Критическая уязвимость Samsung MagicInfo 9 поддерживает майнинг Monero

Критическая уязвимость Samsung MagicInfo 9 стала причиной масштабной криптомайнинговой атаки

В середине мая 2025 года специалисты по кибербезопасности зафиксировали серьезную атаку, использующую уязвимость CVE-2025-4632 в сервере Samsung MagicInfo 9. Эта дыра в безопасности позволяла злоумышленникам удалённо выполнять код и записывать файлы с привилегиями системного уровня без какой-либо аутентификации. Оценка CVSS на уровне 9,8 свидетельствует о критической опасности данной уязвимости.

Механизм атаки и этапы проникновения

После успешного использования уязвимости злоумышленники приступили к укреплению своего присутствия в системе. С помощью автоматизированных команд они обходили средства защиты конечных точек, устанавливая на заражённые устройства:

• инструмент удалённого доступа AnyDesk;
• вариант криптомайнера XMRig, замаскированный под smi2.exe.

Основной целью атаки стал несанкционированный майнинг криптовалюты Monero (XMR).

Хронология событий

• Злоумышленники начали разведывательную активность, используя легитимный процесс tomcat9.exe, который был активен с 7 мая.
• К 15 мая были обнаружены первые признаки компрометации: команды проверяли наличие процессов, связанных с майнингом, что указывало на систематический анализ заражений и текущей активности.
• С помощью многоэтапных команд PowerShell и cmd.exe был создан новый локальный пользователь с правами администратора.
• В Microsoft Defender были зарегистрированы каталоги исключений, позволяющие обходить антивирусную проверку.
• Для стабильного управления и сохранения контроля было установлено приложение AnyDesk, которое настроили для автоматического запуска в Windows.

Используемые методы и инструментарий

Хакеры использовали различные скрипты и утилиты для обеспечения доставки вредоносной нагрузки и устойчивости атаки:

• Пакетный скрипт win.bat отвечал за загрузку и запуск XMRig с сервера управления (C2), а также проверял процессы интеллектуального анализа данных для предотвращения избыточности и конфликта.
• В арсенале вредоносных операций применялись утилиты certutil и curl, обеспечивающие успешную доставку полезной нагрузки даже при частичном ограничении функционала системных утилит.
• PowerShell-скрипт win.ps1 использовался как альтернатива для загрузки и запуска криптомайнера, используя законные возможности Windows, что повышало скрытность и обеспечивало постоянство выполнения при предустановленных условиях.
• XMRig, запущенный под именем smi2.exe, был настроен на бесшумную и автономную работу с приоритетом производительности, минимальной регистрацией и опциями автосохранения для сокрытия своего присутствия.
• AnyDesk обеспечивал расширенный удалённый доступ, что позволяло злоумышленникам сохранять контроль над системами и обходить корпоративные меры обнаружения.

Выводы и значение инцидента

Данная атака демонстрирует высокую степень сложности и скоординированности действий злоумышленников, которые сумели использовать критическую уязвимость Samsung MagicInfo 9 в сочетании с легитимным программным обеспечением для:

• обеспечения постоянного удалённого доступа к скомпрометированным системам;
• эффективного скрытого майнинга криптовалюты Monero;
• обхода антивирусных и системных мер безопасности.

Этот инцидент вновь подчёркивает необходимость своевременного обновления программного обеспечения и использования многоуровневых систем защиты для предотвращения подобных сложных атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.