Событие, произошедшее в середине апреля 2026 года, заставляет по-новому взглянуть на границу между легитимным инструментом и вредоносным каналом управления. Специалисты компании Huntress зафиксировали инцидент, в котором злоумышленник использовал уязвимость в виде украденных учётных данных VPN для проникновения в сеть партнёрской организации. Атакующий не стал создавать сложные вредоносные программы, а применил популярный проект с открытым исходным кодом Komari, имеющий более 4,3 тысячи звёзд на GitHub. Это первый публично задокументированный случай применения данного инструмента в реальной атаке.
Описание
Инцидент начался с компрометации учётной записи пользователя "User 1". Злоумышленник подключился к корпоративному шлюзу FortiGate SSLVPN с удалённого IP-адреса, принадлежащего нидерландскому хостинг-провайдеру VMHeaven. В результате он получил внутренний туннельный адрес и начал разведку сети. С помощью инструмента Impacket smbexec.py атакующий удалённо активировал протокол RDP на целевой рабочей станции. Затем он открыл интерактивную сессию удалённого рабочего стола. Отчёт Huntress подчёркивает, что на этом этапе Windows Defender успешно заблокировал попытку извлечения хешей реестра, но злоумышленник уже получил привилегии SYSTEM.
Вместо того чтобы повторять попытку дампа, атакующий радикально сменил тактику. Он выполнил одну-единственную команду в PowerShell, которая загрузила установщик Komari напрямую с официального репозитория GitHub. Установка прошла через менеджер служб NSSM, который зарегистрировал агент Komari как службу Windows с именем "Windows Update Service". Таким образом, злоумышленник получил постоянный канал управления и контроля C2 (систему удалённого управления с двунаправленной связью). Служба запускалась от имени системы и поддерживала долгоживущее WebSocket-соединение, зашифрованное TLS.
Особенность Komari заключается в том, что его штатные функции не требуют доработки для использования в качестве C2. Агент открывает постоянный WebSocket к серверу и принимает три типа команд по умолчанию: exec (произвольное выполнение команд через PowerShell), terminal (интерактивная обратная оболочка с полной эмуляцией терминала в браузере оператора) и ping (распределённая сетевая разведка). Все три функции включены по умолчанию, и для их отключения требуется специальный флаг. Аутентификация агента происходит через токен-параметр в URL, а самосертификаты TLS на сервере злоумышленника принимаются безоговорочно.
С точки зрения защитника, такой инструмент крайне опасен. Трафик Komari неотличим от обычного HTTPS-соединения по порту 443. Нет характерной периодичности маяков, которую можно было бы отследить. Агент автоматически переподключается при разрыве связи. После установки злоумышленник покинул сессию RDP, оставив постоянный, невидимый на уровне сетевой телеметрии бэкдор. Huntress отреагировала незамедлительно: специалисты изолировали скомпрометированную рабочую станцию, отключили учётную запись пользователя на контроллере домена и разорвали WebSocket-соединение до того, как атакующий успел выполнить хотя бы одну команду.
Данный инцидент иллюстрирует растущую тенденцию: злоумышленники всё чаще используют легитимные инструменты, которые поставляются с готовым набором возможностей для удалённого управления. Для Komari не требуется дополнительная модификация, так как его штатный функционал уже представляет собой полноценный C2-канал. В результате граница между средством мониторинга и вредоносным инструментом становится размытой. Защитникам рекомендуется обращать внимание на любые долгоживущие WebSocket-соединения к незнакомым серверам, а также на дочерние процессы PowerShell, не инициированные пользователем. Без активного мониторинга такого типа атаку практически невозможно выявить на ранней стадии.
Индикаторы компрометации
IPv4
- 45.153.34.132
URLs
- https://raw.githubusercontent.com/komari-monitor/komari-agent/refs/heads/main/install.ps1
SHA256
- 039e659ade3aa8ee7758c11fdb8fbfffd2491920046d638413cea2042f6d584c
