21 марта

Атаки на Quest KACE SMA используют критическую уязвимость CVE-2025-32975

Arctic Wolf сообщила о резком росте вредоносной активности, связанной с эксплуатацией CVE-2025-32975 — критической уязвимости обхода аутентификации, затрагивающей непатентованные экземпляры устройства управления системами Quest KACE SMA, доступные из Интернета.

По данным компании, уязвимость позволяет злоумышленникам выдавать себя за законных пользователей и в итоге получать полный административный контроль над системой. Хотя ошибка была исправлена еще в мае 2025 года, значительная часть установок, по оценке Arctic Wolf, по-прежнему остается не обновленной.

Как развивалась атака

Исследователи считают, что первоначальный доступ к затронутым системам мог быть получен с использованием функциональности KPluginRunProcess. После получения административных прав злоумышленники, вероятно, использовали этот механизм для выполнения удаленных команд.

Анализ журналов показал несколько характерных признаков компрометации:

использование полезных данных, закодированных в Base64;
загрузку файлов с определенного IP-адреса — 216.126.225.156;
создание канала связи для удаленного управления.

Закрепление в системе и расширение контроля

После проникновения в инфраструктуру атакующие демонстрировали явные признаки закрепления. В частности, они создавали дополнительные учетные записи администратора с помощью процессов Quest KACE, а затем добавляли эти учетные записи в административные группы. Такой подход позволял усиливать контроль над устройством и снижать зависимость от первоначального доступа.

Кроме того, злоумышленники запускали PowerShell-скрипты с обходом политики выполнения, причем делали это в скрытом контексте. По мнению Arctic Wolf, это использовалось для манипулирования системными конфигурациями и обеспечения постоянного доступа.

Также были зафиксированы изменения в реестре, которые, вероятно, были направлены на сохранение доступа даже в случае утраты исходной точки входа.

Credential Harvesting и использование Mimikatz

Еще одной тактикой, замеченной в ходе расследования, стало Credential Harvesting. Для извлечения конфиденциальной информации злоумышленники применяли такие инструменты, как Mimikatz.

Отдельно отмечается вариант вредоносного инструмента, замаскированный под asd.exe, что, вероятно, должно было помочь избежать обнаружения средствами защиты.

Что рекомендуют специалисты

Arctic Wolf подчеркивает, что организациям, использующим Quest KACE SMA, необходимо как можно скорее установить исправленные версии. Все версии, выпущенные до указанных исправлений, остаются уязвимыми.

Помимо обновления, компания рекомендует не размещать экземпляры KACE SMA в общедоступном Интернете. Если удаленный доступ необходим, его следует обеспечивать через VPN или firewall.

“Instances of KACE SMA should not be exposed to the public Internet.”

Таким образом, отчет Arctic Wolf указывает на продолжение активной эксплуатации уже известной критической уязвимости. Для администраторов KACE SMA это означает необходимость немедленной проверки обновлений, ограничение внешней доступности систем и контроль признаков компрометации в логах, конфигурациях и учетных записях.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Автор: Технологии киберугроз

Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.

Комментарии: