Новое оружие киберпреступников: RingH23 угрожает инфраструктуре MacCMS и CDN

Группа киберпреступников Funnull, ранее попавшая под санкции Министерства финансов США, вновь активизировалась, применяя новый набор инструментов под названием RingH23. Эта кампания направлена на скрытое заражение узлов CDN и компрометацию системы управления контентом MacCMS, что позволяет злоумышленникам перенаправлять миллионы пользователей на нелегальные ресурсы. Такой шаг свидетельствует о значительном расширении возможностей группы, которая теперь выходит за рамки простого захвата контроля над отдельными сервисами.

Как работает RingH23 и почему это опасно

RingH23 представляет собой комплексный арсенал, предназначенный для масштабного внедрения в инфраструктуру CDN и MacCMS. CDN (Content Delivery Network) — ключевой элемент современной интернет-архитектуры, обеспечивающий быструю и надежную доставку контента пользователям по всему миру. MacCMS — популярная система управления контентом, широко используемая для организации и публикации мультимедийных материалов.

Злоумышленники используют RingH23 для скрытого внедрения в узлы CDN, что позволяет им изменять маршрутизацию трафика и внедрять вредоносные перенаправления. Параллельно происходит "отравление" MacCMS, то есть внедрение вредоносного кода в систему управления контентом, что обеспечивает контроль над значительной частью пользовательской аудитории. В результате миллионы пользователей оказываются перенаправленными на нелегальные сайты, что несет риски не только для конечных пользователей, но и для репутации и безопасности организаций, управляющих этими системами.

Значение инцидента для организаций, управляющих внешней поверхностью атаки

Данная кампания демонстрирует, насколько уязвимыми могут быть ключевые компоненты интернет-инфраструктуры, которые часто воспринимаются как надежные и защищенные. Для компаний, использующих CDN и системы управления контентом, это сигнал о необходимости пересмотра подходов к мониторингу и защите внешних сервисов.

Особенно важно понимать, что атаки такого рода могут оставаться незамеченными длительное время, поскольку злоумышленники действуют скрытно, не вызывая явных сбоев в работе сервисов. Это увеличивает риск масштабного компрометации и затрудняет своевременное реагирование.

Практические рекомендации для команд безопасности

• Проводите регулярный аудит и мониторинг CDN и CMS. Внимательно отслеживайте любые аномалии в трафике и поведении систем, которые могут указывать на вмешательство злоумышленников.

• Используйте решения для обнаружения и управления внешней поверхностью атаки (EASM). Такие платформы помогают выявлять скрытые уязвимости и несанкционированные изменения в инфраструктуре.

• Обеспечьте своевременное обновление и патчинг систем управления контентом и компонентов CDN. Это снижает риск эксплуатации известных уязвимостей.

• Внедряйте многоуровневую защиту и сегментацию сети. Ограничение доступа между компонентами инфраструктуры усложняет злоумышленникам возможность распространения атаки.

• Обучайте сотрудников и пользователей. Повышение осведомленности о методах социальной инженерии и признаках компрометации помогает быстрее выявлять угрозы.

• Разрабатывайте планы реагирования на инциденты, учитывающие возможные атаки на внешние сервисы и инфраструктуру доставки контента.

В условиях роста сложности и масштабности кибератак на внешние сервисы, такие как CDN и CMS, организациям важно не только укреплять внутреннюю защиту, но и внимательно контролировать всю внешнюю поверхность атаки. Инциденты с использованием RingH23 от Funnull наглядно демонстрируют, что игнорирование этих аспектов может привести к серьезным последствиям для безопасности и репутации.