Российский госсектор защитили от новой хакерской группировки
Центр кибербезопасности Solar 4RAYS группы компаний «Солар» обнаружил ранее неизвестную хакерскую группировку из Восточной Азии, совершившую атаку на веб-приложение федерального ведомства. Злоумышленники использовали публичные инструменты и уязвимости API для внедрения вредоносных скриптов и получения контроля над серверной инфраструктурой.
Данной киберактивности присвоен код NGC4141 (new generic cluster), что указывает на её уникальность среди известных преступных группировок. Атака, стартовавшая в декабре 2024 года, развивалась поэтапно: от массового сканирования ресурса до ручного поиска уязвимостей. В результате хакеры внедрили веб-шеллы и получили возможность выполнять команды на сервере.
Ключевая особенность инцидента — цель с кастомным движком, не имеющим готовых эксплойтов в открытом доступе. Несмотря на антивирусную защиту и WAF, злоумышленники преодолели барьеры. При этом инструменты безопасности сыграли положительную роль, замедлив атаку и позволив зафиксировать подозрительную активность.
Расследование показало, что хакеры пытались применять внутренние серверные имена жертвы для атак на другие государственные организации. Это свидетельствует о масштабной кампании и возможном обмене данными между киберпреступными группами.
Эксперты Solar 4RAYS подчеркивают: «Атаки на кастомные веб-приложения для доступа к внутренним сетям остаются недооценённой угрозой. Данный случай подтверждает необходимость усиленного мониторинга систем защиты, так как их наличие усложняет, но не блокирует атаки. Разработчикам уникальных решений мы рекомендуем проводить аудит кода и тестирование на проникновение для повышения киберустойчивости».
Источник: www.gazeta.ru
