Группа NGC4141 взломала защищённое веб-приложение федерального ведомства

Группа NGC4141 взломала защищённое веб-приложение федерального ведомства

Группа NGC4141 взломала защищённое веб-приложение федерального ведомства

Эксперты центра исследования киберугроз Solar 4RAYS (группа компаний «Солар») выявили неизвестную ранее группировку, которая атаковала веб-приложение одного из федеральных ведомств. Хакеры использовали публичные инструменты, проникли в инфраструктуру ведомства и смогли выполнять команды прямо в операционной системе сервера.

В ходе расследования специалисты выяснили, что злоумышленники применяли имена внутренних серверов жертвы для атак и на другие госструктуры — то есть пытались использовать полученные данные повторно.

В итоге специалисты Solar 4RAYS провели расследование и вывели хакеров из инфраструктуры.

Новая группа из Восточной Азии

По данным Solar 4RAYS, атака с высокой вероятностью была проведена группировкой из Восточной Азии. На это указывает география обращений к серверу и время начала атак — около 4 утра по Москве, что совпадает с началом рабочего дня в регионе.

Исследователи дали группе название NGC4141 (от new generic cluster — новая вредоносная активность, не связанная с известными APT-группами).

Как проходила атака

Согласно данным расследования, атака началась в декабре 2024 года. Несколько дней подряд злоумышленники активно сканировали сайт на наличие уязвимостей — нагрузка доходила до тысяч запросов в час. Спустя время они перешли к ручному анализу системы и нашли способ проникновения.

Хакеры воспользовались недокументированными функциями публичной платформы для работы с API, через которые внедрили на сервер веб-шеллы — вредоносные скрипты, позволяющие управлять системой через веб-интерфейс. После этого им удалось установить вредоносную программу и получить доступ к внутренней сети организации.

Примечательно, что веб-приложение работало на кастомном движке, написанном с нуля или сильно модифицированном. Для таких решений нет готовых эксплойтов в открытом доступе, поэтому взлом подобного ресурса требует высокой квалификации. При этом сервер был защищён антивирусом и WAF (системой защиты от веб-атак), но это не остановило хакеров — лишь замедлило их действия и позволило вовремя зафиксировать аномалии.

Опасность атак на кастомные веб-приложения

Параллельно злоумышленники пытались использовать полученные данные — в частности, имена внутренних серверов — для атак на другие госструктуры. Это говорит о возможном обмене информацией между схожими группировками и о намерении атаковать госсектор в целом.

Руководитель группы расследования инцидентов Solar 4RAYS Иван Сюхин подчеркнул, что подобные атаки показывают уязвимость даже хорошо защищённых систем:

«Атаки на кастомные веб-приложения для проникновения во внутренние сети — недооценённая угроза. Средства автоматической защиты помогают, но не исключают риск. Мы рекомендуем владельцам таких ресурсов проводить аудит кода или даже пентест, чтобы заранее выявить слабые места и повысить устойчивость к кибератакам».

Инцидент стал ещё одним подтверждением того, что даже самые защищённые системы уязвимы без регулярного ручного анализа и участия квалифицированных экспертов.

Специалисты Solar 4RAYS в своем блоге опубликовали индикаторы компрометации группировки — это поможет российским компаниям обнаруживать и блокировать вредоносную активность злоумышленников в своих корпоративных сетях.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Signal внедрил постквантовую систему шифрования SPQR для защиты чатов

Мессенджер Signal представил новый криптографический механизм под названием Sparse Post-Quantum Ratchet (SPQR) — он создан, чтобы защитить переписку пользователей от угроз, связанных с появлением квантовых вычислений.

SPQR будет работать как дополнительный уровень шифрования, постоянно обновляя ключи защиты сообщений и удаляя старые, что гарантирует высокий уровень конфиденциальности.

Даже если один из ключей каким-то образом окажется скомпрометирован, будущие сообщения останутся недоступными для злоумышленников.

Signal уже использует систему Double Ratchet, которая обеспечивает сквозное шифрование. Теперь к ней добавляется SPQR, формируя так называемый Triple Ratchet — ещё более устойчивый ко взлому механизм.

В основе SPQR лежат постквантовые криптографические алгоритмы, использующие Key-Encapsulation Mechanisms (ML-KEM) вместо традиционного эллиптического шифрования Diffie-Hellman. При этом система реализует специальные методы оптимизации, чтобы большие ключи не перегружали сеть.

Команда Signal поясняет:

«Когда вы отправляете сообщение, и Double Ratchet, и SPQR предлагают свои ключи шифрования. Затем оба ключа проходят через специальную функцию, которая создаёт единый “смешанный” ключ с гибридной защитой».

SPQR был создан при участии исследователей из PQShield, Японского института AIST и Нью-Йоркского университета. Концепция базируется на научных работах, представленных на конференциях USENIX 2025 и Eurocrypt 2025.

Новая система прошла формальную проверку безопасности с помощью ProVerif, а её реализация на Rust протестирована инструментом hax. Кроме того, Signal внедряет постоянную систему верификации — теперь доказательства безопасности будут обновляться при каждом изменении кода.

Переход на новую технологию будет происходить постепенно — пользователям не нужно ничего делать, кроме как обновлять приложение до последней версии.

SPQR будет обратимо совместимым: если пользователь с новой версией переписывается с тем, у кого SPQR пока нет, система автоматически перейдёт на прежнюю модель шифрования. Когда обновление станет доступно всем, Signal включит SPQR по умолчанию.

Напомним, в сентября Signal запустил зашифрованные резервные копии чатов с опцией подписки. Они позволяют восстанавливать переписку даже в случае потери или поломки телефона.

Недавно мы также анализировали какой мессенджер лучше защищает ваши данные — Signal или Telegram.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru