В четверг исследователи из подразделения Palo Alto Networks Unit 42 опубликовали отчет об активной эксплуатации критической бреши в продуктах удаленного доступа компании BeyondTrust. Уязвимость, получившая идентификатор CVE-2026-1731 и максимальную оценку опасности в 9.9 балла по шкале CVSS, затрагивает решения BeyondTrust Remote Support (RS) и старые версии кодовой базы BeyondTrust Privileged Remote Access (PRA). Злоумышленники используют этот недостаток для проведения масштабных атак, установки бэкдоров и развертывания программ-вымогателей в корпоративных сетях по всему миру.
В основе проблемы лежит сбой очистки данных, который приводит к недостаточной проверке вводимой информации. Основным вектором атаки выступает скрипт «thin-scc-wrapper», к которому хакеры получают доступ через интерфейс WebSocket. Использование этого недочета позволяет злоумышленникам беспрепятственно внедрять и выполнять произвольные команды операционной системы на целевых аппаратных комплексах.
Выполнение команд происходит от имени так называемого «пользователя сайта» (site user). Хотя этот статус концептуально отличается от прав суперпользователя (root), компрометация данной учетной записи предоставляет атакующим тотальный функциональный контроль над устройством. В результате хакеры получают возможность свободно управлять конфигурациями оборудования, перехватывать сетевой трафик и контролировать любые управляемые сеансы связи.
Цепочка атаки начинается с проведения сетевой разведки и применения кастомных скриптов на языке Python для целевого взлома административных учетных записей. Получив первоначальный доступ, злоумышленники активно развертывают веб-шеллы в различных каталогах скомпрометированной системы. Для обеспечения постоянного присутствия применяются дропперы на базе Bash, а также внедряется специализированный PHP-бэкдор, функционал которого позволяет выполнять исходный или произвольный PHP-код исключительно в оперативной памяти устройства, без записи новых файлов на жесткий диск.
На этапе закрепления в инфраструктуре преступники устанавливают инструменты удаленного управления и специфическое вредоносное ПО, среди которого зафиксированы VShell и Spark RAT. Для скрытной проверки успешности выполнения вредоносного кода и сбора цифровых отпечатков пораженных систем хакеры применяют методы внеполосного тестирования безопасности приложений (OAST). Использование этих техник позволяет им безопасно настраивать каналы управления и контроля (C2) с целью дальнейшего бокового перемещения по корпоративной сети.
Ключевым мотивом текущей кампании является эксфильтрация конфиденциальной информации. Злоумышленники поэтапно собирают и сжимают данные перед их скрытной отправкой на подконтрольные внешние серверы. В перечень похищенной информации входят критически важные конфигурационные файлы, внутренние системные базы данных, а также полные дампы баз данных PostgreSQL.
География киберкампании охватывает пять государств: США, Францию, Германию, Австралию и Канаду. Жертвами высокотехнологичных атак стали организации, представляющие шесть ключевых секторов экономики: сферу финансовых и юридических услуг, сектор высоких технологий, высшее образование, оптовую и розничную торговлю, а также систему здравоохранения.
Текущий инцидент обнажает системную проблему, связанную с проверкой ввода в различных путях выполнения программного кода. Исследователь безопасности Джастин Мур из Palo Alto Networks Unit 42 указывает на прямую параллель между текущей угрозой и исторической уязвимостью CVE-2024-12356, которая также возникла из-за недостаточной валидации в стороннем программном обеспечении Postgres. Предыдущая брешь была успешно монетизирована и активно эксплуатировалась группировкой Silk Typhoon, связанной с Китаем.
Опираясь на этот исторический прецедент, эксперты по кибербезопасности приходят к выводу, что уязвимость CVE-2026-1731 является высокоприоритетной целью для правительственных и высококвалифицированных хакерских групп. Высокий уровень угрозы официально подтвержден Агентством по кибербезопасности и защите инфраструктуры США (CISA). Ведомство внесло брешь в каталог известных эксплуатируемых уязвимостей (KEV) и заявило, что данный недостаток уже применяется злоумышленниками в реальных кампаниях по распространению программ-вымогателей.
Изображение носит иллюстративный характер
В основе проблемы лежит сбой очистки данных, который приводит к недостаточной проверке вводимой информации. Основным вектором атаки выступает скрипт «thin-scc-wrapper», к которому хакеры получают доступ через интерфейс WebSocket. Использование этого недочета позволяет злоумышленникам беспрепятственно внедрять и выполнять произвольные команды операционной системы на целевых аппаратных комплексах.
Выполнение команд происходит от имени так называемого «пользователя сайта» (site user). Хотя этот статус концептуально отличается от прав суперпользователя (root), компрометация данной учетной записи предоставляет атакующим тотальный функциональный контроль над устройством. В результате хакеры получают возможность свободно управлять конфигурациями оборудования, перехватывать сетевой трафик и контролировать любые управляемые сеансы связи.
Цепочка атаки начинается с проведения сетевой разведки и применения кастомных скриптов на языке Python для целевого взлома административных учетных записей. Получив первоначальный доступ, злоумышленники активно развертывают веб-шеллы в различных каталогах скомпрометированной системы. Для обеспечения постоянного присутствия применяются дропперы на базе Bash, а также внедряется специализированный PHP-бэкдор, функционал которого позволяет выполнять исходный или произвольный PHP-код исключительно в оперативной памяти устройства, без записи новых файлов на жесткий диск.
На этапе закрепления в инфраструктуре преступники устанавливают инструменты удаленного управления и специфическое вредоносное ПО, среди которого зафиксированы VShell и Spark RAT. Для скрытной проверки успешности выполнения вредоносного кода и сбора цифровых отпечатков пораженных систем хакеры применяют методы внеполосного тестирования безопасности приложений (OAST). Использование этих техник позволяет им безопасно настраивать каналы управления и контроля (C2) с целью дальнейшего бокового перемещения по корпоративной сети.
Ключевым мотивом текущей кампании является эксфильтрация конфиденциальной информации. Злоумышленники поэтапно собирают и сжимают данные перед их скрытной отправкой на подконтрольные внешние серверы. В перечень похищенной информации входят критически важные конфигурационные файлы, внутренние системные базы данных, а также полные дампы баз данных PostgreSQL.
География киберкампании охватывает пять государств: США, Францию, Германию, Австралию и Канаду. Жертвами высокотехнологичных атак стали организации, представляющие шесть ключевых секторов экономики: сферу финансовых и юридических услуг, сектор высоких технологий, высшее образование, оптовую и розничную торговлю, а также систему здравоохранения.
Текущий инцидент обнажает системную проблему, связанную с проверкой ввода в различных путях выполнения программного кода. Исследователь безопасности Джастин Мур из Palo Alto Networks Unit 42 указывает на прямую параллель между текущей угрозой и исторической уязвимостью CVE-2024-12356, которая также возникла из-за недостаточной валидации в стороннем программном обеспечении Postgres. Предыдущая брешь была успешно монетизирована и активно эксплуатировалась группировкой Silk Typhoon, связанной с Китаем.
Опираясь на этот исторический прецедент, эксперты по кибербезопасности приходят к выводу, что уязвимость CVE-2026-1731 является высокоприоритетной целью для правительственных и высококвалифицированных хакерских групп. Высокий уровень угрозы официально подтвержден Агентством по кибербезопасности и защите инфраструктуры США (CISA). Ведомство внесло брешь в каталог известных эксплуатируемых уязвимостей (KEV) и заявило, что данный недостаток уже применяется злоумышленниками в реальных кампаниях по распространению программ-вымогателей.
