По данным исследователей Bitdefender, китайская кибершпионажная группировка FamousSparrow провела многоэтапную операцию против неназванной нефтегазовой компании Азербайджана в период с конца декабря 2025 по конец февраля 2026 года. Атакующие трижды проникали в инфраструктуру жертвы через один и тот же уязвимый сервер Microsoft Exchange, каждый раз применяя новые варианты вредоносного ПО — бэкдоры Deed RAT и TernDoor. Кампания демонстрирует критическую проблему: неполное устранение последствий инцидента позволяет противнику многократно возвращаться через ту же точку входа. Организациям энергетического сектора, использующим Exchange, необходимо немедленно проверить статус патчей и провести ротацию скомпрометированных учётных данных.

Хронология и техническая анатомия атаки

Как сообщается в отчёте Bitdefender, кампания состояла из трёх отчётливых волн, каждая из которых эксплуатировала одну и ту же точку входа — уязвимый сервер Microsoft Exchange. Предположительно, для получения первоначального доступа использовалась цепочка эксплойтов ProxyNotShell.

Первая волна — 25 декабря 2025 года

После получения доступа атакующие развернули веб-оболочки для закрепления в инфраструктуре, а затем доставили Deed RAT (также известный как Snappybee) — бэкдор, являющийся преемником ShadowPad и используемый несколькими группировками китайского происхождения. Для загрузки Deed RAT применялась усовершенствованная техника подмены DLL-библиотек с использованием легитимного исполняемого файла LogMeIn Hamachi.

Ключевая техническая особенность: в отличие от стандартной подмены DLL, когда вредоносная библиотека просто заменяет легитимную, в данном случае злоумышленники переопределили две конкретные экспортируемые функции внутри вредоносной библиотеки. Это создало двухэтапный триггер, при котором загрузчик Deed RAT активировался через штатный поток управления хост-приложения, что существенно затрудняет обнаружение средствами защиты.

На этом этапе также зафиксировано горизонтальное перемещение по сети с целью расширения доступа и создания резервных точек присутствия.

Вторая волна — конец января — начало февраля 2026 года

Спустя примерно месяц атакующие вернулись через тот же сервер Exchange и попытались развернуть бэкдор TernDoor — вредоносное ПО, ранее обнаруженное в атаках на телекоммуникационную инфраструктуру Южной Америки с 2024 года. Для доставки использовался загрузчик Mofu Loader и техника подмены DLL. По данным исследователей, эта попытка оказалась неуспешной.

Третья волна — конец февраля 2026 года

В третьей волне атакующие вновь обратились к Deed RAT, но уже в модифицированной версии. Этот артефакт использовал домен sentinelonepro[.]com для связи с командным сервером — характерный приём маскировки C2-инфраструктуры под легитимный продукт безопасности SentinelOne.

Геополитический контекст и мотивация

Выбор цели не случаен. Как отмечают аналитики Bitdefender, роль Азербайджана в обеспечении энергетической безопасности Европы существенно возросла после истечения в 2024 году российско-украинского соглашения о транзите газа и нарушений судоходства в Ормузском проливе в 2026 году. Атака на нефтегазовый сектор страны, ставшей альтернативным поставщиком энергоресурсов для ЕС, вписывается в логику стратегической разведки.

Кампания расширяет известную виктимологию FamousSparrow на новый регион. Ранее эта группировка, также отслеживаемая как UAT-9244, была замечена в атаках на гостиничный сектор, правительственные организации и международные структуры. Следует учитывать, что атрибуция основана на оценке единственного вендора и не подтверждена независимыми источниками.

Оценка воздействия

Кампания представляет угрозу прежде всего для:

• Энергетического сектора Азербайджана и стран Каспийского региона, вовлечённых в поставки углеводородов в Европу
• Организаций с непатченными серверами Exchange, особенно подверженных эксплуатации ProxyNotShell
• Телекоммуникационных компаний — учитывая, что TernDoor ранее применялся против этого сектора

Трёхкратное возвращение через одну точку входа указывает на системную проблему: реагирование на инцидент без полного устранения корневой причины создаёт иллюзию безопасности. Каждая волна приносила новые инструменты и дополнительные точки закрепления, усложняя полную очистку среды.

Рекомендации по защите

1. Патчинг Microsoft Exchange: убедитесь, что установлены все обновления безопасности, закрывающие уязвимости ProxyNotShell (CVE-2022-41040, CVE-2022-41082) и более поздние. Проверьте, не используется ли устаревшая версия Exchange без поддержки
2. Ротация учётных данных: после обнаружения компрометации Exchange необходимо сбросить все связанные учётные записи, включая сервисные, а не только пользовательские
3. Поиск веб-оболочек: проведите аудит каталогов Exchange на предмет подозрительных файлов ASPX, появившихся после предполагаемого периода компрометации
4. Мониторинг DLL-подмены: отслеживайте загрузку нетипичных DLL процессами LogMeIn Hamachi и другими легитимными приложениями. Обратите внимание на переопределение экспортируемых функций
5. Блокировка IOC: добавьте домен sentinelonepro[.]com в чёрные списки DNS и прокси-серверов
6. Полная проверка после инцидента: при обнаружении признаков компрометации не ограничивайтесь удалением вредоносного ПО — проверьте наличие резервных точек закрепления, горизонтального перемещения и дополнительных бэкдоров

Данная кампания наглядно демонстрирует, что неполное реагирование на инцидент хуже его отсутствия: оно создаёт ложное чувство защищённости, пока противник продолжает операцию. Организациям энергетического сектора с серверами Microsoft Exchange на периметре следует в приоритетном порядке проверить актуальность патчей, провести поиск индикаторов компрометации и убедиться, что процедура реагирования включает полную ротацию учётных данных и ликвидацию всех точек закрепления, а не только первичного вектора проникновения.