Специалисты Solar 4RAYS выявили новую азиатскую хакерскую группу, которая совершила атаку на веб-приложение федерального ведомства. Эксперты сообщили, что злоумышленникам удалось пробраться внутрь инфраструктуры учреждения и выполнить команды.
По результатам расследования выяснилось, что преступники применяли названия внутренних серверов пострадавшей структуры против других государственных структур. Благодаря усилиям специалистов дальнейший доступ к ресурсам удалось пресечь.
Предположительно, данная группа имеет отношение к странам Восточной Азии, поскольку её активности предшествовали обращения к веб-ресурсу именно оттуда. Есть ряд второстепенных факторов, например, время начала атак (4 утра МСК). Преступная группа была классифицирована как NGC4141 («новый общий кластер»), т.к.ранее подобные инциденты не связывались ни с одной конкретной группировкой.
Исследование показало, что первая попытка проникновения произошла ещё в декабре 2024 года. Несколько суток подряд велось интенсивное сканирование ресурса на наличие уязвимых мест. Значения нагрузки достигали тысячи запросов в час.
Обнаружив слабые места, хакеры вручную исследовали уязвимости и воспользовались скрытыми возможностями общедоступной платформы для взаимодействия с API, внедряя на целевой веб-сайт скрипты — веб-шеллы. Это позволило злоумышленникам установить своё программное обеспечение и получить контроль над сетью организации.
Особенность ситуации заключается в том, что атакованное приложение было разработано индивидуально либо адаптировано для платформ Tilda, WordPress и др. Несмотря на защиту веб-сервера антивирусом и системой фильтрации веб-запросов (WAF), злоумышленники добились успеха, хотя данные средства серьёзно затруднили им выполнение задачи и вовремя оповестили администрацию о возможной угрозе.
Кроме того, выявилось, что группа пыталась повторно применить внутренние имена серверов, похищенные у первой цели, в последующих нападениях на государственные органы, рассчитывая на случайное повторение именования. Это позволяет предположить, что хакеры активно обменивались информацией с подобными группами и потенциально участвовали в одновременных атаках на разные объекты государственной инфраструктуры.
По результатам расследования выяснилось, что преступники применяли названия внутренних серверов пострадавшей структуры против других государственных структур. Благодаря усилиям специалистов дальнейший доступ к ресурсам удалось пресечь.
Предположительно, данная группа имеет отношение к странам Восточной Азии, поскольку её активности предшествовали обращения к веб-ресурсу именно оттуда. Есть ряд второстепенных факторов, например, время начала атак (4 утра МСК). Преступная группа была классифицирована как NGC4141 («новый общий кластер»), т.к.ранее подобные инциденты не связывались ни с одной конкретной группировкой.
Исследование показало, что первая попытка проникновения произошла ещё в декабре 2024 года. Несколько суток подряд велось интенсивное сканирование ресурса на наличие уязвимых мест. Значения нагрузки достигали тысячи запросов в час.
Обнаружив слабые места, хакеры вручную исследовали уязвимости и воспользовались скрытыми возможностями общедоступной платформы для взаимодействия с API, внедряя на целевой веб-сайт скрипты — веб-шеллы. Это позволило злоумышленникам установить своё программное обеспечение и получить контроль над сетью организации.
Особенность ситуации заключается в том, что атакованное приложение было разработано индивидуально либо адаптировано для платформ Tilda, WordPress и др. Несмотря на защиту веб-сервера антивирусом и системой фильтрации веб-запросов (WAF), злоумышленники добились успеха, хотя данные средства серьёзно затруднили им выполнение задачи и вовремя оповестили администрацию о возможной угрозе.
Кроме того, выявилось, что группа пыталась повторно применить внутренние имена серверов, похищенные у первой цели, в последующих нападениях на государственные органы, рассчитывая на случайное повторение именования. Это позволяет предположить, что хакеры активно обменивались информацией с подобными группами и потенциально участвовали в одновременных атаках на разные объекты государственной инфраструктуры.
Мы внедряем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Оставьте свой контакт на главной странице и мы поможем с решением проблемы любой сложности!
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Оставьте свой контакт на главной странице и мы поможем с решением проблемы любой сложности!
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь