Ваш IT-администратор может быть китайским шпионом (и даже не знать об этом)

Американское агентство по кибербезопасности и защите инфраструктуры ( CISA ) официально предупредило: злоумышленники активно атакуют уязвимые версии SimpleHelp — инструмента удалённого мониторинга и администрирования, популярного среди поставщиков IT-услуг. Один из таких инцидентов затронул неназванного вендора, занимающегося биллингом в сфере коммунальных услуг, и, как оказалось, стал не частным случаем, а частью устойчивой и всё более агрессивной тенденции.

По данным CISA , начиная с января 2025 года, атаки на незащищённые установки SimpleHelp происходят систематически. Преступники используют давно закрытые, но до сих пор массово не обновлённые уязвимости , чтобы получить доступ к инфраструктуре целевых компаний — особенно тех, что взаимодействуют с конечными клиентами через цепочку подрядчиков и MSP .

Сам разработчик SimpleHelp ранее в этом году раскрыл сразу три критические бреши — CVE-2024-57727, CVE-2024-57728 и CVE-2024-57726. Все они открывают довольно мрачные перспективы для тех, кто не спешит обновляться: через них возможны утечка информации, получение повышенных привилегий и даже удалённое выполнение произвольного кода. Фактически, злоумышленники получают полный контроль над атакуемой системой.

Один из наиболее известных случаев злоупотребления этими багами произошёл совсем недавно. Компания Sophos зафиксировала инцидент, в ходе которого неизвестные скомпрометировали сервер SimpleHelp у одного из MSP и использовали его в качестве плацдарма для доступа к клиентским системам. Этот приём позволил развернуть полноценную цепочку заражения, перекидываясь от одного объекта к другому внутри партнёрской сети.

Особенно хрупкими оказались установки SimpleHelp версии 5.5.7 и более ранние. Именно в них содержится эксплуатируемая CVE-2024-57727. CISA подчёркивает: вектор атаки направлен не только на непосредственные цели, но и на их клиентов — через те же незакрытые копии ПО, развёрнутые на периферии. Злоумышленники применяют приёмы двойного вымогательства : сначала крадут данные, затем шифруют инфраструктуру, угрожая обнародовать компромат, если не получат выкуп.

Чтобы снизить риски, агентство предлагает целый ряд практических шагов. Во-первых, изолировать уязвимые серверы от интернета и обновить их до актуальной версии. Во-вторых, оперативно уведомить всех зависимых клиентов и дать им инструкции по укреплению своих конечных точек. Важно также провести активный хантинг: проанализировать журналы событий, отследить подозрительный входящий и исходящий трафик, особенно со стороны SimpleHelp.

Если заражение уже произошло, CISA советует немедленно отключить систему от сети, переустановить ОС и восстановить данные только с проверенных офлайн-бэкапов. Упор делается именно на изолированные копии: сетевые резервные хранилища часто также оказываются жертвой шифровальщиков. И, разумеется, не стоит оставлять открытым доступ к удалённым службам типа RDP — это один из главных входов для хакеров .

Свою позицию по поводу выкупа CISA не меняет: платить не стоит. Во-первых, это не гарантирует восстановления данных. Во-вторых, создаёт прецедент — злоумышленники получают средства, мотивацию и подтверждение эффективности схемы. А ещё — финансирование для следующей волны атак, возможно, ещё более разрушительных.

Пока одни группы продолжают ставить на масштабный вымогательский шантаж, другие используют вымогательское ПО более изощрённо — например, как прикрытие для шпионской операции. Такую картину нарисовала компания Symantec, рассказав об атаке Fog на неназванную финансовую структуру в Азии.

Fog — относительно свежий игрок на сцене: его впервые зафиксировали в мае 2024 года. Механика распространения тоже всем знакома: скомпрометированные VPN-учётки и известные уязвимости позволяют проникнуть в сеть, выгрузить данные и только потом зашифровать инфраструктуру. Однако в данной атаке есть интересные отклонения от классического сценария.

Так, одной из альтернативных векторов заражения оказались ZIP-архивы с ярлыками Windows (файлы .LNK), рассылаемые через электронную почту и фишинговые сообщения. Активировав ярлык, жертва запускала PowerShell-скрипт, который в свою очередь загружал загрузчик с полезной нагрузкой — тем самым Fog-шифровальщиком.

Злоумышленники явно не экономили на инструментах. Они применяли целый арсенал продвинутых методов: от повышения привилегий до внедрения кода напрямую в память, минуя файловую систему. Это позволяет не только избежать срабатывания антивирусов , но и усложнить последующий анализ. При этом вредонос нацелен на обе платформы — Windows и Linux.

К настоящему моменту, по данным Trend Micro, группировка, стоящая за Fog, заявила о компрометации 100 организаций. Большинство жертв — из секторов технологий, образования, промышленности и транспорта. География — преимущественно Азия.

Одним из самых нестандартных шагов в этом инциденте стало использование легитимного ПО для мониторинга сотрудников — программы Syteca (ранее известной как Ekran). Такое приложение, встроенное в заражённую инфраструктуру, позволяло наблюдать за действиями персонала в режиме реального времени. Кроме того, применялись специфичные инструменты пентестинга с открытым исходным кодом: GC2, Adaptix и Stowaway.

Особый интерес вызывает Stowaway — инструмент-прокси, активно использующийся китайскими хак-группами. Именно через него, как считают исследователи, распространялась вышеупомянутая Syteca. А GC2, между прочим, ранее фигурировал в операциях группировки APT41, спонсируемой китайским государством.

Также фиксировалось скачивание вполне легальных утилит, таких как 7-Zip, Freefilesync и MegaSync. Они использовались для упаковки и выгрузки украденных данных. А уже через несколько дней после того, как вымогатель был развёрнут, злоумышленники установили отдельный сервис для закрепления в системе — шаг, крайне нетипичный для подобных атак. Обычно такие группировки покидают сеть сразу после завершения операции.

А здесь — наоборот: злоумышленники продолжили удерживать доступ к системе ещё как минимум неделю, что наводит на мысль о разведывательных мотивах. Возможно, шифровальщик был всего лишь отвлекающим манёвром, а настоящей целью было скрытое наблюдение или кража чувствительной информации.

На фоне всего этого продолжает набирать обороты LockBit — один из старейших представителей рынка Ransomware-as-a-Service . Несмотря на череду неудач, группировка за последние полгода получила около $2,3 млн. Особенно интересна недавняя утечка их административной панели: она показала, что среди ключевых целей LockBit оказались Китай, Тайвань, Бразилия и Турция.

Исследование компании Trellix, основанное на данных из этой панели, пролило свет на то, кто именно стоит за атаками. Активнее других себя проявили участники с псевдонимами Iofikdis, PiotrBond и JamesCraig. Причём Китай оказался в топе, что тоже довольно необычно: другие крупные группировки вроде Conti или Black Basta обычно избегают атак на китайскую территорию, опасаясь политических последствий.

LockBit, похоже, таких опасений не испытывает. Они целенаправленно атакуют промышленные и производственные компании в Поднебесной, пренебрегая возможными дипломатическими последствиями.

Любопытно, что вслед за утечкой панельных данных LockBit даже объявила вознаграждение за информацию о личности хакера под ником «xoxo from Prague», якобы ответственного за слив. Тем временем, к группе присоединились бывшие участники конкурирующего RansomHub, который внезапно свернул деятельность в марте 2025 года. Переход таких фигур, как BaleyBeach и GuillaumeAtkinson, помог LockBit перезапустить активность и ускорить разработку новой версии своего ПО — LockBit 5.0.

Вся эта история напоминает: за внешней оболочкой хайпа и громких выкупов стоит куда более мрачная и запутанная реальность. Рынок цифрового вымогательства — это уже не просто криминальный стартап, а сложная система с теневой конкуренцией , перетоком «кадров» и постоянной эволюцией методов.