Специалисты центра исследования киберугроз Solar 4RAYS выявили ранее неизвестный модульный бэкдор под названием ShadowRelay, который был обнаружен в инфраструктуре одной из организаций государственного сектора. Анализ показал, что вредоносное ПО способно скрытно работать в сети и подгружать дополнительные модули для расширения функциональности, что указывает на высокую подготовку атакующих .
ShadowRelay был найден на скомпрометированном сервере электронной почты, где он действовал наряду с другими вредоносными компонентами, включая ShadowPad-Light и другие импланты, уже присутствовавшие в системе. Бэкдор не содержит своей функциональности для прямого шпионажа, но его архитектура позволяет подгружать плагины, которые могут реализовывать любые задачи по управлению и сбору данных.
Технически ShadowRelay обладает средствами для скрытого присутствия в системе, включая инъекции в процессы и фильтрацию сетевого трафика таким образом, чтобы усложнить его обнаружение. Некоторые конфигурации вредоноса даже поддерживают обмен данными через заражённые узлы внутри корпоративной сети, что позволяет обходить защиту и расширяет зону воздействия угрозы.
По мнению экспертов, такие механизмы характерны для атак с длительным скрытым присутствием, когда злоумышленники стремятся остаться в инфраструктуре как можно дольше, изучать сеть жертвы и собирать конфиденциальные данные.
Аналитики подчеркивают, что обнаружение таких угроз требует комплексного подхода к мониторингу и реагированию, особенно в госсекторе и критически важной инфраструктуре, где последствия компрометации могут быть особенно серьёзными.
Источник
ShadowRelay был найден на скомпрометированном сервере электронной почты, где он действовал наряду с другими вредоносными компонентами, включая ShadowPad-Light и другие импланты, уже присутствовавшие в системе. Бэкдор не содержит своей функциональности для прямого шпионажа, но его архитектура позволяет подгружать плагины, которые могут реализовывать любые задачи по управлению и сбору данных.
Технически ShadowRelay обладает средствами для скрытого присутствия в системе, включая инъекции в процессы и фильтрацию сетевого трафика таким образом, чтобы усложнить его обнаружение. Некоторые конфигурации вредоноса даже поддерживают обмен данными через заражённые узлы внутри корпоративной сети, что позволяет обходить защиту и расширяет зону воздействия угрозы.
По мнению экспертов, такие механизмы характерны для атак с длительным скрытым присутствием, когда злоумышленники стремятся остаться в инфраструктуре как можно дольше, изучать сеть жертвы и собирать конфиденциальные данные.
Аналитики подчеркивают, что обнаружение таких угроз требует комплексного подхода к мониторингу и реагированию, особенно в госсекторе и критически важной инфраструктуре, где последствия компрометации могут быть особенно серьёзными.
Источник
