Разделы

Безопасность
|

Solar 4Rays обнаружил новый бэкдор для кражи баз данных, атакующий российские компании

Специалисты центра исследования киберугроз Solar 4Rays группы компаний «Солар» расследовали атаку на одну из телеком-компаний и выявили новый бэкдор IDFKA, который позволил злоумышленникам получить доступ к базе данных абонентов и все еще представляет угрозу для российских компаний. Он хорошо скрывается от обнаружения, что помогло хакерам находиться в инфраструктуре жертвы более 10 месяцев.

В конце мая 2025 г. эксперты центра противодействия кибератакам Solar JSOC ГК «Солар» зафиксировали запуск подозрительных команд в инфраструктуре телеком-оператора от имени служебной учетной записи, которая администрировалась ИТ-подрядчиком. Эксперты «Солара» подключились к расследованию инцидента и выяснили, что в сеть подрядчика проникли сразу две хакерские группировки — азиатская Snowy Mogwai, атакующая с целью шпионажа, и еще не до конца изученная NGC5081.

Оба объединения атаковали подрядчика с целью кражи данных у телеком-компании. NGC5081 для управления учетной записью жертвы использовала два бэкдора — азиатский Tinyshell и неизвестный ранее вредонос, который эксперты Solar 4Rays назвали IDFKA. Бэкдор был обнаружен в процессе реагирования, подозрительный файл мимикрировал под один из легитимных сервисов. Схожее название фигурировало в одном из компонентов бэкдора — оно отсылает к чит-коду в популярной компьютерной игре Doom (IDKFA), который дает игроку все оружие, боеприпасы и ключи.

IDFKA был разработан атакующими с нуля — это говорит о высокой технической подготовке группировки. Сам он написан на нестандартном языке Rust, что усложняет его исследование ИБ-специалистами. Бэкдор использует собственный протокол L4, работающий поверх IP, что позволяет скрывать сетевую активность от ИБ-мониторинга. Вредонос выполняет множество функций — от простого управления устройством жертвы до продвижения и сканирования внутренней инфраструктуры компании-подрядчика.

Бэкдор помогал группировке незаметно находиться в инфраструктуре подрядчика не менее 10 месяцев. С его помощью хакеры как минимум могли выгружать данные баз об абонентах и звонках — есть вероятность, что они были украдены. При этом фактических следов похищения данных эксперты Solar 4Rays не обнаружили. Сетевая инфраструктура бэкдора всё еще активна — это значит, что хакеры могут его применять в атаках и на другие организации.

Алексей Борщов, «Корус Консалтинг»: На текущем уровне развития ИИ все бизнес-процессы должны контролировать люди

Цифровизация

Специалисты Solar 4Rays удалили вредоносное ПО из инфраструктуры телеком-оператора и устранили последствия атаки NGC5081. В дополнение эксперты Solar 4Rays опубликовали индикаторы компрометации и Yara-правило для выявления бэкдора.

Для защиты от IDFKA эксперты Solar 4Rays рекомендуют: осуществлять мониторинг ИТ-инфраструктуры на предмет обращения к известным управляющим серверам NGC5081; быть внимательнее к файлам, написанным на Rust; использовать комплексные средства защиты от киберугроз; регулярно проводить оценку компрометации инфраструктуры.

Подписаться на новости Короткая ссылка


Другие материалы рубрики

Какой NGFW выбрать для комплексной защиты периметра

Троян годами маскировался под полезные инструменты, чтобы внезапно наброситься на пользователей Chrome и MS Edge

Глава Минцифры Максут Шадаев на CNews FORUM: Мы повышаем порог входа в реестр российского ПО

Бунтующие подростки рвутся в мир киберкриминала. После 20 лет в нем остаются единицы и не из-за денег

Антон Виговский, «Ростелеком»: Количество рабочих мест уже не равно количеству сотрудников в компании

Знаменитая северокорейская группировка Lazarus открыла охоту на разработчиков БПЛА

Конференции

Современные контакт-центры 2025

Миграция в облако

Business Process Management 2026
Показать еще

CNewsMarket

Colocation

Подобрать ЦОД для размещения ИТ-оборудования

От 815 руб./месяц

S3-хранилище

Подобрать облачное хранилище

От 6,2 коп. за 1 Гб/месяц

ERP

Подобрать тариф на IP-телефонию и виртуальную АТС

От 1 046 руб./месяц

RPA

Подобрать платформу роботизации RPA

От 200 000 руб./месяц

Техника

Лучшие умные колонки в 2025 году: выбор ZOOM

Битва голосовых помощников: Алиса, Маруся и Салют

Лучшая техника Dreame по уходу за волосами: выбор ZOOM

Показать еще

Наука

OLED объединили с метаповерхностями: голографические гаджеты из фантастики — уже реальность

Исследование древнего кладбища перевернуло устоявшиеся представления о жизни в каменном веке

Если квантовые вычисления отвечают на неразрешимые вопросы, то как понять, что ответы верные?
Показать еще