CitrixBleed 2: цепочка атак IAB ведёт к DragonForce

Охота за сессиями и SYSTEM-привилегиями: как CitrixBleed 2 открывает путь к DragonForce

Специалисты Huntress в первой половине 2026 года зафиксировали целенаправленную волну вторжений, в основе которой лежит стандартизированная семиступенчатая цепочка атаки. За ней стоит группировка Initial Access Brokers (IAB), действующая по чётко прописанному сценарию — от мгновенного обхода Multi-Factor Authentication (MFA) до полного захвата инфраструктуры. Анализ инцидентов показывает, что все звенья цепочки выстроены вокруг одной критической уязвимости и заканчиваются развёртыванием DragonForce ransomware.

Семиступенчатая модель вторжения

Расследование Huntress позволило выделить повторяющуюся схему, в которой каждый этап логически продолжает предыдущий. Ключевые шаги цепочки:

  • Эксплуатация уязвимости CitrixBleed 2 (CVE-2025-5777) на устройствах Citrix NetScaler.
  • Извлечение действительных session tokens из памяти устройства ещё до этапа аутентификации.
  • Перехват активного сеанса и эффективный обход Multi-Factor Authentication.
  • Повышение привилегий до SYSTEM с помощью техники Registry Symbolic Link.
  • Злоупотребление легитимной службой Application Management (AppMgmt) для создания fake-аккаунтов локальных администраторов.
  • Закрепление в среде через легальное remote access software (ScreenConnect, Zoho Assist).
  • Финальное развёртывание полезной нагрузки — DragonForce ransomware.

CitrixBleed 2: buffer overflow, открывающий сессионные токены

Центральным звеном атаки выступает CVE-2025-5777 — уязвимость класса buffer overflow в устройствах Citrix NetScaler, получившая имя CitrixBleed 2. Её опасность кроется в доступном pre-authentication векторе: злоумышленник отправляет специально сформированный POST-запрос на login endpoint, передавая empty login variable. Некорректная обработка такого запроса заставляет устройство leak memory fragments, в которых можно обнаружить действительные токены сеансов аутентифицированных пользователей.

«Стратегия эксплуатации выделяется чистотой исполнения. Вместо шумных brute-force attacks злоумышленники молча извлекают уже активные сессии и сразу обходят Multi-Factor Authentication», — отмечают в Huntress. Статистика инцидентов подтверждает, что этот вектор использовался значительно чаще любых попыток подбора учётных данных.

От SYSTEM-привилегий к полноценному бэкдору

Получив первоначальный доступ, атакующие немедленно повышают права. Излюбленный метод — Registry Symbolic Link в Windows Registry, позволяющий перенаправлять команды и модифицировать конфигурации защищённых служб. На практике это реализуется через легитимный механизм Application Management (AppMgmt), что даёт возможность выполнять код с привилегиями SYSTEM.

Такой подход открывает дорогу к созданию поддельных локальных административных учётных записей и установке надёжных бэкдоров. Для поддержания persistence и удалённого контроля злоумышленники разворачивают широко известное remote access software — ScreenConnect и Zoho Assist. Использование легитимных инструментов заметно снижает вероятность обнаружения, так как эти приложения часто присутствуют в корпоративных средах.

Финальная цель: DragonForce ransomware

В наиболее тяжёлых случаях, отслеженных Huntress, цепочка завершалась развёртыванием DragonForce ransomware. Шифровальщик запускался после того, как атакующие полностью контролировали среду, предварительно отключив средства защиты и выкрав конфиденциальные данные. Оперативный анализ показывает: время от первоначального проникновения до запуска вымогателя постоянно сокращается, что требует немедленной реакции со стороны защитников.

Как разорвать цепочку до того, как она сработает

Huntress рекомендует организациям, эксплуатирующим Citrix NetScaler, действовать без промедлений. Первоочередные меры включают:

  • Немедленную установку патчей для устранения CVE-2025-5777.
  • Мониторинг журналов на предмет Indicators of Compromise (IoCs), связанных с подозрительными POST-запросами и утечкой токенов.
  • Принудительное завершение всех потенциально перехваченных сессий и ротацию учётных данных.
  • Аудит использования remote access software — ScreenConnect, Zoho Assist и их аналогов — для выявления несанкционированных установок.
  • Проверку создания новых локальных административных учётных записей и аномалий в работе службы AppMgmt.

Быстрый и всесторонний ответ, по оценке экспертов, значительно снижает риск стать жертвой подобных многоступенчатых операций с вымогателями и не позволяет IAB доводить сценарий до логического конца.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: