- Автор темы
- #1
Специалисты команды Solar 4RAYS ГК «Солар» обнаружили новый модульный бэкдор ShadowRelay. Он позволяет загружать шпионские инструменты, коммуницировать с другими своими копиями, а также получать доступ к данным в изолированных от интернета сегментах сети жертвы и самоликвидироваться в случае опасности. Сообщается, что вредонос уже проник в одну из организаций госсектора.
Исследователи пишут, что еще в 2025 году они подключились к расследованию ИБ-инцидента в одной из госструктур, которая с высокой вероятностью была скомпрометирована азиатской группировкой Erudite Mogwai (она же Space Pirates).
В результате анализа было обнаружено несколько зараженных систем, в которых среди прочего была найдена малварь Shadowpad Light (она же Deed RAT), а источником их заражения оказался почтовый сервер Exchange, который был скомпрометирован еще летом 2024 года с помощью эксплуатации цепочки уязвимостей ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).
Уязвимый почтовый сервер установили еще летом 2024 года, и уже спустя несколько недель он был обнаружен сразу множеством хакерских группировок. В итоге во время исследования системы были обнаружены различные вредоносы:
Эта малварь позволяет атакующим скрытно подгружать плагины, которые реализуют необходимую в конкретной атаке функциональность. Также бэкдор может поддерживать связь с другими имплантами, которые, например, не имеют подключения к интернету. Сам бэкдор не содержит полезной нагрузки для шпионажа или удаленного управления, однако позволяет ее загрузить. Отмечается, что экспертам не удалось найти плагины для этой малвари, поэтому сценарий атакующих и их цели пока не ясны до конца.
При успешном заражении бэкдор использует несколько функций сокрытия себя в системе компании (например, инъекцию самого себя в другие процессы и переиспользование портов).
Кроме того, бэкдор пытается обнаружить дебаггеры, песочницы и имеет простейшие проверки обратной разработки. Вредоносная нагрузка запускается только в том случае, если в параметрах передается специальное значение из конфига. В случае провала проверок запускается функция самоликвидации малвари.
Одной из наиболее интересных особенностей ShadowRelay является способность собирать данные с хостов в инфраструктуре жертвы, которые не подключены к интернету (как правило, именно на них располагаются критически важные системы или данные компании). Для этого вредонос, находящийся в сегменте инфраструктуры, подключенном к интернету, образует сеть со своими копиями в закрытых сегментах.
Логика управления при этом реализуется подгружаемыми плагинами. Устройство бэкдора позволяет контролировать хосты, которые не подключены напрямую к интернету, образуя сеть из серверов и клиентов.
Исследователи резюмируют, что все это свидетельствует о высоком уровне подготовки атакующих, которые планировали как можно дольше присутствовать в скомпрометированной инфраструктуре. Подобное поведение характерно прежде всего для шпионских APT-группировок.
Подчеркивается, что в случае атаки на организацию из госсектора бэкдор не успел украсть данные и нанести какой-либо другой вред. Однако предполагается, что злоумышленники будут использовать ShadowRelay и в других атаках на организации российского госсектора, прямо влияющие на экономику и безопасность страны.
Чтобы защититься от атак ShadowRelay, эксперты Solar 4RAYS советуют использовать приложенное к отчету Snort-правило для обнаружения бэкдора, а также применять современные средства защиты.
Исследователи пишут, что еще в 2025 году они подключились к расследованию ИБ-инцидента в одной из госструктур, которая с высокой вероятностью была скомпрометирована азиатской группировкой Erudite Mogwai (она же Space Pirates).
В результате анализа было обнаружено несколько зараженных систем, в которых среди прочего была найдена малварь Shadowpad Light (она же Deed RAT), а источником их заражения оказался почтовый сервер Exchange, который был скомпрометирован еще летом 2024 года с помощью эксплуатации цепочки уязвимостей ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).
Уязвимый почтовый сервер установили еще летом 2024 года, и уже спустя несколько недель он был обнаружен сразу множеством хакерских группировок. В итоге во время исследования системы были обнаружены различные вредоносы:
- оригинальный ShadowPad (азиатские хак-группы);
- Shadowpad Light (Erudite Mogwai);
- Donnect (Obstinate Mogwai);
- Mythic Agent (GOFFEE).
Эта малварь позволяет атакующим скрытно подгружать плагины, которые реализуют необходимую в конкретной атаке функциональность. Также бэкдор может поддерживать связь с другими имплантами, которые, например, не имеют подключения к интернету. Сам бэкдор не содержит полезной нагрузки для шпионажа или удаленного управления, однако позволяет ее загрузить. Отмечается, что экспертам не удалось найти плагины для этой малвари, поэтому сценарий атакующих и их цели пока не ясны до конца.
При успешном заражении бэкдор использует несколько функций сокрытия себя в системе компании (например, инъекцию самого себя в другие процессы и переиспользование портов).
Кроме того, бэкдор пытается обнаружить дебаггеры, песочницы и имеет простейшие проверки обратной разработки. Вредоносная нагрузка запускается только в том случае, если в параметрах передается специальное значение из конфига. В случае провала проверок запускается функция самоликвидации малвари.
Одной из наиболее интересных особенностей ShadowRelay является способность собирать данные с хостов в инфраструктуре жертвы, которые не подключены к интернету (как правило, именно на них располагаются критически важные системы или данные компании). Для этого вредонос, находящийся в сегменте инфраструктуры, подключенном к интернету, образует сеть со своими копиями в закрытых сегментах.
Логика управления при этом реализуется подгружаемыми плагинами. Устройство бэкдора позволяет контролировать хосты, которые не подключены напрямую к интернету, образуя сеть из серверов и клиентов.
Исследователи резюмируют, что все это свидетельствует о высоком уровне подготовки атакующих, которые планировали как можно дольше присутствовать в скомпрометированной инфраструктуре. Подобное поведение характерно прежде всего для шпионских APT-группировок.
Подчеркивается, что в случае атаки на организацию из госсектора бэкдор не успел украсть данные и нанести какой-либо другой вред. Однако предполагается, что злоумышленники будут использовать ShadowRelay и в других атаках на организации российского госсектора, прямо влияющие на экономику и безопасность страны.
Чтобы защититься от атак ShadowRelay, эксперты Solar 4RAYS советуют использовать приложенное к отчету Snort-правило для обнаружения бэкдора, а также применять современные средства защиты.