СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
10.10.2025
#ИБ

Атака программ-вымогателей через подмену обновления: ADFS, RDP, компрометация AD

Атака программ-вымогателей через подмену обновления: ADFS, RDP, компрометация AD

Кратко: Инцидент начался с запуска пользователем вредоносного файла JavaScript, замаскированного под законное обновление браузера. Этот единственный акт стал входной точкой для целенаправленной кампании по сбору учетных данных, повышению привилегий и последующему разворачиванию механизмов закрепления в инфраструктуре организации.

Как произошел взлом — хронология ключевых событий

  • Первичный доступ: пользователь неосознанно запустил вредоносный файл JavaScript, замаскированный под обновление браузера.
  • Сбор учетных данных: злоумышленник собрал конфиденциальные материалы, включая RDP‑файлы и хранилища паролей, где часто хранятся данные аутентификации.
  • Аутентификация через ADFS: примерно через 2 часа злоумышленник прошел аутентификацию под учетной записью скомпрометированного пользователя через ADFS на контроллере домена, доступном только для чтения (RODC). В журналах событий было обнаружено наличие маркера с повышенными правами, что указывает на успешное повышение привилегий.
  • Поиск целей и включение удаленного доступа: после получения административных привилегий злоумышленник исследовал сеть и целенаправленно нацелился на ноутбуки администраторов домена, включив на них RDP для обеспечения интерактивного доступа.
  • Получение прав администратора домена и закрепление: примерно через 24 часа с начала атаки злоумышленник получил права администратора домена и развернул несколько механизмов закрепления и детального мониторинга инфраструктуры, включая активный анализ Active Directory, сетевое обнаружение и анализ файлов.

«Изначальный запуск вредоносного JavaScript позволил злоумышленнику скомпрометировать конечную точку и инициировать обширные операции по сбору учетных записей и повышению привилегий».

Методы и признаки активности злоумышленника

  • Фишинговая доставка вредоносного JavaScript под видом легитимного обновления.
  • Поиск и эксфильтрация локальных хранилищ учетных данных и RDP‑профилей.
  • Использование ADFS для эскалации доступа и последующей аутентификации на контроллерах домена.
  • Целенаправленное включение RDP на устройствах администраторов для интерактивного доступа.
  • Анализ Active Directory и детальное сетевое и файловое разведывательное исследование перед разворачиванием механизмов закрепления.

О чем свидетельствует поведение атакующих

Последовательность действий показывает, что атака была тщательно спланирована и хорошо обеспечена ресурсами: злоумышленники использовали как автоматизированные инструменты сбора учетных данных, так и целенаправленные операции по повышению привилегий и закреплению. Быстрое получение прав администратора домена и разворачивание механизмов закрепления через ~24 часа говорит о высокой эффективности и опыте атакующих.

Риски и последствия

  • Потеря контроля над учетными записями с высокими привилегиями, включая администратора домена.
  • Утечка конфиденциальных учетных данных и потенциальная компрометация связанных сервисов.
  • Длительное скрытое присутствие в сети при отсутствии своевременного обнаружения и реагирования.
  • Высокая вероятность развертывания программы‑вымогателя и значительных перебоев в бизнес‑процессах.

Рекомендации по защите и снижению риска

  • Усилить обучение пользователей: не запускать загрузки под видом обновлений и проверять источник обновлений браузера.
  • Минимизировать хранение учетных данных на рабочих станциях; использовать централизованные и защищенные хранилища паролей.
  • Ограничить и мониторить использование RDP: включать его только при необходимости, применять многофакторную аутентификацию и жесткие политики доступа.
  • Контролировать и защищать процессы аутентификации через ADFS; отслеживать аномалии входа и маркеры с повышенными правами в логах.
  • Ограничить привилегии административных учетных записей и сегментировать сеть, чтобы усложнить lateral movement.
  • Обеспечить готовность к инцидентам: эффективно организовать обнаружение угроз и процедуры быстрого реагирования (IR) для минимизации времени присутствия злоумышленника.

Вывод

Этот инцидент демонстрирует типичную для современных атак программу: одна удачная фаза социальной инженерии (в данном случае — вредоносный JavaScript под видом обновления) привела к каскаду опасных событий: сбору учетных данных, эскалации привилегий через ADFS, интерактивному доступу по RDP и вскоре — к правам администратора домена и закреплению в инфраструктуре. Главный вывод — необходимость комбинированного подхода: профилактика через образование пользователей, технические ограничения и проактивный мониторинг для своевременного обнаружения и нейтрализации подобных угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: