Кибершпионы Red Likho атакуют российские IT-компании через бэкдор GoRed

Эксперты «Лаборатории Касперского» весной 2025 года обнаружили новую вредоносную кампанию с использованием бэкдора GoRed, нацеленную на российские организации. Этот инструмент кибершпионажа, также известный как Bulldog Backdoor, впервые появился в 2023 году и постоянно модифицируется. Исследователи связывают его с группами ExCobalt и Shedding Zmiy, отслеживая активность под названием Red Likho. Последняя обнаруженная версия бэкдора - v1.1.5-34ab, написанная на языке Go.

Описание

В ходе анализа весенней кампании выявлены ранее неизвестные тактики, техники и процедуры (TTP), включая новый вектор заражения и метод доставки вредоносного ПО. Особое внимание злоумышленники уделили компаниям, занимающимся разработкой программного обеспечения, что указывает на потенциальные атаки на цепочки поставок. Кроме того, в арсенале атакующих обнаружены инструменты другой группы - BO Team, что подтверждает гипотезу о сотрудничестве между хактивистскими группировками.

Новый метод доставки GoRed включал компрометацию публичного веб-портала с последующей эксплуатацией ошибок конфигурации в PostgreSQL для удаленного выполнения команд. Изначально злоумышленники получали список запущенных процессов, после чего выполняли сложную обфусцированную команду для загрузки бэкдора. Этот многоэтапный процесс включал создание VBS-скриптов, установку переменных окружения и попытки загрузки через различные протоколы.

Альтернативным вектором заражения стала эксплуатация цепочки уязвимостей ProxyShell в Microsoft Exchange (CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207). Получив повышенные привилегии, атакующие размещали вредоносный веб-шелл в системном каталоге, через который проводили разведку и загружали GoRed. Данный подход ранее не встречался в операциях Red Likho.

Бэкдор GoRed демонстрирует высокую сложность и развитую функциональность. Он включает модули DNS- и ICMP-туннелирования, обработки команд, мониторинга файловой системы и эксфильтрации данных. Вредоносная программа поддерживает несколько режимов работы и протоколов связи, включая QUIC и WebSocket Secure (WSS).

После установки бэкдора операторы выполняли интенсивную разведку, собирая данные о сетевых подключениях, маршрутизации и процессах. Примечательно, что несмотря на сложность инструмента, методы сбора учетных данных оставались примитивными - злоумышленники использовали дампы реестра SAM, SYSTEM и LSASS без какой-либо обфускации.

Дополнительно атакующие применяли утилиту CrackMapExec для горизонтального перемещения по сети и развертывали фреймворк Cobalt Strike. Последний маскировался под легитимные инструменты Sysinternals, что затрудняло detection (обнаружение). Более того, исследователи обнаружили использование сравнительно нового C2-фреймворка Tuoni, ранее замеченного в операциях BO Team.

Инфраструктура командования и управления (C2) использовала домены, зарегистрированные через NameCheap, а также серверы CloudFlare и российских хостинг-провайдеров. Часть серверов принадлежала компании FOP Hornostay Mykhaylo Ivanovych, чьи IP-адресы ранее наблюдались в атаках проукраинских хактивистов.

На этапе постэксплуатации злоумышленники применяли инструмент Leaked Wallpaper для повышения привилегий. Эта техника, использующая уязвимость CVE-2024-38100 в explorer.exe, позволяет извлекать NetNTLM-хэши через изменение обоев рабочего стола. Факт использования такого новейшего инструмента red team (красной команды) свидетельствует о высокой осведомленности атакующих.

Обнаружение инструментов BO Team в кампаниях GoRed, а также упоминание общих жертв в Telegram-канале указывает на возможное сотрудничество между группами. Учитывая известные связи BO Team с другими хактивистскими объединениями, можно предположить координацию операций или обмен ресурсами.

Специалисты по кибербезопасности отмечают, что целевой характер атак и постоянное развитие бэкдора свидетельствуют о долгосрочных целях кибершпионажа. Фокусировка на IT-секторе и разработке программного обеспечения повышает риски для цепочек поставок. Эксперты не исключают, что в будущем усложнившийся GoRed может стать коммерческим продуктом в подпольных киберсообществах.

Для противодействия подобным угрозам рекомендуется своевременно обновлять программное обеспечение, особенно системы управления базами данных и почтовые серверы. Кроме того, необходимо усиливать мониторинг нестандартной активности в корпоративных сетях и применять принцип минимальных привилегий. Особое внимание следует уделять сегментации сетей и контролю доступа к критически важным активам.