Азиатские хакеры 1,5 года скрывались в сети российской госорганизации

Азиатские хакеры 1,5 года скрывались в сети российской госорганизации

Азиатские хакеры 1,5 года скрывались в сети российской госорганизации

Центр исследования киберугроз Solar 4RAYS группы компаний «Солар» обнаружил продолжительную атаку кибергруппировки, которая на протяжении полутора лет оставалась незамеченной в сети российской государственной организации и собирала при этом конфиденциальные данные.

Злоумышленники проникли в систему контроля и управления доступом (СКУД), которая не была подключена к централизованной системе мониторинга информационной безопасности.

Воспользовавшись этим, они получили доступ еще в марте 2023 года, оставаясь незамеченными до тех пор, пока не попытались проникнуть в системы, контролируемые Solar JSOC. Именно в этот момент их активность была обнаружена, что привело к началу расследования и реагирования.

По словам экспертов, атакованная госорганизация являлась клиентом Solar JSOC, однако к сервису мониторинга безопасности были подключены лишь отдельные системы. Корпоративная СКУД в их число не входила, что и позволило хакерам закрепиться в сети на длительное время.

«Недоменные компьютеры, администрируемые вручную, редко обновляются и зачастую используют локальные учетные записи с привилегиями администратора. В некоторых случаях пароли на такие аккаунты отсутствуют вовсе, а если и есть, то нередко остаются простыми и неизменными годами. Эти „забытые“ системы становятся легкой мишенью для злоумышленников. Именно поэтому регулярная инвентаризация ИТ-активов и комплексный мониторинг всей сети критически важны для защиты от кибератак», — отметил эксперт Solar 4RAYS Денис Чернов.

Обнаруженная группировка получила в ГК «Солар» название Erudite Mogwai. Такое обозначение связано с тем, что в своем вредоносном коде злоумышленники оставляют отсылки к литературным и музыкальным произведениям. Группировка также известна под именем Space Pirates и специализируется на атаках на госучреждения и технологические предприятия. Среди зафиксированных целей — организации из России, Грузии, Монголии, Китая, Сербии и Узбекистана.

За 1,5 года Erudite Mogwai скомпрометировали несколько десятков систем госорганизации, используя более 20 различных инструментов, которые удаляли после эксплуатации. Среди применяемых утилит были преимущественно open-source решения китайского происхождения.

Отличительной чертой атаки стало использование модифицированной версии утилиты Stowaway — инструмента для проксирования трафика и сокрытия следов. По всей видимости, хакеры создали собственную версию этой утилиты под свои нужды. В ходе атаки также применялись:

  • Shadowpad Light (Deed RAT) и LuckyStrike Agent — бэкдоры для скрытого доступа к системам.
  • Keylogger CopyCat — инструмент для перехвата нажатий клавиш.
  • Fscan и Lscan — утилиты для сканирования сетей.
  • Netspy — инструмент для тестирования и разведки в сети.

«Тактики и техники Erudite Mogwai направлены на долговременное скрытое присутствие в скомпрометированных системах. Они начали атаку с уязвимого сегмента сети, что позволило им длительное время оставаться незамеченными. Это типичный подход профессиональных группировок, занимающихся кибершпионажем», — подчеркнул Денис Чернов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Число фишинговых инцидентов в доменах .RU/.РФ снизилось на 40%

С начала 2025 года Координационный центр доменов .RU/.РФ получил 13 850 обращений, связанных с фишингом. Это на 1,6 раза меньше по сравнению с аналогичным периодом 2024 года, когда поступило 23 274 обращения. До этого количество подобных сообщений стабильно росло.

Максимальный — четырёхкратный — рост числа обращений по поводу фишинга был зафиксирован в первом полугодии 2023 года. Также снизилась доля фишинга среди всех инцидентов: если в 2024 году на него приходилось 89% обращений, то в 2025 году — уже 64%.

С начала года участники проекта «Доменный патруль» заблокировали более 13,5 тыс. фишинговых доменов. Для сравнения, за первое полугодие 2024 года было заблокировано 22,6 тыс. доменов. Среднее время реагирования составило 15 часов — это один из лучших показателей по скорости блокировки в мире.

По мнению директора Координационного центра Андрея Воробьёва, снижение активности фишинга связано с тем, что злоумышленники всё чаще переходят к более сложным схемам, основанным на использовании вредоносных программ:

«О фишинге сегодня знает практически каждый пользователь, и многие научились его распознавать. А вредоносы действуют гораздо скрытнее. Они могут попасть на устройство через заражённые приложения, файлы или ссылки — и при этом не вызвать подозрений. Получив доступ, злоумышленники используют устройство для новых атак или кражи личных и финансовых данных. Эти схемы менее заметны и потому более опасны».

Также, как отметил Андрей Воробьёв, важную роль сыграла скоординированная работа участников «Доменного патруля». Благодаря высокой скорости реакции киберпреступникам приходится переносить активность в другие доменные зоны, где контроль менее жёсткий.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru