В сфере информационной безопасности происходит быстрое развитие событий вокруг критической уязвимости в продуктах компании BeyondTrust, специализирующейся на управлении идентификацией и доступом. Эксперты компании Darktrace сообщают о наблюдении первых признаков вредоносной активности, связанной с эксплуатацией уязвимости CVE-2026-1731, в инфраструктурах своих клиентов. Между тем, это событие привлекает повышенное внимание из-за исторического контекста атак на решения данного вендора, которые ранее связывали с деятельностью государственных хакерских группировок.
Описание
Фоном для текущей ситуации послужило объявление от 6 февраля 2026 года о выпуске исправлений для уязвимости CVE-2026-1731 в решениях BeyondTrust Remote Support, а также в некоторых старых версиях продукта Privileged Remote Access. Данная уязвимость, оцененная как критическая, позволяет удаленному злоумышленнику выполнять произвольный код без необходимости аутентификации, отправляя специально сформированные запросы. Уже 10 февраля в открытом доступе появился так называемый Proof of Concept (PoC, доказательство концепции) - рабочий эксплойт, демонстрирующий возможность эксплуатации этой бреши. Что характерно, первые попытки реальных атак были зафиксированы с помощью методов открытого сбора данных (OSINT) в течение последующих суток, что подчеркивает высокую скорость реакции киберпреступного сообщества на появление новых инструментов.
Контекст этой угрозы делает ее особенно серьезной. В прошлом, например, в 2024 году, компрометация технологий BeyondTrust была частью сложной атаки на Министерство финансов США. Этот инцидент, который позже связали с действиями государственных хакеров, привел к выпуску экстренных директив Агентства по кибербезопасности и безопасности инфраструктуры США (CISA). Расследование тогда показало, что злоумышленники использовали цепочку из нескольких ранее неизвестных уязвимостей для достижения своих целей. Кроме того, аналитики Darktrace отмечают возможное пересечение инфраструктуры, используемой в текущих атаках на BeyondTrust, с активностью ранее наблюдавшейся кампании массовой эксплуатации React2Shell. В частности, домен командования и управления (C2, Command and Control) avg.domaininfo[.]top был замечен как в потенциальных действиях после взлома BeyondTrust, так и в случае с React2Shell, где подозревалось развертывание трояна EtherRAT.
Начиная с 10 февраля 2026 года, группа исследования угроз Darktrace идентифицировала высокоаномальную активность у ряда клиентов, которая может быть связана именно с эксплуатацией уязвимости в BeyondTrust. Наблюдаемые действия формируют типичную картину компрометации системы. Во-первых, были зафиксированы исходящие соединения и DNS-запросы к конечным точкам, ассоциируемым с услугами внешнего тестирования безопасности приложений. Злоумышленники часто злоупотребляют подобными легитимными сервисами для валидации работоспособности своих эксплойтов, что соответствует тактике зондирования и разведки по матрице MITRE ATT&CK. Во-вторых, обнаружены подозрительные загрузки исполняемых файлов из редких внешних местоположений, что может указывать на доставку полезной нагрузки или дополнительных инструментов.
Одним из наиболее тревожных индикаторов является установление исходящих "маячковых" соединений на редкие домены. Модели Darktrace, такие как "Компрометация / Агент-маяк" или "Компрометация / Устойчивая TCP-маячная активность", сигнализируют о попытке злоумышленника закрепиться в системе и установить скрытый канал связи для удаленного управления. Кроме того, была отмечена необычная активность, связанная с майнингом криптовалют, например Monero. Это свидетельствует о том, что часть атакующих преследует прямые финансовые цели, используя вычислительные ресурсы жертв для добычи цифровых валют, что наносит ущерб из-за повышенного потребления электроэнергии и износа оборудования.
Последствия успешной эксплуатации CVE-2026-1731 могут быть крайне тяжелыми. Поскольку уязвимость затрагивает решения для удаленной поддержки и привилегированного доступа, злоумышленник, получив контроль над такой системой, потенциально может распространить свое влияние на всю корпоративную сеть. Риски включают в себя полную утечку конфиденциальных данных, остановку критически важных бизнес-процессов, шантаж с использованием программ-вымогателей, а также использование инфраструктуры компании для проведения последующих атак на другие организации.
В свете этих событий рекомендации для специалистов по безопасности становятся очевидными и безотлагательными. В первую очередь, необходимо немедленно установить все патчи, предоставленные BeyondTrust, уделив особое внимание продуктам Remote Support и Privileged Remote Access. Однако, учитывая скорость появления эксплойтов, одной только заплатки может быть недостаточно. Требуется провести тщательный аудит журналов событий и сетевой активности на предмет признаков, описанных Darktrace: аномальных исходящих соединений, запросов к подозрительным доменам и неожиданной активности, связанной с криптовалютой. Кроме того, стоит рассмотреть возможность временного ограничения или усиленного мониторинга внешнего доступа к интерфейсам данных продуктов до полного подтверждения применения обновлений. Подобные инциденты в очередной раз подчеркивают критическую важность не только реактивных, но и проактивных мер защиты, таких как постоянный мониторинг аномалий в поведении пользователей и устройств, который позволяет выявлять угрозы на ранних стадиях, даже до применения сигнатурных обновлений.
Индикаторы компрометации
IPv4
- 104.234.174.5
- 134.122.13.34
- 195.154.119.194
- 217.76.57.78
Domains
- avg.domaininfo.top
URLs
- http://134.122.13.34:8979/c
- http://195.154.119.194/index.js
- http://217.76.57.78:8009/index.js
SHA1
- 28df16894a6732919c650cc5a3de94e434a81d80
- 35da45aeca4701764eb49185b11ef23432f7162a
- b6a15e1f2f3e1f651a5ad4a18ce39d411d385ac7
