Критическая уязвимость Samsung MagicInfo 9 стала причиной масштабной криптомайнинговой атаки
В середине мая 2025 года специалисты по кибербезопасности зафиксировали серьезную атаку, использующую уязвимость CVE-2025-4632 в сервере Samsung MagicInfo 9. Эта дыра в безопасности позволяла злоумышленникам удалённо выполнять код и записывать файлы с привилегиями системного уровня без какой-либо аутентификации. Оценка CVSS на уровне 9,8 свидетельствует о критической опасности данной уязвимости.
Механизм атаки и этапы проникновения
После успешного использования уязвимости злоумышленники приступили к укреплению своего присутствия в системе. С помощью автоматизированных команд они обходили средства защиты конечных точек, устанавливая на заражённые устройства:
- инструмент удалённого доступа AnyDesk;
- вариант криптомайнера XMRig, замаскированный под smi2.exe.
Основной целью атаки стал несанкционированный майнинг криптовалюты Monero (XMR).
Хронология событий
- Злоумышленники начали разведывательную активность, используя легитимный процесс tomcat9.exe, который был активен с 7 мая.
- К 15 мая были обнаружены первые признаки компрометации: команды проверяли наличие процессов, связанных с майнингом, что указывало на систематический анализ заражений и текущей активности.
- С помощью многоэтапных команд PowerShell и cmd.exe был создан новый локальный пользователь с правами администратора.
- В Microsoft Defender были зарегистрированы каталоги исключений, позволяющие обходить антивирусную проверку.
- Для стабильного управления и сохранения контроля было установлено приложение AnyDesk, которое настроили для автоматического запуска в Windows.
Используемые методы и инструментарий
Хакеры использовали различные скрипты и утилиты для обеспечения доставки вредоносной нагрузки и устойчивости атаки:
- Пакетный скрипт win.bat отвечал за загрузку и запуск XMRig с сервера управления (C2), а также проверял процессы интеллектуального анализа данных для предотвращения избыточности и конфликта.
- В арсенале вредоносных операций применялись утилиты certutil и curl, обеспечивающие успешную доставку полезной нагрузки даже при частичном ограничении функционала системных утилит.
- PowerShell-скрипт win.ps1 использовался как альтернатива для загрузки и запуска криптомайнера, используя законные возможности Windows, что повышало скрытность и обеспечивало постоянство выполнения при предустановленных условиях.
- XMRig, запущенный под именем smi2.exe, был настроен на бесшумную и автономную работу с приоритетом производительности, минимальной регистрацией и опциями автосохранения для сокрытия своего присутствия.
- AnyDesk обеспечивал расширенный удалённый доступ, что позволяло злоумышленникам сохранять контроль над системами и обходить корпоративные меры обнаружения.
Выводы и значение инцидента
Данная атака демонстрирует высокую степень сложности и скоординированности действий злоумышленников, которые сумели использовать критическую уязвимость Samsung MagicInfo 9 в сочетании с легитимным программным обеспечением для:
- обеспечения постоянного удалённого доступа к скомпрометированным системам;
- эффективного скрытого майнинга криптовалюты Monero;
- обхода антивирусных и системных мер безопасности.
Этот инцидент вновь подчёркивает необходимость своевременного обновления программного обеспечения и использования многоуровневых систем защиты для предотвращения подобных сложных атак.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Критическая уязвимость Samsung MagicInfo 9 поддерживает майнинг Monero".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.