Специалисты Solar 4RAYS ГК «Солар» обнаружили уникальную малварь GoblinRAT в сетях нескольких российских ведомств и ИТ-компаний, которые обслуживают госсектор. С помощью GoblinRAT злоумышленники смогли получить полный контроль над инфраструктурой жертв. Самые ранние следы заражения датируются 2020 годом, и эксперты пишут, что на сегодня это одна из самых сложных и скрытных атак, с которыми им доводилось сталкиваться.
Впервые GoblinRAT был замечен в 2023 году при расследовании инцидента в неназванной ИТ-компании, предоставляющей услуги преимущественно органам власти. Штатные ИБ-специалисты организации обратили внимание на факты удаления системных журналов на одном из серверов, а также обнаружили дамп хешей пользователей с контроллера домена. Дамп был выполнен при помощи утилиты impacket-secretsdump, запущенной на Linux-хосте домена.
Эти подозрительные события побудили сотрудников инициировать расследование и привлечь к этому специалистов «Солара».
Эксперты рассказывают, что только после продолжительных поисков им удалось обнаружить вредоносный код, который маскировался под процесс легитимного приложения. Дело в том, что большая часть функциональности GoblinRAT решает единственную задачу – скрывать присутствие малвари в системе.
Параметры вредоносного процесса ничем не выделялись, а запускавший его файл отличался от легитимного всего одной буквой в названии. Заметить такую деталь можно только при ручном анализе тысяч мегабайт данных. Исследователи полагают, что злоумышленники рассчитывали, что никто не будет делать такую кропотливую работу, и они останутся незамеченными.
Дальнейший анализ показал, что у GoblinRAT нет функций автоматического закрепления в системе: всякий раз злоумышленники сначала тщательно изучали особенности целевой инфраструктуры (используемое ПО и так далее) и лишь потом внедряли вредонос под уникальной маскировкой — обязательно под личиной одного из приложений, работающих на конкретной атакуемой системе. Это явно указывает на таргетированный характер атаки.
Исследователи перечисляют следующие особенности GoblinRAT, которые затрудняют его обнаружение:
- малварь самоуничтожается спустя определенное время, если оператор не подключается к ней и не сообщает специальный код;
- удаляя себя, вредонос несколько раз перезаписывает содержимое своих файлов на жестком диске случайными символами, чтобы максимально усложнить возможное расследование;
- GoblinRAT маскируется под уже имеющийся на зараженной машине процесс, изменяя его название и аргументы командной строки (в некоторых случаях он работал внутри легитимного приложения);
- злоумышленники применяют технику Port knocking («стук по портам») в серверной версии GoblinRAT, что позволяет им шпионить даже в сегментах инфраструктуры с жестко ограниченным доступом в интернет;
- передаваемые данные в рамках соединения с сервером управления малвари шифруются;
- для обхода ограничений межсетевых экранов используется построение сетевых туннелей.
Также отмечается, что в качестве управляющих серверов злоумышленники использовали легитимные взломанные сайты (например, сайт онлайн-ритейлера), что позволяло им маскировать вредоносный трафик.
В конечном итоге GoblinRAT был обнаружен в четырех неназванных организациях, и в каждой из них атакующие смогли получить полный контроль над целевой инфраструктурой: они имели удаленный доступ с правами администратора ко всем сегментам сети. При этом установить источник заражений не удалось.
Эксперты нашли свидетельства, указывающие, что как минимум в одной из атакованных инфраструктур злоумышленники имели такой доступ в течение трех лет, а самая «непродолжительная» атака операторов GoblinRAT длилась около шести месяцев.
«Благодаря обнаруженным артефактам мы смогли проследить историю развития GoblinRAT с 2020 года, однако нам не удалось обнаружить широкого распространения вредоноса. Более того, наши коллеги из других ИБ-компаний с глобальными сетями сенсоров не обнаружили ничего похожего в своих коллекциях. Ключевым вопросом остается атрибуция атаки: артефактов, указывающих на происхождение ВПО, не обнаружено. Подобных инструментов не демонстрировали ни азиатские, ни восточно-европейские группировки, ни группировки из других регионов. Очевидно только, что для создания и использования GoblinRAT злоумышленники должны обладать очень высоким уровнем профессионализма и быть хорошо замотивированными. Те атаки, что мы расследовали, требовали тщательной предварительной подготовки и большого количества “ручной” работы», — комментирует инженер группы расследования инцидентов центра исследования киберугроз Solar 4RAYS Константин Жигалов.
Пока неясно, какая хак-группа могла стоять за атаками GoblinRAT. Исследователи признают, что ни они сами, ни их коллеги по ИБ-индустрии, с которыми они поделились информацией о малвари, не обнаружили каких-либо артефактов, указывающих на ее происхождение.
«По совокупности признаков можно сказать, что пока это самая сложная целевая атака из тех, что нам доводилось расследовать. Для ее реализации необходимы высокий уровень знаний устройства Linux-систем и сетевых коммуникаций, а кроме того, – большое количество времени для проведения самой атаки. Сам по себе GoblinRAT не является особенно сложным ВПО. В отличие от многих аналогов, он не приспособлен для автоматического закрепления и других действий по продвижению в атакованных инфраструктурах. Атаки, в которых был задействован GoblinRAT, велись вручную, а большая часть его функциональности направлена на то, чтобы помочь атакующим скрывать их присутствие в системах как можно дольше, — резюмируют специалисты. — Основываясь на имеющихся данных, мы можем предположить, что операторов GoblinRAT интересует конфиденциальная информация, хранящаяся на серверах государственных органов и их подрядчиков (в том числе в сегментах сети с ограниченным доступом в интернет)».
В настоящее время сообщается, что GoblinRAT может быть либо операцией одной из известных прогосударственных группировок кардинально обновивших свои инструментарий и тактики, либо – свидетельством существования новой группировки (прогосударственной или профессиональных наемников), либо – делом рук мотивированного и крайне профессионального взломщика-одиночки.
