Аналитики российской компании Solar 4RAYS идентифицировали ранее неизвестную хакерскую группировку Proxy Trickster, специализирующуюся на монетизации скомпрометированных серверов через майнинг криптовалют и проксиджекинг. За период активности злоумышленники успешно атаковали 874 сервера в 58 странах мира, включая российские информационные системы.
Первое обнаружение и методы работы группировки
Киберпреступники впервые попали в поле зрения экспертов в марте 2025 года во время расследования инцидента информационной безопасности в российской IT-компании. Однако цифровые следы указывают на то, что первые атаки Proxy Trickster начались еще в мае 2024 года, что свидетельствует о продолжительной и систематической деятельности группировки.
Основная бизнес-модель хакеров строится на двух направлениях монетизации. Во-первых, злоумышленники используют вычислительные мощности скомпрометированных серверов для майнинга криптовалют. Во-вторых, они применяют технику проксиджекинга — превращают захваченные серверы в прокси-узлы и продают доступ к ним в теневом сегменте интернета.
Технические особенности атак и векторы проникновения
Аналитики Cado Security отмечают, что группировка активно эксплуатирует известные уязвимости в Selenium Grid для первоначального проникновения в системы. Однако исследование Solar 4RAYS показало, что злоумышленники не ограничиваются одним вектором атаки и нацеливаются на различные публично доступные сервисы с незакрытыми уязвимостями безопасности.
Особого внимания заслуживают продвинутые техники сокрытия присутствия в системе. Хакеры подменяют стандартные системные утилиты (ps, pstree, pkill) на модифицированные скрипты, которые маскируют вредоносные процессы под легитимные системные задачи типа [kworker/u8:1-events_unbound]. Такой подход значительно усложняет обнаружение компрометации системными администраторами.
География атак и масштабы угрозы
Статистика распределения атакованных серверов демонстрирует глобальный характер операций группировки. Наибольшее количество скомпрометированных систем зафиксировано в США (16% от общего числа), за которыми следуют Германия (6%), Россия (4%), Украина (4%) и Франция (4%). Такое распределение указывает на то, что географическое положение цели не является определяющим фактором для злоумышленников.
Эксперты классифицируют Proxy Trickster как полупрофессиональную группировку, которая, несмотря на коммерческую мотивацию, использует сложные инструменты и методики, характерные для APT-групп. Многоуровневая автоматизация атак и сохранение долгосрочного доступа к скомпрометированным системам создают потенциал для более серьезных кибератак в будущем.
Потенциальные риски и развитие угрозы
Сохранение злоумышленниками доступа к захваченным серверам представляет долгосрочную угрозу для сотен организаций по всему миру. Накопленная инфраструктура скомпрометированных систем может быть использована для проведения более сложных атак или продана другим киберпреступным группировкам на теневом рынке.
Иван Сюхин, руководитель группы расследования инцидентов Solar 4RAYS, подчеркивает важность проактивного подхода к защите: организациям следует усилить мониторинг своих информационных систем и своевременно устранять известные уязвимости, чтобы не стать следующей целью группировки Proxy Trickster.
Обнаружение новой киберугрозы подчеркивает важность комплексного подхода к обеспечению информационной безопасности. Регулярное обновление программного обеспечения, мониторинг сетевой активности и внедрение систем обнаружения вторжений остаются критически важными элементами защиты от подобных атак. Организациям рекомендуется провести аудит своих публично доступных сервисов и убедиться в отсутствии известных уязвимостей, которые могут быть использованы злоумышленниками для несанкционированного доступа.
