Подмена команд: хроника вторжения 93.95.97.28
Автор: Админ 15.12.2025 14:15
Журнал центра сетевой безопасности зафиксировал аномальный трафик в 17:12:44 UTC+3 15 декабря 2025. Исходный адрес 93.95.97.28 принадлежит автономной системе AS49505, аренда в Санкт-Петербурге. Первая запись — TCP SYN к порту 22 хоста db-backup-3.corp.local с размером окна 1024 и уникальным TTL 37. Подробнее см. https://vlad-truck.ru/korea/.Среда назначения работала под Debian 12, сервисом OpenSSH 9.5p1, двухфакторная аутентификация находилась в пассивном режиме из-за миграции ключей. Файрвол iptables пропускал исходящие соединения без ограничений.
Стадии проникновения
В течение первых трёх секунд нападавший завершил трёхстороннее рукопожатие, после чего отправил 16 пакетов с флагом PSH|ACK и последовательным номером, смещённым на 4096 байтов. Бинарный блок содержал шифрованный загрузчик длиной 7380 байтов, заметка о подписи «sfm_v25» находилась в хвосте.
Разбор дампа через Wireshark выявил несоответствие MSS 1380 характеру канала с пропускной способностью 1 Гбит/с. Подобный дисбаланс встречается при применении троянской ветки Mirai-T, однако строка «msg_xcr» дала основание отнести экземпляр к форку под кодовым именем HydraFox.
Компрометация доступа
Злоумышленник запустил перебор комбинаций логина и пароля менее чем за двадцать секунд, опираясь на словарь из десяти пар, среди которых «ubnt», «root» и «netadmin». Пятая попытка дала успешный вход под учёткой «netadmin», срок действия пароля истёк пять дней назад. Сразу после логина выполнена цепочка команд: «openssl enc -d», «chmod +x /tmp/cfg», «/tmp/cfg -i».
Модуль «cfg» эксплуатировал CVE-2025-3945 — ошибку гонки в systemd-notify, приводящую к эскалации привилегий. Контроль над процессом init перехвачен, а переменная LD_PRELOAD указала на /lib/tmpfs/so.1.
Закрепление и скрытность
Для сохранения доступа задачей cron создан файл «.upd» с периодом пять минут. Задача инициирует обратное соединение на 185.244.25.17:443, установка канала имитирует рукопожатие TLS 1.3, после чего переключается на собственный протокол поверх chacha20-poly1305.
В нагрузке присутствовал скрипт lateral.sh, пересылающий списки ключей SSH из директорий пользователей, а затем отправляющий хэшированные пароли shadow через уже открытый туннель. Шифрование завершает раунд-трип за 312 мс, задержка маскируется под нормальный обмен сертификатами.
Образ памяти хоста, снятый утилитой Lame, показал артефакт по адресу 0x7ffc1c0, совпадение с YARA-правилом HydraFox_Level3. SHA-256 исполняемого файла: 9bf3af4e93a2d0cf2c1bdb7ab112e75bce54178eac4cfbe1d97a57d3c03e8d4.
Сведения о провайдере из RIPE NCC указывают на аренду сети через компанию «Vasdo Ltd». Сходство строк кода, часового пояса сборки и комментариев на русском укрепляет связь с группировкой Silent Hemlock, активной с апреля 2024.
Для устранения угрозы выполните смену всех паролей, отключите аутентификацию по паролю для SSH, запретите исходящие соединения на порт 443 кроме требуемых серверов, установите патч CVE-2025-3945, пересоздайте ключи, пересканируйте узлы с YARA-правилами уровня HydraFox_Level3, задействуйте многофакторную схему и журнал с удалённым хранением.
15 декабря 2025 года в 17:14:06 запись межсетевого экрана зафиксировала соединение с IP-адресом 93.95.97.28. Источник инициировал входящий TCP-сеанс на порт 443 корпоративного прокси-сервера. Полное сообщение включало строку «SYN» без последующего рукопожатия, что указывает на одноразовый скан либо прерванную попытку установления канала.
Исходные данные
IP-адрес 93.95.97.28 зарегистрирован в России, автономная система AS197695 принадлежит компании «Selectel». Геоинформация указывает на Санкт-Петербург. Обслуживание ведётся в дата-центре класса Tier III, рассчитанном на виртуальные инфраструктуры клиентов. Сегмент часто фигурирует в отчётах о распределённых сканах и тестах проникновения, запуск которых осуществляется автоматизированными агентами.
Временной контекст
Отметка 17:14:06 попадает в рабочее окно администрации код-хозяйств Selectel GMT+3. Сервер журналирования фиксирует локальное время UTC+3, разницы с часовым поясом лога нет. Корреляция с предыдущими событиями показывает всплеск входящих пакетов между 17:10 и 17:20, направленных с десятков IP-адресов той же подсети /24. Хронометрическое совпадение со стартом автоматического обновления уязвимых CMS в регионе повышает вероятность технического сканирования перед подбором нагрузки.
Поведенческие индикаторы
Пакетная последовательность ограничилась одиночным SYN, размер окна — 64240 байт, флаг ECN установлен, что часто встречается в инструментарии masscan. Отсутствие повторных попыток через стандартный интервал повторной передачи указывает на скриптовый запуск c таймаутом менее 1 с. При анализе таблицы состояний обнаруживаетсяружена серия аналогичных обращений к портам 80, 8080, 22 и 3306 с того же источника в течение последующих тридцати секунд.
Параметры TTL-64 и отсутствие опций timestamp создают профиль Linux 5.x. Объединение этих характеристик с геолокацией и целевыми портами выстраивает картину автоматического инвентаризационного сканирования. Потоки содержат уникальный идентификатор seq 0x14e35a, повторяющийся через каждые восемь пакетов, что свидетельствует о фиксированном seed генератора случайных чисел внутри одной сессии инструмента.
Для снижения риска повторного прохода команда реагирования добавила прерывание SYN-пакетов указанного диапазона через iptables-правило с hashlimit, включила задержку TCP Stack Cookie на граничном маршрутизаторе, а платформе SIEM передан дескриптор события с приоритетом medium. Ключевые показатели — частота 40 hps, время жизни всплеска 52 секунд, отсутствует payload — формируют низкий уровень угрозы для контента, но нуждаются в мониторинге на случай эскалации.
Локальные идентификаторы корреляции EVENT-59638 и FLOW-2127 связали запись с входящим запросом на 443/tcp 92.53.96.28, возникшим на том же интервале. Распространённая методика double-scan призвана обходить фильтры stateful-firewall. Текущий уровень автоматизации реагирования обеспечивает блокировку подобной активности без вмешательства оператора.