Исследователи Bitdefender зафиксировали новую тактику группировки FamousSparrow при атаке на нефтегазовый сектор Азербайджана

С конца декабря 2025 года по февраль 2026 года инфраструктура азербайджанской нефтегазовой компании подвергалась целенаправленным кибератакам, которые не ослабевали даже после частичного устранения последствий. Специалисты Bitdefender Labs документировали трёхволновое вторжение, которое они с высокой долей уверенности связывают с китайской APT-группировкой (организованная группа злоумышленников, действующая в интересах государства) FamousSparrow, входящей в экосистему угроз Earth Estries.

Описание

Жертва была выбрана не случайно. В конце 2024 года Азербайджан стал одним из ключевых поставщиков энергоносителей в Европу. К началу 2026 года страна нарастила поставки в 13 европейских государств, включая Германию и Австрию, а общий объём экспорта вырос на 56% с 2021 года. Именно этот стратегический статус сделал азербайджанский энергосектор привлекательной целью для кибершпионажа, ранее не документированного в регионе Южного Кавказа в публичной отчётности.

Первоначальное проникновение произошло через уязвимый сервер Microsoft Exchange. Атакующие использовали цепочку эксплойтов ProxyNotShell (набор уязвимостей для удалённого выполнения кода на непропатченных версиях Exchange) и ProxyShell. Уже 25 декабря 2025 года исследователи зафиксировали попытки разместить веб-шелл (скрипт для удалённого управления сервером) в общедоступной директории Exchange. В течение нескольких дней злоумышленники установили постоянную точку опоры, после чего приступили к развёртыванию основного инструментария.

Наиболее примечательным техническим элементом стала эволюция техники DLL-sideloading (подгрузка вредоносной библиотеки легитимной программой). Вместо простой замены файла атакующие применили двухстадийный механизм, который активирует полезную нагрузку только при условии естественного выполнения всей последовательности вызовов легитимного приложения. Легальный бинарный файл LMIGuardianSvc.exe загружает вредоносную библиотеку lmiguardiandll.dll, но та не запускает код сразу. Первый экспорт (Init) тихо модифицирует системную функцию Windows, а второй (ComMain) срабатывает только после того, как основная программа сама обратится к этой функции. Такой обманный манёвр позволяет обходить автоматические песочницы, которые редко воспроизводят полный рабочий процесс приложения, и скрывать вредоносное поведение от поверхностного анализа.

В первой волне атаки был развёрнут бэкдор (вредоносная программа для скрытого управления системой) Deed RAT. Он маскировался под легитимный продукт LogMeIn Hamachi: файлы размещались в соответствующей директории, а для закрепления в системе создавалась служба с правдоподобным именем. В конфигурации бэкдора использовались зашифрованные модули, ключи и адреса управляющих серверов. Примечательно, что авторы malware обновили алгоритмы: заменили сжатие Snappy на Deflate, изменили магические значения в заголовках, а для шифрования применяли RC4 и AES-CBC.

После того как жертва частично восстановила системы, атакующие вернулись к тому же самому уязвимому серверу Exchange. Во второй волне они попытались установить другой бэкдор - Terndoor. Его развёртывание планировалось через загрузчик Mofu, а сама вредоносная программа должна была загрузить драйвер ядра Windows для сокрытия своей активности. Однако сработала защита, и атака была заблокирована. Тем не менее исследователям удалось восстановить фрагменты кода по снимкам памяти, а сопоставление с отчётом Cisco Talos подтвердило принадлежность полезной нагрузки к Terndoor.

В конце февраля 2026 года злоумышленники предприняли третью попытку. Они вновь применили цепочку Deed RAT, но уже с изменённой конфигурацией: другим именем мьютекса, новыми процессами для инъекции и адресом командно-управляющего сервера sentinelonepro[.]com. Все файлы были помещены в директорию C:\Recovery, что указывает на адаптацию инструментария после неудачной второй волны.

Аналитики подчёркивают, что атака не была одноразовым инцидентом. Напротив, группировка проявила высокую операционную дисциплину: после каждого цикла очистки она возвращалась к тому же вектору доступа, меняла вредоносное ПО, но неизменно использовала непропатченный Exchange и скомпрометированные учётные данные доменного администратора. По оценке Bitdefender, такой подход свидетельствует о долгосрочной шпионской миссии с поддержанием избыточных механизмов закрепления.

Для защиты от подобных вторжений необходимо в первую очередь немедленно закрывать критические уязвимости на публичных серверах, особенно на Microsoft Exchange. Атакующие будут эксплуатировать старые дыры, пока их не устранят. Кроме того, следует внедрять поведенческий мониторинг, который выявляет аномалии вроде модификации системных API неподписанными бинарными файлами, а также отслеживать необычные RDP-сеансы (удалённые рабочие столы) и использование инструментов для бокового перемещения. После любого подтверждённого взлома необходимо немедленно менять все скомпрометированные пароли, включая учётные записи администраторов домена.