{
	"id": "5cfd3550-ef33-47b1-b324-41c358bc2865",
	"created_at": "2026-04-06T01:30:29.583017Z",
	"updated_at": "2026-04-10T13:12:13.765134Z",
	"deleted_at": null,
	"sha1_hash": "5f99ba31a48a975613765c89cef7bf989676ecbc",
	"title": "Исследование целевых атак на российские НИИ",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 820417,
	"plain_text": "Исследование целевых атак на российские НИИ\r\nPublished: 2021-04-02 · Archived: 2026-04-06 00:32:41 UTC\r\nСкачать в PDF\r\n2 апреля 2021 года\r\nВведение\r\nВ конце сентября 2020 года в вирусную лабораторию «Доктор Веб» за помощью обратился один из российских\r\nнаучно-исследовательских институтов. Сотрудники НИИ обратили внимание на ряд технических проблем, которые\r\nмогли свидетельствовать о наличии вредоносного ПО на одном из серверов локальной сети. В ходе расследования\r\nвирусные аналитики установили, что на НИИ была осуществлена целевая атака с использованием\r\nспециализированных бэкдоров. Изучение деталей инцидента показало, что сеть предприятия была\r\nскомпрометирована задолго до обращения к нам и, судя по имеющимся у нас данным, — не одной APT-группой.\r\nПолученные в ходе расследования данные говорят о том, что первая APT-группа скомпрометировала внутреннюю\r\nсеть института осенью 2017 года. Первичное заражение осуществлялось с помощью BackDoor.Farfli.130 —\r\nмодификации бэкдора, также известного как Gh0st RAT. Позднее, весной 2019 года в сети был установлен\r\nTrojan.Mirage.12, а в июне 2020 — BackDoor.Siggen2.3268.\r\nВторая хакерская группировка скомпрометировала сеть института не позднее апреля 2019, в этот раз заражение\r\nначалось с установки бэкдора BackDoor.Skeye.1. В процессе работы мы также выяснили, что примерно в то же\r\nвремя — в мае 2019 года — Skeye был установлен в локальной сети другого российского НИИ.\r\nТем временем в июне 2019 года компания FireEye опубликовала отчет о целевой атаке на государственный сектор\r\nряда стран центральной Азии с использованием этого бэкдора. Позднее, в период с августа по сентябрь 2020 года\r\nвирусные аналитики «Доктор Веб» зафиксировали установку различных троянов этой группой в сети предприятия,\r\nвключая ранее не встречавшийся DNS-бэкдор BackDoor.DNSep.1, а также хорошо известный BackDoor.PlugX.\r\nБолее того, в декабре 2017 года на серверы обратившегося к нам НИИ был установлен BackDoor.RemShell.24.\r\nПредставители этого семейства ранее были описаны специалистами Positive Technologies в исследовании Operation\r\nTaskmasters. При этом мы не располагаем такими данными, которые позволили бы однозначно определить, какая из\r\nдвух APT-групп использовала этот бэкдор.\r\nКто стоит за атаками?\r\nДеятельность первой APT-группы не позволяет нам однозначно идентифицировать атаковавших как одну из ранее\r\nописанных хакерских группировок. При этом анализ используемых вредоносных программ и инфраструктуры\r\nпоказал, что эта группа активна как минимум с 2015 года.\r\nhttps://news.drweb.ru/show/?i=14177\r\nPage 1 of 11\n\nВторой APT-группой, атаковавшей НИИ, по нашему мнению является TA428, ранее описанная исследователями\r\nкомпании Proofpoint в материале Operation Lag Time IT. В пользу этого вывода говорят следующие факты:\r\n1. в коде бэкдоров BackDoor.DNSep и BackDoor.Cotx имеются явные пересечения и заимствования;\r\n2. BackDoor.Skeye.1 и Trojan.Loader.661 использовались в рамках одной атаки, при этом последний является\r\nизвестным инструментом TA428;\r\n3. бэкдоры, проанализированные нами в рамках этих атак, имеют пересечения в адресах управляющих серверов\r\nи сетевой инфраструктуре с бэкдорами, используемыми группировкой TA428.