Anubis: VPN-учетные данные и CitrixBleed 2 ведут к взлому

Вымогатель Anubis: эволюция угрозы и уроки для защиты

С начала 2026 года эксперты Arctic Wolf фиксируют серию инцидентов, связанных с деятельностью группировки, распространяющей вымогательское ПО Anubis. Анализ раскрывает системный подход злоумышленников, который сочетает эксплуатацию критических уязвимостей, мастерскую мимикрию под легитимную ИТ-активность и охоту за наиболее ценными активами компаний.

Вход через доверенные каналы

Первоначальный доступ, как правило, реализуется двумя путями. Первый — использование действительных учётных данных VPN, что сразу помещает атакующего внутрь периметра без лишнего шума. Второй вектор — эксплуатация уязвимости CitrixBleed 2 (CVE-2025-5777). Эта брешь класса «раскрытие памяти до аутентификации» позволяет перехватывать сеансы и обходить многофакторную аутентификацию (MFA). В ходе расследований неоднократно фиксировались подключения к скомпрометированным системам с публичных IP-адресов, принадлежащих VPS-провайдерам, — особенно при компрометации легитимных VPN-решений, таких как Cisco AnyConnect.

Маскировка под ИТ-поддержку

Отличительная черта операторов Anubis — ставка на легитимные инструменты удалённого управления и мониторинга (RMM). Такой выбор позволяет действовать под прикрытием рутинных административных задач, не привлекая внимания SOC. В расследованных кейсах фигурировали:

  • ScreenConnect
  • Zoho Assist
  • MeshAgent

Через эти инструменты злоумышленники осуществляли передачу файлов и удалённое выполнение команд, сохраняя постоянный доступ к среде. Там, где требовалось спрятать канал эксфильтрации, разворачивался cloudflared: с его помощью создавались исходящие туннели на Windows-серверах или устройствах NAS, обеспечивая скрытный вывоз данных.

Движение и эскалация: RDP, PsExec и охота за «коронами»

После закрепления атакующие переходили к латеральному перемещению, активно используя связку RDP и PsExec. Их главными целями становились системы с высокой ценностью:

  • Службы удалённого рабочего стола Microsoft
  • Контроллеры домена
  • Файловые серверы
  • Системы резервного копирования
  • Устройства NAS

Компрометация любого из этих узлов серьёзно осложняла восстановление. Параллельно шёл сбор учётных данных — в арсенале группы замечен Mimikatz, позволяющий извлекать конфиденциальную информацию из памяти процессов.

Предшифровальная фаза: облачные хранилища и обход защиты

Перед финальным аккордом Anubis проводит тщательную подготовку. Для выгрузки массивов данных злоумышленники применяют облачные утилиты, в частности S3 Browser и rclone. Эти же артефакты нередко служат индикатором того, что развёртывание шифровальщика неизбежно.

Чтобы замести следы и продлить присутствие, операторы прибегают к агрессивным стратегиям обхода защиты. Фиксируются попытки отключения средств защиты конечных точек и целенаправленное изменение журналов безопасности. Такой подход существенно затрудняет пост-инцидентный анализ и реконструкцию хронологии вторжения.

Уникальный почерк и универсальный сценарий атаки

Завершающий этап — исполнение самого вымогательского ПО — оставляет характерную метку: все зашифрованные файлы получают расширение .anubis. Повторяющаяся цепочка событий выглядит так:

  • Подозрительный удалённый доступ (часто через скомпрометированные VPN с VPS-адресов);
  • Закрепление через легитимные RMM-агенты;
  • Горизонтальное и вертикальное перемещение с использованием RDP, PsExec и кражи учётных данных;
  • Эксфильтрация через облачные каналы на фоне глушения защитных механизмов;
  • Запуск шифровальщика Anubis.

Рекомендации: как не стать жертвой Anubis

Поскольку группа активно использует легитимное администрирование как оружие, ключ к раннему обнаружению — аномальная активность, а не сигнатуры вредоносного ПО. Эксперты Arctic Wolf рекомендуют реализовать следующие защитные меры:

  • Приоритетное закрытие уязвимостей: в первую очередь тех, что ведут к раскрытию памяти и обходу MFA (таких как CitrixBleed 2).
  • Контроль RMM-инструментов: мониторинг несанкционированных установок ScreenConnect, Zoho Assist, MeshAgent и им подобных, а также аудит их легитимных инсталляций на предмет подозрительного поведения.
  • Изоляция резервных копий: поддержание офлайн- или иммьютабельных бэкапов, недоступных из скомпрометированной среды через RDP или протоколы NAS.
  • Обнаружение туннелей: отслеживание аномальных исходящих соединений, особенно с участием cloudflared, и внезапных подключений к облачным S3-хранилищам.
  • Защита учётных записей: оперативное выявление пассивного сбора дампов памяти (Mimikatz) и нехарактерного использования PsExec для удалённого выполнения команд.

Anubis продолжает совершенствовать тактики, стирая грань между действиями администратора и атакующего. Способность изолировать эти процессы на ранней стадии — единственный способ снизить риск вымогательства до того, как файлы получат расширение .anubis.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: