Эксперты центра исследования киберугроз Solar 4RAYS (группа компаний «Солар») выявили неизвестную ранее группировку, которая атаковала веб-приложение одного из федеральных ведомств.
Хакеры использовали публичные инструменты, проникли в инфраструктуру ведомства и смогли выполнять команды прямо в операционной системе сервера. В ходе расследования специалисты выяснили, что злоумышленники применяли имена внутренних серверов жертвы для атак и на другие госструктуры — то есть пытались использовать полученные данные повторно.
В итоге специалисты Solar 4RAYS провели расследование и вывели хакеров из инфраструктуры.
Новая группа из Восточной Азии
По данным Solar 4RAYS, атака с высокой вероятностью была проведена группировкой из Восточной Азии. На это указывает география обращений к серверу и время начала атак — около 4 утра по Москве, что совпадает с началом рабочего дня в регионе. Исследователи дали группе название NGC4141 (от new generic cluster — новая вредоносная активность, не связанная с известными APT-группами).
Как проходила атака
Согласно данным расследования, атака началась в декабре 2024 года. Несколько дней подряд злоумышленники активно сканировали сайт на наличие уязвимостей — нагрузка доходила до тысяч запросов в час. Спустя время они перешли к ручному анализу системы и нашли способ проникновения.
Хакеры воспользовались недокументированными функциями публичной платформы для работы с API, через которые внедрили на сервер веб-шеллы — вредоносные скрипты, позволяющие управлять системой через веб-интерфейс. После этого им удалось установить вредоносную программу и получить доступ к внутренней сети организации. Примечательно, что веб-приложение работало на кастомном движке, написанном с нуля или сильно модифицированном.
Для таких решений нет готовых эксплойтов в открытом доступе, поэтому взлом подобного ресурса требует высокой квалификации. При этом сервер был защищён антивирусом и WAF (системой защиты от веб-атак), но это не остановило хакеров — лишь замедлило их действия и позволило вовремя зафиксировать аномалии.
Опасность атак на кастомные веб-приложения
Параллельно злоумышленники пытались использовать полученные данные — в частности, имена внутренних серверов — для атак на другие госструктуры. Это говорит о возможном обмене информацией между схожими группировками и о намерении атаковать госсектор в целом. Руководитель группы расследования инцидентов Solar 4RAYS Иван Сюхин подчеркнул, что подобные атаки показывают уязвимость даже хорошо защищённых систем:
Инцидент стал ещё одним подтверждением того, что даже самые защищённые системы уязвимы без регулярного ручного анализа и участия квалифицированных экспертов. Специалисты Solar 4RAYS в своем блоге опубликовали индикаторы компрометации группировки — это поможет российским компаниям обнаруживать и блокировать вредоносную активность злоумышленников в своих корпоративных сетях.
Хакеры использовали публичные инструменты, проникли в инфраструктуру ведомства и смогли выполнять команды прямо в операционной системе сервера. В ходе расследования специалисты выяснили, что злоумышленники применяли имена внутренних серверов жертвы для атак и на другие госструктуры — то есть пытались использовать полученные данные повторно.
В итоге специалисты Solar 4RAYS провели расследование и вывели хакеров из инфраструктуры.
Новая группа из Восточной Азии
По данным Solar 4RAYS, атака с высокой вероятностью была проведена группировкой из Восточной Азии. На это указывает география обращений к серверу и время начала атак — около 4 утра по Москве, что совпадает с началом рабочего дня в регионе. Исследователи дали группе название NGC4141 (от new generic cluster — новая вредоносная активность, не связанная с известными APT-группами).
Как проходила атака
Согласно данным расследования, атака началась в декабре 2024 года. Несколько дней подряд злоумышленники активно сканировали сайт на наличие уязвимостей — нагрузка доходила до тысяч запросов в час. Спустя время они перешли к ручному анализу системы и нашли способ проникновения.
Хакеры воспользовались недокументированными функциями публичной платформы для работы с API, через которые внедрили на сервер веб-шеллы — вредоносные скрипты, позволяющие управлять системой через веб-интерфейс. После этого им удалось установить вредоносную программу и получить доступ к внутренней сети организации. Примечательно, что веб-приложение работало на кастомном движке, написанном с нуля или сильно модифицированном.
Для таких решений нет готовых эксплойтов в открытом доступе, поэтому взлом подобного ресурса требует высокой квалификации. При этом сервер был защищён антивирусом и WAF (системой защиты от веб-атак), но это не остановило хакеров — лишь замедлило их действия и позволило вовремя зафиксировать аномалии.
Опасность атак на кастомные веб-приложения
Параллельно злоумышленники пытались использовать полученные данные — в частности, имена внутренних серверов — для атак на другие госструктуры. Это говорит о возможном обмене информацией между схожими группировками и о намерении атаковать госсектор в целом. Руководитель группы расследования инцидентов Solar 4RAYS Иван Сюхин подчеркнул, что подобные атаки показывают уязвимость даже хорошо защищённых систем:
Инцидент стал ещё одним подтверждением того, что даже самые защищённые системы уязвимы без регулярного ручного анализа и участия квалифицированных экспертов. Специалисты Solar 4RAYS в своем блоге опубликовали индикаторы компрометации группировки — это поможет российским компаниям обнаруживать и блокировать вредоносную активность злоумышленников в своих корпоративных сетях.
