В мире информационной безопасности регулярные проверки и аудит настроек систем играют ключевую роль в предотвращении угроз. Один из ярких примеров того, как проактивный мониторинг может выявить скрытые риски, произошел в апреле 2025 года, когда технический менеджер аккаунтов (TAM) обнаружил подозрительные исключения в антивирусной защите у одного из своих клиентов - медицинской клиники.
Описание
Во время планового обзора настроек в портале Huntress специалист обратил внимание на исключение для файла C:\Windows\Temp\BGStart.exe, примененное к 13 хостам. На первый взгляд, это могло быть связано с легитимным софтом, но дальнейший анализ показал, что BGStart.exe является частью программы ActivTrak - решения для мониторинга сотрудников.
ActivTrak позиционирует себя как инструмент для повышения производительности, предлагая функции вроде снятия скриншотов экранов, просмотра активности в реальном времени и ведения логов. Хотя сам по себе софт не является вредоносным, его использование на критически важных системах клиники вызвало вопросы. Исключение антивирусной проверки было применено не только к рабочим станциям сотрудников, но и к гипервизору, доменному контроллеру и даже рентгеновскому аппарату.
Такое широкое распространение софта для мониторинга на инфраструктурных системах выглядело подозрительно. Во-первых, зачем следить за активностью на серверах или медицинском оборудовании? Во-вторых, подобные программы могут стать инструментом для злоумышленников, если попадут в их руки. Уже были прецеденты, когда компании, занимающиеся мониторингом сотрудников, становились жертвами утечек данных. Например, в апреле 2025 года у WorkComposer произошла утечка более 21 миллиона скриншотов из-за неправильно настроенного облачного хранилища.
Особую озабоченность вызывал факт, что клиника работала с конфиденциальными медицинскими данными, защищенными стандартами HIPAA. Установка ПО, которое делает скриншоты на системах, обрабатывающих персональные данные пациентов, могла привести к серьезным нарушениям конфиденциальности и многомиллионным штрафам.
После обнаружения этой аномалии специалист Huntress связался с партнером - управляемой сервисной компанией (MSP), обслуживающей клинику. В ходе обсуждения были подняты ключевые вопросы:
- Было ли развертывание ActivTrak санкционировано клиентом? Возможно, софт установил предыдущий IT-провайдер, и текущая команда об этом не знала.
- На каких именно системах клиент хочет использовать мониторинг? Критически важно ограничить область действия таких инструментов только рабочими станциями, исключив серверы и медицинское оборудование.
- Кто имеет доступ к данным ActivTrak? Необходимо проверить, кто может просматривать скриншоты и логи, а также есть ли API-доступ, который могут использовать злоумышленники.
Этот случай стал поводом для более широкого аудита среди других клиентов Huntress. Команда безопасности начала проверять, нет ли аналогичных исключений в других организациях, особенно если мониторинговые программы обнаруживались на нетипичных устройствах.
Подобные находки подчеркивают важность регулярного аудита настроек безопасности. Даже легитимные программы могут стать угрозой, если их развертывание не контролируется. Исключения в антивирусной защите, оставленные без внимания, способны открыть дверь для вредоносного кода, а софт для мониторинга сотрудников - превратиться в инструмент шпионажа.
Ключевой вывод для компаний: никогда не оставляйте исключения в безопасности без тщательной проверки. Каждое изменение в настройках антивируса, брандмауэра или систем мониторинга должно быть обосновано и задокументировано. А если обнаруживается подозрительная активность - важно немедленно разбираться в ее происхождении, прежде чем она приведет к утечке данных или кибератаке.
Этот инцидент также напоминает о том, что инструменты для контроля сотрудников требуют особого внимания с точки зрения безопасности. Их использование должно быть строго регламентировано, а развертывание - ограничено только теми системами, где это действительно необходимо. В противном случае вместо повышения производительности компания рискует столкнуться с серьезными последствиями для своей репутации и бюджета.
Индикаторы компрометации
URLs
- https://agent-dl1.activtrak.net
- https://agent-dl2.activtrak.net
- https://agent-dl3.activtrak.net
- https://api.activtrak.com
- https://api-au.activtrak.com
- https://api-ca.activtrak.com
- https://api-eu.activtrak.com
- https://api-uk.activtrak.com
- https://backend.activtrak.net
- https://backend-gcp-au.activtrak.net
- https://backend-gcp-ca.activtrak.net
- https://backend-gcp-eu.activtrak.net
- https://backend-gcp-uk.activtrak.net
- https://backend-gcp-us.activtrak.net
- https://backend-master.activtrak.net
- https://master-backend.activtrak.net
- https://prod-cart-gcp-us.activtrak.net
- https://prod-frontendv2-gcp-us.activtrak.com
- https://prod-reporting-us.activtrak.com
- https://ws.activtrak.net
- https://ws-gcp-au.activtrak.net
- https://ws-gcp-ca.activtrak.net
- https://ws-gcp-eu.activtrak.net
- https://ws-gcp-uk.activtrak.net
