Найдена ранее неизвестная кибергруппировка: Rust-бэкдор IDFKA более 10 месяцев скрытно работал в инфраструктуре телеком-операторов

Цепочка компрометации и методы атакующих

Атака началась с компрометации IT-подрядчика не позднее сентября 2024 года. Группировка NGC5081 получила доступ к его инфраструктуре и находилась там как минимум 10 месяцев. Используя легитимные права доступа к базам данных PostgreSQL, атакующие смогли проникнуть в сети минимум двух клиентов подрядчика - компаний из телекоммуникационного сектора. В этих базах хранилась информация об абонентах и метаданные об их звонках. Однако прямых свидетельств хищения этих данных обнаружено не было. Поведение группировки указывает на цели, связанные со шпионажем, но точные задачи и искомые данные остаются неизвестными.

Арсенал группировки: от стандартных инструментов до уникальных разработок

Для поддержания доступа злоумышленники использовали два основных инструмента. Первым стал известный бэкдор TinyShell, который они устанавливали с помощью различных техник, включая маскировку под легитимные службы. Например, в одной из систем вредоносный файл был размещен под именем службы GitLab, что обеспечивало его автоматический запуск.

Вторым и ключевым инструментом стал ранее неизвестный бэкдор, написанный на языке Rust и получивший от исследователей название IDFKA. Его самый ранний образец появился в сети подрядчика в ноябре 2024 года. Бэкдор отличается высокой сложностью и широким функционалом. Для маскировки он использовал имена легитимных системных процессов, такие как php-fqm, nginx или irqbalance.

Сложная архитектура и скрытность бэкдора IDFKA

Главной особенностью IDFKA является многослойная система шифрования. Основная нагрузка (payload) зашифрована, а для её расшифровки требуется специальная переменная окружения TRM64CFG. Ключ для расшифровки генерируется в ходе сложного процесса, включающего множество преобразований с использованием алгоритма AES в режиме ECB. Конфигурация самого бэкдора может быть спрятана в произвольном месте исполняемого файла. Для её поиска используется специальная 16-байтовая сигнатура, что значительно затрудняет анализ.

Функциональность IDFKA делает его мощным инструментом для комплексных атак. Он поддерживает обратный шелл (reverse shell), модуль сканирования портов, подбор учетных данных SSH, а также модуль перехвата паролей из памяти процессов с использованием ptrace или eBPF. Кроме того, бэкдор может работать по множеству протоколов для связи с командным сервером (C2), включая TCP, UDP, HTTP, ICMP и даже кастомные протоколы. Для управления также реализован механизм специальных сигнальных файлов в директории /tmp.

Следы второй группировки и методы сокрытия

Параллельно с NGC5081 в сети подрядчика действовала еще одна группа, которую исследователи ассоциируют с известной азиатской группировкой Snowy Mogwai (также известной как UNC5174). Эта группа использовала бэкдор VShell, маскируя свои процессы под потоки ядра Linux. Аналитики считают, что группы действовали независимо, так как использовали разную сетевую инфраструктуру и техники маскировки. Присутствие второй группы было зафиксировано с апреля 2025 года.

Атакующие активно старались скрыть следы своего присутствия. Они вручную редактировали системные логи, такие как wtmp и lastlog, удаляя записи о своих подключениях. Для скрытия команд в истории bash они обнуляли переменную HISTFILE. Однако исследователям удалось частично восстановить картину атаки, анализируя переменные окружения в процессах, которые содержали исторические IP-адреса SSH-подключений.

Выводы и рекомендации

Обнаруженный бэкдор IDFKA представляет собой высокопрофессиональную разработку. Использование языка Rust, сложная обфускация, многофункциональность и разнообразие каналов управления указывают на высокий уровень подготовки авторов. Атака демонстрирует растущую угрозу со стороны сложных целевых групп, способных долгое время оставаться незамеченными в корпоративных сетях. Особую опасность в данном случае представляет компрометация подрядчика, которая открыла путь к атаке на его клиентов.

В настоящее время данных для точной атрибуции кампании конкретной известной группировке недостаточно, поэтому ей присвоено временное обозначение NGC5081. Аналитики отмечают, что злоумышленники остаются активными. Эксперты рекомендуют компаниям, особенно работающим с критической инфраструктурой, усилить мониторинг активности в базах данных, тщательно проверять права доступа подрядчиков и внедрять решения для обнаружения аномального поведения, в том числе в процессах, маскирующихся под легитимные системные службы.

