Anubis: VPN-учетные данные и CitrixBleed 2 ведут к взлому
Вымогатель Anubis: эволюция угрозы и уроки для защиты
С начала 2026 года эксперты Arctic Wolf фиксируют серию инцидентов, связанных с деятельностью группировки, распространяющей вымогательское ПО Anubis. Анализ раскрывает системный подход злоумышленников, который сочетает эксплуатацию критических уязвимостей, мастерскую мимикрию под легитимную ИТ-активность и охоту за наиболее ценными активами компаний.
Вход через доверенные каналы
Первоначальный доступ, как правило, реализуется двумя путями. Первый — использование действительных учётных данных VPN, что сразу помещает атакующего внутрь периметра без лишнего шума. Второй вектор — эксплуатация уязвимости CitrixBleed 2 (CVE-2025-5777). Эта брешь класса «раскрытие памяти до аутентификации» позволяет перехватывать сеансы и обходить многофакторную аутентификацию (MFA). В ходе расследований неоднократно фиксировались подключения к скомпрометированным системам с публичных IP-адресов, принадлежащих VPS-провайдерам, — особенно при компрометации легитимных VPN-решений, таких как Cisco AnyConnect.
Маскировка под ИТ-поддержку
Отличительная черта операторов Anubis — ставка на легитимные инструменты удалённого управления и мониторинга (RMM). Такой выбор позволяет действовать под прикрытием рутинных административных задач, не привлекая внимания SOC. В расследованных кейсах фигурировали:
- ScreenConnect
- Zoho Assist
- MeshAgent
Через эти инструменты злоумышленники осуществляли передачу файлов и удалённое выполнение команд, сохраняя постоянный доступ к среде. Там, где требовалось спрятать канал эксфильтрации, разворачивался cloudflared: с его помощью создавались исходящие туннели на Windows-серверах или устройствах NAS, обеспечивая скрытный вывоз данных.
Движение и эскалация: RDP, PsExec и охота за «коронами»
После закрепления атакующие переходили к латеральному перемещению, активно используя связку RDP и PsExec. Их главными целями становились системы с высокой ценностью:
- Службы удалённого рабочего стола Microsoft
- Контроллеры домена
- Файловые серверы
- Системы резервного копирования
- Устройства NAS
Компрометация любого из этих узлов серьёзно осложняла восстановление. Параллельно шёл сбор учётных данных — в арсенале группы замечен Mimikatz, позволяющий извлекать конфиденциальную информацию из памяти процессов.
Предшифровальная фаза: облачные хранилища и обход защиты
Перед финальным аккордом Anubis проводит тщательную подготовку. Для выгрузки массивов данных злоумышленники применяют облачные утилиты, в частности S3 Browser и rclone. Эти же артефакты нередко служат индикатором того, что развёртывание шифровальщика неизбежно.
Чтобы замести следы и продлить присутствие, операторы прибегают к агрессивным стратегиям обхода защиты. Фиксируются попытки отключения средств защиты конечных точек и целенаправленное изменение журналов безопасности. Такой подход существенно затрудняет пост-инцидентный анализ и реконструкцию хронологии вторжения.
Уникальный почерк и универсальный сценарий атаки
Завершающий этап — исполнение самого вымогательского ПО — оставляет характерную метку: все зашифрованные файлы получают расширение .anubis. Повторяющаяся цепочка событий выглядит так:
- Подозрительный удалённый доступ (часто через скомпрометированные VPN с VPS-адресов);
- Закрепление через легитимные RMM-агенты;
- Горизонтальное и вертикальное перемещение с использованием RDP, PsExec и кражи учётных данных;
- Эксфильтрация через облачные каналы на фоне глушения защитных механизмов;
- Запуск шифровальщика Anubis.
Рекомендации: как не стать жертвой Anubis
Поскольку группа активно использует легитимное администрирование как оружие, ключ к раннему обнаружению — аномальная активность, а не сигнатуры вредоносного ПО. Эксперты Arctic Wolf рекомендуют реализовать следующие защитные меры:
- Приоритетное закрытие уязвимостей: в первую очередь тех, что ведут к раскрытию памяти и обходу MFA (таких как CitrixBleed 2).
- Контроль RMM-инструментов: мониторинг несанкционированных установок ScreenConnect, Zoho Assist, MeshAgent и им подобных, а также аудит их легитимных инсталляций на предмет подозрительного поведения.
- Изоляция резервных копий: поддержание офлайн- или иммьютабельных бэкапов, недоступных из скомпрометированной среды через RDP или протоколы NAS.
- Обнаружение туннелей: отслеживание аномальных исходящих соединений, особенно с участием cloudflared, и внезапных подключений к облачным S3-хранилищам.
- Защита учётных записей: оперативное выявление пассивного сбора дампов памяти (Mimikatz) и нехарактерного использования PsExec для удалённого выполнения команд.
Anubis продолжает совершенствовать тактики, стирая грань между действиями администратора и атакующего. Способность изолировать эти процессы на ранней стадии — единственный способ снизить риск вымогательства до того, как файлы получат расширение .anubis.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