\r\nТеперь подробнее рассмотрим выявленные связи. На графе приведена часть задействованной в атаке\r\nинфраструктуры с пересечениями бэкдоров Skeye и другим известным APT-бэкдором — PoisonIvy:\r\nНа этом графе изображены пересечения в инфраструктуре бэкдоров Skeye и Cotx:\r\nhttps://news.drweb.ru/show/?i=14177\r\nPage 2 of 11\n\nДетальный анализ бэкдора DNSep и его последующее сравнение с кодом бэкдора Cotx выявили сходство как в\r\nобщей логике обработки команд от управляющего сервера, так и в конкретных реализациях отдельных команд.\r\nДругой интересной находкой этого исследования стал бэкдор Logtu, один из его образцов мы ранее описывали в\r\nрамках расследования инцидента в Киргизии. Адрес его управляющего сервера совпал с адресом сервера бэкдора\r\nSkeye — atob[.]kommesantor[.]com. В связи с этим мы также провели сравнительный анализ BackDoor.Skeye.1 с\r\nобразцами BackDoor.Logtu.1 и BackDoor.Mikroceen.11.\r\nПодробные технические описания обнаруженных вредоносных программ находятся в PDF-версии исследования и в\r\nвирусной библиотеке Dr.Web.\r\nСравнительный анализ кода BackDoor.DNSep.1 и BackDoor.Cotx.1\r\nНесмотря на то, что каналы связи с управляющим сервером у Cotx и DNSep кардинально различаются, нам удалось\r\nнайти интересные совпадения в коде обоих бэкдоров.\r\nФункция, отвечающая за обработку команд от управляющего сервера, принимает аргументом структуру:\r\nstruct st_arg\r\n{\r\n _BYTE cmd;\r\nhttps://news.drweb.ru/show/?i=14177\r\nPage 3 of 11\n\nst_string arg;\r\n};\r\nПри этом, если нужная функция принимает несколько аргументов, то они все записаны в поле arg с разделителем |.\r\nНабор команд BackDoor.Cotx.1 обширнее, чем у BackDoor.DNSep.1, и включает все команды, которые есть у\r\nпоследнего.\r\nВ таблице ниже видно почти полное совпадение кода некоторых функций бэкдоров. При этом следует учитывать, в\r\nCotx используется кодировка Unicode, а в DNSep — ANSI.\r\nBackDoor.DNSep.1 BackDoor.Cotx.1\r\nОбработчик команды на отправку листинга каталога или информации о диске\r\nФункция получения информации о дисках\r\nФункция перечисления файлов в папке\r\nhttps://news.drweb.ru/show/?i=14177\r\nPage 4 of 11\n\nФункция сбора информации о файлах в папке\r\nПолученные в результате анализа данные позволяют предположить, что при создании бэкдора DNSep его автор\r\nимел доступ к исходным кодам Cotx. Поскольку эти ресурсы не являются общедоступными, мы предполагаем, что\r\nавтор или группа авторов DNSep имеет отношение к группировке TA428. В пользу этой версии говорит и тот факт,\r\nчто образец DNSep был найден в скомпрометированной сети пострадавшей организации вместе с другими\r\nизвестными бэкдорами TA428.\r\nСравнительный анализ кода бэкдоров Skeye, Mikroceen, Logtu\r\nВ процессе исследования бэкдора Skeye мы обнаружили, что адрес его управляющего сервера также используется\r\nбэкдором семейства Logtu. Для сравнительного анализа мы использовали ранее описанные нами образцы\r\nBackDoor.Logtu.1 и BackDoor.Mikroceen.11.\r\nhttps://news.drweb.ru/show/?i=14177\r\nPage 5 of 11\n\nФункции логирования\r\nЛогирование во всех случаях так или иначе обфусцировано.\r\nBackDoor.Mikroceen.11 — сообщения в формате %d-%d-%d %d:%d:%d \u003cmsg\u003e\\r\\n записываются в файл\r\n%TEMP%\\WZ9Jan10.TMP, где \u003cmsg\u003e — случайная текстовая строка. В образце\r\n2f80f51188dc9aea697868864d88925d64c26abc сообщения записываются в файл 7B296FB0.CAB;\r\nBackDoor.Logtu.1 — сообщения в формате [%d-%02d-%02d %02d:%02d:%02d] \u003crec_id\u003e\r\n\u003cerror_code\u003e\\n\u003copt_message\u003e\\n\\n перед записью в файл %TEMP%\\rar\u003crnd\u003e.tmp шифруются операцией XOR с\r\nключом 0x31;\r\nBackDoor.Skeye.1 — сообщения в формате %4d/%02d/%02d %02d:%02d:%02d\\t\u003crec_id\u003e\\t\u003cerror_code\u003e\\n\r\nзаписываются в файл %TEMP%\\wcrypt32.dll.\r\nОбщая логика последовательности записи сообщений в журнал также схожа у всех трех образцов:\r\nначало исполнения фиксируется;\r\nв Logtu и Mikroceen в журнал записывается прямое подключение к управляющему серверу;\r\nв каждом случае указывается, через какой прокси выполнено подключение к серверу;\r\nв случае ошибки на этапе получения прокси из того или иного источника в журнале фиксируется отдельная\r\nзапись.\r\nСледует заметить, что настолько подробное и при этом обфусцированное логирование встречается крайне редко.\r\nОбфускация заключается в том, что в журнал записываются некоторые коды сообщений и в ряде случаев\r\nдополнительные данные. Кроме того, в данном случае прослеживается общая схема последовательности записи\r\nсобытий:\r\nначало исполнения;\r\nпопытка подключения напрямую;\r\nполучение адресов прокси;\r\nзапись о подключении через тот или иной сервер.\r\nПоиск прокси-сервера\r\nПоследовательность соединения с управляющим сервером также выглядит похожей у всех 3 образцов.\r\nПервоначально каждый бэкдор пытается подключиться к серверу напрямую, а в случае неудачи может использовать\r\nпрокси-серверы, адреса которых находятся из трех источников помимо встроенного.\r\nПолучение адресов прокси-серверов BackDoor.Mikroceen.11:\r\nиз файла %WINDIR%\\debug\\netlogon.cfg;\r\nиз собственного лог-файла;\r\nпутем поиска соединений с удаленными хостами через порты 80, 8080, 3128, 9080 в TCP-таблице.\r\nhttps://news.drweb.ru/show/?i=14177\r\nPage 6 of 11\n\nПоиск прокси в своем лог-файле:\r\nПоиск в активных соединениях:\r\nПолучение адресов прокси-серверов BackDoor.Logtu.1:\r\nиз реестра HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\ProxyServer;\r\nиз раздела HKU реестра по SID активного пользователя;\r\nс помощью WinHTTP API WinHttpGetProxyForUrl путем запроса к google.com.\r\nhttps://news.drweb.ru/show/?i=14177\r\nPage 7 of 11\n\nПолучение адресов прокси-серверов BackDoor.Skeye.1:\r\nиз раздела HKCU Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\ProxyServer;\r\nиз раздела HKU по SID активного пользователя;\r\nпутем поиска соединений с удаленными хостами через порты 80, 8080, 3128, 9080 в TCP-таблице.\r\nПересечения в сетевой инфраструктуре\r\nНекоторые образцы совместно использовали одну и ту же сетевую инфраструктуру. Фрагмент графа наглядно\r\nпоказывает взаимосвязь между семействами.\r\nhttps://news.drweb.ru/show/?i=14177\r\nPage 8 of 11\n\nИдентификаторы\r\nВ образцах Logtu и Mikroceen присутствуют строки, которые используются в качестве идентификаторов сборок\r\nили версий. Формат некоторых из них совпадает.\r\nBackDoor.Mikroceen.11 BackDoor.Logtu.1\r\nSHA1 Id SHA1 id\r\nce21f798119dbcb7a63f8cdf070545abb09f25ba intl0113 029735cb604ddcb9ce85de92a6096d366bd38a24 intpz02\r\n0eb2136c5ff7a92706bc9207da32dd85691eeed5 hisa5.si4 7b652e352a6d2a511f226e4d0cc22f093e052ad8 retail2\r\n2f80f51188dc9aea697868864d88925d64c26abc josa5w5n 1c5e5fd53fc2ee778342a5cae3ac2eb0ac345ed7 retail\r\n2e50c075343ab20228a8c0c094722bbff71c4a2a enc0225 00ddcc200d1031b8639026532c0087bfcc4520c9 716dem\r\n3bd16f11b5b3965a124a6fc3286297e5cfe77715 520299 b599797746ae8ccf7907cf88de232faa30ec95e6 gas-zh\r\n5eecdf63e85833e712a1ff88df1341bbf32f4ab8 