Telegram Group & Telegram Channel
Telegram Group » Hong Kong » Codeby » Telegram Webview » Post 8993
Codeby
Возвращение бэкдора ViPNet: уроки прошлого для защиты настоящего

Атаки на системы ViPNet, связанные с внедрением бэкдоров через обновления, снова напоминают о себе. В апреле 2025 года специалисты Solar 4RAYS 😬 зафиксировали новые случаи эксплуатации уязвимостей, схожих с теми, что использовались злоумышленниками в 2021 году. С подробным отчетом вы можете ознакомиться здесь

😁 Как работал бэкдор?

Злоумышленники атаковали систему обновлений ViPNet, используя следующие методы:
➡️ Подмена легитимных файлов: Обновления ViPNet содержали файлы, загружаемые из поддельных источников. Это позволило внедрить вредоносные библиотеки.
➡️ Использование зашифрованного кода: Бэкдор скрывался в исполняемом коде, что усложняло его обнаружение.

Действия бэкдора:
➡️ Отключение Reverse Firewall — защитного механизма ViPNet.
➡️ Экфильтрация конфиденциальных данных.
➡️ Организация удалённого доступа злоумышленников через reverse shell.


📹 Хронология атак
⏺️2021
Первая зафиксированная атака с использованием уязвимостей ViPNet Client. Вредоносный код использовался для сбора информации и установки обратного соединения. Несмотря на выявление проблемы, многие организации не обновили свои системы.
⏺️2025
Злоумышленники повторили сценарий с новыми элементами. В частности, подмена цифровых подписей и использование более изощрённых методов внедрения повысили эффективность атаки.


🔍 Атрибуция и технические детали

Специалисты связывают атаки с группировками, известными своей активностью в Восточной Азии, включая BlueTraveller и TA428. Эти группы используют комбинированные методы, сочетающие подмену файлов и обход аутентификационных проверок.

Две критические уязвимости, эксплуатируемые в рамках атаки:
1. Уязвимости, связанные с подменой библиотек (DLL Hijacking):

Эти уязвимости позволяют злоумышленнику подменять легитимные динамически подключаемые библиотеки (DLL) на вредоносные. В случае с ViPNet атака происходила следующим образом:
⏺️ Злоумышленник внедрял изменённые библиотеки в директорию, используемую клиентом ViPNet.
⏺️ Во время выполнения программы клиент загружал эти поддельные библиотеки вместо оригинальных, что позволяло выполнять вредоносный код.
⏺️ Такой метод часто эксплуатирует недостаточную проверку путей к библиотекам и отсутствие валидации целостности загружаемых файлов.


2. Обход цифровой подписи обновлений:

Система обновления ViPNet полагается на цифровые подписи для проверки подлинности загружаемых файлов. Однако в атаке были обнаружены следующие слабости:
⏺️ Недостаточная проверка сертификатов: Злоумышленники использовали файлы с поддельными подписями, которые воспринимались клиентом как легитимные.
⏺️ Отсутствие валидации источника загрузки: Вместо доверенных серверов обновления загружались с вредоносных серверов, подменяя файлы.
⏺️ Возможность подмены обновлений в процессе доставки: Атака типа “man-in-the-middle” позволяла модифицировать файлы обновлений до их установки.

Эти уязвимости в сочетании позволяли злоумышленникам внедрять вредоносный код прямо в процесс обновления системы, что делало атаку особенно опасной.
Please open Telegram to view this post
VIEW IN TELEGRAM
www.tg-me.com/hk/Codeby/com.codeby_sec/8993
5.6K views



tg-me.com/codeby_sec/8993
Create:
Last Update:

Возвращение бэкдора ViPNet: уроки прошлого для защиты настоящего

Атаки на системы ViPNet, связанные с внедрением бэкдоров через обновления, снова напоминают о себе. В апреле 2025 года специалисты Solar 4RAYS 😬 зафиксировали новые случаи эксплуатации уязвимостей, схожих с теми, что использовались злоумышленниками в 2021 году. С подробным отчетом вы можете ознакомиться здесь

😁 Как работал бэкдор?

