СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
3 часа назад
#ИБ#Инфра

CVE-2026-41940: взлом cPanel и утечка данных инфраструктуры

29 апреля 2026 года была раскрыта уязвимость CVE-2026-41940, затрагивающая платформы cPanel и WHM. Она позволяла выполнить критическое authentication bypass, открывая несанкционированный доступ к панелям управления. Уже в первые дни после публикации эксплуатация уязвимости начала быстро распространяться и, по данным аналитиков, была сосредоточена прежде всего на военных и государственных структурах в Юго-Восточной Азии, а также на ряде hosting providers.

Кто стал целью атаки

Согласно отчету, основное внимание злоумышленников было направлено на организации на Филиппинах и в Лаосе. При этом среди целей фигурировали не только государственные и военные структуры, но и инфраструктурные компании, связанные с хостингом и обслуживанием цифровых сервисов. Такая география атак указывает на прицельный сбор данных и интерес к системам, обладающим высоким уровнем доступа и значимыми административными полномочиями.

Как развивалась эксплуатация

Акторы использовали общедоступный Proof of Concept (PoC) для CVE-2026-41940, а затем, по оценке Ctrl-Alt-Intel, один из злоумышленников действовал с конкретного IP address и напрямую участвовал в попытках эксплуатации уязвимости. Отдельные операции демонстрировали более высокий уровень подготовки: в частности, был применен custom exploit, ориентированный на индонезийский военный учебный портал.

В рамках этой кампании злоумышленник использовал известную authenticated SQL injection для повышения привилегий в базе данных PostgreSQL. Для выполнения команд оболочки применялась функция сервера COPY … TO PROGRAM, что позволило перевести атаку из плоскости веб-доступа в полноценное исполнение команд на сервере.

Инструменты и инфраструктура

Для управления зараженной средой использовалась инфраструктура C2 с ELF backdoor под названием AdaptixC2. В частности, один из доменов был настроен для data exfiltration, что указывает на заранее подготовленный канал вывода похищенной информации.

Кроме того, злоумышленники задействовали OpenVPN и Ligolo, чтобы выстроить устойчивый слой скрытого доступа. Это позволяло:

  • перемещаться внутри сети жертвы;
  • поддерживать длительное присутствие в инфраструктуре;
  • устанавливать SSH-доступ с правами root;
  • обходить базовые меры обнаружения и изоляции.

Экcфильтрация данных и возможная цель операции

Наиболее чувствительный эпизод кампании был связан с exfiltration материалов, относящихся к Committee of Electrification of the China Railway Society. Из похищенных документов следовало, что злоумышленники получили доступ к сведениям о железнодорожной инфраструктуре и управлении в Китае.

Среди украденных файлов фигурировали:

  • материалы о практике электрификации железных дорог;
  • записи о встречах между железнодорожными чиновниками;
  • документы, связанные с операционными технологиями, применяемыми в железнодорожных системах.

Таким образом, инцидент затронул не просто корпоративные данные, а критически важную информацию, имеющую значение для транспортной инфраструктуры и управления отраслью.

Атрибуция и признаки организованной кампании

В отчете отмечается возможное участие вьетнамских акторов: основанием для такой версии стали комментарии, обнаруженные в связанных скриптах. Однако аналитики подчеркивают, что одних лишь подобных маркеров недостаточно для окончательной атрибуции.

При этом характер операции указывает на более широкую стратегическую инициативу, направленную на сбор региональной intelligence. На это указывают масштаб целей, разнообразие атакованных объектов и явный интерес к документам, связанным с железнодорожной инфраструктурой.

Что означает этот инцидент

Случай с CVE-2026-41940 демонстрирует, насколько быстро уязвимость, опубликованная в открытом доступе, может перейти в фазу практической эксплуатации. В данном случае атака развивалась стремительно: от появления PoC до сложных действий по закреплению, lateral movement и последующей эксфильтрации данных.

Как отмечается в отчете, примененные тактики и поведение после компрометации соответствуют шаблонам, характерным для сложных операций по краже данных. Это дополнительно подтверждает рост угрозы для региональной кибербезопасности и уязвимость военных, государственных и инфраструктурных организаций перед хорошо организованными злоумышленниками.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: