Специалисты центра исследования киберугроз Solar 4Rays группы компаний "Солар" выявили ранее неизвестную восточно-азиатскую хакерскую группировку, которая атаковала веб-приложение российского федерального ведомства. Злоумышленники получили наименование NGC4141 и смогли проникнуть в инфраструктуру жертвы.
Атака началась в декабре 2024 года с интенсивного сканирования онлайн-ресурса на предмет уязвимостей. Нагрузка на систему измерялась тысячами запросов в час. Спустя несколько недель хакеры перешли на ручное сканирование и, обнаружив слабые места, использовали незадокументированные возможности публичной платформы для внедрения веб-шеллов - вредоносных скриптов для получения доступа к серверу.
Примечательно, что веб-приложение работало на кастомном движке, написанном с нуля или модифицированном на основе популярных платформ. Такие системы гораздо сложнее поддаются взлому, чем сайты на WordPress или Tilda, поскольку под них нет готовых эксплойтов в открытом доступе. Сервер был защищен антивирусом и системой защиты от веб-атак, но это не остановило квалифицированных злоумышленников.
На восточно-азиатское происхождение группировки указывают запросы к веб-серверу из этого региона и время начала атак - 4 утра по московскому времени, когда там начинается рабочий день. Хакеры также пытались использовать имена внутренних серверов атакованного ведомства для взлома других госструктур, что может свидетельствовать об обмене информацией между схожими группировками. Эксперты Solar 4Rays смогли выгнать злоумышленников из инфраструктуры, сообщает "C-News".
Обратите внимание: Россиянам назвали те самые 3 слова: Ни за что не используйте этот список при разговоре с мошенниками