IPv4

• 141.105.65.160
• 165.231.141.126
• 37.120.247.173
• 45.144.31.54
• 45.67.230.39
• 5.252.176.80
• 91.210.107.135
• 94.131.121.10

IPv4 Port Combinations

• 45.144.31.54:60998
• 45.67.230.39:8888
• 5.252.176.80:8156
• 94.131.121.10:10250

MD5

• 05b742a4bc37953611adc291fb9fa207
• 228501fe7e013d8a65c2b9351396a37d
• 2c56ff32902dac46cca3a0b3bcc2a6b7
• 3a586f2b7dc89a2460319fb72d13bedb
• 3c2cc77ecb4833dea049215dbbc42c4d
• 61cadcb195a795bbe32bd558be0cea68
• 697416c02d2aab731f87020b8853f85f
• 6d588c70e1f419eca692fbea99c9d93a
• 73a221cfdcec9261b36c9987975487e6
• 86348e9bc3f749574035fa9215801aaf
• 9b2e240fde5d63841b89c302fdadf4f0
• a85a6ff0400174f974509881e571e4c0
• b212c50be07181bcf042a73a5a258049
• bcff1e4499d88a97c99d983aac5e8342
• c214a28ab234042552ce5ccf3f887752
• c2a909c2fd1ea1aac436673437e6cfd0
• cf4ad41e4a6e5836bcfd2f3320ca8a06
• d6b76c5edbe5171acb8aa1e859c2150d
• e73cb83c3813f4746bda2e8cf175c16b
• f115d012e1354de5614be3a716d86a70
• fe66d93c36855c21ab8c73481895f72a

SHA1

• 00888f1aa11468ef30ac652d16273e35ef7dda53
• 3ad55c68d84a010152e83a784e65b7f7e5d4e77e
• 3bd64cc0364c1684c88057ba9ec38cee99aaee0d
• 522d031dee121cfcd1f7b714735a3aa9e450ef7f
• 6709780f21cc70a6bea727288f9dbb602e1a4f45
• 6ebd39b124b46aaff8e2d913dbd98add3099ecea
• 75a8923c570af940954ce4125c75963fc013b4cd
• 80cd3d1ed9a8e9a3d28a5d40b2caf514f5f1e9d1
• 8c9fd7c74f750bcd13a73bb8d873a84a63ae9068
• 9366b72dcfbbca0e5d61b3d54da84099922ff251
• 9f129a44ee63d05002fbd470c8c198f20cdbcf2d
• ae39456c5554c89155c0bdc6268335c23585e0ec
• affaff9c9f6f2c254f1180552e41d55e8cb5c9d2
• b05ac0cb64f285ed7bdf31bed173243b982737fa
• b18de47ab746c6618475be0b0dd3fe78610c55aa
• cb57e840e9304810e5a045529b46c731745d9878
• d3992e730874a47b67de7928999859f217d2666f
• d623a0cefe56be6df152f1aeabd34311f83c2a2b
• e098ac713ad924643446731e65bf223885f3e939
• fdcb77bb45f8e1537954a08ba49f1644f36343ed

SHA256

• 0e91d50da1d39d505b3bbec3c759d1fde6e51373c10900b68a45849b073d2684
• 0f59de6d6b1a60079a99cff403c2a3683de15c7edaff79ba2cb1d4dae43c7b41
• 1ecad44696fcc6631796a79424b2410e8c61c957d8e54106bdb78c7dd9986cde
• 2eff8367be0facf74b74384f3b45e83cd327510c64a216355e8f6e8948634033
• 51f0806e39ca2fd866ebad11866affb3299b291319a271eb7c71baa3458a1dbd
• 57d55b21366fda8546d16ec7beeac43f3f2ffec05eca891082fb059348598765
• 5f157979c0a4b58c385dda780f584269d3e174b6816a9e7483504f04818beeb4
• 6d745834032d55e804e2a423529d9f663254ea07185eb96f2f5f089941668b7c
• 7e0146e5e8798d7c647312fd5b0d4cc1a0381a367f41b6ba589381db7c80eafb
• 8ea0bd323618e47c2f002d1f0e85d07eb7440ff7efa9e91329f49819b46438f2
• 9fadd4c62a79e97cc0c65c8bf25bce2721d0ca7dfac9dc6aaeb47df5c8f4508e
• a381ab82d519159cb17e897f3d2a9ce9a122ff5941f734a14df89a7b2f0667da
• b10dc9ba6089e372ab63d4ec30f31654abccfed0ade0c8aa0eac1724cc4c6d17
• d3c25ee081761c600669597c6ad4effd02f2a5d1171af267b04b572698554d2e
• d47590e49f0418396b75dbacf5bb64735da951af408b0562d87234e8d0a63651
• e19ed0b50872d467ac313175c955382fd9bca437ad5932856a690823455049fd
• e6582e5a4c62f461661cc0687be45a5bb68c2081d6d8c5d3598d53770962f453
• f12a073a88b076875dbd4ea36f02e803a8ef10c9d8892b5557d8fb46d2c68016
• f80240fd14abe8d62cb2fae7a8afce34f07337d375eaccc5d9cb118f461377a4
• fecb289bf6acc31c00f2c73ef269bfda4325f45803592d37256dda289dc4d9aa