0 паролей, 0 аккаунтов, 1 файл настроек — столько понадобилось хакерам, чтобы захватить серверы японской учебной платформы
NewsMakerЯпонцы придумали платформу для обучения, но забыли научить её менять пароли.
В KnowledgeDeliver нашли критическую уязвимость CVE-2026-5426 (CVSSv3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N) — 9.1 Critical, через которую злоумышленники взломали сервер учебной платформы и попытались заразить компьютеры её посетителей. KnowledgeDeliver разработала японская компания Digital Knowledge, систему часто используют в Японии для дистанционного обучения.
Специалисты Mandiant из Google Threat Intelligence Group расследовали инцидент в конце 2025 года. Они выяснили, что неизвестные злоумышленники получили возможность выполнять команды на сервере без входа в учётную запись. Причиной стали одинаковые ключи ASP.NET machineKey , которые использовались в разных установках KnowledgeDeliver.
Установки KnowledgeDeliver, развёрнутые до 24 февраля 2026 года, получали стандартный файл web.config от поставщика. В таком файле находились заранее заданные ключи, с помощью которых ASP.NET шифрует и подписывает данные, включая ViewState. ViewState хранит состояние веб-страницы между запросами пользователя.
Если злоумышленник узнавал ключи из одной установки, он мог подготовить вредоносный ViewState и отправить его на другой доступный из интернета сервер KnowledgeDeliver. Сервер принимал такие данные как доверенные и пытался их обработать, что позволяло выполнить вредоносный код.
После взлома злоумышленники закрепились на сервере с помощью веб-оболочки BLUEBEAM, также известной как Godzilla . Вредоносный инструмент работал в памяти процесса IIS w3wp.exe, поэтому, если проверять файлы обычными методами, следы заражения можно было не обнаружить. Через зашифрованные HTTP POST-запросы атакующие могли передавать команды и запускать дополнительные вредоносные компоненты.
Затем злоумышленники изменили права доступа к каталогу веб-приложения с помощью icacls и выдали группе Everyone полный доступ. После этого они внедрили вредоносный код в файл JavaScript. Посетителям сайта показывали поддельное предупреждение о безопасности и предлагали установить «подключаемый модуль для проверки подлинности». Одновременно страница загружала удалённый вредоносный сценарий с домена, подконтрольного атакующим.
Поддельный установщик заражал рабочие станции Cobalt Strike BEACON. Полезная нагрузка была зашифрована ключом, в котором использовалось название скомпрометированной организации. Такая деталь указывает, что злоумышленники готовили вредоносный файл специально под конкретную цель.
Mandiant советует администраторам KnowledgeDeliver срочно заменить machineKey на уникальные и криптографически стойкие ключи для каждой установки. Такой шаг сбрасывает общий секрет, из-за которого и стала возможна атака. Также рекомендуется ограничить доступ к системе учебного управления доверенными адресами, проверить журналы Windows на события ASP.NET с кодом 1316, искать подозрительные дочерние процессы w3wp.exe, включая cmd.exe, whoami и powershell.exe, а также проверить изменения в файлах .js, .aspx и .config.
В KnowledgeDeliver нашли критическую уязвимость CVE-2026-5426 (CVSSv3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N) — 9.1 Critical, через которую злоумышленники взломали сервер учебной платформы и попытались заразить компьютеры её посетителей. KnowledgeDeliver разработала японская компания Digital Knowledge, систему часто используют в Японии для дистанционного обучения.
Специалисты Mandiant из Google Threat Intelligence Group расследовали инцидент в конце 2025 года. Они выяснили, что неизвестные злоумышленники получили возможность выполнять команды на сервере без входа в учётную запись. Причиной стали одинаковые ключи ASP.NET machineKey , которые использовались в разных установках KnowledgeDeliver.
Установки KnowledgeDeliver, развёрнутые до 24 февраля 2026 года, получали стандартный файл web.config от поставщика. В таком файле находились заранее заданные ключи, с помощью которых ASP.NET шифрует и подписывает данные, включая ViewState. ViewState хранит состояние веб-страницы между запросами пользователя.
Если злоумышленник узнавал ключи из одной установки, он мог подготовить вредоносный ViewState и отправить его на другой доступный из интернета сервер KnowledgeDeliver. Сервер принимал такие данные как доверенные и пытался их обработать, что позволяло выполнить вредоносный код.
После взлома злоумышленники закрепились на сервере с помощью веб-оболочки BLUEBEAM, также известной как Godzilla . Вредоносный инструмент работал в памяти процесса IIS w3wp.exe, поэтому, если проверять файлы обычными методами, следы заражения можно было не обнаружить. Через зашифрованные HTTP POST-запросы атакующие могли передавать команды и запускать дополнительные вредоносные компоненты.
Затем злоумышленники изменили права доступа к каталогу веб-приложения с помощью icacls и выдали группе Everyone полный доступ. После этого они внедрили вредоносный код в файл JavaScript. Посетителям сайта показывали поддельное предупреждение о безопасности и предлагали установить «подключаемый модуль для проверки подлинности». Одновременно страница загружала удалённый вредоносный сценарий с домена, подконтрольного атакующим.
Поддельный установщик заражал рабочие станции Cobalt Strike BEACON. Полезная нагрузка была зашифрована ключом, в котором использовалось название скомпрометированной организации. Такая деталь указывает, что злоумышленники готовили вредоносный файл специально под конкретную цель.
Mandiant советует администраторам KnowledgeDeliver срочно заменить machineKey на уникальные и криптографически стойкие ключи для каждой установки. Такой шаг сбрасывает общий секрет, из-за которого и стала возможна атака. Также рекомендуется ограничить доступ к системе учебного управления доверенными адресами, проверить журналы Windows на события ASP.NET с кодом 1316, искать подозрительные дочерние процессы w3wp.exe, включая cmd.exe, whoami и powershell.exe, а также проверить изменения в файлах .js, .aspx и .config.