Хакеры шпионили за российским ведомством с помощью уникального зловреда

Яков Шпунт 08 Ноября 2024 - 16:14

Таргетированные атаки

...

Хакеры шпионили за российским ведомством с помощью уникального зловреда

Эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар» обнаружили зловред GoblinRAT в ходе расследования кибератак на целый ряд организаций, включая госструктуры и обслуживающие их ИТ-компании.

Вредоносная программа с широким набором функций для маскировки позволяла полностью контролировать захваченную ИТ-инфраструктуру.

Впервые эксперты Solar 4RAYS обнаружили GoblinRAT в 2023 году в ходе расследования инцидента в одной из ИТ-компаний, которая обсуживала госучреждения. Штатные ИБ-специалисты обнаружили, что уничтожены логи на одном из серверов, а также загрузку приложения для кражи паролей с контроллера домена.

В ходе расследования эксперты Solar 4RAYS обнаружили зловред, который маскировался под легитимное приложение. Название процессов отличались всего на одну букву. Анализ выявил, что у GoblinRAT нет функций автоматического закрепления.

Всякий раз злоумышленники тщательно изучали особенности целевой инфраструктуры и лишь после этого внедряли вредонос под уникальной маскировкой: под видом одного из приложений, работающих на конкретной атакуемой системе.

Высокий уровень технической подготовки злоумышленников позволил им оставаться незамеченными в течение нескольких лет. Первые индикаторы компрометации датированы 2020 годом.

GoblinRAT был обнаружен в четырех организациях, и в каждой из них атакующие смогли получить полный контроль над целевой инфраструктурой. Злоумышленники располагали удаленным доступом с правами администратора ко всем сегментам сети.

Эксперты Solar 4RAYS нашли свидетельства, указывающие, что как минимум в одной из атакованных инфраструктур злоумышленники имели такой доступ в течение трех лет, а самая «непродолжительная» атака операторов GoblinRAT длилась около шести месяцев.

По итогам расследования эксперты Solar 4RAYS сформировали индикаторы компрометации, которые помогут компаниям обнаружить GoblinRAT. Также разработан инструмент для поиска вредоносной активности.

«Благодаря обнаруженным артефактам мы смогли проследить историю развития GoblinRAT с 2020 года, однако нам не удалось обнаружить широкого распространения вредоноса. Более того, наши коллеги из других ИБ-компаний с глобальными сетями сенсоров не обнаружили ничего похожего в своих коллекциях. Ключевым вопросом остается атрибуция атаки: артефактов, указывающих на происхождение ВПО, не обнаружено. Подобных инструментов не демонстрировали ни азиатские, ни восточноевропейские группировки, ни группировки из других регионов. Очевидно только, что для создания и использования GoblinRAT злоумышленники должны обладать очень высоким уровнем профессионализма и быть хорошо замотивированными. Те атаки, что мы расследовали, требовали тщательной предварительной подготовки и большого количества “ручной” работы», — отметил инженер группы расследования инцидентов центра исследования киберугроз Solar 4RAYS Константин Жигалов.

Следующая главная новость »

Анатомия кибератаки: как расследовать инциденты в ИБ — подробнее в эфире AM Live. Регистрируйтесь »

Екатерина Быстрова 15 Декабря 2025 - 09:46

Windows Ошибки конфигурации программ Домашние пользователи Корпорации Microsoft

Microsoft усложнила отказ от Windows 11 для пользователей Windows 10

Microsoft уверяет: «Мы никого не заставляем переходить на Windows 11». Формально — да. Но на практике всё выглядит куда менее однозначно. Например, на компьютерах с Windows 10, которые не подключены к программе расширенных обновлений (ESU), внезапно пропала возможность ставить обновления на паузу.

Как сообщает Windows Latest, на компьютерах с Windows 10, кнопка «Приостановить обновления на 7 дней» просто становится неактивной — серой и некликабельной.

Ситуация выглядит особенно странно, потому что обычно эта опция блокируется только в двух случаях: если пользователь слишком часто пользовался паузой или если администратор запретил это через групповые политики. Здесь же речь идёт об обычных домашних устройствах без ESU — и никаких очевидных причин для блокировки нет.

Почему это важно? Потому что если такой компьютер поддерживает Windows 11, одно неосторожное нажатие на «Загрузить и установить» может запустить обновление до новой версии системы. А дальше — сюрприз: процесс уже нельзя отменить. Кнопка паузы недоступна, отката нет, остаётся только ждать завершения установки.

Один из пользователей Windows Latest отмечает, что в «Дополнительных параметрах» система утверждает, будто лимит паузы обновлений уже исчерпан — хотя он ею не пользовался. Точно такая же ситуация возникает, если обновление до Windows 11 запускается случайно.

На этом странности не заканчиваются. Кнопка «Подключиться к Extended Security Updates», которая раньше находилась под «Проверить наличие обновлений», неожиданно переехала в угол экрана. А на её месте появилось предложение установить Windows 11 версии 25H2.

Формально Microsoft ничего не нарушает: ESU для Windows 10 существует, уязвимости в старой системе действительно накапливаются, а сама программа расширенной поддержки фактически бесплатна. Но выглядит всё это как довольно настойчивый намёк: либо вы переходите на Windows 11, либо живёте без привычного контроля над обновлениями.

Учитывая, что в мире всё ещё около 500 миллионов компьютеров с Windows 10, которые технически готовы к апгрейду, нетрудно представить, что давление будет только усиливаться. И если вы по какой-то причине остаетесь на Windows 10 без ESU, сейчас самое время быть особенно внимательным — одно лишнее нажатие может отправить вас в Windows 11 без права передумать.

Анатомия кибератаки: как расследовать инциденты в ИБ — подробнее в эфире AM Live. Регистрируйтесь »