За первые шесть месяцев 2026 года подразделение Tactical Response компании Huntress зафиксировало и расследовало шесть несвязанных между собой инцидентов в разных организациях. Во всех случаях злоумышленники действовали по идентичной схеме из семи шагов. Такая повторяемость указывает на наличие стандартизированного пособия, которым пользуется оператор, а не на разрозненные компрометации. Атаки начинались с эксплуатации уязвимости CVE-2025-5777, получившей название CitrixBleed 2, в шлюзах Citrix NetScaler. После получения доступа оператор следовал строгому порядку действий: повышал привилегии до уровня SYSTEM с помощью трюка с символьной ссылкой реестра и службой AppMgmt, создавал подставные локальные учетные записи администраторов и закреплялся в системе с использованием легитимных инструментов удаленного доступа ScreenConnect и Zoho Assist. В наиболее развившемся случае атака завершилась развертыванием программы-вымогателя DragonForce.
Описание
Специалисты Huntress оценивают с высокой уверенностью, что брокер начального доступа (Initial Access Broker, IAB) использует CVE-2025-5777 для проникновения в среды Citrix, а конечной целью является вымогательство. Хотя в наблюдаемых инцидентах применялся DragonForce, публичные и частные отчеты указывают на признаки использования этого же кластера другими группами вымогателей. Полученный анализ логов и артефактов показал, что атака начинается с отправки на шлюз NetScaler множества POST-запросов к эндпоинту аутентификации. В случае, если переменная формы входа пуста, устройство считывает данные за пределами выделенной памяти и возвращает в ответе фрагменты соседнего процесса - примерно 127 байт на каждый запрос. Среди этих фрагментов могут оказаться валидные сессионные токены пользователей, которые в данный момент находятся в системе. Уязвимость достигается без предварительной аутентификации.
Проведенная экспертиза логов одного из пострадавших устройств позволила реконструировать полную цепочку атаки. В 13:07 по UTC легитимный сотрудник выполнил обычную аутентификацию через шлюз с использованием LDAP и многофакторной аутентификации. Через двадцать одну минуту, в 13:28, та же самая сессия уже активно использовалась с IP-адреса злоумышленника. При этом в логах не зафиксировано ни одной успешной аутентификации с адреса атакующего. Такое возможно только в случае кражи и повторного использования сессионного токена. Утечка памяти была зафиксирована во время активной сессии жертвы, и злоумышленник воспользовался ею спустя несколько минут. Многофакторная аутентификация не могла помешать атаке, так как она уже была пройдена на момент перехвата сессии.
Дополнительным методом идентификации активности злоумышленника стало использование функции автоматического создания клиентских принтеров в среде Citrix. При подключении через опубликованный рабочий стол система создает сопоставление с именем клиентской машины. Оператор редко менял имя своей рабочей станции, поэтому в журналах Windows Application event log на серверах жертв последовательно появлялись повторяющиеся имена WIN-4EOAP4JTJR9 и его дублер WIN-VI960VQI4I6. Это позволило аналитикам Huntress уверенно связывать разные инциденты и подтверждать единый источник атак.
После получения начального доступа с ограниченными правами обычного пользователя оператор применял портативный инструмент локального повышения привилегий. Этот инструмент представлял собой небольшой не подписанный исполняемый файл, который попадал в среду через защищенный паролем архив, загруженный с файлового сервиса temp.sh. В ходе расследования пароль был успешно подобран. Механизм эксплуатации основан на подмене ключа реестра через символьную ссылку. Инструмент создает REG_LINK в разделе, относящемся к шине RdpBus, и направляет ссылку в иерархию состояния групповой политики. Затем запускается команда gpupdate, которая заставляет обработчик политик работать от имени SYSTEM. Через подставленную ссылку запись от SYSTEM попадает в защищенный ключ, недоступный обычному пользователю. После этого оператор запускает службу AppMgmt с помощью sc start AppMgmt. Служба перезапускает инструмент уже в контексте SYSTEM, и тот выполняет создание учетной записи злоумышленника и добавление ее в группу локальных администраторов. После завершения инструмент восстанавливает исходное состояние реестра, чтобы не оставлять следов.
Закрепление в системе осуществлялось с помощью легитимных средств удаленного управления. Чаще всего устанавливался неавторизованный клиент ScreenConnect, MSI-пакет которого был настроен на связь с релейной инфраструктурой, управляемой атакующими. В нескольких инцидентах также или вместо этого устанавливался Zoho Assist. В одном из ранних случаев применялась комбинация Netbird и Atera. После создания бэкдор-администратора оператор приступал к разведке: входил по RDP, запускал PsExec с флагом -s для получения оболочки SYSTEM, выполнял команды qwinsta, whoami, wmic, разворачивал инструменты Impacket для работы с контроллерами домена и использовал Mimikatz для кражи учетных данных.
В самом развившемся случае оператор дошел до развертывания программы-вымогателя DragonForce. После установки бэкдор-администратора на сервере жертвы был запущен файл 1.exe, что привело к шифрованию среды. Быстрая реакция аналитиков Huntress позволила ограничить шифрование одним хостом, но намерение атакующего не вызывало сомнений. Совпадение тактик, повторное использование инфраструктуры и имен учетных записей у разных жертв подтверждают, что это не случайные компрометации, а единая операция брокера начального доступа или партнера, действующего по продуктивному пособию.
Организациям, использующим шлюзы Citrix NetScaler, настоятельно рекомендуется установить последние исправления программного обеспечения. Администраторам следует настроить пересылку логов NetScaler в системы управления событиями безопасности для хранения и анализа, так как локальные журналы ротируются быстро и могут содержать только эфемерные свидетельства компрометации. Необходимо завершить все активные сессии на устройствах, подверженных уязвимости CVE-2025-5777, поскольку украденные токены могут оставаться действительными даже после установки заплаток. Также стоит проверить среды Citrix на наличие неавторизованных учетных записей CtxAppVCOMService, ctxsvc и test, а также на следы неустановленных клиентов ScreenConnect и Zoho Assist. Своевременные меры позволяют прервать цепочку атаки на ранних этапах и не допустить шифрования данных.
Индикаторы компрометации
Domain
- opa.tlsd.shop
- relay.dltsolutions.top
- relay.eurofin.digital
- vpts.us
SHA256
- c4fcae3847946173bf0b3cedf5d97a9e3d18090023842f942ba544fa7fda180d
- c84739655ce1af0a0269138263d47567418f69e0f75e249f8e23bc21802209e2
- eb083365dc70d0294e8c4f55a2e78be0edb0f3497f2a06a70c9f474dafab48d8