В октябре 2025 года Microsoft раскрыла критическую уязвимость в своей службе Windows Server Update Service (WSUS), получившую идентификатор CVE-2025-59287. Исследовательская группа компании Darktrace проанализировала случаи эксплуатации этой уязвимости на примере двух клиентов из США, где была обнаружена активная пост-эксплуатационная деятельность.
Описание
Уязвимость CVE-2025-59287 позволяет неаутентифицированному злоумышленнику выполнять код удаленно, что делает ее особо опасной. WSUS обеспечивает централизованное распространение обновлений продуктов Microsoft, и сервер с этой службой обычно обладает значительными привилегиями в сети, что делает его ценной целью для киберпреступников. Хотя серверы WSUS не предназначены для публичного доступа из интернета, согласно данным открытых источников, тысячи экземпляров оказались открытыми и потенциально уязвимыми.
Первоначальное обновление Microsoft в рамках "Патч вторника" не полностью устранило риск, что потребовало выпуска внеочередного обновления 23 октября. Широкомасштабная эксплуатация уязвимости началась вскоре после выпуска исправления, что побудило Агентство по кибербезопасности и защите инфраструктуры США добавить CVE-2025-59287 в свой каталог известных эксплуатируемых уязвимостей 24 октября.
Первый случай, затронувший клиента из сектора информационных технологий и коммуникаций, начался с исходящего подключения с интерфейсного устройства к домену webhook[.]site. Сетевой трафик указывал на то, что устройство было сервером WSUS. Большинство подключений к webhook[.]site использовали агент пользователя PowerShell, хотя также наблюдались подключения с cURL в форме HTTP POST. Эта активность соответствует сообщениям из открытых источников о поведении после эксплуатации CVE-2025-59287.
26 октября произошла эскалация коммуникации с командным центром, когда устройство начало выполнять повторные подключения к двум редким поддоменам workers[.]dev. Хотя workers[.]dev ассоциируется с легитимным сервисом Cloudflare Workers, злоумышленники часто злоупотребляют этим сервисом для создания инфраструктуры управления.
На поддомене royal-boat-bf05.qgtxtebl.workers[.]dev размещался установочный файл Microsoft v3.msi, содержащий два CAB-файла с именем "Sample.cab" и "part2.cab". После извлечения содержимого был обнаружен файл "Config" и двоичный файл "ServiceEXE", который оказался легитимным инструментом DFIR Velociraptor. Конфигурация указывала на использование уязвимой версии 0.73.4 этого инструмента, содержащей привилегию эскалации CVE-2025-6264. Velociraptor использовался для создания туннеля к командному центру через домен chat.hcqhajfv.workers[.]dev.
Последней наблюдаемой подозрительной активностью стало исходящее подключение к новому IP-адресу 185.69.24[.]18/singapure, потенциально указывающее на загрузку полезной нагрузки. Извлеченная нагрузка представляла собой упакованный двоичный файл Windows, который после распаковки оказался открытым стилером Golang под названием "Skuld Stealer". Этот вредоносный инструмент способен похищать криптокошельки, файлы, системную информацию, данные браузеров и токены, а также содержит логику защиты от отладки и обхода контроля учетных записей.
Второй случай затронул клиента из образовательного сектора. Пораженное устройство также было интерфейсным, а сетевой трафик указывал на то, что это был сервер WSUS. Подозрительная активность началась 24 октября, всего через несколько секунд после первых признаков компрометации в первом случае. Начальное аномальное поведение также включало исходящие подключения PowerShell к webhook[.]site, а затем подключения с использованием cURL к тому же endpoint.
Хотя Darktrace не наблюдала аномальной сетевой активности на устройстве после 24 октября, интеграция системы безопасности клиента вызвала дополнительное предупреждение о вредоносной активности 27 октября, что свидетельствует о возможном продолжении локальной компрометации. Использование интеграций безопасности позволяет клиентам исследовать активность из различных источников единообразно, получая дополнительную информацию и контекст об атаке.
Эксплуатация уязвимостей может приводить к различным последствиям: от компрометации отдельного устройства с целью кража конфиденциальных данных до латерального перемещения и полного захвата сети с последующим развертыванием программ-вымогателей. Поскольку угроза эксплуатации интерфейсных систем продолжает расти, командам безопасности необходимо быть готовыми к защите от различных типов атак независимо от их масштаба.
Фокусируясь на обнаружении аномального поведения вместо использования сигнатур, связанных с конкретной эксплуатацией уязвимости, Darktrace способна обнаруживать пост-эксплуатационную активность независимо от типа наблюдаемого поведения. Кроме того, использование интеграций безопасности обеспечивает дополнительный контекст о деятельности за пределами видимости сети, позволяя защитникам более эффективно исследовать атаки и реагировать на них. Поскольку противники начали использовать даже доверенные инструменты реагирования на инциденты, поддержание широкой видимости и возможностей быстрого реагирования становится критически важным для снижения рисков пост-эксплуатации.
Индикаторы компрометации
IPv4
- 185.69.24.18
Domains
- chat.hcqhajfv.workers.dev
- royal-boat-bf05.qgtxtebl.workers.dev
URLs
- 185.69.24.18/bin.msi
- 185.69.24.18/singapure
- royal-boat-bf05.qgtxtebl.workers.dev/v3.msi
