Шпионить без интернета: Как новый вирус ShadowRelay проникает в закрытые сети чиновников
NewsMakerЭксперты Solar обнаружили в госсекторе новый бэкдор ShadowRelay с модульной архитектурой.
Эксперты центра исследования киберугроз Solar 4RAYS обнаружили новое вредоносное ПО под названием ShadowRelay, которое было использовано для атаки на инфраструктуру организации госсектора. Бэкдор отличается высокой технической сложностью и продуманной архитектурой, что указывает на серьезную подготовку атакующих.
История началась весной 2025 года, когда эксперты Solar 4RAYS выявили признаки компрометации инфраструктуры одной из государственных организаций азиатской группировкой Erudite Mogwai, также известной как Space Pirates. После обращения к службе информационной безопасности компании началось детальное расследование инцидента.
Выяснилось, что точкой входа злоумышленников стал почтовый сервер Exchange, который был скомпрометирован еще летом 2024 года через эксплуатацию известной цепочки уязвимостей ProxyShell. Парадокс ситуации в том, что эти уязвимости были обнаружены еще в 2021 году, но продолжают оставаться актуальными и сегодня. Сервер установили и опубликовали летом 2024 года, и буквально через несколько недель его обнаружили сразу несколько хакерских группировок.
На зараженной системе исследователи нашли целый арсенал вредоносного ПО от различных группировок: оригинальный ShadowPad, Shadowpad Light, Donnect и Mythic Agent. Однако самой интересной находкой стал ранее неизвестный модульный бэкдор, который получил название ShadowRelay.
Эксперты центра исследования киберугроз Solar 4RAYS обнаружили новое вредоносное ПО под названием ShadowRelay, которое было использовано для атаки на инфраструктуру организации госсектора. Бэкдор отличается высокой технической сложностью и продуманной архитектурой, что указывает на серьезную подготовку атакующих.
История началась весной 2025 года, когда эксперты Solar 4RAYS выявили признаки компрометации инфраструктуры одной из государственных организаций азиатской группировкой Erudite Mogwai, также известной как Space Pirates. После обращения к службе информационной безопасности компании началось детальное расследование инцидента.
Выяснилось, что точкой входа злоумышленников стал почтовый сервер Exchange, который был скомпрометирован еще летом 2024 года через эксплуатацию известной цепочки уязвимостей ProxyShell. Парадокс ситуации в том, что эти уязвимости были обнаружены еще в 2021 году, но продолжают оставаться актуальными и сегодня. Сервер установили и опубликовали летом 2024 года, и буквально через несколько недель его обнаружили сразу несколько хакерских группировок.
На зараженной системе исследователи нашли целый арсенал вредоносного ПО от различных группировок: оригинальный ShadowPad, Shadowpad Light, Donnect и Mythic Agent. Однако самой интересной находкой стал ранее неизвестный модульный бэкдор, который получил название ShadowRelay.