Расследование целевой атаки вывело экспертов на уязвимости в VipNet Client

Специалисты центра расследования киберинцидентов Solar JSOC CERT компании «Ростелеком-Солар» предупреждают об уязвимостях в программном комплексе VipNet Client компании «ИнфоТеКС». Проблемы в безопасности вышли на свет в процессе расследования сложной целевой кибератаки.

По словам экспертов Solar JSOC CERT, условный атакующий может использовать выявленные бреши для установки в систему вредоносной программы. Таким образом, злоумышленник может выкрасть важные данные или запустить программу-вымогатель, которая зашифрует все файлы.

К счастью, «ИнфоТеКС» уже выпустила патчи, поэтому всем настоятельно рекомендуется обновить установки VipNet Client до актуальной версии.

На наличие уязвимостей исследователей навело расследование APT-атаки, которой подверглась одна из организаций. По своему типу эта брешь представляет возможность перехвата DLL (DLL Hijacking) — когда легитимная библиотека подменяется вредоносной.

В ходе атаки киберпреступники использовали механизм обновления софта: в VipNet Administrator формировался фейковый файл апдейта, содержащий вредоносный код, после чего он отправлялся на конечные устройства, подключённые к защищённой сети.

Попав в систему, вредонос начинал сбор важной для оператора информации: переписку по электронной почте, текстовые файлы пользователей, данные о хостах, ключах шифрования, конфигурации и т. п.

Solar JSOC CERT указали ещё на одну проблему в VipNet Client, позволяющую обходить фильтры в компоненте «Контроль приложений». Отправляя команды напрямую драйверу, вредоносная программа смогла передавать операторам все украденные данные.

Интересно, что зловред удалял все логи действий киберпреступников, что затрудняло расследование киберинцидента.

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!