SimpleHelp’dagi kritik zaiflikdan faol foydalanilmoqda: TaskWeaver va Djinn Stealer zararli dasturlari orqali keng ko‘lamli ma’lumotlar o‘g‘irlanmoqda!
Kiberxavfsizlik sohasida yana bir o’ta xavfli tahdid aniqlanmoqda. Noma’lum kiberjinoyatchilar SimpleHelp masofaviy monitoring va boshqaruv (Remote Monitoring and Management – RMM) platformasida aniqlangan CVE-2026-48558 identifikatorli kritik zaiflikdan faol foydalanib, TaskWeaver va Djinn Stealer nomli yangi zararli dasturlarni qurilmalarga joylashtirmoqda.
Mazkur zaiflikning CVSS xavflilik darajasi 10.0 bo‘lib, u eng yuqori xavf darajasiga ega zaifliklar sirasiga kiradi. Mutaxassislarning ta’kidlashicha, ushbu zaiflikdan muvaffaqiyatli foydalangan hujumchi hech qanday qonuniy hisob qaydnomasiga ega bo‘lmasdan turib, tizimda to‘liq vakolatlarga ega «Technician» foydalanuvchisi sifatida autentifikatsiyadan o‘tishi mumkin. Natijada u masofadan turib boshqaruv funksiyalaridan foydalanish, qurilmalarga fayllar yuborish, buyruqlarni bajarish hamda zararli dasturlarni ishga tushirish imkoniyatini qo‘lga kiritadi.
Zaiflikning mohiyati
Muammo OpenID Connect (OIDC) autentifikatsiya jarayonidagi tekshiruv mexanizmidagi kamchilik bilan bog‘liq. Zaiflik sababli autentifikatsiyadan o‘tmagan hujumchi soxta identifikatsiya ma’lumotlarini o‘z ichiga olgan token yaratish orqali tizimni aldashi va o‘zini qonuniy texnik xodim sifatida ro‘yxatdan o‘tkazishi mumkin.
Eng xavotirli jihatlardan biri shundaki, serverda texnik xodimlar uchun ko‘p bosqichli autentifikatsiya (MFA) yoqilgan bo‘lsa ham, mazkur zaiflik orqali ushbu himoya mexanizmini chetlab o‘tish mumkin. Chunki tizim yangi texnik foydalanuvchiga birinchi kirish vaqtida MFA usulini mustaqil ro‘yxatdan o‘tkazishga ruxsat beradi.
Hujum qanday amalga oshirilmoqda?
Tahlillarga ko‘ra, hujumchilar internet orqali ochiq bo‘lgan SimpleHelp serverini aniqlaydi va CVE-2026-48558 zaifligidan foydalanib autentifikatsiyani chetlab o‘tadi. Shundan so‘ng ular tizimda «Technician» sessiyasini hosil qilib, RMM platformasining ishonchli boshqaruv imkoniyatlaridan foydalanadi.
Natijada hujumchilar:
- boshqaruv ostidagi qurilmalarga fayllarni uzatadi;
- masofadan buyruqlarni bajaradi;
- zararli dasturlarni ishga tushiradi;
- keyingi bosqichdagi zararli yuklamalarni yuklaydi.
Mazkur kampaniyada birinchi bosqichda TaskWeaver, undan keyin esa Djinn Stealer zararli dasturi ishga tushiriladi.
TaskWeaver — yashirin yuklovchi (Loader)
TaskWeaver kuchli obfuskatsiya qilingan Node.js asosidagi loader hisoblanadi. U odatda jquery.js nomi ostida tarqatilib, node.exe jarayoni orqali ishga tushiriladi.
Mazkur zararli dastur:
- tizim haqida ma’lumotlarni yig‘adi;
- qurilma konfiguratsiyasini aniqlaydi;
- masofadagi boshqaruv serveri bilan shifrlangan aloqa o‘rnatadi;
- qo‘shimcha JavaScript yuklamalarini yuklab ishga tushiradi;
- keyingi zararli komponentlarni dinamik ravishda yuklaydi.
Bu yondashuv hujumchilarga zararli kodni istalgan vaqtda yangilash hamda antivirus tizimlarini chetlab o‘tish imkonini beradi.
Djinn Stealer — keng qamrovli ma’lumot o‘g‘irlovchi
TaskWeaver tomonidan yuklanadigan ikkinchi bosqich — Djinn Stealer bo‘lib, u Windows, Linux va macOS operatsion tizimlarini nishonga oladi.
Zararli dastur foydalanuvchi va administratorlarga tegishli ko‘plab maxfiy ma’lumotlarni yig‘ishga mo‘ljallangan.
Jumladan, u quyidagi ma’lumotlarni o‘g‘irlashga urinadi:
- brauzerlarda saqlangan login-parollar;
- cookie fayllari;
- brauzer tarixi;
- bookmarklar;
- SSH kalitlari;
- Git konfiguratsiyasi;
- GitHub CLI ma’lumotlari;
- Docker autentifikatsiya fayllari;
- Helm registry ma’lumotlari;
- AWS, Microsoft Azure, Google Cloud, Oracle Cloud, Cloudflare va boshqa bulut platformalariga oid konfiguratsiyalar;
- Terraform, HashiCorp Vault, Consul kabi infratuzilma vositalarining autentifikatsiya ma’lumotlari;
- npm, Yarn, pnpm, Maven, Gradle, pip, PyPI, Cargo, Composer va boshqa paket menejerlariga tegishli tokenlar;
- sun’iy intellekt platformalari va yordamchilariga oid loyiha hamda autentifikatsiya ma’lumotlari;
- kriptovalyuta hamyonlari va ularning kalitlari.
