Центр расследования киберинцидентов Solar JSOC CERT компании «РТК-Солар» выявил недостатки безопасности в ПО для защиты рабочих мест – VipNet Client компании «ИнфоТеКС». Недостатки обнаружены в ходе расследования продвинутой кибератаки. С их помощью злоумышленники могут заражать систему любым вирусом, например, для последующей кражи, удаления или шифрования чувствительных данных. Вендор уже выпустил новую версию продукта, закрывающую данную проблему, – эксперты настоятельно рекомендуют компаниям обновиться.

При расследовании целевой кибератаки на одну из организаций специалисты Solar JSOC CERT обнаружили, что в составе используемого заказчиком продукта VipNet есть исполняемый файл, который имеет цифровую подпись вендора и подвержен уязвимости типа DLL Hijacking (она дает возможность заменять легитимный DLL-файл на вредоносную библиотеку). Этот факт позволил злоумышленникам использовать механизм обновления ПО для удаленного управления рабочими станциями. Для этого в центре управления сетью (VipNet Administrator) хакеры формировали поддельный файл обновления, содержащий вредоносный код, и отправляли его на конечные устройства, подключенные к защищенной сети.

Загружаемое злоумышленниками вредоносное ПО, в частности, собирало с рабочих станций данные почтовой переписки и пользовательские текстовые файлы, а также информацию о хостах, ключах шифрования, настройках и др.

Еще один недостаток в безопасности VipNet Client связан с возможностью обхода фильтров в компоненте «Контроль приложений». Этот компонент позволяет следить за сетевой активностью приложений и корректировать ее, создавая блокирующие правила. Однако злоумышленники смогли их обойти, отправляя команды напрямую драйверу и разрешая, например, системе выход в интернет. Благодаря этому хакеры получили возможность передавать все собранные данные на внешнюю подконтрольную им систему.

Примечательно, что логи всех действий злоумышленников автоматически удалялись специальным вредоносом, что значительно затрудняло расследование.

«Атака, в ходе которой мы обнаружили данные недостатки безопасности, проводилась злоумышленниками самой высокой квалификации. Вредоносная активность была нами своевременно заблокирована, однако выявить ее удалось только благодаря мониторингу и нетривиальной корреляции событий ИБ, так как хакеры тщательно зачищали следы и обходили системы контроля. Именно поэтому всем организациям, которые используют сегодня VipNet Client, необходимо максимально оперативно обновить версию программного продукта, независимо от наличия или отсутствия подозрений на инцидент», – подчеркнул Владимир Дрюков, директор центра противодействия кибератакам Solar JSOC компании «РТК-Солар».

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Кибербезопасность в цифровую эпоху: кто отвечает за защиту детей в интернете?

Кибербезопасность в цифровую эпоху: кто отвечает за защиту детей в интернете?

Узнать больше
Стартует отборочный этап на IV Международный киберчемпионат по информационной безопасности

Стартует отборочный этап на IV Международный киберчемпионат по информационной безопасности

Узнать больше
Клиенты Т2 заказали более двух миллионов проверок утечки персональных данных от «Солара»

Клиенты Т2 заказали более двух миллионов проверок утечки персональных данных от «Солара»

Узнать больше
«Солар»: как российские организации подходят к выбору NGFW для киберзащиты

«Солар»: как российские организации подходят к выбору NGFW для киберзащиты

Узнать больше
Коммуникационная платформа VK Tech и Solar Dozor защитят конфиденциальные данные от утечек

Коммуникационная платформа VK Tech и Solar Dozor защитят конфиденциальные данные от утечек

Узнать больше
Виртуальная схватка: «Солар» смоделирует атаки и покажет компаниям слабые места в их ИБ-защите

Виртуальная схватка: «Солар» смоделирует атаки и покажет компаниям слабые места в их ИБ-защите

Узнать больше
«Солар» запустил первую в РФ услугу архитектора комплексной кибербезопасности

«Солар» запустил первую в РФ услугу архитектора комплексной кибербезопасности

Узнать больше
«Солар» удвоил OIBDA до 5,4 млрд рублей по итогам 2024 года, чистая прибыль достигла 1,3 млрд рублей

«Солар» удвоил OIBDA до 5,4 млрд рублей по итогам 2024 года, чистая прибыль достигла 1,3 млрд рублей

Узнать больше
ГК «Солар»: формирование корпоративной киберкультуры сокращает число ошибок персонала в ИБ на 70%

ГК «Солар»: формирование корпоративной киберкультуры сокращает число ошибок персонала в ИБ на 70%

Узнать больше
Эксперты «Солара» будут обучать российских и зарубежных студентов в рамках курса по кибербезопасности

Эксперты «Солара» будут обучать российских и зарубежных студентов в рамках курса по кибербезопасности

Узнать больше