Закрываем уязвимости интерфейсов прикладных служб и веб-приложений Linux-инфраструктур

Коротко: что случилось

APT-группировки (Advanced Persistent Threat) Bearlyfy и Head Mare ведут целевые атаки с шифрованием данных в Linux-инфраструктуре российских организаций через публичные интерфейсы прикладных служб и веб-приложения.

Для повышения привилегий применяются LPE-эксплойты (CVE-2026-31431 Copy Fail, CVE-2026-43284/43500 Dirty Frag, CVE-2026-21533 и другие). Канал управления — gsocket-имплант поверх публичного релея gs.thc.org, шифровальщик — семейство GenieLocker.

Имплант может находиться в скрытой фазе до двух лет. Отсутствие текущей сетевой активности к gsocket-релеям ещё не означает чистоту инфраструктуры. Базовые меры: изоляция публичных интерфейсов через Security Groups, иммутабельные резервные копии в Yandex Object Storage с Object Lock в режиме Compliance, централизованный SSH через OS Login, мониторинг сетевой активности, в том числе через Flow- и DNS-логи.

Наши рекомендации

• Изолировать публично доступные интерфейсы прикладных служб (административные API, СУБД, интерфейсы агентов автоматизации, серверы видеоконференций) — доступ только из выделенного сегмента, никогда извне облака. Фильтрация на уровне ВМ — Security Groups в Yandex Compute Cloud, для публичных веб-фронтов — Yandex Smart Web Security.

• Сегментировать сеть по уровням доверия: чувствительные сегменты (базы данных, хранилища резервных копий) отделить от сегментов с прикладными службами, VPN-маршрутами и точками входа извне. Разрешённые направления — минимально необходимые. В Yandex Cloud это отдельные VPC или подсети с собственными Security Groups. NAT Gateway для централизации исходящего трафика. Yandex Cloud Interconnect для связности с корпоративной сетью.

• Отключить парольную аутентификацию SSH для служебных учётных записей. Для административного доступа — ключи и MFA. OS Login привязывает SSH-доступ к Linux-узлам к IAM-учётным записям: ключи централизуются, локальные ~/.ssh/authorized_keys перестают быть точкой управления, события подключения попадают в Yandex Audit Trails.

• Перевести резервные копии данных на иммутабельное хранилище. В Yandex Object Storage это Object Lock поверх версионированного бакета в режиме Compliance retention либо постоянный Legal Hold — Governance-режим скомпрометированная учётная запись с ролью storage.admin снимет.

• Применить минимальные привилегии: узкие IAM-роли для сервисных аккаунтов вместо статических ключей, ограничение конкретными бакетами и операциями. Секреты (пароли баз данных, токены) хранятся и ротируются в Yandex Lockbox.

• Мониторить исходящий трафик с прикладных узлов: соединения к нестандартным портам и обращения к неизвестным внешним адресам — приоритетный сигнал. Журналы хранить на максимальную доступную глубину — ретроспективный поиск важнее текущего из-за возможной скрытой фазы импланта. Yandex Cloud Logging централизует журналы из ВМ, Yandex Audit Trails доставляет изменения в IAM и события data plane, в том числе Flow- и DNS-логи. Сетевую видимость закрывает YCDR.

• Сканировать уязвимости в образах и артефактах Yandex Container Registry перед публикацией — встроенная функция, закрывает риски на стороне цепочки сборки.

• Контролировать целостность системных каталогов на Linux-узлах (/etc/cron.d/, /var/spool/cron/, /lib/systemd/system/, ~/.ssh/, ~/.config/ и других) — подходит osquery или аналогичный агент. Подозрительны подмена легитимных юнитов известных пакетов, cron-команды с pkill -0 и exec -a, маскировка процессов под ядерные потоки, учётные записи без следов создания и интерактивных входов, расхождение mtime и Birth time на годы.

• Сканировать файловую систему и память узлов YARA-правилами на сигнатуры известного инструментария (готовые правила — в разделе «Индикаторы компрометации»). Сканирование памяти важнее проверки только файловой системы — gsocket может запускаться из memfd без файла на диске.

• При обнаружении: не перезагружать и не выключать узел до снятия снимка системного диска, дисков данных и — по возможности — дампа памяти средствами Yandex Compute Cloud. Сетевая изоляция — через Security Groups, без отключения интерфейса. Обращение в техническую поддержку Yandex Cloud. Ротация всех учётных данных, доступных скомпрометированному узлу. Заранее настроенные Snapshot Schedule и Yandex Cloud Backup упрощают восстановление.

• Использовать встроенные средства: Yandex Identity Hub и федерацию удостоверений для централизованного управления административным доступом, с временем жизни сессии до шести часов. А также — Yandex Security Deck для выявления избыточного доступа и мисконфигураций инфраструктуры (CSPM), Kubernetes^®-кластеров (KSPM), поиска открытых секретов и чувствительных данных (DSPM). Кроме того, YCDR — для обнаружения вредоносной сетевой активности и контроля изменений в IAM. YCDR выносит аудит за пределы контура клиента — события сохраняются даже при полной потере инфраструктуры.

Если вам нужна дополнительная информация, пожалуйста, напишите на cloudtrust@yandex-team.ru.

Подробнее о уязвимости

Команда Yandex Cloud Detection and Response всё чаще наблюдает в клиентской инфраструктуре целевые атаки с шифрованием данных в Linux-средах — на узлах прикладных служб, виртуализации и баз данных.

В этом классе выделяются две активные APT-группировки, целенаправленно атакующие российские организации:

• Bearlyfy — публичная активность не позже января 2025 года, не позже марта-апреля 2026 года перешла на собственное семейство шифровальщиков GenieLocker, Linux-вариант встречается под именем hostd / Genie Ransomware.

• Head Mare — публичная атрибуция не позже 2023 года. Применяет собственные бэкдоры семейств PhantomCore, PhantomDL, PhantomHeart и кооперирует с группами Twelve и BO Team.

В 2026 году у обоих групп наблюдается повышенная активность. По данным F6, Kaspersky и Positive Technologies, они обмениваются инструментами и инфраструктурой.

От первичного закрепления до запуска шифрования у атакующих обычно уходит одни–двое суток. Точкой входа служат публично доступные интерфейсы прикладных служб (например, административные API, интерфейсы агентов автоматизации, серверы видеоконференций), а также уязвимые веб-приложения, перехваченные учётные данные и VPN-сессии.

Дальше — короткая разведка сканером fscan с подбором учётных данных СУБД, повышение привилегий локальными LPE-эксплойтами (CVE-2026-31431 Copy Fail, CVE-2026-43284/43500 Dirty Frag, CVE-2026-21533 и другими) и координированный запуск шифровальщика сразу на нескольких узлах в окне в несколько минут. Резервные копии данных, хранящиеся на тех же узлах или в общих каталогах с продуктивными данными, шифруются вместе с ними.

Канал управления — gsocket-имплант поверх публичного релея gs.thc.org (TLS на портах 443/7350). Реальный адрес оператора при таком транспорте не виден, стороны сопоставляются на релее по ключу из конфигурационного файла. Второй канал — обратный SOCKS5-прокси revsocks, нередко поверх WebSocket-over-HTTPS с подставным User-Agent легитимных приложений.

Для скрытых каналов C2 также применяются обратные SSH-туннели с переадресацией портов (ssh -R) на внешний узел оператора, а также утилиты GOST, rsocx, cloudflared и localtonet: соединение устанавливается изнутри скомпрометированной инфраструктуры и обходит входящие сетевые ограничения. Закрепление через systemd с маскировкой под легитимную службу, а также через cron-задачи. Имена процессов маскируются под ядерные потоки Linux через exec -a, метки mtime исполняемых файлов сдвигаются на годы назад (реальная дата — в Birth time). Иногда создаётся «фоновая» учётная запись без следов useradd и без интерактивных входов в wtmp.

Имплант может находиться в скрытой фазе годами. В одном из случаев между установкой и первой DNS-активностью к *.gs.thc.org прошло около 22 месяцев — пока с противоположной стороны релея нет оператора с тем же ключом, имплант не выходит в сеть. Отсутствие текущей сетевой активности к gsocket-релеям ещё не означает, что узел чист.

Индикаторы компрометации

Характерные имена файлов вредоносного ПО:

• defunct — gsocket-имплант (Linux)
• hostd — шифровальщик Genie Ransomware (семейство GenieLocker, Linux)
• revsocks, rev_socks, revsocks_linux_amd64 — обратный SOCKS5-прокси
• fscan — сетевой сканер
• Babuk ESXi-вариант для Linux/ESXi (применяется Head Mare)

Готовые YARA-правила:

• по gsocket — Multi_Hacktool_Gsocket.yar (Elastic);
• по семейству GenieLocker — репозиторий F6 DFIR.

Дополнительные индикаторы по данным публичных источников (Kaspersky, F6, Positive Technologies, Sansec):

• Сетевая инфраструктура: gs.thc.org и его поддомены (g., y., q., x.gs.thc.org) — публичный релей gsocket; ассоциированные с Head Mare управляющие узлы — 360nvidia[.]com, 5.252.176[.]47, 45.156.27[.]115, 45.87.246[.]40.

• Расширение зашифрованных файлов варианта Babuk для Linux/ESXi — .babyk; локальный журнал шифрования — /tmp/locker.log.

• Имена процессов gsocket-импланта под ядерные потоки Linux: [nm_percpu_wq], [kswapd0], [card0-crtc8], [slub_flushwq].

• Признаки gsocket: запуск из memfd (/proc/<pid>/exe как memfd: / (deleted)); строки gsocket-engine.c, gsocket-ssl.c, _GSOCKET_INTERNAL, GS_connect в бинарном файле; cron-задачи с base64-обёрнутой нагрузкой, запускающей имплант под маскированным именем.

• Эксплуатация уязвимостей TrueConf Server (BDU:2025-10114/10115/10116, закрыты в августе 2025 года): характерная строка в логах — the required argument for option '--Serial' is missing.

• Стиль записок о выкупе Bearlyfy — текст от лица персонажа Labubu; записки часто создаются и доставляются оператором вручную, а не самим шифровальщиком.