Почему эта атака опасна именно для Windows?

Потому что новая версия SprySOCKS умеет использовать функции уровня ядра, прятать процессы, файлы и сетевые следы. Это снижает шансы, что обычный контроль увидит заражение вовремя.

Можно ли заметить такой вредонос только по открытым портам?

Скорее нет. Исследователи описали перенаправление TCP-трафика к бекдору так, чтобы реальный порт не светился в сети. Нужны поведенческий мониторинг и анализ событий на хосте.

Что важнее всего проверить в корпоративной сети?

Автозапуск, задания планировщика, подозрительные драйверы, настройки IFEO и журналы сетевой активности. Именно там такие угрозы чаще всего оставляют следы.

SprySOCKS на Windows: разбор атаки на госорганы

Вредонос SprySOCKS, который раньше связывали в основном с Linux, получил Windows-версию и уже применялся в атаках на госорганизации как минимум в четырех странах — Тайване, Таиланде, Пакистане и Гондурасе. По данным ESET, за операцией с высокой вероятностью стоит группа Earth Lusca, известная также как FishMonger.

Главная новость тут не в самом вредоносе, а в том, как быстро он переехал на новую платформу. Для атакующих это способ расширить охват: одна и та же инфраструктура, но больше типов машин и больше шансов закрепиться в сети надолго.

История инцидента

Исследователи заметили две Windows-версии семейства: WIN_DRV и WIN_PLUS. Обе умеют работать по TCP, UDP и WebSocket, собирать сведения о системе, управлять процессами и службами, а также читать и загружать файлы. Кроме того, они поддерживают SOCKS-прокси и могут действовать как клиент и сервер.

Для атак госструктур это особенно неприятный набор. Такие инструменты дают не только удаленный доступ, но и гибкость: оператор может тихо перемещаться внутри сети, менять тактику и использовать зараженный хост как промежуточную точку.

Отдельно ESET отметила функции слежки за вводом с клавиатуры, буфером обмена и активными окнами. То есть речь идет уже не просто о «бекдоре», а о полноценном наборе для разведки и закрепления в инфраструктуре.

Что пошло не так в защите

Слабое место здесь — не одна уязвимость, а сочетание нескольких приемов скрытности. WIN_DRV использует драйверы уровня ядра, чтобы прятать процессы, сетевые соединения, файлы и ключи реестра. Это уже почти rootkit-подход, где вредонос старается выглядеть как часть системы.

Кроме того, оператор может перенаправлять специально сформированный TCP-трафик к бекдору, не светя реальный слушающий порт. Для защитников это означает, что обычная проверка открытых портов может ничего не показать. В похожих кейсах лучше работают поведенческие методы и корреляция событий, о чем мы уже писали в разборе почему сигнатуры устаревают, а поведенческая аналитика выигрывает.

Еще один тревожный момент — устойчивость после перезагрузки. WIN_DRV использует запланированные задачи и Image File Execution Options, а WIN_PLUS регистрируется как Windows Print Processor. Такие механизмы часто выглядят легитимно и потому дольше живут незамеченными.

Исследователи также увидели следы загрузчика драйвера, подписанного украденным сертификатом. Это важный сигнал для ИТ-служб: если злоумышленник проходит проверку подписи, стандартные доверительные механизмы уже не спасают.

Уроки для читателя

Первый вывод простой: атака почти никогда не упирается в одну программу. Злоумышленники ищут сочетание слабых мест — права пользователя, доверие к подписанным драйверам, отсутствие контроля процессов и слабый мониторинг исходящих соединений.

Второй вывод касается корпоративной дисциплины. Если на рабочих станциях нет контроля за запуском драйверов, автозагрузкой, задачами планировщика и необычными сетевыми потоками, вредонос с функциями скрытности может жить неделями. Для этой истории особенно важны журналы событий, EDR и контроль целостности системы.

Третий вывод полезен и обычным пользователям. Даже если компьютер не похож на цель госуровня, похожие техники потом мигрируют в более массовые кампании. Именно так работают многие китайскоязычные группы: сначала сложная атака на «ценную» цель, потом упрощенная версия для более широкой аудитории.

Если вам нужен дополнительный слой шифрования трафика на личном устройстве, разумно выбирать инструмент до поездки или выхода из офиса, а не в момент проблемы. В качестве одного из вариантов можно заранее настроить защищенный канал для личных устройств, чтобы не заниматься этим в спешке.

Практические выводы и чек-лист

Для организаций:

Проверьте, включен ли контроль запуска драйверов и есть ли у вас список разрешенных подписей.
Просмотрите задания планировщика, IFEO-настройки и печатные процессоры на рабочих станциях.
Настройте мониторинг необычных TCP- и UDP-соединений, особенно если порт снаружи не выглядит подозрительно.
Сверьте сетевые индикаторы с поведенческими событиями EDR, а не полагайтесь только на сигнатуры.
Проведите аудит прав локальных администраторов и уберите лишние привилегии.

Для обычных пользователей:

Обновляйте Windows и встроенный защитный софт без задержек.
Не запускайте файлы из писем и мессенджеров, если не уверены в источнике.
Проверяйте автозагрузку и странные задачи в системе после сбоев или «тормозов».
Следите за тем, не меняется ли поведение браузера, клавиатуры или буфера обмена без причины.
Если устройство начинает вести себя странно, сначала проверьте систему на вредонос, а уже потом ищите проблему в сети.