Азиатские хакеры 1,5 года скрывались в сети российской госорганизации

Азиатские хакеры 1,5 года скрывались в сети российской госорганизации

Азиатские хакеры 1,5 года скрывались в сети российской госорганизации

Центр исследования киберугроз Solar 4RAYS группы компаний «Солар» обнаружил продолжительную атаку кибергруппировки, которая на протяжении полутора лет оставалась незамеченной в сети российской государственной организации и собирала при этом конфиденциальные данные.

Злоумышленники проникли в систему контроля и управления доступом (СКУД), которая не была подключена к централизованной системе мониторинга информационной безопасности.

Воспользовавшись этим, они получили доступ еще в марте 2023 года, оставаясь незамеченными до тех пор, пока не попытались проникнуть в системы, контролируемые Solar JSOC. Именно в этот момент их активность была обнаружена, что привело к началу расследования и реагирования.

По словам экспертов, атакованная госорганизация являлась клиентом Solar JSOC, однако к сервису мониторинга безопасности были подключены лишь отдельные системы. Корпоративная СКУД в их число не входила, что и позволило хакерам закрепиться в сети на длительное время.

«Недоменные компьютеры, администрируемые вручную, редко обновляются и зачастую используют локальные учетные записи с привилегиями администратора. В некоторых случаях пароли на такие аккаунты отсутствуют вовсе, а если и есть, то нередко остаются простыми и неизменными годами. Эти „забытые“ системы становятся легкой мишенью для злоумышленников. Именно поэтому регулярная инвентаризация ИТ-активов и комплексный мониторинг всей сети критически важны для защиты от кибератак», — отметил эксперт Solar 4RAYS Денис Чернов.

Обнаруженная группировка получила в ГК «Солар» название Erudite Mogwai. Такое обозначение связано с тем, что в своем вредоносном коде злоумышленники оставляют отсылки к литературным и музыкальным произведениям. Группировка также известна под именем Space Pirates и специализируется на атаках на госучреждения и технологические предприятия. Среди зафиксированных целей — организации из России, Грузии, Монголии, Китая, Сербии и Узбекистана.

За 1,5 года Erudite Mogwai скомпрометировали несколько десятков систем госорганизации, используя более 20 различных инструментов, которые удаляли после эксплуатации. Среди применяемых утилит были преимущественно open-source решения китайского происхождения.

Отличительной чертой атаки стало использование модифицированной версии утилиты Stowaway — инструмента для проксирования трафика и сокрытия следов. По всей видимости, хакеры создали собственную версию этой утилиты под свои нужды. В ходе атаки также применялись:

  • Shadowpad Light (Deed RAT) и LuckyStrike Agent — бэкдоры для скрытого доступа к системам.
  • Keylogger CopyCat — инструмент для перехвата нажатий клавиш.
  • Fscan и Lscan — утилиты для сканирования сетей.
  • Netspy — инструмент для тестирования и разведки в сети.

«Тактики и техники Erudite Mogwai направлены на долговременное скрытое присутствие в скомпрометированных системах. Они начали атаку с уязвимого сегмента сети, что позволило им длительное время оставаться незамеченными. Это типичный подход профессиональных группировок, занимающихся кибершпионажем», — подчеркнул Денис Чернов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Исследователи нашли Phantom Stealer в рассылке с пикантными вложениями

В июне 2025 года специалисты F6 Threat Intelligence заметили свежую фишинговую волну, которую окрестили Phantom Papa. Злоумышленники шлют письма на русском и английском с откровенными темами вроде «See My Nude Pictures and Videos» или «Посмотрите мои обнаженные фото и видео», а также с приманкой «Прикрепленная копия платежа №06162025». Внутри — архивы, которые в итоге запускают крадущий данные Phantom Stealer.

Phantom Stealer — новый «сборщик» данных, основанный на коде Stealerium. Он вытягивает пароли, данные банков и криптокошельков, содержимое браузеров и мессенджеров, делает скриншоты и перехватывает нажатия клавиш.

Для отправки награбленного используют Telegram, Discord или SMTP; в одной из кампаний фигурировал телеграм-бот papaobilogs (активен минимум с апреля 2025-го).

Как распространяют

  • Письма приходят с провокационными темами и корявым переводом на русский — явный след онлайн-переводчика.
  • Во вложениях — архивы .rar с образами .iso/.img, которые при открытии монтируются как диск и маскируют запуск «сборщика».
  • По данным F6 Business Email Protection, письма летят в компании из ретейла, промышленности, строительства, ИТ и др.

Масштаб

В логах обнаружены IP с устройств в 19 странах (включая США, Россию, Великобританию, Румынию, Испанию, Венгрию, Казахстан, Азербайджан, Эстонию, Сербию, Швейцарию, Сингапур, Беларусь и др.). Часть адресов — исследовательские виртуальные машины, но кампания явно не локальная.

 

Детали, на которые стоит обратить внимание

  • Из писем: «See My Nude Pictures and Videos», «Смотрите мои видео с обнаженными фотографиями», «Прикрепленная копия платежа №06162025».
  • Примеры хэшей вложений: 0f0192a4ee52729730cffb49c67f1e3b, 91441a640db47a03a4e6b4a8355cf4c4.
  • После запуска «сборщик» может:
    • закрепляться в системе (через планировщик задач/автозапуск),
    • добавлять исключение в Windows Defender,
    • отправлять архив с данными сразу на C2 либо, если он больше 20 МБ, — на файлообменник и передавать ссылку.

 

Отдельная ниточка тянется к семейству Agent Tesla: F6 нашла старые образцы с такой же иконкой и одинаковыми параметрами почтового аккаунта-получателя логов, что и в одной из конфигураций Phantom Stealer. Это может указывать на пересечение операторов или «наследование» инфраструктуры.

Где это продают

Исследователи нашли сайт phantomsoftwares[.]site (домен с февраля 2025 года), где рекламируются «продукты» линейки Phantom: от «crypter» до «stealer basic/advanced».

Что делать компаниям прямо сейчас

  • Фильтровать вложения и образы (.iso, .img) на почтовых шлюзах, включить разархивацию и статический анализ вложений.
  • Резко ограничить исполнение из пользовательских каталогов и отключить автозапуск образов.
  • Мониторить аномалии: создание задач в планировщике, правки настроек защитника, подозрительные сетевые соединения к Telegram/Discord API и SMTP-узлам.
  • Проверить утечки учёток и принудительно сбросить пароли в браузерах/мессенджерах.
  • Провести обучение сотрудников: не открывать «пикантные» вложения и «платёжки» из неожиданных писем, даже если тема выглядит убедительно.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru