Слишком поздно для патча: как в реальной атаке использовали опасный трио-набор Nightmare-Eclipse для обхода Windows Defender

В мире информационной безопасности появление нового эксплойта в открытом доступе всегда вызывает смешанные чувства. С одной стороны, это позволяет исследователям и вендорам быстрее закрыть брешь. С другой - даёт в руки злоумышленникам готовый инструмент для атак. Именно этот сценарий стал реальностью, когда набор утилит Nightmare-Eclipse, включающий эксплойты BlueHammer, RedSun и UnDefend, перешёл из разряда теоретических Proof-of-Concept (PoC) в арсенал реальных киберпреступников. Компания Huntress, специализирующаяся на обнаружении угроз, в ходе расследования инцидента у своего клиента обнаружила активное использование этих инструментов в связке с другими вредоносными активностями, такими как создание скрытого туннеля и подозрительный доступ через VPN. Этот случай демонстрирует, как публично раскрытые техники быстро находят применение в целенаправленных атаках, а также выявляет ключевые слабые места в типовых инфраструктурах.

Описание

Инцидент, расследованный специалистами Huntress в середине апреля 2026 года, начался с обнаружения подозрительных бинарных файлов в пользовательских каталогах, доступных для записи. Исполняемые файлы с именами FunnyApp.exe, RedSun.exe и undef.exe были размещены в папках "Изображения" и в коротких вложенных каталогах внутри "Загрузок". Важно отметить, что эти названия напрямую соответствуют репозиториям с открытым исходным кодом, опубликованным под псевдонимом Nightmare-Eclipse. Этот исследователь, недовольный политикой Microsoft в области раскрытия уязвимостей, в начале апреля обнародовал три техники, две из которых на момент атаки оставались неисправленными. Аналитики Huntress подтвердили, что заблокированный Windows Defender файл FunnyApp.exe является собранной версией эксплойта BlueHammer (CVE-2026-33825), для которого патч, однако, уже был выпущен.

Техническая суть этих утилит заключается в изощрённом использовании состояния гонки и особенностей работы встроенного антивируса Windows Defender для повышения привилегий в системе. BlueHammer и RedSun - это два метода эскалации привилегий от учётной записи обычного пользователя до уровня SYSTEM. Они используют так называемые уязвимости типа TOCTOU (Time Of Check, Time Of Use), когда злоумышленник успевает подменить объект в краткий промежуток между моментом его проверки системой и моментом использования. Для синхронизации атаки эксплойты применяют oplock (блокировку операций) на файлы, чтобы определить, когда Defender начинает сканирование или процесс восстановления. Кроме того, ключевую роль играет манипуляция с теневой копией тома (Volume Shadow Copy, VSS), которая создаётся Defender для обеспечения целостности системы при удалении угроз. UnDefend же действует как "глушилка" антивируса, блокируя файлы определений сигнатур и не давая ему загрузить актуальные базы, что временно ослабляет защиту.

Однако в расследуемом случае наиболее тревожным стал не сам факт попытки запуска этих инструментов, а их место в цепочке полноценной кибератаки. Анализ показал, что ни одна из попыток не увенчалась полным успехом: RedSun не смог перезаписать системный файл, BlueHammer - извлечь хэши паролей из базы SAM, а процесс UnDefend был оперативно остановлен. Более показательным стало поведение злоумышленника после попытки эксплуатации. Аналитики зафиксировали активность "рук на клавиатурах" - серию команд для разведки внутри системы, таких как whoami /priv для проверки привилегий, cmdkey /list для просмотра сохранённых учётных данных и net group для изучения групп пользователей. Эти действия явно указывали на ручное управление атакой с целью дальнейшего перемещения по сети жертвы.

Наиболее вероятным вектором первоначального доступа, по данным Huntress, стало компрометирование учётных данных для SSL VPN на устройстве FortiGate. Логи, предоставленные клиентом, показали подключение 15 апреля 2026 года с IP-адреса, геолоцируемого в Россию, с последующими сессиями из Сингапура и Швейцарии под той же учётной записью. Это классический признак компрометации: доступ из географически разнородных локаций в короткий промежуток времени. После получения доступа в сеть злоумышленник попытался повысить привилегии с помощью набора Nightmare-Eclipse, провёл разведку и развернул инструмент для сохранения присутствия - туннелирующий агент BeigeBurrow. Этот агент, написанный на Go и использующий библиотеку yamux для мультиплексирования соединений, создавал скрытый обратный туннель на контролируемый злоумышленником домен, обеспечивая устойчивый канал для удалённого управления.

Таким образом, наблюдаемая активность представляет собой целостный рабочий процесс вторжения: компрометация VPN, локальное выполнение публичных инструментов для эскалации привилегий, разведка и последующее поддержание доступа через туннелирование. Этот инцидент служит важным напоминанием для отделов безопасности. Появление публичного эксплойта - это не повод для академического интереса, а сигнал к активным действиям по поиску его признаков в своей среде. В данном случае ключевыми индикаторами компрометации стали выполнение бинарников из нестандартных пользовательских путей, срабатывание сигнатур на Exploit:Win32/DfndrPEBluHmr.BZ, подозрительные оповещения о тестовом файле EICAR, а также аномальный VPN-трафик. Организациям следует немедленно расследовать любые подобные признаки, так как они с высокой вероятностью указывают не на тестирование, а на реальную попытку вторжения.