Автосайт unit-car.com

Сдвиг трафика: 93.95.97.28, 04.02.2026 14:52:28

04.02.2026 12:08

Запись с отметкой 04.02.2026 14:52:28, поступившая от узла 93.95.97.28, подняла флаг высокой приоритетности в корневом сегменте SIEM. Система выделила цепочку из семи последовательных TCP-сеансов, каждый длился менее шести секунд, что нетипично для обычного обмена данными внутри подсети бухгалтерии. Аналитическая группа приступила к проверке контекста без задержек, поскольку несколько узлов отдела кадров уже находились под прямым запретом исходящего трафика после утренней проверки. Подробнее см. https://therapywithflo.org/.

Сдвиг трафика: 93.95.97.28, 04.02.2026 14:52:28

Исходные данные

Первый сеанс инициировал SYN-пакет с нестандартным флагом ECE, сразу попал под фильтр IPS. Стек пакетов показал размер полезной нагрузки 74 байта, содержащий байтовую подпись, похожую на вариант Meterpreter 6.1. Дальнейшая распаковка продемонстрировала обфускацию через XOR-шаблон 0x3C. Маршрутизатор ядра подтвердил, что источник находился в том же VLAN, куда ранее временно переместили виртуальную машину тестовой сборки. Исходящие пакеты проходили NAT средством edge-шлюза, маскируясь под легитимный резервный канал облачного бэкапа.

Во второй сессии наблюдалась установка TLS 1.2 с отключённым снижением протокола и ручным выбором набора шифров ECDHE-RSA-AES128-GCM-SHA256. Сертификат издан фальшивым центром London-Secure-CA, чей домен ликовал на прошлой неделе при расследовании кейса с ботсетью DeepFleet. Шифрование помешало прямому просмотру содержимого, однако JARM-отпечаток совпал на 97 % с узлом в автономной системе AS48447, отмеченной как площадка Bulletproof-Infra. На третьей минуте анализа трафик начал иссякать, а сама точка 93.95.97.28 перешла в пассивный режим, отправляя ттолько ARP-пробу каждые две секунды.

Рабочая гипотеза

Первичная корреляция индикаторов указывает на стадию lateral movement после успешного обхода контроля учётных записей. Лог PAM-модуля зафиксировал попытку входа под пользователем b_fin с пустым полем TO, что свидетельствует о вызове через библиотеку libssh-0.10, а не локальную консоль. Злоумышленник, вероятно, адаптировал open-source модуль ssh-juggle, позволивший создать туннель поверх 80 порта внутри прозрачного прокси веб-сервиса департамента закупок. Временная таблица Netflow демонстрирует всплеск исходящих пакетов ровно в тот момент, когда сервис учёта инвентаризации генерировал ночную выгрузку. Через пять секунд наблюдался импорт пользовательского ключа в контейнер LUKS, после чего произошло чтение каталога /share/payroll.

Глубокий анализ памяти компрометированного хоста вернул фрагменты скрипта на Nim с зашитым токеном Telegram-BotAPI. Скрипт считывал данные блоками по 2048 байт, сжимал LZ4-алгоритмом и отправлял через HTTP POST на хост домена img-cdn-mirror[.]com. Инфраструктура adversary использовала хитрый трюк: домен резолвился по GeoDNS на подсеть оффшорного CDN, затрудняя блокировку без риска для легитимного медиаконтента.

Операция квалифицируется как направленная кража платёжных ведомостей. Контроль осуществлялся с внутреннего узла, имитировавшего тестовую машину. В результате скоординированных действий удалось перехватить остаточную сессию, извлечь скрипт и установить связь с AS48447. Компенсирующие меры включают немедленную замену ключей SSH, ужесточение правил East-West-трафика и вывод тестовых виртуальных машин в отдельный сегмент с полной записью PAM-событий. Дополнительный слой — внедрение JARM-мониторинга в NIDS для раннего оповещения о подозрительных TLS-установках.

Сигнал тревоги из IDS поступил 4 февраля 2026 года в 15:06:35 по московскому времени. Источник — 93.95.97.28, целевой порт 443 на внутренний сервер бухгалтерии. Первым шагом команда форензики зафиксировала неизменность исходных журналов, сняла побайтную копию и продублировала её на изолированный носитель.

Извлечение данных

Для изучения сетевых следов выгрузили потоки NetFlow за интервал с 14:55 до 15:20. Хэш SHA-256 файла журнала сохранён в отчёте: 6f2f… Проверка журнала показала 128 пакетов от 93.95.97.28 к внутреннему узлу 10.7.42, трафик шёл с резким ростом TTL (128=64), что указывает на подмену источника близкого к границе периметра. Одновременно syslog-сервер зафиксировал запрос на смену конфигурации через API, инициатор тот же IP.

Корреляция артефактов

Платформа SIEM сопоставила запись auth.log с идентификатором session_id=792af и событие зондирования порта 135, обнаруженное сканером три часа ранее. Оба события имеют общий User-Agent "curl/7.88.1-x". Аномалия расписания cron, созданная под учётной записью app_sync, была привязана к тому же идентификатору сеанса. Checksums файлов конфигурации до и после вторжения различаются, изменена директива proxy_pass на 185.183.96.14.

Хронология подтверждает цепочку: разведка сетевых сервисов, попытка подмены HTTP-заголовков, внедрение фальшивого обратного прокси, экспорт данных бухгалтерии. 93.95.97.28 действует как промежуточный узел, маскирующий конечного оператора. Блокировка диапазона 93.95.96.0/23, ревизия прав сервисных аккаунтов, пересоздание секретов с привязкой к HSM, обновление правил SIEM с учётом выявленных индивидуальныхикаторов: session_id, User-Agent, TTL-паттерн — достаточные контрмеры для пресечения повторного вторжения.