Komari в атаке: бэкдор на Windows через украденный VPN

16 апреля 2026 года злоумышленник получил доступ к рабочей станции Windows, принадлежащей партнеру Huntress, используя украденные учетные данные VPN. После этого на системе был развернут бэкдор на уровне SYSTEM с применением агента Komari — инструмента из GitHub-проекта, который позиционируется как средство remote monitoring and management, но по своей архитектуре фактически предоставляет готовый двунаправленный канал управления C2.

Как развивалась атака

Первоначальный доступ был получен через сессию SSLVPN, связанную с скомпрометированными учетными данными. По данным отчета, вход осуществлялся с IP-адреса, ассоциированного с хостинг-провайдером VMHeaven. Уже после закрепления в сети атакующий начал использовать дополнительные инструменты для работы с жертвой.

В частности, злоумышленник применил smbexec.py из набора Impacket для манипуляций с RDP на скомпрометированной рабочей станции. Это позволило расширить контроль над системой и подготовить почву для установки постоянного вредоносного компонента.

Что такое Komari и почему он опасен

Komari — это проект с открытым исходным кодом на GitHub, описываемый как инструмент удаленного мониторинга и управления. Однако его базовая функциональность делает его особенно удобным для злоумышленников: по умолчанию он устанавливает постоянное WebSocket-соединение с сервером и принимает команды без дополнительной настройки.

Поддерживаются три ключевых типа команд:

• exec — выполнение произвольных команд через PowerShell или shell;
• terminal — запуск интерактивной PTY reverse shell в browser;
• ping — использование для сетевой разведки.

Именно эта функциональность, доступная из коробки, делает Komari привлекательным инструментом для атакующих: его не нужно существенно дорабатывать, чтобы превратить в полноценный C2-канал.

Защита среагировала, но поздно

Во время операции Microsoft Defender обнаружил поведенческую угрозу по сигнатуре Behavior:Win32/RegDump.SA. Это привело к изоляции связанного процесса, однако к тому моменту злоумышленник уже успел установить Komari на целевую систему.

Установка агента была выполнена через NSSM (Non-Sucking Service Manager) и оформлена как постоянная Windows Service под названием Windows Update Service. Такой прием обеспечил автоматическую загрузку вредоносного агента при старте системы.

Отдельно отмечается, что скрипт установки был загружен напрямую из GitHub-репозитория, без использования промежуточной инфраструктуры. Это упростило цепочку атаки и снизило число артефактов, по которым можно было бы оперативно отследить подготовку операции.

Последствия и риски

После установки Komari выполнил первичный сбор информации и передал данные о хосте на сервер C2, заранее настроенный злоумышленником. Далее агент обеспечивал устойчивое закрепление, позволяя атакующему:

• выполнять произвольные команды;
• создавать удаленные оболочки;
• сохранять долговременный контроль над системой;
• использовать инфраструктуру, близкую по логике к легкому botnet.

Авторы отчета подчеркивают: функции мониторинга в подобных проектах размывают грань между legitimate use и weaponization. Если злоумышленник масштабирует развертывание Komari на нескольких скомпрометированных системах, полученная архитектура может начать напоминать легкий botnet.

Вывод

Этот инцидент демонстрирует, насколько опасными могут быть инструменты с открытым исходным кодом, совмещающие monitoring и management-функции. Их популярность и удобство делают их привлекательными не только для администраторов, но и для атакующих.

Как отмечается в отчете, в современных условиях защита должна опираться не только на известные индикаторы компрометации, но и на поведенческие признаки несанкционированной активности, связанной с C2-инфраструктурой.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.