Эксперты центра по исследованию киберугроз Solar 4RAYS, входящего в группу компаний «Солар», выявили уникальное вредоносное ПО GoblinRAT, обладающее продвинутыми средствами маскировки. Оно было обнаружено в сетях нескольких российских государственных учреждений и ИТ-компаний, работающих на госсектор. С помощью GoblinRAT злоумышленники получали полный контроль над инфраструктурой жертв. Первые случаи заражения датируются 2020 годом, а к настоящему моменту вредоносное ПО было удалено из всех атакованных систем.
Эта атака считается одной из самых сложных и скрытых, с которыми столкнулись эксперты Solar 4RAYS. Аналогичные случаи не фиксировались в других компаниях, занимающихся кибербезопасностью.
GoblinRAT был впервые выявлен специалистами Solar 4RAYS в 2023 году в рамках расследования инцидента в ИТ-компании, предоставляющей услуги органам власти. Сотрудники компании заметили аномалии на одном из серверов: удаление системных журналов и загрузку программ для кражи паролей с контроллера домена. Эти подозрительные события стали поводом для внутреннего расследования, в котором приняли участие специалисты Solar 4RAYS.
В ходе анализа эксперты обнаружили, что GoblinRAT маскировался под легитимное приложение, а файл, запускающий вредонос, отличался от оригинала всего одной буквой в названии. Выявить это можно было только при детальном ручном анализе больших объемов данных, что и рассчитывали злоумышленники, надеясь остаться незамеченными.
Дополнительное исследование показало, что GoblinRAT не использует автоматическое закрепление: перед внедрением злоумышленники сначала изучали инфраструктуру жертвы и подбирали маскировку под одно из легитимных приложений, работающих в атакуемой системе. Такой подход указывает на высокий уровень таргетирования и профессионализма, позволивший атакам оставаться незаметными в течение нескольких лет.
Особенности GoblinRAT, затрудняющие его обнаружение:
- Программа самоудаляется после определенного времени, если оператор не вводит специальный код;
- При самоудалении вредоносное ПО многократно перезаписывает свои файлы случайными данными, усложняя расследование;
- Маскируется под легитимный процесс на зараженном устройстве, меняя название и параметры командной строки и иногда работая внутри легитимного приложения;
- Применяет метод Port knocking в серверной версии, что позволяет злоумышленникам получать доступ к закрытым сегментам инфраструктуры;
- Данные, передаваемые к серверу управления, шифруются;
- Использует сетевые туннели для обхода межсетевых экранов;
- Для передачи команд использует легитимные взломанные сайты, что маскирует вредоносный трафик.
В общей сложности GoblinRAT был обнаружен в четырех организациях, где злоумышленники получили полный контроль над сетевой инфраструктурой, включая администраторские права. В некоторых случаях они имели доступ более трех лет, а кратчайшая атака длилась около шести месяцев.
«Мы смогли проследить историю развития GoblinRAT с 2020 года, но его распространение остается очень ограниченным. Коллеги из других компаний с глобальными сетями сенсоров также не находили подобных случаев. Вопрос о происхождении атаки остается открытым: ни одна известная группировка из Азии, Восточной Европы или других регионов не использовала похожие инструменты. Для создания и эксплуатации GoblinRAT атакующим потребовался высокий уровень профессионализма и мотивация. Каждая атака требовала кропотливой подготовки и множества ручных действий», — рассказал Константин Жигалов, инженер по расследованию инцидентов Solar 4RAYS.
По результатам расследования команда Solar 4RAYS разработала индикаторы компрометации и детектирующую логику для поиска активности GoblinRAT в сети, что поможет другим компаниям выявлять это вредоносное ПО.