Linux tizimlarida esa zararli dastur /proc/<pid>/cmdline hamda /proc/<pid>/environ fayllarini ham tekshiradi. Ushbu fayllarda ko‘pincha:
- API kalitlari;
- kirish tokenlari;
- ma’lumotlar bazasi ulanish satrlari;
- xizmat parollari;
- maxfiy muhit o‘zgaruvchilari (Environment Variables)
saqlangan bo‘lishi mumkin.
O‘g‘irlangan ma’lumotlar qanday uzatiladi?
Yig‘ilgan barcha ma’lumotlar avval TAR formatiga joylanadi, so‘ng GZIP algoritmi yordamida siqiladi. Keyinchalik ular AES-256-GCM algoritmi bilan shifrlanadi va RSA-2048 ochiq kaliti orqali himoyalangan holda hujumchilar nazoratidagi serverlarga yuboriladi.
Bunday ko‘p bosqichli shifrlash mexanizmi tarmoq monitoringi vositalari orqali uzatilayotgan ma’lumotlarni aniqlashni sezilarli darajada murakkablashtiradi.
Sun’iy intellekt platformalari ham nishonda
Mazkur kampaniyaning e’tiborga molik jihatlaridan biri — zamonaviy sun’iy intellekt xizmatlariga ham alohida qiziqish bildirilayotganidir.
Djinn Stealer quyidagi AI vositalariga oid autentifikatsiya va loyiha ma’lumotlarini qidiradi:
- Anthropic Claude;
- Google Gemini;
- OpenAI Codex;
- Cline;
- OpenCode;
- Kilo.
Bu esa hujumchilarning nafaqat foydalanuvchi hisoblarini, balki dasturiy ta’minot ishlab chiqish jarayonlari, kod omborlari, avtomatlashtirilgan ish jarayonlari va korporativ sun’iy intellekt xizmatlarini ham egallashni maqsad qilayotganini ko‘rsatadi.
Tashkilotlar uchun xavf
SimpleHelp odatda korporativ infratuzilmalarni masofadan boshqarish uchun qo‘llaniladi. Shu sababli bitta RMM serverining buzilishi o‘nlab yoki yuzlab mijoz tizimlarining xavf ostida qolishiga olib kelishi mumkin.
Administrator kompyuterida saqlangan bitta autentifikatsiya ma’lumoti orqali tajovuzkor:
- ishlab chiqarish (Production) muhitiga;
- bulut infratuzilmasiga;
- CI/CD va DevOps tizimlariga;
- Git repozitoriyalariga;
- mijoz infratuzilmalariga;
- ichki korporativ tarmoqlarga
kirish imkoniyatini qo‘lga kiritishi ehtimoldan xoli emas.
Shu sababli ushbu zaiflik oddiy autentifikatsiya muammosidan ko‘ra ancha keng ko‘lamli ta’sirga ega.
Himoyalanish bo‘yicha tavsiyalar
Mutaxassislar quyidagi choralarni imkon qadar tez amalga oshirishni tavsiya etmoqda:
- SimpleHelp serverini ishlab chiquvchi tomonidan chiqarilgan eng so‘nggi xavfsizlik yangilanishlari bilan darhol yangilash;
- OIDC autentifikatsiyasi yoqilgan serverlarni zudlik bilan tekshirish;
- noma’lum «Technician» hisoblarini aniqlash va o‘chirib tashlash;
- server va endpoint loglarini tahlil qilish;
- Node.js jarayonlari orqali ishga tushirilgan noma’lum jquery.js fayllarini tekshirish;
- barcha administrator va xizmat hisoblarining parollarini almashtirish;
- API kalitlari hamda kirish tokenlarini yangilash;
- SSH kalitlarini qayta yaratish;
- EDR/XDR yechimlari yordamida endpointlarni chuqur tekshirish;
- RMM serverlarini internetdan bevosita foydalanishga emas, balki VPN yoki Zero Trust tamoyillari asosida himoyalangan tarmoqlar orqali boshqarish.
CVE-2026-48558 zaifligi yana bir bor shuni ko‘rsatdiki, masofaviy boshqaruv platformalaridagi bitta autentifikatsiya kamchiligi butun korporativ infratuzilmaga jiddiy xavf tug‘dirishi mumkin. TaskWeaver va Djinn Stealer zararli dasturlari esa ushbu imkoniyatdan foydalanib nafaqat foydalanuvchi hisoblari va brauzer ma’lumotlarini, balki bulut infratuzilmalari, dasturiy ta’minot ishlab chiqish muhitlari, sun’iy intellekt platformalari hamda kriptovalyuta aktivlariga oid maxfiy ma’lumotlarni ham nishonga olmoqda.
Shu bois tashkilotlar RMM platformalarini muntazam yangilab borishi, autentifikatsiya mexanizmlarini qat’iy nazorat qilishi, xavfsizlik hodisalarini uzluksiz monitoring qilishi hamda Zero Trust tamoyillari asosida ko‘p qatlamli himoya choralarini joriy etishi bugungi kunda muhim zarurat hisoblanadi.
