Недавнее обнаружение уязвимости CVE-2025-27920 в корпоративном мессенджере Output Messenger привлекло внимание экспертов в области кибербезопасности. Уязвимость типа directory traversal позволяет злоумышленникам манипулировать путями к файлам, получая возможность внедрять вредоносные скрипты в автозагрузочные каталоги. Это упрощает автоматизацию их выполнения при перезапуске системы, что, в свою очередь, ставит под угрозу безопасность организаций.

Екатерина Едемская, инженер-аналитик компании «Газинформсервис», отмечает, что проблемы такого рода требуют от организаций комплексного подхода к управлению уязвимостями всего программного обеспечения, включая даже менее распространенные решения.

Эксперт предупреждает: «Эксплуатация уязвимости CVE-2025-27920 в Output Messenger демонстрирует классический сценарий атаки на периферийные элементы инфраструктуры. Интересен выбор GoLang для реализации бэкдора: этот язык обеспечивает кроссплатформенность и снижает вероятность сигнатурного обнаружения, что особенно актуально для целевых атак с длительным периодом скрытого присутствия».

Эффективное обнаружение подобных атак требует мониторинга аномальной активности в автозагрузочных каталогах и детального анализа сетевых соединений на предмет скрытого туннелирования данных через SSH-клиенты, особенно в комбинации с архиваторами. Кроме того, для защиты от целевых атак следует использовать сегментацию сетей и изолировать критические системы от менее защищённых сервисов, таких как корпоративные чаты.

«Этот инцидент подчёркивает необходимость пересмотра подходов к Threat Intelligence, переходя от глобальных угроз к более детальной ситуационной осведомлённости о региональных APT-группах и их TTPs. Организациям, работающим в зонах интересов Marbled Dust, стоит рассмотреть внедрение поведенческого анализа для GoLang-процессов и отслеживать аномальное использование легитимного ПО для эксфильтрации данных. В этом контексте решения, такие как Ankey ASAP от компании "Газинформсервис", могут значительно повысить уровень защиты, применяя методы UEBA и машинного обучения для раннего обнаружения аномалий в поведении пользователей и устройств, включая эксплуатацию уязвимостей нулевого дня и APT-угроз. Ankey ASAP позволяет эффективно детектировать атаки на ранних этапах, проводить глубокий анализ инцидентов, а также визуализировать подозрительную активность, что повышает эффективность работы SOC и сокращает время реакции на угрозы», — заключает инженер-аналитик.

Справка о компании:

ООО «Газинформсервис» — отечественный разработчик программных и программно-аппаратных средств обеспечения информационной безопасности и комплексной инженерно-технической охраны. Компания специализируется на создании систем обеспечения информационной безопасности объектов и ИБ-систем для корпораций энергетической и транспортной отраслей, органов государственной власти, промышленных предприятий, а также учреждений финансового сектора и телекоммуникационных компаний.