CODEBY_SEC Telegram 8993
tgoop.com » Hong Kong » Codeby » Telegram web » Post 8993
Codeby
Возвращение бэкдора ViPNet: уроки прошлого для защиты настоящего

Атаки на системы ViPNet, связанные с внедрением бэкдоров через обновления, снова напоминают о себе. В апреле 2025 года специалисты Solar 4RAYS 😬 зафиксировали новые случаи эксплуатации уязвимостей, схожих с теми, что использовались злоумышленниками в 2021 году. С подробным отчетом вы можете ознакомиться здесь

😁 Как работал бэкдор?

Злоумышленники атаковали систему обновлений ViPNet, используя следующие методы:
➡️ Подмена легитимных файлов: Обновления ViPNet содержали файлы, загружаемые из поддельных источников. Это позволило внедрить вредоносные библиотеки.
➡️ Использование зашифрованного кода: Бэкдор скрывался в исполняемом коде, что усложняло его обнаружение.

Действия бэкдора:
➡️ Отключение Reverse Firewall — защитного механизма ViPNet.
➡️ Экфильтрация конфиденциальных данных.
➡️ Организация удалённого доступа злоумышленников через reverse shell.


📹 Хронология атак
⏺️2021
Первая зафиксированная атака с использованием уязвимостей ViPNet Client. Вредоносный код использовался для сбора информации и установки обратного соединения. Несмотря на выявление проблемы, многие организации не обновили свои системы.
⏺️2025
Злоумышленники повторили сценарий с новыми элементами. В частности, подмена цифровых подписей и использование более изощрённых методов внедрения повысили эффективность атаки.


🔍 Атрибуция и технические детали

Специалисты связывают атаки с группировками, известными своей активностью в Восточной Азии, включая BlueTraveller и TA428. Эти группы используют комбинированные методы, сочетающие подмену файлов и обход аутентификационных проверок.

Две критические уязвимости, эксплуатируемые в рамках атаки:
1. Уязвимости, связанные с подменой библиотек (DLL Hijacking):

Эти уязвимости позволяют злоумышленнику подменять легитимные динамически подключаемые библиотеки (DLL) на вредоносные. В случае с ViPNet атака происходила следующим образом:
⏺️ Злоумышленник внедрял изменённые библиотеки в директорию, используемую клиентом ViPNet.
⏺️ Во время выполнения программы клиент загружал эти поддельные библиотеки вместо оригинальных, что позволяло выполнять вредоносный код.
⏺️ Такой метод часто эксплуатирует недостаточную проверку путей к библиотекам и отсутствие валидации целостности загружаемых файлов.


2. Обход цифровой подписи обновлений:

Система обновления ViPNet полагается на цифровые подписи для проверки подлинности загружаемых файлов. Однако в атаке были обнаружены следующие слабости:
⏺️ Недостаточная проверка сертификатов: Злоумышленники использовали файлы с поддельными подписями, которые воспринимались клиентом как легитимные.
⏺️ Отсутствие валидации источника загрузки: Вместо доверенных серверов обновления загружались с вредоносных серверов, подменяя файлы.
⏺️ Возможность подмены обновлений в процессе доставки: Атака типа “man-in-the-middle” позволяла модифицировать файлы обновлений до их установки.

Эти уязвимости в сочетании позволяли злоумышленникам внедрять вредоносный код прямо в процесс обновления системы, что делало атаку особенно опасной.
Please open Telegram to view this post
VIEW IN TELEGRAM
www.tgoop.com/codeby_sec/8993
6.2K views



tgoop.com/codeby_sec/8993
Create:
Last Update:

Возвращение бэкдора ViPNet: уроки прошлого для защиты настоящего

Атаки на системы ViPNet, связанные с внедрением бэкдоров через обновления, снова напоминают о себе. В апреле 2025 года специалисты Solar 4RAYS 😬 зафиксировали новые случаи эксплуатации уязвимостей, схожих с теми, что использовались злоумышленниками в 2021 году. С подробным отчетом вы можете ознакомиться здесь

😁 Как работал бэкдор?

