Solar 4RAYS о новом бэкдоре ShadowRelay
По сообщению ГК «Солар», специалисты центра исследования киберугроз Solar 4RAYS выявили новое уникальное вредоносное ПО – бэкдор ShadowRelay. Он способен загружать шпионские инструменты, коммуницировать с другими своими копиями для реализации атаки, а также получать доступ к данным в изолированных от интернета сегментах сети, где располагаются наиболее критичные системы. Кроме того, бэкдор умеет самоликвидироваться в случае опасности.
Как поясняют в компании, в 2025 г. специалисты Solar 4RAYS подключились к расследованию ИБ-инцидента в одной из госструктур. Эксперты обнаружили несколько ИТ-систем, которые хакеры заразили через одну из популярных уязвимостей в почтовом сервере Microsoft Exchange. Там же оказалось несколько инструментов, а также индикаторы компрометации и тактики, характерные для азиатской группировки Erudite Mogwai. В то же время в инфраструктуре присутствовала группировка Obstinate Mogwai и ряд других хакерских объединений и инструментов. В числе прочего в зараженных системах было обнаружено неизвестное ранее модульное вредоносное ПО – ShadowRelay.
Бэкдор может собирать данные даже с хостов инфраструктуры, которые не подключены к интернету, – как правило, именно на них располагаются критически важные системы или данные компании. Для этого ShadowRelay, находящийся в сегменте инфраструктуры, подключенном к интернету, образует сеть со своими копиями в закрытых сегментах. Отсюда и произошло его название, которое буквально означает «теневая передача».
Для реализации атаки бэкдор позволяет атакующим скрытно подгружать плагины для кражи данных или удаленного управления зараженными устройствами.
ShadowRelay сам пытается обнаружить песочницы (изолированные виртуальные среды) и дебаггеры – инструменты для анализа вредоносных программ и уязвимостей в коде. В случае обнаружения таких сред или инструментов вредонос самоликвидируется. При успешном заражении бэкдор использует несколько функций сокрытия себя в системе – например, инъекцию себя в другие процессы и переиспользование портов. Все это говорит о высоком уровне подготовки атакующих, которые планировали как можно дольше присутствовать в атакованной инфраструктуре.
Эксперты Solar 4RAYS в своем блоге опубликовали индикаторы обнаружения бэкдора, а также правило детектирования общения между шпионскими имплантами.