4BID расширяет атаки: ProxyShell, RAT и новые вымогатели
Расследование деятельности хакерской группы 4BID вскрыло тревожную тенденцию: серия взаимосвязанных киберкампаний демонстрирует отчетливый сдвиг в географической направленности. Если раньше целью были преимущественно организации в России и Беларуси, то теперь злоумышленники активно атакуют цели далеко за этими пределами. Под прицелом оказались структуры в Казахстане, Объединенных Арабских Эмиратах, Сирии и Египте. Такой размах указывает на осознанную эволюцию стратегии группы, нацеленную на извлечение максимальной прибыли с более широкого пула международных жертв.
Первоначальный доступ и конспиративное управление
Основным вектором проникновения в сеть служила хорошо известная уязвимость ProxyShell на серверах Microsoft Exchange. После успешной эксплуатации атакующие развертывали сложный инструментарий, центральным элементом которого являлся веб-шелл fd.aspx. Этот компонент обеспечивал скрытное удаленное управление и двунаправленную передачу файлов, а доступ к нему контролировался через проверку параметра AUTH_KEY. Для выполнения команд приоритетно использовался PowerShell, однако в средах с ограничениями он бесшовно заменялся на cmd.exe. Передача данных осуществлялась в кодировке Base64 по протоколу HTTP, что позволяло как загружать новые вредоносные модули, так и скрытно эксфильтровать конфиденциальную информацию.
Ставка на легитимные инструменты
Для закрепления в инфраструктуре жертвы группа полагалась на собственный набор скриптов, которые упрощали развертывание легитимного софта для удаленного доступа. Инструменты AnyDesk и Panorama9 тщательно маскировались под стандартные системные компоненты, чтобы избежать обнаружения. Эти же скрипты формировали детальные отчеты о скомпрометированных машинах и отправляли их на подконтрольные злоумышленникам командно-контрольные серверы (C2).
Арсенал вредоносного ПО
В ходе расследования был идентифицирован целый зверинец образцов, включая троян удаленного доступа и кастомный шифровальщик.
- BlackReaperRAT — многофункциональный троян для скрытого контроля над системой.
- ClearWater — вымогатель, выделяющийся несколькими техническими особенностями. Его ключевая характеристика — незашифрованный основной публичный ключ RSA. Данные жертв шифруются с использованием комбинации алгоритмов RSA-2048 и ChaCha20, а зашифрованные файлы получают уникальное расширение .clear. Для предотвращения восстановления данных ClearWater удаляет теневые копии и вносит изменения в ключи реестра Windows, что гарантирует его автозапуск и демонстрацию записки с требованиями выкупа.
- BlackSalt и Havoc — продвинутые инструменты, предоставляющие расширенные возможности для выполнения команд, манипуляций с файловой системой и организации удаленного доступа к скомпрометированной среде.
Агрессивная эскалация: убийцы EDR
Злоумышленники применяли эскалирующие тактики, активно развертывая так называемые «убийцы EDR» — вредоносные утилиты, предназначенные для принудительного завершения процессов защитного программного обеспечения. В основе этих атак лежали различные вариации техники BYOVD (Bring Your Own Vulnerable Driver). Ключевыми инструментами выступали образцы с именами kil.exe и ghostdriver.exe, целенаправленно отключавшие средства мониторинга безопасности.
Новое поколение вымогателей: Blackout Locker
Особого внимания заслуживает недавно обновленный вариант вымогательского ПО Blackout Locker. В отличие от классических шифровальщиков, этот образец объединяет традиционное шифрование файлов с функцией блокировки экрана, что полностью парализует работу оператора до выполнения требований атакующих.
Эволюционирующий ландшафт угроз
Географическое расширение активности группы 4BID, охватившее цели в Казахстане, ОАЭ, Сирии и Египте, наглядно иллюстрирует смену стратегии. На фоне ранее проводимых атак на российские организации этот сдвиг указывает на стремление к захвату более прибыльных целей в широком международном масштабе. Разнообразие и сложность применяемых инструментов и тактик подтверждают, что злоумышленники постоянно совершенствуют свой арсенал. Текущая ситуация характеризуется высокой скрытностью атак и требует от служб безопасности всех затронутых секторов непрерывного мониторинга, актуализации разведданных об угрозах и внедрения проактивных мер защиты.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



