Специалисты «Лаборатории Касперского» выявили масштабную вредоносную кампанию, нацеленную на российские организации, использующие программные продукты 1С. Злоумышленники распространяют стилер RedLine через специализированные бухгалтерские форумы, маскируя его под активатор HPDxLIB — инструмент для обхода лицензионной защиты 1С.
Механизм атаки и особенности распространения
Кампания, стартовавшая в январе 2024 года, отличается целенаправленным подходом к атаке на бизнес-пользователей. Киберпреступники размещают на специализированных форумах объявления, предлагающие скачать обновленную версию активатора HPDxLIB. Злоумышленники детально описывают функционал по обходу лицензионных ограничений, акцентируя внимание на последних обновлениях.
Технические особенности вредоносного ПО
Вредоносная версия активатора имеет существенные отличия от легитимной: она разработана на платформе .NET и использует новый самоподписанный сертификат. Для сравнения, оригинальные версии создаются на C++ и подписываются действительным сертификатом. При выполнении инструкций происходит загрузка стилера RedLine, искусно замаскированного внутри активатора.
Механизм внедрения вредоносного кода
Атака реализуется через подмену легитимной библиотеки techsys.dll на вредоносную версию. При запуске корпоративного ПО процесс 1cv8.exe загружает модифицированную библиотеку, которая активирует стилер. Важно отметить, что для успешной атаки не используются программные уязвимости — злоумышленники полагаются исключительно на социальную инженерию.
Особенности работы RedLine Stealer
RedLine функционирует по модели Malware-as-a-Service (MaaS), специализируясь на краже конфиденциальных данных. Вредонос собирает информацию из браузеров, мессенджеров и системных данных, передавая их на командный сервер 213.21.220[.]222:8080. Исследователи отмечают, что данный сервер используется различными группировками, распространяющими RedLine по подписке.
Бухгалтеры и бизнес-пользователи 1С под угрозой кражи корпоративных данных
Кампания целенаправленно атакует сотрудников, работающих с продуктами 1С: бухгалтеров, финансистов, системных администраторов предприятий. Именно они являются целевой аудиторией форумов, где размещались ссылки на поддельный HPDxLIB. После компрометации учётных данных сотрудника злоумышленники получают доступ к корпоративным системам — похищенные данные используются для развития атаки внутри сети или продаются на теневых площадках другим группировкам, в том числе операторам программ-вымогателей.
Как защитить организацию от RedLine, распространяемого через активаторы 1С
- Не использовать пиратское ПО и активаторы — единственный надёжный способ исключить этот вектор заражения. Стоимость лицензионного ПО 1С несопоставима с потерями от инцидента безопасности.
- Проверять цифровую подпись библиотеки techsys.dll — легитимная версия подписана действующим сертификатом и скомпилирована на C++; вредоносная — на .NET с самоподписанным сертификатом.
- Мониторинг исходящих соединений — заблокировать или отслеживать подключения к C2-серверу 213.21.220[.]222:8080, зафиксированному исследователями Kaspersky.
- Скачивать программное обеспечение только с официальных сайтов поставщиков и из корпоративных репозиториев, а не с форумов и файлообменников.
- Провести проверку рабочих станций бухгалтерии на наличие следов RedLine: нетипичные процессы, обращения к внешним серверам, изменения в директориях браузерных данных.
