Хакерская группа NGC4141 атакует кастомные веб-приложения российских госорганизаций

NGC4141 восточноазиатская группировка атакует кастомные веб приложения По данным специалистов Solar 4RAYS хакерская группировка NGC4141 предположительно из Восточной Азии атаковала российскую организацию из госсектора с целью шпионажа Сервер был защищен АВПО и WAF которые в автоматическом режиме смогли замедлить продвижение атакующих но не остановить его Согласно результатам расследования атака началась еще в декабре 2024 года На протяжении нескольких дней хакеры интенсивно сканировали онлайн ресурс на предмет различных уязвимостей в определенные моменты нагрузка на систему измерялась тысячами запросов в час Еще спустя несколько недель злоумышленники перешли на ручное сканирование уязвимостей Найдя их они использовали незадокументированные возможности публичной платформы для работы с API чтобы внедрить на веб сервер сайта жертвы веб шеллы вредоносные скрипты для получения доступа к серверу и выполнению команд через веб интерфейс Так хакеры смогли внедрить вредоносное ПО и получить доступ к инфраструктуре организации Примечательно что веб приложение работало на кастомном движке написанном с нуля или модифицированном на основе популярных платформ и под него не было эксплойтов ВПО для эксплуатации уязвимостей в открытом доступе Такие веб приложения гораздо сложнее поддаются взлому чем онлайн ресурсы на Tilda WordPress и других платформах Сам веб сервер был защищен антивирусом и системой защиты от веб атак WAF Несмотря на это NGC4141 получили доступ к инфраструктуре жертвы что указывает на их высокую квалификацию Эксперты Solar 4RAYS отмечают что WAF и антивирус не смогли остановить продвижение атакующих однако замедлили их и сигнализировали о возможном проникновении Это говорит о необходимости комплексного подхода к внедрению средств защиты и ручного анализа аномальных ИБ событий высококвалифицированными экспертами Параллельно имена внутренних серверов атакованного ведомства которых нет в открытом доступе хакеры пытались использовать и в других атаках на госструктуры в надежде на совпадение Это может означать что хакеры могли обмениваться информацией со схожими группировками и нацелены совершать атаки на веб приложения других организаций из госсектора Хотя в атаке не использовались очень сложные техники и ВПО мы считаем что атакующие обладали высокой квалификацией Особенный интерес вызвали простые но эффективные веб шеллы которые позволили обойти защитные решения Также показалось интересным что данные веб шеллы не были кем то ранее описаны в связи с чем кажется что многие из них уникальные комментируют специалисты действия злоумышленников По нашему мнению атаки на кастомные веб приложения для получения доступа к внутренней сети представляют собой недооцененную угрозу для владельцев онлайн ресурсов Данный кейс показал что средства для автоматизированной защиты требуют дополнительного внимания и анализа событий так как само наличие технических средств защиты усложняет атаку но не делает её невозможной При разработке кастомных веб приложений мы рекомендуем держать в уме возможные риски проводить аудит кода веб приложения или даже полноценный пентест для оценки его устойчивости к кибератакам считает Иван Сюхин руководитель группы расследования инцидентов центра исследования Solar 4RAYS ГК Солар Russian OSINT

Восточноазиатская группа NGC4141 атакует кастомные веб приложения российских организаций Аналитики центра исследования киберугроз Solar 4RAYS группы компаний Солар обнаружили неизвестную ранее восточно азиатскую группировку которая с помощью публичных инструментов атаковала веб приложение неназванного федерального ведомства работавшее на кастомном движке По словам экспертов хакеры сумели проникнуть в инфраструктуру жертвы и выполнить команды в ОС сервера xakep ru 2025 10 08 ngc4141

Веб приложения на кастомных движках Привет недавно аналитики центра Solar 4RAYS раскрыли интересную историю восточно азиатская хакерская группировка NGC4141 атаковала веб приложение одного из российских федеральных ведомств которое работало на кастомном движке Это не типичный случай Атака началась еще в декабре 2024 года но только сейчас мы узнали подробности Сначала хакеры использовали публичные инструменты для сканирования уязвимостей на веб ресурсе Но как только они обнаружили что система защищена и не имеет открытых эксплойтов они переключились на ручное сканирование В результате этого они нашли уязвимости в API и внедрили веб шеллы что дало им возможность контролировать инфраструктуру ведомства Веб приложение работало на движке разработанном с нуля без использования популярных платформ таких как WordPress Такие системы сложнее взломать и как показывает этот случай даже с современными системами защиты например WAF и антивирусами злоумышленникам удалось найти лазейки P S Этот инцидент показывает как важно при разработке кастомных решений не забывать об аудите безопасности Ваша защита может быть несовершенной даже при наличии антивируса и WAF Регулярный пентест обязательная мера для таких систем WebSecurity NGC4141 Белый хакер