Центр расследования киберинцидентов Solar JSOC CERT компании «РТК-Солар» выявил недостатки безопасности в ПО для защиты рабочих мест – VipNet Client компании «ИнфоТеКС». Недостатки обнаружены в ходе расследования продвинутой кибератаки. С их помощью злоумышленники могут заражать систему любым вирусом, например, для последующей кражи, удаления или шифрования чувствительных данных. Вендор уже выпустил новую версию продукта, закрывающую данную проблему, – эксперты настоятельно рекомендуют компаниям обновиться.

При расследовании целевой кибератаки на одну из организаций специалисты Solar JSOC CERT обнаружили, что в составе используемого заказчиком продукта VipNet есть исполняемый файл, который имеет цифровую подпись вендора и подвержен уязвимости типа DLL Hijacking (она дает возможность заменять легитимный DLL-файл на вредоносную библиотеку). Этот факт позволил злоумышленникам использовать механизм обновления ПО для удаленного управления рабочими станциями. Для этого в центре управления сетью (VipNet Administrator) хакеры формировали поддельный файл обновления, содержащий вредоносный код, и отправляли его на конечные устройства, подключенные к защищенной сети.

Загружаемое злоумышленниками вредоносное ПО, в частности, собирало с рабочих станций данные почтовой переписки и пользовательские текстовые файлы, а также информацию о хостах, ключах шифрования, настройках и др.

Еще один недостаток в безопасности VipNet Client связан с возможностью обхода фильтров в компоненте «Контроль приложений». Этот компонент позволяет следить за сетевой активностью приложений и корректировать ее, создавая блокирующие правила. Однако злоумышленники смогли их обойти, отправляя команды напрямую драйверу и разрешая, например, системе выход в интернет. Благодаря этому хакеры получили возможность передавать все собранные данные на внешнюю подконтрольную им систему.

Примечательно, что логи всех действий злоумышленников автоматически удалялись специальным вредоносом, что значительно затрудняло расследование.

«Атака, в ходе которой мы обнаружили данные недостатки безопасности, проводилась злоумышленниками самой высокой квалификации. Вредоносная активность была нами своевременно заблокирована, однако выявить ее удалось только благодаря мониторингу и нетривиальной корреляции событий ИБ, так как хакеры тщательно зачищали следы и обходили системы контроля. Именно поэтому всем организациям, которые используют сегодня VipNet Client, необходимо максимально оперативно обновить версию программного продукта, независимо от наличия или отсутствия подозрений на инцидент», – подчеркнул Владимир Дрюков, директор центра противодействия кибератакам Solar JSOC компании «РТК-Солар».

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Конец «лоскутной» защите: MFASOFT и «Солар» решают проблему привилегированных пользователей

Конец «лоскутной» защите: MFASOFT и «Солар» решают проблему привилегированных пользователей

Узнать больше
Госсектор под угрозой, есть жертвы: Solar 4RAYS выявили хакерскую группировку, атаковавшую федеральное ведомство

Госсектор под угрозой, есть жертвы: Solar 4RAYS выявили хакерскую группировку, атаковавшую федеральное ведомство

Узнать больше
«Солар» и Т2 представили готовое решение для киберзащиты малого и среднего бизнеса

«Солар» и Т2 представили готовое решение для киберзащиты малого и среднего бизнеса

Узнать больше
Хакеры нацелились на школьников и студентов: в ТОП-3 входят фишинг, онлайн-мошенничество и ресурсы для «посева» ВПО

Хакеры нацелились на школьников и студентов: в ТОП-3 входят фишинг, онлайн-мошенничество и ресурсы для «посева» ВПО

Узнать больше
Эмоции школьников и студентов – вот куда бьют мошенники

Эмоции школьников и студентов – вот куда бьют мошенники

Узнать больше
Solar appScreener 3.15.5 поддерживает анализ кода согласно национальному стандарту ГОСТ 71207-2024

Solar appScreener 3.15.5 поддерживает анализ кода согласно национальному стандарту ГОСТ 71207-2024

Узнать больше
Российская неделя кибербезопасности 2025:   цифровые художники, вузы и эксперты в ИТ и ИБ объединятся, чтобы дать отпор киберпреступности

Российская неделя кибербезопасности 2025: цифровые художники, вузы и эксперты в ИТ и ИБ объединятся, чтобы дать отпор киберпреступности

Узнать больше
Российский рынок сервисов безопасности «по подписке» может удвоиться к 2028 году

Российский рынок сервисов безопасности «по подписке» может удвоиться к 2028 году

Узнать больше