Сложные методы маскировки не позволяли обнаружить ПО долгие годы.
Центр исследования киберугроз Solar 4RAYS ГК «Солар» обнаружил уникальное вредоносное ПО (ВПО) GoblinRAT с широкой функциональностью для маскировки. Эксперты выявили его в сети нескольких российских ведомств и IT-компаний, обслуживающих госсектор. Самые ранние следы заражения датируются 2020 годом. На сегодняшний день это одна из самых сложных и скрытных атак, с которыми сталкивались специалисты Solar 4RAYS.
Первое обнаружение GoblinRAT произошло в 2023 году при расследовании инцидента в IT-компании, предоставляющей услуги преимущественно органам власти. Штатные ИБ-специалисты организации заметили факты удаления системных журналов на сервере и загрузку утилиты для похищения паролей от учетных записей с контроллера домена. После привлечения специалистов и продолжительных поисков был обнаружен код, маскировавшийся под процесс легитимного приложения. Параметры вредоносного процесса ничем не выделялись, а запускавший его файл отличался от легитимного всего одной буквой в названии. Заметить такую деталь можно было только при ручном анализе тысяч мегабайт данных.
Дальнейший анализ показал отсутствие у GoblinRAT функций автоматического закрепления: атакующие сначала тщательно изучали особенности целевой инфраструктуры и только потом внедряли вредонос под уникальной маскировкой — обязательно под видом одного из приложений, работающих на конкретной атакуемой системе. Эксперты убеждены, что это явно указывает на таргетированный характер атаки.
В «Солар» отметили , что с помощью этого ПО злоумышленники получили полный контроль над инфраструктурой жертв. Операторы GoblinRAT имели неограниченный доступ к атакованным инфраструктурам и могли похищать, модифицировать и уничтожать любую информацию на доступных серверах.
Вредоносное ПО было обнаружено в четырех организациях. В одной из атакованных инфраструктур злоумышленники имели доступ в течение трех лет, а самая короткая атака длилась около шести месяцев. Конкретные атакованные ведомства в компании не раскрывают, указывая лишь на "органы власти и их IT-подрядчиков".
Для управления вредоносным ПО злоумышленники использовали легитимные взломанные сайты, включая сайт онлайн-ретейлера. Коллеги из других ИБ-компаний с глобальными сетями сенсоров не обнаружили ничего похожего в своих коллекциях, утверждают в компании. Ключевым вопросом остается атрибуция атаки: артефактов, указывающих на происхождение ВПО, не обнаружено. Эксперт отмечает, что подобных инструментов не демонстрировали ни азиатские, ни восточноевропейские группировки, ни группировки из других регионов, однако очевидно, что создатели GoblinRAT обладают высоким уровнем профессионализма и серьезной мотивацией.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале