В современном мире киберугрозы приобретают все более изощренный характер, что ставит перед специалистами по информационной безопасности новые задачи и вызовы. Одной из свежих угроз стала активная эксплуатация критических уязвимостей в продуктах Ivanti Connect Secure (ICS), которые позволили злоумышленникам не только проникать в корпоративные сети, но и внедрять сложные вредоносные инструменты для дальнейшего контроля и распространения внутри инфраструктуры. В основе последних кибератак лежат две ключевые уязвимости – CVE-2025-0282 и CVE-2025-22457, впервые замеченные в декабре 2024 года и активно эксплуатируемые до июля 2025 года. Первая из них представляет собой критическую брешь, дающую возможность удаленного исполнения кода без аутентификации, вторая – стековый переполнение, позволяющее запускать произвольный код на целевых устройствах. Оба дефекта были своевременно исправлены компанией Ivanti в начале 2025 года, однако широкое распространение уязвимых версий позволило злоумышленникам сохранить доступ и наносить ущерб крупным организациям.
Главным инструментом в арсенале атакующих стал разработанный на базе проекта libPeConv загрузчик MDifyLoader. Его особенность заключается в способности внедрять и запускать код непосредственно в оперативной памяти, минуя традиционные антивирусные механизмы, что значительно усложняет обнаружение. После проникновения loader загружает зашифрованный payload с Cobalt Strike Beacon – мощным инструментом для удаленного управления скомпрометированной системой. Уникальной особенностью применяемого варианта Cobalt Strike, версии 4.5, является именно его исполнение в памяти, что позволяет обходить многие системы безопасности, ориентированные на файловые индикаторы.
В дополнение к этому хакеры используют Go-основные утилиты – VShell и Fscan. Первая выступает в роли удаленного доступа, с проверкой языковых настроек системы для определения географической принадлежности жертвы, что указывает на целенаправленность кампании против определенных регионов. Вторая служит для сканирования сетей, помогая злоумышленникам находить подходящие цели и уязвимые сервисы. Техника DLL side-loading получила широкое применение в этих атаках. Путем подмены загрузки легитимных библиотек на вредоносные, злоумышленники обеспечивают запуск MDifyLoader без вызова подозрений со стороны систем безопасности.
Этот метод позволяет скрыть присутствие вредоноса и сохранять длительную устойчивость во взломанных средах. После получения начального доступа, злоумышленники активно пользовались классическими инструментами распространения: брутфорс атаки по FTP, MS-SQL и SSH серверам, а также известной уязвимостью EternalBlue (MS17-010), позволяющей осуществлять движение по сети. Помимо этого, создавались новые доменные учетные записи, которые внедрялись в группы с расширенными правами, что гарантировало постоянный доступ даже при смене паролей у уже взломанных пользователей. Чтобы сохранить контроль над зараженными устройствами, вредоносные программы регистрировались как службы или задачи планировщика Windows, обеспечивая автозапуск при старте системы или по определенным событиям. Все эти факторы значительно усложняют задачу обнаружения и устранения последствий атаки.
В ответ на инциденты представители Ivanti подчеркнули, что уязвимости были обнаружены и исправлены в течение первых месяцев 2025 года, а пользователям настоятельно рекомендоваляться обновлять свои системы до последних версий для минимизации рисков. Впрочем, в условиях корпоративных сетей часто встречается ситуация, когда обновления откладываются из-за особенностей инфраструктуры и бизнес-процессов, что и дает возможность злоумышленникам для эксплуатации старых багов. Анализ последней волны атак демонстрирует, что киберпреступники придерживаются комплексного подхода, совмещая эксплойты нулевого дня и известных уязвимостей с применением нескольких вредоносных инструментов и продвинутых техник сокрытия. Основной целью становится не только кража данных, но и выстраивание устойчивого присутствия в сетевой среде с возможностью постепенного расширения влияния и получения доступа к критичным системам. Специалистам по информационной безопасности стоит учитывать полученный опыт и усиливать защитные мероприятия, включая своевременное обновление программного обеспечения, внедрение системы мониторинга поведения приложений, ограничение доступа и применение принципов наименьших привилегий.
Важен и постоянный аудит учетных записей, чтобы своевременно выявлять аномалии и подозрительную активность. Новые техники атак, основанные на использовании загрузчиков, таких как MDifyLoader, и исполнении payload в памяти требуют внедрения современных решений безопасности, способных выявлять вредоносный трафик и подозрительное поведение без зависимости от файлового анализа. Рост применения инструментов, написанных на языке Go, а также использование проверенных утилит с открытым исходным кодом в преступных целях подчеркивают необходимость глубокого понимания используемых технологий и своевременного обмена информацией между исследовательскими группами и компаниями. Важно отметить, что пример с уязвимостями Ivanti служит предупреждением, насколько критически важно поддерживать инфраструктуру в актуальном состоянии и использовать комплексный подход к безопасности. Пренебрежение этими аспектами способно привести к серьезным последствиям, включая длительный простой, утрату конфиденциальных данных и ущерб репутации.
Таким образом, наблюдаемая кампания с применением MDifyLoader и in-memory атак с Cobalt Strike является ярким примером современных угроз, требующих от организаций не только технических мер, но и выстроенной культуры безопасности на всех уровнях. Только системный и всесторонний подход поможет снизить вероятность успешного проникновения и эффективно противостоять даже самым сложным злоумышленникам.
