.

Эксперты Solar 4RAYS в своем блоге опубликовали индикаторы обнаружения бэкдора, а также правило детектирования общения между шпионскими имплантами.

Чтобы защититься от атак ShadowRelay, эксперты Solar 4RAYS советуют использовать Snort-правило в блоге команды для обнаружения бэкдора, а также применять современные средства защиты, включая Solar TI Feeds — сервис поставки потоков данных (фидов) об актуальных угрозах для непрерывного усиления SOC, предотвращения атак и раннего реагирования.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

«Делимобиль» обеспечивает защиту данных и повышает киберграмотность сотрудников на базе решений «Солара»  и собственной разработки

«Делимобиль» обеспечивает защиту данных и повышает киберграмотность сотрудников на базе решений «Солара» и собственной разработки

Узнать больше
АО «НТЦ ИТ РОСА» и «Солар» защищают работу привилегированных пользователей в виртуальной среде

АО «НТЦ ИТ РОСА» и «Солар» защищают работу привилегированных пользователей в виртуальной среде

Узнать больше
Праздник к ним приходит: как Santa Stealer ворует для хакеров аккаунты Roblox, криптовалютные активы и корпоративные секреты

Праздник к ним приходит: как Santa Stealer ворует для хакеров аккаунты Roblox, криптовалютные активы и корпоративные секреты

Узнать больше
«Солар» и ShiftLeft Security объявили об интеграции решений  по безопасной разработке

«Солар» и ShiftLeft Security объявили об интеграции решений по безопасной разработке

Узнать больше
Солар» и «Тантор Лабс» подтвердили совместимость Solar SafeInspect с СУБД Tantor Postgres в рамках программы Ready for Astra

Солар» и «Тантор Лабс» подтвердили совместимость Solar SafeInspect с СУБД Tantor Postgres в рамках программы Ready for Astra

Узнать больше
«Солар» и «РуПост» подтвердили совместимость DLP-системы и почтового сервера

«Солар» и «РуПост» подтвердили совместимость DLP-системы и почтового сервера

Узнать больше
Безопасность на скорости кода: ИИ-триаж и кодфикс в Solar appScreener 3.16 в 10 раз увеличивают емкость команды AppSec

Безопасность на скорости кода: ИИ-триаж и кодфикс в Solar appScreener 3.16 в 10 раз увеличивают емкость команды AppSec

Узнать больше
Как СМБСР Банк перешел на комплексную защиту «Солара»: от управления доступом до обучения сотрудников

Как СМБСР Банк перешел на комплексную защиту «Солара»: от управления доступом до обучения сотрудников

Узнать больше
«Солар» и УЦСБ: 40% компаний отмечают критичные риски генеративного ИИ для безопасности приложений

«Солар» и УЦСБ: 40% компаний отмечают критичные риски генеративного ИИ для безопасности приложений

Узнать больше
Проект построения киберустойчивости Почты России отмечен премией «Приоритет: Цифра-2026»

Проект построения киберустойчивости Почты России отмечен премией «Приоритет: Цифра-2026»

Узнать больше