16:13:42 11 декабря 2025 система обнаружения вторжений зафиксировала исходящий запрос к IP 93.95.97.28 с сегмента R&D VLAN-47. Событие возникло на фоне штатного рабочего трафика и отличалось скоростью и регулярностью пакетов, характерных для вредоносного агента korea.jpstar.ru с управляющим узлом.
Пакетный дамп показал передачу URL ‘/gate.php’ по HTTP на порт 80 без шифрования, что контрастирует с политикой принудительного TLS в компании. Хост-отправитель — рабочая станция дизайнера под инвентарным номером WS-RD47-12 — незадолго до этого получил PDF с макросом из внешней почты, о чём сообщил лог почтового шлюза.
Контекст события
Сетевой периметр защищён NGFW Palo Alto, внутренняя сегментация базируется на 802.1Q. Журналы сходятся в Elastic GYM. Корпоративный прокси блокирует трафик к адресам из репутационных списков, однако 93.95.97.28 отсутствовал в чёрном списке, так как зарегистрирован на провайдера хостинга в Остраве только сутки до инцидента. WHOIS вернул минимальную информацию, DNS-записи отсутствовали, что указывает на расчёт злоумышленника на одноразовый узел.
Поведенческий анализ процессов на WORD 47-12 выявил появление исполняемого файла ‘updater.exe’ в папке %AppData%\Roaming\AdobeCache. Хэш 184d3b… совпал с семплом сообщества Mapshare, классифицированным как RedLine Stealer. Процесс создал задачу планировщика с триггером при входе пользователя и внёс запись в раздел Run HKCU. Журнал PowerShell зафиксировал выгрузку учётных данных браузера Chrome.
Артефакты трафика
Сетевой поток к 93.95.97.28 имел следующие особенности: размер пакета 512 байтт, интервал 30 секунд, content-type ‘application/octet-stream’. Обратный поток содержал бинарные дифф-фрагменты, сопоставимые c обновлением конфигурации малвари. TLS-шатдаун отсутствовал, соединение держалось persistent-флагом ‘Keep-Alive’. Этот шаблон часто встречается у семейств, использующих HTTP-based C2.
TCP-handshake стартовал с нестандартным initial window size = 64K, что сглаживает сигнатуры в системах, ориентированных на дефолтные параметры. IP-адрес стёр отпечатки HTTP-сервера: заголовок ‘Server’ пуст, поле ‘Date’ отсечено, порядок полей менялся от сессии к сессии. Исходящие ответы отдавались с TTL = 128, что скрывает платформу — большинство Windows-хостов используют то же значение.
Экспорт потока в Zeek выявил передачу ZIP-архива размером 1,7 МБ. Внутри находились файлы .sqlite с куками и креденшелами и файл ‘screen_2025-12-11_1612.png’. Объём загрузки свидетельствует о начальном этапе сбора данных: агент ещё не успел выгрузить полный дамп браузера.
Доступ к 93.95.97.28 заблокирован на уровне NGFW, узлы с трафиком к адресу изолированы. WSD 47-12 переустановлен с образа Golden Image. Пароли пользователей R&,D сброшены. Правило YARA с хэшем семпла распространено по EDR-системе.
Хронология показала, что первый контакт произошёл через почтовый макрос в 15:59:18, а C2-сессия стартовала спустя 14 минут. Подобное окно указывает на автоматическую стадию установки без ручного участия оператора.
Группировка, использующая RedLine Stealer, ориентируется на быстрое извлечение учётных данных сотрудников с расширенными правами. R&,D содержит чертежи и изходные коды, утечка которых принесла бы значительный ущерб. Приоритетом определена ускоренная модернизация почтового шлюза: доработка sandbox для PDF и блокировка макросов по умолчанию.
Расследование закрыто после подтверждения отсутствия связи между 93.95.97.28 и другими сегментами сети. Хостинг-провайдер получил уведомление об устранении сервера. Информацию о сигнатурах передали в cert-ru.
11 декабря 2025 года в 16:16:33 система мониторинга компании «Infosec-Pro» зафиксировала рост аномалий на публичном API шлюза оплаты: 124 запроса за первых восемь секунд, статус-код 400/403, User-Agent «python-urllib/3.11».
Контекст события
По сигнатуре Rar 216-SQL-inj попытка классифицирована как UNION-based SQLi через параметр order_id маршрута /api/v2/payments. Интервал между пакетами составил 0,3 c, суммарная длительность волны — 112 c.
Техника атакующего
Payload: ‘1 UNION SELECT card_no, cv FROM cards WHERE id=1— ‘. Двойной дефис обрывал остаток запроса. WAF ответил HTTP 403, после чего адрес 93.95.97.28 начал чередовать шестнадцатеричные кодировки, рассчитывая обойти фильтр ключевых слов. К 16:18:05 правило 7025 подняло риск-скорузла до 9,8/10, балансировщик Layer 7 заблокировал источник.
Атрибуция
GeoIP MaxMind указывает Ростов-на-Дону, провайдер TimeWeb Co. Логи за предыдущие две недели фиксируют сканы портов 3306, 5432, 6379 по соседним диапазонам. Сходство с группой FakeFerret по техникам MITRE T1059 и T1078 оценено в 73 %.
Причина доступности уязвимого параметра — устаревшая ревизия микросервиса оплаты, внедрённая без pull-request-аудита. Версия от 21.09.2024 пропустила критичное замечание статического анализатора.
Команда DevSecOps внедрила проверку regexp ^[0-9]{12}$ для order_id, пересобрала образ с Alpine 3.20, подняла уровень логирования до debug для /api/v2. WAF-правило 216-SQL-inj расширено: decode-url=true, счётчик попыток, сброс через 300 c.
Сбор дополнительной телеметрии организован через OpenTelemetry Collector, трассировки получают label incident=SQLi_20251211. Grafana-дашборд 34-SQLi визуализирует профиль нагрузки до и после блокировки, всплеск RPS отмечен зелёным контуром.
Для исключения повторения сценария внедрён pre-commit hook gitleaks, комплаенс-группа запланировала квартальный аудит реестра публичных API, уровень зрелости SSDL перемещён из Initiate в Define, карта угроз STRIDE обновлена.
Инцидент закрыт в 18:43 UTC+3 с категоризацией «Attempted breach». Потеря данных не подтверждена. После согласования с DPO будет отправлена уведомительная записка в Роскомнадзор, так как атака затрагивала плательщиков.
