Дослідники російської компанії Solar 4RAYS виявили раніше невідому кіберзлочинну групу Proxy Trickster, яка спеціалізується на монетизації захоплених серверів через майнінг цифрових валют та створення мережі проксі-серверів. Протягом періоду активності зловмисники успішно скомпрометували 874 сервери у 58 країнах світу, включаючи інформаційні системи на території пострадянського простору.
Хронологія виявлення та методи роботи кіберзлочинців
Перше виявлення діяльності групи відбулося у березні 2025 року під час розслідування інциденту інформаційної безпеки в російській IT-компанії. Однак детальний аналіз цифрових слідів показав, що перші атаки Proxy Trickster розпочалися ще у травні 2024 року, що свідчить про тривалу та методичну кампанію.
Бізнес-модель хакерів базується на двох основних напрямках монетизації скомпрометованих ресурсів. По-перше, зловмисники використовують обчислювальні потужності захоплених серверів для видобутку криптовалют. По-друге, застосовують технологію проксіджекінгу — перетворюють інфіковані сервери на проксі-вузли та реалізують доступ до них у даркнет-сегментах.
Технічні аспекти атак та вектори компрометації
Аналітики компанії Cado Security відзначають, що група активно експлуатує відомі вразливості в системах Selenium Grid для початкового проникнення до цільових систем. Проте дослідження Solar 4RAYS продемонструвало, що кіберзлочинці не обмежуються єдиним вектором атаки та націлюються на різноманітні публічно доступні сервіси з неусуненими вразливостями безпеки.
Особливу увагу привертають розвинені техніки приховування присутності в системі. Хакери замінюють стандартні системні утиліти (ps, pstree, pkill) на модифіковані скрипти, які маскують шкідливі процеси під легітимні системні завдання типу [kworker/u8:1-events_unbound]. Такий підхід значно ускладнює виявлення компрометації системними адміністраторами при рутинному моніторингу.
Географічний розподіл та масштаби загрози
Статистика розподілу атакованих серверів демонструє глобальний характер операцій групи. Найбільша кількість скомпрометованих систем зафіксована у США (16% від загальної кількості), далі йдуть Німеччина (6%), Росія (4%), Україна (4%) та Франція (4%). Такий розподіл вказує на те, що географічне розташування цілі не є визначальним фактором для зловмисників.
Експерти класифікують Proxy Trickster як напівпрофесійну групу, яка, незважаючи на комерційну мотивацію, використовує складні інструменти та методики, характерні для APT-груп. Багаторівнева автоматизація атак та збереження довгострокового доступу до скомпрометованих систем створюють потенціал для більш серйозних кіберзагроз у майбутньому.
Довгострокові ризики та еволюція загрози
Збереження зловмисниками доступу до захоплених серверів представляє довгострокову загрозу для сотень організацій у всьому світі. Накопичена інфраструктура скомпрометованих систем може бути використана для проведення більш складних атак або продана іншим кіберзлочинним угрупованням на тіньовому ринку.
Іван Сюхін, керівник групи розслідування інцидентів Solar 4RAYS, підкреслює важливість проактивного підходу до захисту: організаціям слід посилити моніторинг своїх інформаційних систем та своєчасно усувати відомі вразливості, щоб не стати наступною ціллю групи Proxy Trickster.
Виявлення нової кіберзагрози підкреслює критичну важливість комплексного підходу до забезпечення інформаційної безпеки. Регулярне оновлення програмного забезпечення, безперервний моніторинг мережевої активності та впровадження систем виявлення вторгнень залишаються ключовими елементами захисту від подібних атак. Організаціям рекомендується провести аудит своїх публічно доступних сервісів та переконатися у відсутності відомих вразливостей, які можуть бути використані зловмисниками для несанкціонованого доступу до корпоративних ресурсів.
