Эксперты Solar 4RAYS обнаружили новый вредонос IDFKA

Специалисты группы компаний «Солар» расследовали кибератаку на неназванную телеком-компанию и нашли новый бэкдор IDFKA. Вредонос позволил злоумышленникам получить доступ к базе данных абонентов.

В конце мая 2025 года ИБ-эксперты обнаружили подозрительные команды в инфраструктуре телеком-оператора. Команды исходили от имени служебной учётной записи ИТ-подрядчика. Начав расследование, специалисты по кибербезу выяснили, что в сеть подрядчика проникли сразу две хакерские группировки. Первая — азиатская Snowy Mogwai, вторая — пока мало известная NGC5081. ВПО скрывалось настолько хорошо, что хакеры NGC5081 смогли незамеченными присутствовать в инфраструктуре жертвы более 10 месяцев.

NGC5081 для управления учётной записью жертвы задействовала два бэкдора: известный азиатский Tinyshell и неизвестный вредонос, который специалисты назвали IDFKA (по аналогии с чит-кодом из игры Doom, который даёт всё оружие, боеприпасы и ключи разом). Подозрительный файл маскировался под легитимный сервис. IDFKA был написан с нуля на языке Rust и использует собственный протокол L4, работающий поверх IP. Это позволяет прятать сетевую активность от систем мониторинга. Функционал у вредоноса широкий: от простого управления заражённым устройством до продвижения по внутренней сети и сканирования инфраструктуры компании-подрядчика.

С помощью трояна хакеры могли выгружать данные баз об абонентах и звонках. Правда, прямых улик того, что данные действительно были украдены, пока нет, отмечают эксперты. Однако сетевая инфраструктура бэкдора всё ещё жива, и хакеры вполне могут применять его против других организаций. Специалисты по кибербезу почистили инфраструктуру телеком-оператора от вредоносного ПО и устранили последствия атаки NGC5081. Заодно они опубликовали индикаторы компрометации и Yara-правило для выявления бэкдора — чтобы другие компании могли перенять опыт.

Для защиты от IDFKA эксперты рекомендуют:

● Мониторить IT-инфраструктуру на предмет обращений к известным управляющим серверам NGC5081.

● Внимательнее относиться к файлам, написанным на Rust, — они теперь под подозрением.

● Использовать комплексные средства защиты от киберугроз, а не точечные решения.

● Регулярно проводить оценку компрометации инфраструктуры.