Троян ShadowPad полгода помогал шпионам изучать азиатскую энергосистему

Татьяна Никитина 13 Сентября 2023 - 12:16

Таргетированные атаки

...

Троян ShadowPad полгода помогал шпионам изучать азиатскую энергосистему

При разборе целевой атаки в одной из азиатских стран эксперты Symantec/Broadcom обнаружили свидетельства использования RAT-трояна ShadowPad для закрепления доступа к сети и кражи информации о национальной энергосистеме.

Зловред ShadowPad, пришедший на смену PlugX, представляет собой модульный троян, способный динамически загружать дополнительные плагины с удаленного сервера. Его используют в основном китайские APT-группы, занимающиеся шпионажем.

Судя по найденным артефактам, атака на неназванную энергокомпанию стартовала в конце февраля этого года (RAT-троян был запущен на одном из компьютеров жертвы). Спустя почти три месяца вредонос вновь отработал, то есть все это время в системе был открыт бэкдор.

Сохраняя свое присутствие, злоумышленники пустили в ход инструмент Packerloader, позволяющий загружать и выполнять шелл-код, а также изменили разрешения для драйвера dump_diskfs.sys, распространив доступ на всех юзеров. Не исключено, что драйвер потом использовался для получения дампов файловой системы с целью эксфильтрации.

Во второй половине мая взломщики вернулись, чтобы провести сбор информации о подключенных накопителях, украсть учетки из системного реестра Windows и очистить журнал событий. Через несколько дней была запущена переименованная версия ProcDump (alg.exe) для получения учетных данных из памяти LSASS.

В последний день месяца авторы атаки, создав запланированное задание, запустили oleview.exe. По всей видимости, такой маневр облегчил им продвижение по сети (с помощью украденных учеток) и передачу ShadowPad на другие машины.

В конце июля в одну из взломанных систем был установлен кейлогер под именем winlogon.exe. Последнее свидетельство вредоносной активности датируется 3 августа: злоумышленники вновь попытались выгрузить учетные данные из LSASS с помощью переименованного ProcDump (yara32.exe).

По словам Symantec, задействованные в данной атаке инфраструктура и инструменты отчасти совпадают с теми, что использует APT41, она же Winnti. Новую кибергруппу эксперты нарекли Redfly; похоже, ее интересуют только объекты КИИ. Попыток совершить диверсию после вторжения не обнаружено.

Следующая главная новость »

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!

Екатерина Быстрова 29 Апреля 2026 - 19:12

Соответствие законодательству РФ Домашние пользователи Персональный VPN Анонимайзеры

Россиянам могут выставлять счета за зарубежный трафик даже без VPN

В России обсуждают отдельную тарификацию международного мобильного трафика. Идея, судя по документам Минцифры и комментариям отраслевых экспертов, связана с попытками ограничить использование VPN. Но есть нюанс: отличить VPN от обычного зарубежного трафика технически не так просто.

Эксперты, опрошенные «Фонтанкой», указывают на главную проблему: любой VPN — это международный трафик, но не любой международный трафик — это VPN.

Пользователь может просто открыть иностранный сайт, зайти в репозиторий Open Source, воспользоваться зарубежной библиотекой или даже обратиться к российскому ресурсу, а маршрут пакетов всё равно пройдёт через другие страны.

Например, трафик из Новосибирска к российскому сервису при определённых условиях может идти через Казахстан, Китай или Монголию. Маршрутизация зависит от множества факторов, и у пакетов данных нет понятного флажка гражданства.

Из-за этого отдельная плата за международный трафик может затронуть не только пользователей VPN. Под ударом рискуют оказаться жители приграничных регионов, разработчики, компании, использующие зарубежные сервисы, и обычные пользователи, у которых трафик неожиданно ушёл по внешнему маршруту.

Минцифры подтвердило, что механизм дополнительной тарификации международного трафика действительно находится в проработке. Пока речь идёт о мобильных сетях; про проводной интернет в ответе ведомства ничего не сказано. Конкретные параметры, включая лимиты и стоимость, ещё не определены.

Ранее обсуждался вариант с лимитом в 15 ГБ международного трафика в месяц. Всё, что выше, могло бы оплачиваться отдельно. Однако операторы попросили отсрочку: биллинговые системы не готовы быстро и точно учитывать такой трафик для миллионов абонентов.

В отрасли также не до конца понимают, что именно считать международным трафиком. Некоторые российские сервисы используют зарубежные IP-адреса или иностранные CDN, а часть пользователей направляет весь трафик через VPN без раздельного туннелирования. В таком случае формально зарубежным может стать почти весь интернет.

Остаётся открытым и вопрос, что делать при превышении лимита: снижать скорость, автоматически списывать деньги или отключать доступ. Без ясных правил такая схема может превратиться в неприятный сюрприз для абонентов.

Ранее Наталья Касперская объяснила, почему борьба с VPN только раззадорит разработчиков.

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!