Уязвимость легитимных инструментов: злоумышленники используют подписанный софт для удалённого доступа

Инцидент начал раскрываться 20 апреля 2026 года, когда на платформе обмена угрозами MalwareBazaar появился исполняемый файл, представляющий собой клиент программы для удалённого администрирования SimpleHelp. Ключевой деталью стало то, что файл был легитимно подписан цифровым сертификатом компании-разработчика SimpleHelp Ltd, выданным удостоверяющим центром DigiCert. Несмотря на то что файл содержал конфигурацию для подключения к управляемому злоумышленником серверу, большинство антивирусных решений сочли его безопасным из-за валидной подписи. По данным VirusTotal, лишь 10 из 76 сканирующих движков классифицировали образец как вредоносный. Исследователи, изучившие образец, установили, что угроза действует по схеме "злоупотребления доверием": она приобретает официальные лицензии SimpleHelp, настраивает агента на подключение к собственному серверу командования и управления, а затем распространяет этот сконфигурированный клиент среди жертв.

Углубленный анализ одного образца позволил выявить целый кластер инфраструктуры, состоящий из пяти серверов, размещённых в одной подсети. Все они были развёрнуты у хостинг-провайдера Hostinux Limited и использовались для управления подключениями скомпрометированных систем. Примечательно, что подсеть была выделена всего за восемь недель до первого замеченного развёртывания, что указывает на целенаправленное создание новой инфраструктуры для кампании. Четыре из пяти серверов до сих пор активно обслуживают страницы загрузки клиента SimpleHelp, маскируясь под легитимные порталы технической поддержки. Более того, расследование выявило использование второй программы для удалённого доступа - ScreenConnect. Такая стратегия с двумя RAT (троянец удалённого доступа) обеспечивает злоумышленникам избыточность и устойчивый доступ к жертвам даже в случае обнаружения одного из компонентов.

Особый интерес представляет управляющая инфраструктура группы. На первом IP-адресе подсети размещён домен dangerstock[.]online, на котором работает профессионально выполненный портал управления на русском языке. Это не шаблонная страница, а кастомизированный интерфейс с анимациями и современным дизайном, что говорит о значительных усилиях по его созданию. Домен использует DNS и почтовую инфраструктуру крупного российского хостинг-провайдера Timeweb. Однако именно здесь операторы допустили критическую ошибку в операционной безопасности. На порту 9090 того же сервера оказался доступен веб-интерфейс Cockpit - стандартная панель управления для Linux-серверов. Эта панель в открытом виде раскрыла внутреннее доменное имя сервера - dangerstock.stock, а также информацию об операционной системе Ubuntu 22.04.5 LTS. Подобные утечки данных являются ценным источником информации для аналитиков, позволяя установить связь между различными элементами инфраструктуры и понять внутреннюю логику организации группы, которую Fortinet отслеживает под названием PALLASNET.M.

Хронология кампании показывает, что она активна как минимум с июня 2025 года, то есть более десяти месяцев. За это время операторы последовательно обновляли своё программное обеспечение, генерировали новые сборки вредоносных агентов и поддерживали работу всей инфраструктуры. Длительный срок жизни и инвестиции в профессиональные инструменты управления характерны для достаточно организованных групп, возможно, связанных с киберпреступностью или целевыми атаками. Использование легитимных, подписанных инструментов создаёт серьёзные проблемы для традиционных защитных механизмов, основанных на репутации и сигнатурах. Эндпоинтные системы защиты часто пропускают такие файлы, поскольку они технически являются настоящим софтом от доверенного издателя, просто используемым в злонамеренных целях.

С практической точки зрения, данный инцидент подчёркивает необходимость перехода от простой проверки цифровых подписей к более сложным поведенческим моделям анализа. Для специалистов по безопасности важно отслеживать сетевую активность, исходящую от любых инструментов удалённого администрирования, и внедрять политики строгого контроля за их установкой и использованием. Обнаруженные IP-адреса и домены должны быть добавлены в списки блокировки для предотвращения подключений. Кроме того, наличие двух различных RAT в одной кампании указывает на то, что при реагировании на инциденты недостаточно найти и удалить один вредоносный компонент - необходимо проводить глубокий аудит системы на предмет скрытых механизмов закрепления и альтернативных каналов доступа. В конечном счёте, эта история служит напоминанием, что в современной кибербезопасности доверять можно только поведению, а не происхождению файла, каким бы легитимным оно ни казалось.

IPv4

• 147.45.218.0
• 147.45.218.1
• 147.45.218.35
• 147.45.218.58
• 147.45.218.66
• 147.45.218.8

CIDRs

• 147.45.218.0/24

Domains

• dangerstock.online
• dangerstock.ru

SHA256

• 03c95be86614645d68c66e5a190b6e8cdbb23a40ac1ae478eb36889f4e4b2f51