Инфраструктуру спортклуба уничтожили через учётную запись подрядчика
3 мин
72
1
Для атаки, которая полностью разрушила инфраструктуру фитнес-клуба, злоумышленники использовали программу на .NET Framework, которая маскировалась под установленное в системах программное обеспечение 1C. Её образец обнаружили специалисты группы компаний (ГК) «Солар», которые проводили расследование инцидента. Чтобы внедрить её использовали старую учётную запись крупного подрядчика — интегратора программного обеспечения.
Осенью 2025 года к специалистам обратился заказчик с просьбой определить причины шифрования инфраструктуры. Последняя насчитывала около десятка систем, среди которых были серверы 1C, RDS и файловые хранилища. Все они были виртуальными и размещались на физическом сервере-гипервизоре, который одновременно служил контроллером домена.
Расследование показало, что доступ к системам был получен за две недели до момента шифрования. Первые семь дней атакующие бездействовали, далее начали сканирование инфраструктуры и подбор паролей учётных записей. За 12 часов до шифрования злоумышленники вошли в систему с сервисной учётной записи с правами доменного администратора с нетипичного адреса. После этого инфраструктура была уничтожена. Атакующие поочерёдно выполнили подключение к системам по RDP, отключили средства антивирусной защиты и запустили исполняемый файл Ransomware Hardbit версии 4.2.
Точкой входа оказались серверы RDS и 1C, доступные из внешней сети по стандартным портам RDP. Вход с учётной записи подрядчика и размещение ПО произошли в обеих системах с разницей лишь в несколько минут. После этого была создана служба для запуска исполняемого файла. Без детального анализа событий, сопоставляя эти данные, можно было бы предположить, что подрядчик обновил версию легитимного ПО.
Однако файл оказался вредоносной backdoor-программой, маскирующейся под 1C. Для учётной записи подрядчика пользователь ранее установил флаг DONT_EXPIRE_PASSWORD, из-за чего пароль меняли не так часто, как следовало бы. Специалисты считают, что он мог вообще не меняться с момента создания учётной записи и попасть в утечку данных у подрядчика, произошедшую несколько лет назад.
Специалисты обнаружили загрузчик на .NET с обфускацией имён. Он закрепился в системе в качестве сервиса, маскирующегося под лицензионный сервер 1C. При запуске выполнялась динамическая загрузка библиотеки из ресурсов приложения. А в случае сбоя в работе службы система автоматически пыталась перезапустить её через 60 секунд.
Вторая стадия загрузчика представлена отдельным файлом. При его запуске создавался мьютекс, после чего файл обращался к серверу управления для загрузки зашифрованных пакетов с библиотекой внутри. Загрузчик реализован с использованием техники Reflective Code Loading, когда вредоносный код выполняется в памяти процесса без создания временных файлов на диске.
Мьютекс (mutex) — это механизм синхронизации в операционных системах, который используется для предотвращения одновременного запуска нескольких копий одной программы. В контексте вредоносного ПО это стандартная техника, чтобы избежать конфликтов при повторном заражении системы.
Специалисты ранее не сталкивались с деятельностью этой группировки и назвали её NGC8211. По имеющимся данным, атакующие нападают на организации через шифрование данных и последующее вымогательство с целью финансовой наживы.
