Рост угрозы: злоупотребления подлинной подписью ConnectWise
Источник: www.gdatasoftware.com
Рост вредоносных атак с использованием подписей ConnectWise: исследование новой волны угроз
С марта 2025 года эксперты в области кибербезопасности отмечают значительный всплеск числа заражений вредоносными программами, которые эксплуатируют программное обеспечение ConnectWise с действительной цифровой подписью. Такая ситуация свидетельствует о неправильных методах использования подписей, применяемых хакерами для маскировки своих атак. Новые инциденты связаны с уязвимостями CVE-2024-1708 и CVE-2024-1709, обнаруженными еще в феврале 2024 года, и характеризуются применением вредоносного ПО под названием «EvilConwi».
Механизмы распространения и признаки заражения
Основные пути заражения связаны с фишинговыми электронными письмами, которые перенаправляют пользователей на поддельные веб-страницы, имитирующие законные приложения. Например, в типичном сценарии жертва нажимает на ссылку, ведущую к OneDrive, после чего происходит редирект на страницу Canva, которая скрывает вредоносный установщик ConnectWise во время загрузки.
Пользователи при заражении часто сталкиваются с такими симптомами:
- неустойчивое перемещение курсора мыши;
- появление поддельных диалогов Центра обновления Windows во время активных сессий удаленного подключения.
Эти признаки указывают на успешное внедрение злоумышленников и компрометацию системы.
Технический анализ и методы маскировки вредоносного ПО
Для анализа зараженных образцов был использован PortexAnalyzer, позволивший выявить ключевые характеристики сертификатов, примененных к вредоносным файлам. Дополнительно анализатор authenticode показал, что обе цифровые подписи содержат неаутентифицированные атрибуты, потенциально используемые в злонамеренных целях.
Основные выявленные проблемы связаны с неправильным применением механизма Authenticode, в результате чего вредоносные файлы получают действительные подписи, что существенно осложняет их обнаружение.
Дополнительное исследование обнаружило, что вредоносное ПО оснащено специальными конфигурационными настройками, адаптирующими его поведение для более эффективного скрытия. В частности, разработан специализированный модуль, который:
- подавляет системные предупреждения, например, значки в системном трее, указывающие на активные удаленные подключения;
- включает вводящие в заблуждение визуальные компоненты, такие как поддельные экраны обновления Windows;
- обеспечивает долгосрочное сокрытие присутствия вредоносного ПО на устройстве без подозрений у жертвы.
Опасность и последствия
Неправильное использование механизмов цифровой аутентификации значительно снижает уровень кибербезопасности, позволяя злоумышленникам создавать продвинутые средства удаленного доступа, которые выглядят как легальное ПО. Это представляет серьёзную угрозу для пользователей и организаций до тех пор, пока ConnectWise не решит существующие проблемы с процессом подписи.
Реакция ConnectWise и дальнейшие меры
12 июня 2025 года компания ConnectWise была официально уведомлена об обнаруженных уязвимостях и злоупотреблениях. Уже 17 июня стало известно, что подписи, использованные для вредоносных образцов, были отозваны, что свидетельствует о начале активных действий по нейтрализации угрозы.
Тем не менее, ситуация требует постоянного мониторинга и доработки процессов цифровой подписи, чтобы предотвратить повторение подобных инцидентов и повысить общую безопасность пользователей.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