Strive 2d672d7818a56029b337e8792935195d53576a9d jjlk\r\nbd308f4d1a32096a3b90cfdae45bbc5c13e5e801 R0916\r\nb1be4b2f874c8309f553acce90287c8c6bb2b6b1 frsl.1ply\r\n21ffd24b8074d7cffdf4cc339d1fa8fe892eba27 Wdv\r\n8fbec09e646311a285aee06b3dd45ccf58928703 intz726\r\n19921cc47b3de003186e65fd12b82235030f060d 122764\r\n0f70251abc8c64cbc7b24995c3d32927514d0a4b V20180224\r\n149947544ca4f7baa5bc3d00b080d0e943d8036b SOE\r\ne7f5a33b33e023a82ac9eee6ed40e4a38ce95277 int815\r\nhttps://news.drweb.ru/show/?i=14177\r\nPage 9 of 11\n\nb4790eec7daa9f931bed43a53f66168b477599a7 UOE\r\nab660a3ac46d563c756463bd1b64cc45f347a1f7 B.Z11NOV20D\r\nd0181759a175fbcc60975983b351f88970f484f9 299520\r\n7a63fc9db2bc1e9b1ef793723d5877e6b4c566b8 WinVideo\r\n13779006d0dafbe4b27bd282230df299eef2b8dc SSLSSL\r\nf53c77695a162c78c68f693f57f65752d17f6030 int007server\r\n924341cab6106ef993b506193e6786e459936069 intl1211\r\n8ebf78c84cd7f66ca8708467a28d83658bcf6710 intl821\r\nf2856d7d138430e164f83662e251ee311950d83c intl821\r\nКроме того, в значительном числе образцов данный идентификатор равен значению TEST или test.\r\nПример в BackDoor.Logtu.1 (9ea2488f07bf3edda23d9b7759c2d0c3c8501f92):\r\nПример в BackDoor.Mirkoceen.11 (81bb895a833594013bc74b429fb1f24f9ec9df26):\r\nТаким образом, сравнительный анализ выявил у рассмотренных семейств сходства в:\r\nлогике ведения журнала событий и его обфускации;\r\nлогике подключения к управляющему серверу и алгоритмах поиска адресов прокси;\r\nиспользуемой сетевой инфраструктуре.\r\nЗаключение\r\nВ ходе расследования атак на российские НИИ наши вирусные аналитики нашли и описали несколько семейств\r\nцелевых бэкдоров, включая ранее неизвестные образцы. Следует отдельно отметить длительное скрытое\r\nфункционирование вредоносных программ в скомпрометированной сети пострадавшей организации —\r\nнесанкционированное присутствие первой APT-группы оставалось незамеченным с 2017 года.\r\nХарактерной особенностью является наличие пересечений в коде и сетевой инфраструктуре проанализированных\r\nобразцов. Мы допускаем, что выявленные связи указывают на принадлежность рассмотренных бэкдоров к одним и\r\nтем же хакерским группировкам.\r\nСпециалисты компании «Доктор Веб» рекомендуют производить регулярный контроль работоспособности важных\r\nсетевых ресурсов и своевременно обращать внимание на сбои, которые могут свидетельствовать о наличии в сети\r\nвредоносного ПО. Основная опасность целевых атак заключается не только в компрометации данных, но и в\r\nдлительном присутствии злоумышленников в корпоративной сети. Такой сценарий позволяет годами\r\nконтролировать работу организации и в нужный момент получать доступ к чувствительной информации. При\r\nhttps://news.drweb.ru/show/?i=14177\r\nPage 10 of 11\n\nподозрении на вредоносную активность в сети мы рекомендуем обращаться в вирусную лабораторию «Доктор Веб»,\r\nкоторая оказывает услуги по расследованию вирусозависимых компьютерных инцидентов. Оперативное принятие\r\nадекватных мер позволит сократить ущерб и предотвратить тяжелые последствия целевых атак.\r\nИндикаторы компрометации\r\nSource: https://news.drweb.ru/show/?i=14177\r\nhttps://news.drweb.ru/show/?i=14177\r\nPage 11 of 11",
	"extraction_quality": 1,
	"language": "RU",
	"sources": [
		"Malpedia"
	],
	"origins": [
		"web"
	],
	"references": [
		"https://news.drweb.ru/show/?i=14177"
	],
	"report_names": [
		"?i=14177"
	],
	"threat_actors": [
		{
			"id": "ed4c7e37-461f-40f1-ad43-6ad7e21b32bc",
			"created_at": "2022-10-25T16:07:24.303712Z",
