Новый бэкдор ShadowRelay ворует данные из изолированных сетей
3 мин
57
Специалисты по кибербезопаности из компании «Солар» выявили новый вредонос ShadowRelay, который уже проник в одну из организаций госсектора. Эксперты кибербеза вовремя выявили его, нейтрализовали угрозу и опубликовали инструкции по обнаружению ShadowRelay.
В 2025 году специалисты по информационной безопасности подключились к расследованию ИБ-инцидента в одной из госструктур. По итогам обнаружили несколько ИТ-систем, заражённых хакерами через популярную уязвимость в почтовом сервере платформы Microsoft Exchange. По нескольким инструментам, индикаторам компрометации и тактике определили две азиатские группировки Erudite Mogwai и Obstinate Mogwai. О Erudite Mogwai мы писали в одном из предыдущих материалов.
Также в инфраструктуре присутствовал ряд других неназванных хакерских групп. Среди следов их деятельности в заражённых системах и обнаружили неизвестный ранее модульный вредонос, названный ShadowRelay.
ShadowRelay может собирать данные с хостов инфраструктуры жертвы, которые не подключены к интернету. Как правило, именно на них располагаются критически важные системы или данные компании, к которым бэкдор позволяет иметь доступ. Для этого вредонос, находящийся в сегменте инфраструктуры, подключённом к интернету, образует сеть со своими копиями в закрытых сегментах
Для реализации атаки бэкдор позволяет атакующим скрытно подгружать плагины для кражи данных или удалённого управления заражёнными устройствами. ShadowRelay пытается обнаружить песочницы и дебаггеры. В случае обнаружения таких сред или инструментов вредонос самоликвидируется.
При успешном заражении бэкдор использует несколько функций сокрытия себя в системе компании. Например, инъекцию себя в другие процессы и переиспользование портов. Всё это говорит о высоком уровне подготовки атакующих, которые планировали как можно дольше присутствовать в атакованной инфраструктуре. Поведение, характерное прежде всего для шпионских APT-группировок, работающих в интересах спецслужб других стран. В случае вышеописанной атаки на организацию из госсектора бэкдор не успел украсть данные и нанести какой-либо другой вред.
Чтобы защититься от атак ShadowRelay, эксперты ИБ советуют использовать Snort-правило в блоге команды для обнаружения бэкдора. Также применять сервисы поставки потоков данных (фидов) об актуальных угрозах для непрерывного усиления SOC, предотвращения атак и раннего реагирования, а также правило детектирования общения между шпионскими имплантами.
