Специалисты Solar 4RAYS обнаружили уникальную малварь GoblinRAT в сетях российских ведомств и ИТ-компаний, обслуживающих госсектор. С помощью этого вируса злоумышленники получили полный контроль над инфраструктурой жертв. Первые следы заражения датируются 2020 годом, и это одна из самых сложных и скрытных атак.
Впервые GoblinRAT заметили в 2023 году при расследовании инцидента в ИТ-компании, предоставляющей услуги госорганам. Штатные ИБ-специалисты заметили удаление системных журналов и дамп хешей пользователей. Это побудило их провести расследование с привлечением экспертов «Солара».
Эксперты обнаружили вредоносный код, маскирующийся под легитимное приложение. Параметры процесса ничем не выделялись, а запускавший его файл отличался одной буквой в названии. Исследователи считают, что злоумышленники рассчитывали на незаметность.
GoblinRAT не закрепляется автоматически, а тщательно изучает инфраструктуру и внедряется под видом приложения. Он самоуничтожается, перезаписывает файлы и шифрует данные. Злоумышленники использовали легитимные взломанные сайты для управления малварем.
GoblinRAT был обнаружен в четырех организациях, где атакующие получили удаленный доступ с правами администратора. Источник заражений не установлен. В одной из организаций злоумышленники имели доступ три года, в другой — около шести месяцев.
Эксперты не нашли широкого распространения GoblinRAT и не смогли атрибутировать атаку. Для его создания и использования требуется высокий уровень профессионализма. Исследователи признают ограниченность своих знаний о происхождении вируса.