Один пропущенный патч = тотальный контроль. Хакеры превратили службу обновлений Microsoft в канал для атак

leer en español

Microsoft AhnLab WSUS ShadowPad PlugX вредоносное ПО уязвимость
Один пропущенный патч = тотальный контроль. Хакеры превратили службу обновлений Microsoft в канал для атак
Microsoft AhnLab WSUS ShadowPad PlugX вредоносное ПО уязвимость

Смертный приговор инфраструктуре был подписан в тот момент, когда вы посчитали периметр безопасным.

image

Недавно устранённая уязвимость в службе Microsoft Windows Server Update Services привела к серии атак, в ходе которых применялось одно из самых заметных шпионских средств последних лет. Инциденты показывают, насколько быстро злоумышленники переходят от изучения опубликованного примера эксплуатации к активному использованию проблемы для проникновения в инфраструктуру.

По данным южнокорейской компании AhnLab, неизвестная группа получала доступ к серверам Windows с включённым WSUS, используя ошибку CVE-2025-59287. Через неё выполнялись стандартные системные утилиты, позволяющие связаться с внешним сервером и загрузить вредоносный код. Перед установкой основного инструмента применялась утилита PowerCat, которая давала атакующим удалённую командную строку. Затем с использованием certutil и curl на систему попадал ShadowPad.

Эта программа считается развитием PlugX и давно используется структурами, связанными с Китаем. Её архитектура опирается на модульную схему, а запуск выполняется через подмену библиотек. В легитимный файл ETDCtrlHelper.exe подгружается DLL-файл, находящийся в памяти и отвечающий за выполнение основного содержимого. Внутри разворачивается модуль, который загружает дополнительные компоненты, а также применяет средства сокрытия и механизмы закрепления в системе.

Ошибку CVE-2025-59287 Microsoft устранила месяц назад. Она относится к критическим, поскольку позволяет выполнить произвольный код с системными правами. После появления демонстрационного варианта эксплуатации многие группы начали массово проверять доступные WSUS-серверы, получать первичный доступ, проводить разведку и загружать как вредоносные файлы, так и легитимные инструменты администрирования. По наблюдениям AhnLab, именно так на серверах и появлялся ShadowPad.

Инцидент наглядно показал, что каждая уязвимость превращается в реальную угрозу, если отложить её устранение. Чем быстрее выявленные проблемы устраняются, тем меньше шансов у злоумышленников закрепиться в инфраструктуре и превратить сбой в полноценный кризис.