В современном ландшафте киберугроз успех атаки напрямую зависит от способности злоумышленников слиться с фоновым сетевым трафиком. Одной из ключевых тактик для достижения этой цели стало массовое использование так называемых резидентских прокси - сетей, состоящих из IP-адресов обычных домашних пользователей. Популярность этого подхода подчёркивает фундаментальный сдвиг в методах обхода систем защиты, основанных на анализе репутации IP. Особую опасность представляет вредоносное ПО GhostSocks, которое целенаправленно превращает скомпрометированные устройства в узлы таких прокси-сетей, обеспечивая атакующим практически неотличимый от легитимного трафик. Недавние наблюдения специалистов Darktrace показывают, что активность GhostSocks растёт, часто в связке с известным стилером данных Lumma Stealer, что формирует комплексную угрозу, способную долгое время оставаться незамеченной.
Описание
Изначально предлагавшийся на теневом форуме xss[.]is как вредоносное ПО по модели "программа-услуга", GhostSocks даёт злоумышленникам инструмент для кражи интернет-трафика жертв. Программа, написанная на языке Go, использует протокол SOCKS5 для создания на заражённом устройстве прокси-сервера, через который затем маршрутизируется вредоносный трафик. Это обеспечивает атакующему "чистый" резидентский IP-адрес, что позволяет обходить географические ограничения и системы обнаружения, основанные на чёрных списках IP. Для дополнительной маскировки GhostSocks оборачивает свои SOCKS5-туннели в TLS-шифрование, что делает их неотличимыми от обычного защищённого веб-трафика. Важным этапом в эволюции угрозы стало партнёрство с инфостилером Lumma Stealer, анонсированное в 2024 году, которое привело к резкому росту распространения GhostSocks и позволило экспертам выдвинуть предположения об авторстве прокси-вредоноса.
Помимо основной прокси-функциональности, GhostSocks обладает возможностями бэкдора, позволяя выполнять произвольные команды, а также загружать и развёртывать дополнительную полезную нагрузку. Это превращает его в инструмент не только для сокрытия, но и для долгосрочного закрепления в системе и последующей эскалации атаки. Известно, что, например, группа, распространяющая программы-вымогатели Black Basta, использовала GhostSocks именно для поддержания скрытого доступа к сетям жертв. Ранние версии вредоноса не имели механизма постоянства, однако в более поздних вариантах он появился через внесение изменений в автозагрузочные ключи реестра Windows, что гарантирует работу прокси даже после перезагрузки системы. Эксперты Darktrace в своём отчёте отмечают, что наблюдают стабильный рост активности GhostSocks среди своих клиентов с конца 2025 года, что свидетельствует о растущей востребованности этого инструмента в преступной среде.
Яркой иллюстрацией работы связки GhostSocks и Lumma Stealer стал инцидент в декабре 2025 года в сети образовательного учреждения, клиента Darktrace. Система искусственного интеллекта компании сначала зафиксировала подключение устройства к подозрительному endpoint с самоподписанным SSL-сертификатом, который ранее не встречался в этой сети. Этот endpoint, связанный, согласно данным открытых источников (OSINT), с командной инфраструктурой Lumma Stealer, вероятно, использовался для первоначальной доставки вредоноса. Спустя менее двух минут то же устройство загрузило исполняемый файл "Renewable.exe" с редкого для сети IP-адреса. Хэш этого файла был идентифицирован вендорами как связанный именно с GhostSocks. Автономная система реагирования Darktrace немедленно предложила заблокировать подозрительные соединения, однако в данном случае она работала в режиме, требующем подтверждения действий оператором, что позволило атаке развиваться.
В результате, спустя два дня, было зафиксировано скачивание дополнительных полезных нагрузок с других подозрительных адресов, а затем устройство начало устанавливать множественные успешные соединения с редкими внешними ресурсами - поведение, характерное для начальной стадии установки связи с командным сервером (C2 beaconing). На протяжении всей атаки кибер-аналитик на основе ИИ Darktrace самостоятельно проводил расследование, объединяя разрозненные события в единую картину инцидента, что значительно упростило клиенту работу по реагированию и восстановлению. Этот случай наглядно демонстрирует, что даже частично реализованные возможности автономного ответа могут быть эффективны, но для пресечения подобных атак на ранней стадии требуется их полное и доверенное включение.
Растущая популярность GhostSocks в паре с Lumma Stealer указывает на устойчивый тренд: злоумышленники стремятся максимально использовать инфраструктуру жертв, превращая её в инструмент для скрытия своей активности и последующих атак. Возможность долгосрочного и скрытого доступа, которую предоставляет подобное ПО, делает его крайне опасным. История с GhostSocks также подтверждает, что точечные операции по ликвидации вредоносной инфраструктуры, хотя и важны, часто оказываются недостаточными. Пока у угрозовых акторов сохраняется мотивация к анонимности и есть возможность быстро восстанавливать свои экосистемы, связанная с такими сервисами вредоносная активность будет продолжать эволюционировать и представлять серьёзную проблему для традиционных средств защиты, требующую применения продвинутых систем анализа поведения и автономного реагирования.
Индикаторы компрометации
IPv4
- 86.54.24.29
Domains
- alltipi.com
- retreaw.click
- w2.bruggebogeyed.site
- www.lbfs.site
URLs
- http://86.54.24.29/Renewable.exe
- http://d2ihv8ymzp14lr.cloudfront.net/2021-08-19/udppump.exe
SHA256
- 10f928e00a1ed0181992a1e4771673566a02f4e3
- 3d9d7a7905e46a3e39a45405cb010c1baa735f9e
- 9b90c62299d4bed2e0752e2e1fc777ac50308534
