Solar охотятся на гоблинов и крыс: эксперты компании поймали GoblinRAT
Об этом сообщило ООО "Солар" (ГК "Солар") в пятницу, 8 ноября 2024 г. Согласно сообщению, эксперты центра исследования киберугроз Solar 4RAYS обнаружили вредоносное ПО (ВПО) GoblinRAT в сетях "нескольких российских ведомств и ИТ-компаний". По оценкам экспертов, злоумышленники получили доступ и установили полный контроль над сетями жертв. По их мнению, это одна из самых сложных и скрытых атак, с которыми они сталкивались.
"Параметры вредоносного процесса ничем не выделялись, а запускавший его файл отличался от легитимного всего одной буквой в названии. Заметить такую деталь можно только при ручном анализе тысяч мегабайт данных. Вероятно, злоумышленники рассчитывали, что никто не будет делать такую кропотливую работу, и они останутся незамеченными", - говорится в сообщении.
Впервые GoblinRAT попал в поле зрения экспертов Solar 4RAYS в 2023 г., когда к ним обратились штатные сотрудники службы информационной безопасности одной из пострадавших компаний. Они обратили внимание на удаление системных журналов одного из серверов и загрузку утилиты для похищения паролей учетных записей с контроллера домена. Расследование экспертов Solar 4RAYS показало, что злоумышленники имели доступ к инфраструктуре одной из пострадавших компаний не менее трех лет. Также оно позволило не только определить принципы работы ВПО, но и сформировать индикаторы компроментации, с помощью которых другие компании могут обнаружить GoblinRAT у себя.
"Благодаря обнаруженным артефактам мы смогли проследить историю развития GoblinRAT с 2020 г., однако нам не удалось обнаружить широкого распространения вредоноса. Более того, наши коллеги из других ИБ-компаний с глобальными сетями сенсоров не обнаружили ничего похожего в коллекциях. Ключевым вопросом остается атрибуция атаки: артефактов, указывающих на происхождение ВПО, не обнаружено. Подобных инструментов не демонстрировали ни азиатские, ни восточно-европейские группировки, ни группировки из других регионов. Очевидно только, что для создания и использования GoblinRAT злоумышленники должны обладать очень высоким уровнем профессионализма и быть хорошо замотивированными. Те атаки, что мы расследовали, требовали тщательной предварительной подготовки и большого количества "ручной" работы", — отметил инженер группы расследования инцидентов центра исследования киберугроз Solar 4RAYS Константин Жигалов.
Представитель пресс-службы Solar не ответил на дополнительные вопросы корреспондента ComNews.
Представители пресс-служб ООО "Обит", ООО "Монт", АО "КорпСофт", ООО "Нубес" не ответили на вопросы корреспондента ComNews.
Однако, с выводами экспертов Solar 4RAYS согласен директор центра мониторинга и реагирования ООО "Юзергейт" (UserGate) Дмитрий Кузеванов. По его словам, если бы GoblinRAT не был бы "штучной" работой, то его обнаружили бы раньше. Он подтвердил, что UserGate не попадалось ничего похожего. Дмитрий Кузеванов обратил внимание корреспондента ComNews, что написание такого штучного и скрытого ВПО требует команды разработчиков, обладающих сильными навыками, и даже тогда его разработка может занимать месяцы.
"Согласен с выводами в отчете, что создание такого ВПО требует штата разработчиков высокой квалификации и значительных ресурсов. Обычно ими обладают прогосударственные группировки или профессиональные группировки наемников", - заключил Дмитрий Кузеванов.