BillQuick Web Suite

Продукт

Разработчики:	BQE Software
Технологии:	Учет рабочего времени

2021: Хакеры организовали кибератаку по всему миру через дыру в корпоративном ПО BQE Software

В конце октября 2021 года появилась информация о том, что хакеры начали взламывать компании с помощью вируса-вымогателя, используя уязвимость в системе учета рабочего времени и выставления счетов BillQuick Web Suite разработанной BQE Software. Об этом сообщили в компании Huntress, занимающейся исследованием угроз.

Брешь в BillQuick Web Suite позволяет хакерам осуществлять атаки с использованием вирусов-вымогателей. Исследователь безопасности Huntress Калеб Стюарт сказал, что этот инцидент продолжает подчеркивать повторяющуюся схему, характерную для программного обеспечения (ПО) SMB, которая заключается в том, что хорошо зарекомендовавшие себя поставщики делают очень мало для проактивной защиты своих приложений и подвергают своих невольных клиентов значительной ответственности, когда конфиденциальные данные неизбежно утекают и/или выкупаются.

Хакеры организовали атаку вирусами-вымогателями по всему миру через дыру в корпоративном ПО BQE Software

По данным Huntress, хакеры смогли успешно использовать уязвимость CVE-2021-42258 в BillQuick Web Suite, чтобы получить доступ к американской инженерной компании и распространить вымогательское ПО по сети жертвы. Система учета рабочего времени BillQuick работала на локальных серверах Windows.

Учитывая, что самопровозглашенная база пользователей BQE составляет 400 тыс. пользователей по всему миру, вредоносная кампания, направленная на их клиентскую базу, вызывает беспокойство. Наша команда смогла успешно воссоздать эту атаку на основе SQL-инъекции и может подтвердить, что хакеры могут использовать ее для доступа к данным BillQuick клиентов и запуска вредоносных команд на их локальных серверах Windows. Мы обнаружили предупреждения антивируса Microsoft Defender, указывающие на вредоносную активность в качестве учетной записи службы MSSQLSERVER$. Это указывало на возможность использования веб-приложения для получения первоначального доступа, - сказал в блоге эксперт по информационной безопасности безопасности Huntress Калеб Стюарт (Caleb Stewart).

Калеб Стюарт сказал, что компания Huntress узнала об уязвимости в системе безопасности после того, как несколько ее файлов Ransomware Canary сработали в среде инженерной компании, управляемой одним из ее партнеров. На сервере, о котором идет речь, размещался BillQuick Web Suite 2020, а журналы соединений показали, что иностранный IP-адрес неоднократно отправлял POST-запросы на конечную точку входа в веб-сервер, что привело к первоначальной компрометации.^[1]