			"updated_at": "2026-04-10T02:00:04.929134Z",
			"deleted_at": null,
			"main_name": "TaskMasters",
			"aliases": [],
			"source_name": "ETDA:TaskMasters",
			"tools": [
				"404-Input-shell web shell",
				"ASPXSpy",
				"ASPXTool",
				"AtNow",
				"DbxDump Utility",
				"HTran",
				"HUC Packet Transmit Tool",
				"Mimikatz",
				"NBTscan",
				"PortScan",
				"ProcDump",
				"PsExec",
				"PsList",
				"RemShell",
				"RemShell Downloader",
				"gsecdump",
				"jsp File browser",
				"nbtscan",
				"pwdump",
				"reGeorg"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "2f07a03f-eb1f-47c8-a8e9-a1a00f2ec253",
			"created_at": "2022-10-25T16:07:24.277669Z",
			"updated_at": "2026-04-10T02:00:04.919609Z",
			"deleted_at": null,
			"main_name": "TA428",
			"aliases": [
				"Operation LagTime IT",
				"Operation StealthyTrident",
				"ThunderCats"
			],
			"source_name": "ETDA:TA428",
			"tools": [
				"8.t Dropper",
				"8.t RTF exploit builder",
				"8t_dropper",
				"Agent.dhwf",
				"Albaniiutas",
				"BlueTraveller",
				"Chymine",
				"Cotx RAT",
				"CoughingDown",
				"Darkmoon",
				"Destroy RAT",
				"DestroyRAT",
				"Gen:Trojan.Heur.PT",
				"Kaba",
				"Korplug",
				"LuckyBack",
				"PhantomNet",
				"PlugX",
				"Poison Ivy",
				"RedDelta",
				"RoyalRoad",
				"SManager",
				"SPIVY",
				"Sogu",
				"TIGERPLUG",
				"TManger",
				"TVT",
				"Thoper",
				"Xamtrav",
				"pivy",
				"poisonivy"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "4ae78ca3-8bc8-4d67-9df1-a85df250a8a0",
			"created_at": "2024-10-08T02:00:04.469211Z",
			"updated_at": "2026-04-10T02:00:03.726781Z",
			"deleted_at": null,
			"main_name": "TaskMasters",
			"aliases": [
				"BlueTraveller"
			],
			"source_name": "MISPGALAXY:TaskMasters",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "3c7097f4-849b-4bc0-a7e6-ba2b510722b6",
			"created_at": "2022-10-25T16:07:23.869951Z",
			"updated_at": "2026-04-10T02:00:04.766204Z",
			"deleted_at": null,
			"main_name": "Mikroceen",
			"aliases": [
				"SixLittleMonkeys"
			],
			"source_name": "ETDA:Mikroceen",
			"tools": [
				"AngryRebel",
				"Farfli",
				"Gh0st RAT",
				"Ghost RAT",
				"Microcin",
				"Mikroceen",
				"Mimikatz",
				"Moudour",
				"Mydoor",
				"PCRat",
				"logon.dll",
				"logsupport.dll",
				"pcaudit.bat",
				"sqllauncher.dll"
			],
			"source_id": "ETDA",
			"reports": null
		},
		{
			"id": "20b5fa2f-2ef1-4e69-8275-25927a762f72",
			"created_at": "2025-08-07T02:03:24.573647Z",
			"updated_at": "2026-04-10T02:00:03.765721Z",
			"deleted_at": null,
			"main_name": "BRONZE DUDLEY",
			"aliases": [
				"TA428 ",
				"Temp.Hex ",
				"Vicious Panda "
			],
			"source_name": "Secureworks:BRONZE DUDLEY",
			"tools": [
				"NCCTrojan",
				"PhantomNet",
				"PoisonIvy",
				"Royal Road"
			],
			"source_id": "Secureworks",
			"reports": null
		},
		{
			"id": "a4aca3ca-9e04-42d1-b037-f7fb3fbab0b1",
			"created_at": "2023-01-06T13:46:39.042499Z",
			"updated_at": "2026-04-10T02:00:03.194713Z",
			"deleted_at": null,
			"main_name": "TA428",
			"aliases": [
				"BRONZE DUDLEY",
				"Colourful Panda"
			],
			"source_name": "MISPGALAXY:TA428",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		}
	],
	"ts_created_at": 1775439029,
	"ts_updated_at": 1775826733,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/5f99ba31a48a975613765c89cef7bf989676ecbc.pdf",
		"text": "https://archive.orkl.eu/5f99ba31a48a975613765c89cef7bf989676ecbc.txt",
		"img": "https://archive.orkl.eu/5f99ba31a48a975613765c89cef7bf989676ecbc.jpg"
	}
}