Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

Встречайте PT NAD 13.0 — систему, способную не только выявлять угрозы в сети, но и автоматически реагировать на них

Онлайн-запуск 4 июня

Три взлома. Одна дыра. Ноль патчей. История о том, почему халатность в IT-отделе работает лучше любого бэкдора

11382
Bitdefender FamousSparrow Microsoft Exchange Deed RAT TernDoor Азербайджан кибершпионаж
Три взлома. Одна дыра. Ноль патчей. История о том, почему халатность в IT-отделе работает лучше любого бэкдора
Bitdefender FamousSparrow Microsoft Exchange Deed RAT TernDoor Азербайджан кибершпионаж

Хакеры два месяца возвращались в сеть нефтяной компании через незакрытый сервер — и каждый раз их пускали.

image

Хакерская группировка, связанная с Китаем, несколько раз возвращалась в сеть азербайджанской нефтегазовой компании через один и тот же уязвимый Microsoft Exchange Server. Атака растянулась почти на два месяца и показала, как быстро кибершпионаж подстраивается под защитные меры, если входная точка остаётся доступной.

Bitdefender связала кампанию с FamousSparrow, также известной как UAT-9244. По оценке компании, тактика злоумышленников частично пересекается с активностью Earth Estries и Salt Typhoon. Целью стала неназванная энергетическая компания из Азербайджана, а атаки проходили с конца декабря 2025 года до конца февраля 2026 года.

По данным Bitdefender, злоумышленники использовали цепочку ProxyNotShell для первичного доступа к Microsoft Exchange Server. После проникновения операторы пытались закрепиться в сети с помощью веб-шеллов, а затем разворачивали вредоносные инструменты. В первой волне, 25 декабря 2025 года, применялся Deed RAT, также известный как Snappybee. Этот бэкдор считают преемником ShadowPad, который используют несколько групп кибершпионажа, связанных с Китаем.

Для запуска Deed RAT атакующие применили усложнённую технику DLL Side-loading. Вместо простой подмены файла использовался легитимный компонент LogMeIn Hamachi, который загружал вредоносную библиотеку. В ней были изменены две экспортируемые функции, из-за чего запуск основного модуля проходил через обычную логику работы приложения. Такой подход помогал обходить защитные механизмы.

Вторая волна началась примерно через месяц после первого взлома. На этот раз злоумышленники попытались внедрить TernDoor через Mofu Loader. Этот загрузчик ранее связывали с GroundPeony. TernDoor недавно обнаружили в атаках на телекоммуникационную инфраструктуру Южной Америки, которые велись с 2024 года. Попытка в азербайджанской сети, по данным Bitdefender, не увенчалась успехом.

К концу февраля группа снова вернулась к Deed RAT, но уже в изменённой версии. Для связи с управляющей инфраструктурой образец использовал домен «sentinelonepro[.]com». Авторы отчёта считают, что повторные атаки указывают не на разовый инцидент, а на устойчивую операцию с попытками восстановить доступ, расширить присутствие внутри сети и подготовить запасные точки входа.