Злоумышленников выявили с помощью видео

Яков Шпунт 09 Октября 2024 - 20:11

Таргетированные атаки

...

Эксперты центра исследования киберугроз Solar 4RAYS обнаружили новую атаку азиатской прогосударственной APT-группировки Obstinate Mogwai на российское ведомство.

Выявить активность злоумышленников и предпринять необходимые меры помогла Solar SafeInspect, благодаря которой действия хакеров попали на видео.

Группировка Obstinate Mogwai является проправительственной, работающей на госструктуры одной из азиатских стран. Основная цель злоумышленников — кибершпионаж, а жертвы — российские госструктуры, ИТ-компании и их подрядчики.

С 2023 года с этой группой были связаны 4 расследования, проведенных Solar 4RAYS, но не исключено, что жертв у группировки значительно больше.

Первые признаки атаки на одно из российских ведомств были зафиксированы службой мониторинга центра противодействия кибератакам Solar JSOC. Система обнаружила запросы к веб-ресурсу с индикатора компрометации, который уже находился в базе Solar 4RAYS.

Предварительно злоумышленники проникли в инфраструктуру подрядчика, а дальше использовали его привилегированные учетные записи, имеющие доступ к сети жертвы.

Для доступа в инфраструктуру целевой организации хакеры использовали терминальные серверы, где были развернуты системы электронного документооборота.

Выявить активность злоумышленников и интересовавшие их данные удалось с помощью системы контроля привилегированных пользователей Solar SafeInspect, одной из функций которых является запись экрана во время сеансов злоумышленников.

Удалось выяснить, что Obstinate Mogwai интересовали конфиденциальные документы, связанные со странами Азиатского региона. Атакующие постранично просматривали открываемые документы и делали паузы на несколько секунд для съема скриншотов.

«Арсенал Obstinate Mogwai достаточно разнообразен. Для проникновения в целевую инфраструктуру они применяют эксплуатацию публичных сервисов, доступ через подрядчика и легитимные аккаунты. Особый интерес у группы вызывают серверы Exchange, которые регулярно становились первоочередными целями для их атак. Они также используют как известные вредоносные инструменты, так и новые образцы ВПО (Donnect и DimanoRAТ). Кроме того, мы обнаружили артефакты, указывающие на связь Obstinate Mogwai с IAmTheKing — другой известной азиатской APT-группировкой. Но главная их черта — это упрямство (отсюда и название). Расследуя инциденты, мы видели, как хакеры вновь и вновь возвращались в атакованную организацию, пока мы не закрыли им все возможности для проникновения. А спустя время, мы обнаруживали следы новых попыток проникнуть в инфраструктуру, которую мы защищаем. Группа очень активна до сегодняшнего дня», — сказал Иван Сюхин, руководитель группы расследования инцидентов Solar 4RAYS ГК «Солар».

Следующая главная новость »

Контейнеризация 2026: чем российские решения отличаются на практике? Регистрируйтесь на эфир!

Екатерина Быстрова 19 Февраля 2026 - 17:29

Трояны Домашние пользователи Корпорации

Атакующие прячут зловред в эмодзи и обходят ИИ-фильтры

Киберпреступники стали чаще использовать эмодзи и другие особенности Unicode, чтобы прятать вредоносный код, обходить фильтры и ускользать даже от ИИ-защиты. Новый тренд уже получил название emoji smuggling — «контрабанда через эмодзи».

Суть проста: злоумышленники кодируют команды и данные в символах, которые выглядят безобидно.

Это могут быть эмодзи, похожие друг на друга буквы из разных алфавитов (гомоглифы), невидимые символы Unicode или специальные знаки, меняющие порядок отображения текста. В итоге человек видит одно, а система обрабатывает совсем другое.

Один из популярных приёмов — подмена символов в доменах. Например, «apple.com» можно зарегистрировать с кириллическими буквами, которые визуально почти не отличаются от латиницы. В браузере адрес выглядит привычно, но ведёт на фишинговую страницу. Такие IDN-гомографические атаки известны давно, но сейчас они становятся частью более сложных схем.

Другой класс трюков — невидимые символы вроде Zero Width Space (U+200B). Они не отображаются на экране, но меняют структуру строки. Это позволяет «сломать» простые сигнатурные фильтры и при этом сохранить работоспособность кода. Исследователи уже показали инструменты, с помощью которых можно спрятать целый JavaScript-модуль в «пустом» файле за счёт нулевой ширины символов.

Отдельная тема — использование эмодзи как контейнера для данных. За счёт особенностей Unicode, тегов и вариационных селекторов можно зашифровать команды внутри последовательности иконок. Для логов и систем мониторинга это выглядит как обычные смайлики, но специальный декодер превращает их, например, в инструкции «скачать», «удалить», «выполнить».

Особенно тревожит исследователей влияние таких техник на ИИ-системы. По данным Mindgard, FireTail и других компаний, Unicode-манипуляции и «эмодзи-контрабанда» позволяют обходить фильтры безопасности LLM почти со 100-процентной эффективностью. Скрытая нагрузка может активироваться после простой расшифровки внутри модели, даже если видимый текст выглядит безобидно.

Проблема в том, что полностью запретить Unicode невозможно: бизнес глобален, пользователи пишут на разных языках, а эмодзи стали частью повседневного общения. Поэтому эксперты рекомендуют не блокировать символы, а внедрять более глубокую нормализацию и проверку входных данных.

Контейнеризация 2026: чем российские решения отличаются на практике? Регистрируйтесь на эфир!