Уязвимости VIPNET: угроза из-за бэкдора восточноазиатских APT-групп
Источник: rt-solar.ru
Недавнее расследование бэкдора VIPNET выявило сложную эксплуатацию уязвимостей, связанных с механизмом обновления. Эти уязвимости использовались восточноазиатскими APT-группами, включая Bluetraveller (Taskmasters) и TA428, в период с 2021 по 2025 год.
Механизм атаки и уязвимости
В атаках злоумышленники использовали вредоносный процесс обновления, при котором полезная нагрузка маскировалась под законные обновления, доставляемые через службу обновлений VIPNET. Были выявлены две ключевые уязвимости:
- Недостаточная проверка цифровых подписей в файлах обновлений;
- Неправильное использование DLL-файлов.
Примечательно, что в 2021 году злоумышленники заменили части законного обновления вредоносным кодом, что дало возможность несанкционированного доступа к системам жертв и манипуляций с ними.
Функциональность бэкдора
Недавняя версия бэкдора выполняет ряд вредоносных операций, включая:
- Сбор подробной системной информации;
- Сброс записей реестра;
- Рекурсивный сбор атрибутов файлов (имена, размеры, временные метки).
Это программное обеспечение способно инициировать произвольные процессы на основе команд, отправляемых с управляющего сервера, что позволяет злоумышленникам запускать пользовательский shell-код.
Угроза безопасности
Важным аспектом является способность бэкдора нарушать жизненно важные функции безопасности, такие как функция управления приложениями VIPNET. Это может способствовать более масштабным вторжениям.
Технический анализ пакета обновлений показал, что загрузчик бэкдора, скомпилированный в ноябре 2021 года, служит интерпретатором зашифрованных полезных данных, что приводит к запуску дополнительных вредоносных компонентов. Эта механика трагически позволяет вредоносному ПО как прослушивать входящие команды, так и активно взаимодействовать с управляющим сервером.
Нетрадиционные методы сокрытия
Расследование продемонстрировало использование нетрадиционных методов в сокрытии атаки, включая:
- Внедрение ключей в зашифрованные файлы;
- Манипулирование файлами журналов для облегчения утечки данных.
Развертывание законных, но скомпрометированных приложений подчеркивает проблему отличия подлинных обновлений от вредоносных программных вторжений.
Рекомендации по управлению рисками
Исследователи рекомендуют:
- Провести комплексные обновления для всех компонентов VIPNET в уязвимых инфраструктурах;
- Отключить автоматические обновления в клиенте VIPNET как стратегию смягчения последствий;
- Разработать механизмы обнаружения, основываясь на описанном поведении, используя правила Sigma для определения присутствия и активности вредоносного ПО.
Данное расследование подчеркивает важность повышения бдительности и защиты от киберугроз, которые становятся все более изощренными в своей модели атак.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
