По мнению ГК «Солар», GoblinRAT может иметь одно из следующих происхождений: операцией известной прогосударственной группировки, кардинально обновившей свои инструменты и тактики; свидетельством существования новой прогударственной группировки или профессиональных наемников; делом рук мотивированного и крайне профессионального взломщика-одиночки».

Статистики хакерских атак на российские организацииПо данным ГК «Солар», в 2023 г. на государственные организации пришлось 77% атак, на промышленность - 11%, на телекоммуникации - 9%, 3% - на финансовый сектор. В 2024 г. на государственный сектор пришлось 35% атак, на промышленность - 17%, на телекоммуникации - 8%, на облачных провайдеров и Ит-разработку - по 6%, на финансовый сектор - 5%, на медицину и общественные организации - по 4%.В 2023 г. основной целью атакующих был активизм и уничтожение данных - 45%. 37% пришлось на шпионаж, 18% - на уничтожение данных. В 2024 г. шпионаж вышел на первое место - на него пришлось 54%. На втором месте находятся финансы - 20%, на уничтожение данных и активизм пришлось по 11%.

Обнаружение вредоносного ПО GoblinRAT

В четырех российских госорганизациях обнаружено вредоносное ПО GoblinRAT.
ПО маскируется под легитимное ПО и похищает конфиденциальную информацию.
Создателями могут быть прогосударственные хакеры.

Сложность обнаружения

Атакующие используют легитимное ПО, что затрудняет обнаружение.
Обнаружены подозрительные действия, такие как запись в переменную А и отключение логирования.
Вредоносное ПО маскируется под процесс легитимного приложения.

Особенности GoblinRAT

ПО самоуничтожается и перезаписывает файлы для затруднения расследования. Использует технику Port knocking для шпионажа в сегментах с ограниченным доступом.
Передаваемые данные шифруются, а для входа в межсетевые экраны используются сетевые туннели. Атрибуция атаки Созданы индикаторы компрометации, ПО обнаружено в трех других организациях. Злоумышленники имели полный контроль над инфраструктурой в течение трех лет.

Происхождение ПО остается неизвестным, но оно может быть связано с прогосударственными группировками.

Статистика хакерских атак

В 2023 году на государственные организации пришлось 77% атак.
В 2024 году на государственный сектор пришлось 35% атак.
Основной целью атак в 2023 году был активизм и уничтожение данных, в 2024 году — шпионаж.

Группировки, атакующие Россию

После начала СВО российские организации подвергаются атакам из Украины.
Проукраинские группировки проводят целевые атаки и массово эксплуатируют уязвимости.
В 2024 году 70% атак пришлись на проукраинские группировки.
Также чувствуется влияние группировки Obstinate Mogwai из Юго-Восточной Азии.

Игорь Королев C news