Злоумышленники атаковали систему обновлений ViPNet, используя следующие методы:
➡️ Подмена легитимных файлов: Обновления ViPNet содержали файлы, загружаемые из поддельных источников. Это позволило внедрить вредоносные библиотеки.
➡️ Использование зашифрованного кода: Бэкдор скрывался в исполняемом коде, что усложняло его обнаружение.

Действия бэкдора:
➡️ Отключение Reverse Firewall — защитного механизма ViPNet.
➡️ Экфильтрация конфиденциальных данных.
➡️ Организация удалённого доступа злоумышленников через reverse shell.


📹 Хронология атак
⏺️2021
Первая зафиксированная атака с использованием уязвимостей ViPNet Client. Вредоносный код использовался для сбора информации и установки обратного соединения. Несмотря на выявление проблемы, многие организации не обновили свои системы.
⏺️2025
Злоумышленники повторили сценарий с новыми элементами. В частности, подмена цифровых подписей и использование более изощрённых методов внедрения повысили эффективность атаки.


🔍 Атрибуция и технические детали

Специалисты связывают атаки с группировками, известными своей активностью в Восточной Азии, включая BlueTraveller и TA428. Эти группы используют комбинированные методы, сочетающие подмену файлов и обход аутентификационных проверок.

Две критические уязвимости, эксплуатируемые в рамках атаки:
1. Уязвимости, связанные с подменой библиотек (DLL Hijacking):

Эти уязвимости позволяют злоумышленнику подменять легитимные динамически подключаемые библиотеки (DLL) на вредоносные. В случае с ViPNet атака происходила следующим образом:
⏺️ Злоумышленник внедрял изменённые библиотеки в директорию, используемую клиентом ViPNet.
⏺️ Во время выполнения программы клиент загружал эти поддельные библиотеки вместо оригинальных, что позволяло выполнять вредоносный код.
⏺️ Такой метод часто эксплуатирует недостаточную проверку путей к библиотекам и отсутствие валидации целостности загружаемых файлов.


2. Обход цифровой подписи обновлений:

Система обновления ViPNet полагается на цифровые подписи для проверки подлинности загружаемых файлов. Однако в атаке были обнаружены следующие слабости:
⏺️ Недостаточная проверка сертификатов: Злоумышленники использовали файлы с поддельными подписями, которые воспринимались клиентом как легитимные.
⏺️ Отсутствие валидации источника загрузки: Вместо доверенных серверов обновления загружались с вредоносных серверов, подменяя файлы.
⏺️ Возможность подмены обновлений в процессе доставки: Атака типа “man-in-the-middle” позволяла модифицировать файлы обновлений до их установки.

Эти уязвимости в сочетании позволяли злоумышленникам внедрять вредоносный код прямо в процесс обновления системы, что делало атаку особенно опасной.

BY Codeby




Share with your friend now:
tgoop.com/codeby_sec/8993

View MORE
Open in Telegram


Telegram News

Date: |

The best encrypted messaging apps Just at this time, Bitcoin and the broader crypto market have dropped to new 2022 lows. The Bitcoin price has tanked 10 percent dropping to $20,000. On the other hand, the altcoin space is witnessing even more brutal correction. Bitcoin has dropped nearly 60 percent year-to-date and more than 70 percent since its all-time high in November 2021. 1What is Telegram Channels? You can invite up to 200 people from your contacts to join your channel as the next step. Select the users you want to add and click “Invite.” You can skip this step altogether. There have been several contributions to the group with members posting voice notes of screaming, yelling, groaning, and wailing in different rhythms and pitches. Calling out the “degenerate” community or the crypto obsessives that engage in high-risk trading, Co-founder of NFT renting protocol Rentable World emiliano.eth shared this group on his Twitter. He wrote: “hey degen, are you stressed? Just let it out all out. Voice only tg channel for screaming”.
from hk


Возвращение бэкдора ViPNet: уроки прошлого для защиты настоящего

 Codeby TG
web: 8993
Codeby.Telegram web
Codeby Telegram TG Channel
Telegram Updated:
Telegram Codeby
FROM Hong Kong