Злоумышленники атаковали систему обновлений ViPNet, используя следующие методы:
➡️ Подмена легитимных файлов: Обновления ViPNet содержали файлы, загружаемые из поддельных источников. Это позволило внедрить вредоносные библиотеки.
➡️ Использование зашифрованного кода: Бэкдор скрывался в исполняемом коде, что усложняло его обнаружение.

Действия бэкдора:
➡️ Отключение Reverse Firewall — защитного механизма ViPNet.
➡️ Экфильтрация конфиденциальных данных.
➡️ Организация удалённого доступа злоумышленников через reverse shell.


📹 Хронология атак
⏺️2021
Первая зафиксированная атака с использованием уязвимостей ViPNet Client. Вредоносный код использовался для сбора информации и установки обратного соединения. Несмотря на выявление проблемы, многие организации не обновили свои системы.
⏺️2025
Злоумышленники повторили сценарий с новыми элементами. В частности, подмена цифровых подписей и использование более изощрённых методов внедрения повысили эффективность атаки.


🔍 Атрибуция и технические детали

Специалисты связывают атаки с группировками, известными своей активностью в Восточной Азии, включая BlueTraveller и TA428. Эти группы используют комбинированные методы, сочетающие подмену файлов и обход аутентификационных проверок.

Две критические уязвимости, эксплуатируемые в рамках атаки:
1. Уязвимости, связанные с подменой библиотек (DLL Hijacking):

Эти уязвимости позволяют злоумышленнику подменять легитимные динамически подключаемые библиотеки (DLL) на вредоносные. В случае с ViPNet атака происходила следующим образом:
⏺️ Злоумышленник внедрял изменённые библиотеки в директорию, используемую клиентом ViPNet.
⏺️ Во время выполнения программы клиент загружал эти поддельные библиотеки вместо оригинальных, что позволяло выполнять вредоносный код.
⏺️ Такой метод часто эксплуатирует недостаточную проверку путей к библиотекам и отсутствие валидации целостности загружаемых файлов.


2. Обход цифровой подписи обновлений:

Система обновления ViPNet полагается на цифровые подписи для проверки подлинности загружаемых файлов. Однако в атаке были обнаружены следующие слабости:
⏺️ Недостаточная проверка сертификатов: Злоумышленники использовали файлы с поддельными подписями, которые воспринимались клиентом как легитимные.
⏺️ Отсутствие валидации источника загрузки: Вместо доверенных серверов обновления загружались с вредоносных серверов, подменяя файлы.
⏺️ Возможность подмены обновлений в процессе доставки: Атака типа “man-in-the-middle” позволяла модифицировать файлы обновлений до их установки.

Эти уязвимости в сочетании позволяли злоумышленникам внедрять вредоносный код прямо в процесс обновления системы, что делало атаку особенно опасной.

BY Codeby




Share with your friend now:
tg-me.com/codeby_sec/8993

View MORE
Open in Telegram


Codeby Telegram | DID YOU KNOW?

Date: |

Telegram has exploded as a hub for cybercriminals looking to buy, sell and share stolen data and hacking tools, new research shows, as the messaging app emerges as an alternative to the dark web.An investigation by cyber intelligence group Cyberint, together with the Financial Times, found a ballooning network of hackers sharing data leaks on the popular messaging platform, sometimes in channels with tens of thousands of subscribers, lured by its ease of use and light-touch moderation.

What is Telegram?

Telegram’s stand out feature is its encryption scheme that keeps messages and media secure in transit. The scheme is known as MTProto and is based on 256-bit AES encryption, RSA encryption, and Diffie-Hellman key exchange. The result of this complicated and technical-sounding jargon? A messaging service that claims to keep your data safe.Why do we say claims? When dealing with security, you always want to leave room for scrutiny, and a few cryptography experts have criticized the system. Overall, any level of encryption is better than none, but a level of discretion should always be observed with any online connected system, even Telegram.

Codeby from hk


Возвращение бэкдора ViPNet: уроки прошлого для защиты настоящегоАтаки на системы ViPNet

 Codeby TG
Webview: 8993
Codeby.Telegram Webview
Codeby Telegram TG Channel
Telegram Updated:
Telegram Codeby
FROM USA