Цивилизация
Центр исследования киберугроз Solar 4RAYS ГК «Солар» выявил ранее неизвестную восточноазиатскую хакерскую группировку, атаковавшую веб-приложение федерального ведомства. Злоумышленники использовали публичные инструменты и уязвимости API для внедрения вредоносных скриптов и получения доступа к серверной инфраструктуре, говорится в поступившем в «Газету.Ru» пресс-релизе.
Хакерская активность получила классификацию NGC4141 (new generic cluster), что указывает на невозможность пока отнести ее к одной из известных киберпреступных групп. Атака началась в декабре 2024 года и развивалась поэтапно: от массового автоматизированного сканирования ресурса до ручного поиска уязвимостей. В результате злоумышленникам удалось внедрить веб-шеллы и выполнить команды в операционной системе сервера.
Особенность инцидента заключается в том, что целью стал ресурс на кастомном движке, не имеющем готовых эксплойтов в открытом доступе. Несмотря на наличие защиты в виде антивируса и WAF, атакующие смогли преодолеть барьеры. При этом, как отмечают в Solar 4RAYS, данные средства сработали как фактор замедления атаки и позволили зафиксировать аномальную активность.
По результатам расследования специалисты установили, что хакеры пытались использовать внутренние имена серверов жертвы и при атаках на другие государственные организации. Это может свидетельствовать о более широкой кампании и возможном обмене данными между киберпреступными группировками.
«По нашему мнению, атаки на кастомные веб-приложения для получения доступа к внутренней сети представляют собой недооцененную угрозу для владельцев онлайн-ресурсов. Данный кейс показал, что средства для автоматизированной защиты требуют дополнительного внимания и анализа событий, так как само наличие технических средств защиты усложняет атаку, но не делает ее невозможной. При разработке кастомных веб-приложений мы рекомендуем держать в уме возможные риски: проводить аудит кода веб-приложения или даже полноценный пентест для оценки его устойчивости к кибератакам», — заключил руководитель группы расследования инцидентов центра исследования Solar 4RAYS ГК «Солар» Иван Сюхин.
Ранее сообщалось, что игровые мыши могут использоваться для подслушивания пользователей.