За даними дослідників Bitdefender, китайське кібершпигунське угруповання FamousSparrow провело багатоетапну операцію проти неназваної нафтогазової компанії Азербайджану в період з кінця грудня 2025 по кінець лютого 2026 року. Зловмисники тричі проникали в інфраструктуру жертви через один і той самий вразливий сервер Microsoft Exchange, щоразу використовуючи нові варіанти зловмисного ПЗ — бекдори Deed RAT і TernDoor. Кампанія демонструє критичну проблему: неповна ліквідація наслідків інциденту дає змогу супротивнику багаторазово повертатися через ту саму точку входу. Організаціям енергетичного сектора, які використовують Exchange, необхідно негайно перевірити стан оновлень і виконати ротацію скомпрометованих облікових даних.

Хронологія та технічна анатомія атаки

Як повідомляється в звіті Bitdefender, кампанія складалася з трьох виразних хвиль, кожна з яких експлуатувала одну й ту саму точку входу — вразливий сервер Microsoft Exchange. Ймовірно, для початкового доступу використовувався ланцюжок експлойтів ProxyNotShell.

Перша хвиля — 25 грудня 2025 року

Отримавши доступ, зловмисники розгорнули вебоболонки для закріплення в інфраструктурі, а потім доставили Deed RAT (також відомий як Snappybee) — бекдор, що є наступником ShadowPad і використовується кількома угрупованнями китайського походження. Для завантаження Deed RAT застосовувалася вдосконалена техніка підміни DLL-бібліотек із використанням легітимного виконуваного файла LogMeIn Hamachi.

Ключова технічна особливість: на відміну від стандартної підміни DLL, коли зловмисна бібліотека просто замінює легітимну, у цьому випадку зловмисники перевизначили дві конкретні експортовані функції всередині шкідливої бібліотеки. Це створило двоетапний тригер, за якого завантажувач Deed RAT активувався через штатний потік керування хост-застосунку, що суттєво ускладнює виявлення засобами захисту.

На цьому етапі також зафіксовано горизонтальне переміщення мережею з метою розширення доступу та створення резервних точок присутності.

Друга хвиля — кінець січня — початок лютого 2026 року

Приблизно за місяць зловмисники повернулися через той самий сервер Exchange і спробували розгорнути бекдор TernDoor — зловмисне ПЗ, раніше виявлене в атаках на телекомунікаційну інфраструктуру Південної Америки з 2024 року. Для доставки використовувався завантажувач Mofu Loader і техніка підміни DLL. За даними дослідників, ця спроба виявилася невдалою.

Третя хвиля — кінець лютого 2026 року

У третій хвилі зловмисники знову вдалися до Deed RAT, але вже в модифікованій версії. Цей артефакт використовував домен sentinelonepro[.]com для зв’язку з командним сервером — характерний прийом маскування C2-інфраструктури під легітимний продукт безпеки SentinelOne.

Геополітичний контекст і мотивація

Вибір цілі не є випадковим. Як зазначають аналітики Bitdefender, роль Азербайджану в забезпеченні енергетичної безпеки Європи суттєво зросла після завершення у 2024 році російсько-української угоди про транзит газу та порушень судноплавства в Ормузькій протоці у 2026 році. Атака на нафтогазовий сектор країни, що стала альтернативним постачальником енергоресурсів для ЄС, вписується в логіку стратегічної розвідки.

Кампанія розширює відоме коло жертв FamousSparrow на новий регіон. Раніше це угруповання, також відстежуване як UAT-9244, було помічене в атаках на готельний сектор, урядові установи та міжнародні організації. Слід мати на увазі, що цю атрибуцію зроблено на основі оцінки лише одного вендора і її не підтверджено незалежними джерелами.

Оцінка впливу

Кампанія становить загрозу насамперед для:

• Енергетичного сектора Азербайджану та країн Каспійського регіону, залучених до постачання вуглеводнів до Європи
• Організацій із непатченими серверами Exchange, особливо вразливих до експлуатації ProxyNotShell
• Телекомунікаційних компаній — з огляду на те, що TernDoor раніше застосовувався проти цього сектора

Триразове повернення через одну точку входу вказує на системну проблему: реагування на інцидент без повного усунення кореневої причини створює ілюзію безпеки. Кожна хвиля приносила нові інструменти та додаткові точки закріплення, ускладнюючи повне очищення середовища.

Рекомендації щодо захисту

1. Оновлення Microsoft Exchange: переконайтеся, що встановлено всі оновлення безпеки, які закривають вразливості ProxyNotShell (CVE-2022-41040, CVE-2022-41082) та пізніші. Перевірте, чи не використовується застаріла версія Exchange без підтримки
2. Ротація облікових даних: після виявлення компрометації Exchange необхідно скинути всі пов’язані облікові записи, включно з сервісними, а не лише користувацькими
3. Пошук вебоболонок: проведіть аудит каталогів Exchange на предмет підозрілих файлів ASPX, що з’явилися після ймовірного періоду компрометації
4. Моніторинг підміни DLL: відстежуйте завантаження нетипових DLL процесами LogMeIn Hamachi та іншими легітимними застосунками. Звертайте увагу на перевизначення експортованих функцій
5. Блокування IOC: додайте домен sentinelonepro[.]com до чорних списків DNS і проксі-серверів
6. Повна перевірка після інциденту: у разі виявлення ознак компрометації не обмежуйтеся видаленням зловмисного ПЗ — перевірте наявність резервних точок закріплення, горизонтального переміщення та додаткових бекдорів

Ця кампанія наочно демонструє, що неповне реагування на інцидент гірше, ніж його відсутність: воно створює хибне відчуття захищеності, тоді як супротивник продовжує операцію. Організаціям енергетичного сектора з серверами Microsoft Exchange на периметрі слід у пріоритетному порядку перевірити актуальність патчів, виконати пошук індикаторів компрометації й переконатися, що процедура реагування включає повну ротацію облікових даних і ліквідацію всіх точок закріплення, а не лише первинного вектора проникнення.