В дальнейшем со взломанного управляющего узла через межсетевое взаимодействие отправляется специально сформированный конверт, имитирующий легитимное обновление ПО, который позволяет проэксплуатировать уязвимость обработки относительных путей и выполнить произвольный код на атакуемом узле.
Для устранения угрозы компания выпустила обновления, а также опубликовала инструкции по проверке признаков заражения с использованием YARA-правил. Администраторам сетей, которые не могут гарантировать безопасность смежных защищенных сегментов, рекомендовано проверить узлы на наличие вредоносных файлов и подозрительной активности, а также оперативно обратиться в службу технического сопровождения «ИнфоТеКС» при обнаружении подозрительных признаков.
Основные рекомендации:
Разработчик также рекомендует ограничить права администратора для пользователей, проверить актуальность антивирусных баз и версий установленных продуктов ViPNet.