Фахівці команди Solar 4RAYS виявили в інфраструктурі однієї з російських державних організацій раніше невідомий модульний бекдор ShadowRelay. Це багатокомпонентне шкідливе ПЗ орієнтоване на тривале приховане перебування в мережі, завантаження додаткових шпигунських модулів та контроль хостів, які не мають прямого доступу до інтернету.
Походження ShadowRelay та зв’язок з APT-групами Erudite Mogwai / Space Pirates
Інцидент, під час якого було зафіксовано ShadowRelay, розслідувався у 2025 році. За оцінкою Solar 4RAYS, активність з високим ступенем імовірності пов’язана з азійською APT-групою Erudite Mogwai (Space Pirates). У певні періоди спостерігалися також артефакти, що корелюють з діяльністю близької за тактиками групи Obstinate Mogwai, на тлі чого й був розгорнутий новий бекдор.
Ці угруповання раніше асоціювали з використанням модульних шпигунських платформ, зокрема ShadowPad, які застосовуються у довготривалих кібершпигунських кампаніях рівня APT. Поява ShadowRelay вписується у глобальну тенденцію: перехід від монолітних троянів до гнучких фреймворків, що легко адаптуються під конкретну операцію, цілі та інфраструктуру жертви.
Компрометація Microsoft Exchange через ланцюжок уразливостей ProxyShell
Первинною точкою входу став уразливий сервер Microsoft Exchange, розгорнутий улітку 2024 року та не оновлений вчасно. Зловмисники використали ланцюжок уразливостей ProxyShell (CVE‑2021‑34473, CVE‑2021‑34523, CVE‑2021‑31207), які з 2021 року активно експлуатуються у цільових та масових атаках на поштову інфраструктуру по всьому світу.
Під час аналізу інциденту було виявлено сліди роботи кількох різних інструментів, зокрема ShadowPad Light (Deed RAT). На цьому ж майданчику фахівці Solar 4RAYS виявили і новий бекдор ShadowRelay, розміщений у період передбачуваної активності групи Obstinate Mogwai. Така «накладка» інструментів різних операторів типова для експлуатованих уразливостей рівня ProxyShell: уразливий сервер часто стає ціллю відразу для кількох угруповань.
Архітектура модульного бекдора ShadowRelay
ShadowRelay реалізований як модульна платформа, де базовий компонент виконує роль «каркаса», відповідального за завантаження та керування плагінами. У мінімальній конфігурації бекдор може не містити очевидних функцій шпигунства чи саботажу, але має механізми довантаження функціоналу за командою оператора.
Ключова особливість ShadowRelay — здатність взаємодіяти з іншими своїми екземплярами всередині інфраструктури. Окремі копії можуть виступати «сервером» або «клієнтом», утворюючи ланцюжок, який дозволяє керувати хостами без прямого виходу в інтернет. Таким чином, логіка операції виноситься в плагіни та конфігурації, а основний бінар сам по собі розкриває мінімум інформації для аналітика.
Solar 4RAYS зазначає, що у досліджуваній організації плагіни ShadowRelay знайти не вдалося. Це ускладнює повне розуміння кінцевих цілей операції, але сама архітектура вказує на орієнтацію на тривалий прихований доступ і гнучке розширення можливостей (від збору даних до потенційної деструктивної активності).
Техніки приховування, антианалізу та робота в ізольованих сегментах
Для мінімізації слідів у системі ShadowRelay застосовує ін’єкцію коду в легітимні процеси, повторне використання вже відкритих портів та зменшення кількості артефактів у файловій системі. Це знижує ефективність класичного сигнатурного антивіруса та ускладнює виявлення на рівні простого лог-аналізу.
Бекдор виконує перевірки на наявність відладчиків, песочниць та ознак реверс‑інжинірингу. Повна шкідлива логіка активується лише за наявності спеціального параметра у конфігурації. Якщо середовище здається підозрілим, спрацьовує механізм самоліквідації, що різко ускладнює форензик-аналіз, реконструкцію ланцюга подій та збирання доказів.
Керування ізольованими сегментами та загроза для критичної інфраструктури
Найбільш небезпечна можливість ShadowRelay — створення прихованих каналів управління для хостів в ізольованих сегментах. Копії бекдора будують внутрішню мережу, де вузол у «зовнішній» зоні з доступом до інтернету виконує роль шлюза, ретранслюючи команди між оператором і машинами у закритих підмережах. Саме в таких сегментах зазвичай розміщуються системи критичної інфраструктури, промислові контролери, реєстри та чутливі державні дані.
Подібний підхід до побудови C2‑інфраструктури вже спостерігався в інших APT‑операціях, що націлювалися на енергетику, фінансовий сектор та держоргани. ShadowRelay демонструє подальший розвиток цієї тактики — з акцентом на масштабованість і прихованість усередині корпоративних мереж.
Оцінка ризиків для державних органів та великих організацій
За сукупністю ознак ShadowRelay орієнтований не на масові кримінальні кампанії, а саме на довгострокові кібершпигунські APT‑операції. Здатність одночасно охоплювати периметр і глибоко сегментовані зони робить його особливо небезпечним для госсектора, оборонно‑промислового комплексу та великих компаній, що впливають на національну економіку.
У проаналізованому інциденті Solar 4RAYS не зафіксувала успішної крадіжки даних або прямого руйнівного впливу. Водночас сам факт присутності настільки просунутого інструмента у мережі держоргану свідчить про високий рівень підготовки зловмисників та їх стійкий інтерес до російських державних і близьких до держави структур.
Рекомендації щодо захисту від ShadowRelay та схожих APT‑інструментів
Solar 4RAYS рекомендує посилити контроль на рівні мережі та хостів, поєднуючи класичний периметровий захист з поведінковим моніторингом. В опублікованому звіті наведено Snort‑правило для виявлення специфічної мережевої активності ShadowRelay; його доцільно інтегрувати у NIDS/NIPS та SOC‑платформи.
Серед базових, але критично важливих заходів виділяються:
– своєчасне оновлення та жорсткий контроль безпеки Microsoft Exchange та інших сервісів, доступних з інтернету, зокрема перевірка на ProxyShell та подібні ланцюжки уразливостей;
– впровадження EDR/XDR‑рішень для виявлення ін’єкцій коду, аномальної поведінки процесів та нетипових мережевих з’єднань;
– повноцінний моніторинг East–West‑трафіку усередині мережі для виявлення горизонтального переміщення зловмисника та прихованих тунелів між сегментами;
– регулярне оновлення сигнатур, правил Snort та IoC згідно з актуальними звітами про кібератаки;
– періодичний аудит ізольованих сегментів на предмет «містків» до суміжних зон і несанкціонованих проксі‑механізмів.
Поширення таких платформ, як ShadowRelay, демонструє системну еволюцію інструментарію APT‑груп: від одиничних троянів до масштабованих модульних екосистем, здатних роками залишатися непоміченими. Організаціям госсектору та великому бізнесу варто не обмежуватися базовими засобами захисту, а переглядати архітектуру безпеки, посилювати моніторинг і готувати ІБ‑команди до роботи з новими класами загроз. Чим раніше такі бекдори будуть виявлені та заблоковані, тим нижче ризик витоку критичних даних, порушення ключових сервісів та довгострокового прихованого контролю над інфраструктурою.
