В ГК «Солар» сообщили об уникальном вирусе, три года атаковавшем российские ведомства

Там добавили, что с помощью этого вредоносного ПО злоумышленники получили полный контроль над инфраструктурой жертв, а самые ранние следы заражения датируются 2020 годом. Сейчас GoblinRAT удален из атакованных сетей, уточнили в «Соларе».

Впервые вирус был обнаружен в 2023 году при расследовании инцидента в одной из IT-компаний. Ее штатные специалисты по кибербезопасности заметили удаление системных журналов на одном из серверов и загрузки утилиты для кражи паролей от аккаунтов с контроллера домена. Сотрудники начали расследование и привлекли к нему экспертов Solar 4RAYS.

Специалисты центра исследования киберугроз обнаружили вредоносный код, который маскировался под процесс легитимного приложения. Параметры вредоносного процесса ничем не выделялись, а запускавший его файл отличался от легитимного всего одной буквой в названии.

Дальнейший анализ выявил, что у GoblinRAT нет функций автоматического закрепления — каждый раз хакеры сначала изучали особенности целевой инфраструктуры (используемое ПО и другие), а затем внедряли вирус под маскировкой одного из приложений, работающих на конкретной атакуемой системе.

Всего GoblinRAT был обнаружен в четырех организациях, и в каждой из них злоумышленники получили удаленный доступ с правами администратора ко всем сегментам сети. Эксперты Solar 4RAYS нашли свидетельства, указывающие на то, что как минимум в одной из атакованных инфраструктур у хакеров был такой доступ в течение трех лет, а самая непродолжительная атака с помощью этого вируса длилась примерно полгода.

Фото на обложке: wildpixel / Getty Images