Центр расследования киберинцидентов Solar JSOC CERT компании «РТК-Солар» выявил недостатки безопасности в ПО для защиты рабочих мест – VipNet Client компании «ИнфоТеКС». Недостатки обнаружены в ходе расследования продвинутой кибератаки. С их помощью злоумышленники могут заражать систему любым вирусом, например, для последующей кражи, удаления или шифрования чувствительных данных. Вендор уже выпустил новую версию продукта, закрывающую данную проблему, – эксперты настоятельно рекомендуют компаниям обновиться.

При расследовании целевой кибератаки на одну из организаций специалисты Solar JSOC CERT обнаружили, что в составе используемого заказчиком продукта VipNet есть исполняемый файл, который имеет цифровую подпись вендора и подвержен уязвимости типа DLL Hijacking (она дает возможность заменять легитимный DLL-файл на вредоносную библиотеку). Этот факт позволил злоумышленникам использовать механизм обновления ПО для удаленного управления рабочими станциями. Для этого в центре управления сетью (VipNet Administrator) хакеры формировали поддельный файл обновления, содержащий вредоносный код, и отправляли его на конечные устройства, подключенные к защищенной сети.

Загружаемое злоумышленниками вредоносное ПО, в частности, собирало с рабочих станций данные почтовой переписки и пользовательские текстовые файлы, а также информацию о хостах, ключах шифрования, настройках и др.

Еще один недостаток в безопасности VipNet Client связан с возможностью обхода фильтров в компоненте «Контроль приложений». Этот компонент позволяет следить за сетевой активностью приложений и корректировать ее, создавая блокирующие правила. Однако злоумышленники смогли их обойти, отправляя команды напрямую драйверу и разрешая, например, системе выход в интернет. Благодаря этому хакеры получили возможность передавать все собранные данные на внешнюю подконтрольную им систему.

Примечательно, что логи всех действий злоумышленников автоматически удалялись специальным вредоносом, что значительно затрудняло расследование.

«Атака, в ходе которой мы обнаружили данные недостатки безопасности, проводилась злоумышленниками самой высокой квалификации. Вредоносная активность была нами своевременно заблокирована, однако выявить ее удалось только благодаря мониторингу и нетривиальной корреляции событий ИБ, так как хакеры тщательно зачищали следы и обходили системы контроля. Именно поэтому всем организациям, которые используют сегодня VipNet Client, необходимо максимально оперативно обновить версию программного продукта, независимо от наличия или отсутствия подозрений на инцидент», – подчеркнул Владимир Дрюков, директор центра противодействия кибератакам Solar JSOC компании «РТК-Солар».

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

«Солар» и «Группа Астра»: новый этап технологического партнерства лидеров IT-и ИБ-рынков

«Солар» и «Группа Астра»: новый этап технологического партнерства лидеров IT-и ИБ-рынков

Узнать больше
Более 70% опрошенных студентов Нижнего Новгорода считают кибербезопасность перспективной сферой для трудоустройства

Более 70% опрошенных студентов Нижнего Новгорода считают кибербезопасность перспективной сферой для трудоустройства

Узнать больше
Самые уязвимые мобильные приложения – сервисы доставки готовой еды, товаров для дома и дачи, онлайн-аптеки

Самые уязвимые мобильные приложения – сервисы доставки готовой еды, товаров для дома и дачи, онлайн-аптеки

Узнать больше
DDoS по расписанию: хакеры используют значимые для государства события для атак на российские компании

DDoS по расписанию: хакеры используют значимые для государства события для атак на российские компании

Узнать больше
«Солар» выходит на рынок SIEM: две технологии в одном продукте и до 40% экономии на внедрении

«Солар» выходит на рынок SIEM: две технологии в одном продукте и до 40% экономии на внедрении

Узнать больше
Компания «Софтлайн Решения» (ГК Softline) получила награду за самый быстрый рост продаж от ГК «Солар»

Компания «Софтлайн Решения» (ГК Softline) получила награду за самый быстрый рост продаж от ГК «Солар»

Узнать больше
Конвенция против киберпреступности в действии:  «Солар» проведет кибертурнир во Вьетнаме

Конвенция против киберпреступности в действии: «Солар» проведет кибертурнир во Вьетнаме

Узнать больше
Искусственный вайб: «Солар» зафиксировал всплеск уязвимостей в AI-сервисах

Искусственный вайб: «Солар» зафиксировал всплеск уязвимостей в AI-сервисах

Узнать больше
«Солар»: хакеры ежедневно публикуют от 2 до 5 сообщений об утечках, среди жертв – ритейл, соцсети и блоги

«Солар»: хакеры ежедневно публикуют от 2 до 5 сообщений об утечках, среди жертв – ритейл, соцсети и блоги

Узнать больше
«Солар» и «Гарда» создают Центр экспертизы в сфере кибербезопасности

«Солар» и «Гарда» создают Центр экспертизы в сфере кибербезопасности

Узнать больше