लक्षित हमले: कास्परस्की विंडोज ऑपरेटिंग सिस्टम और इंटरनेट एक्सप्लोरर में शून्य-दिन के शोषण का पता लगाता है। एपीटी अभिनेता डार्कहोटल कारनामों के पीछे हो सकता है।
2020 के अंत में, कास्परस्की की स्वचालित पहचान तकनीकों ने दक्षिण कोरियाई कंपनी पर लक्षित हमले को रोका। हमले की अधिक बारीकी से जांच करते समय, कास्परस्की के शोधकर्ताओं ने पहले से अज्ञात दो कमजोरियों को पाया: इंटरनेट एक्सप्लोरर 11 में विदेशी कोड को निष्पादित करने के लिए एक शोषण और विंडोज 10 के वर्तमान संस्करणों में उच्च पहुंच अधिकार प्राप्त करने के लिए विशेषाधिकार (ईओपी) का उन्नयन। दोनों के लिए पैच। कारनामे पहले ही जारी किए जा चुके हैं।
ज़ीरो-डे भेद्यताएँ पहले अज्ञात सॉफ़्टवेयर बग हैं। जब तक उनका पता नहीं चलता, हमलावर चुपचाप उनका दुर्भावनापूर्ण गतिविधियों के लिए उपयोग कर सकते हैं और गंभीर नुकसान पहुंचा सकते हैं।
विंडोज ऑपरेटिंग सिस्टम में शोषण
Kaspersky के शोधकर्ताओं ने कोरिया में एक लक्षित हमले की जांच करते हुए दो शून्य-दिन की कमजोरियों की खोज की। इंटरनेट एक्सप्लोरर के लिए पहला "यूज-आफ्टर-फ्री" शोषण विदेशी कोड को दूरस्थ रूप से निष्पादित करने में सक्षम है और इसे CVE-2020-1380 नाम दिया गया है। हालाँकि, चूंकि इंटरनेट एक्सप्लोरर एक अलग वातावरण में काम करता है, हमलावरों को संक्रमित उपकरणों पर अतिरिक्त अधिकारों की आवश्यकता होती है। उन्होंने इसे विंडोज ऑपरेटिंग सिस्टम में दूसरे शोषण के माध्यम से प्राप्त किया। शोषण ने प्रिंटर सेवा में भेद्यता का लाभ उठाया और मनमाना कोड निष्पादन की अनुमति दी। ऑपरेटिंग सिस्टम में शोषण को CVE-2020-0986 कहा जाता है।
कास्परस्की के सुरक्षा विशेषज्ञ बोरिस लारिन बताते हैं, "जंगली में शून्य-दिन की कमजोरियों के साथ वास्तविक हमले हमेशा साइबर सुरक्षा दृश्य में बहुत रुचि रखते हैं।" "ऐसी कमजोरियों की सफल खोज विक्रेताओं पर तुरंत पैच जारी करने के लिए दबाव डालती है और उपयोगकर्ताओं को किसी भी आवश्यक अपडेट को स्थापित करने के लिए मजबूर करती है। खोजे गए हमले के बारे में जो विशेष रूप से दिलचस्प है वह यह है कि पिछले कारनामे मुख्य रूप से उच्च विशेषाधिकार प्राप्त करने के बारे में थे। हालाँकि, इस मामले में रिमोट कोड निष्पादन क्षमताओं के साथ एक शोषण शामिल है, जो इसे और अधिक खतरनाक बनाता है। नवीनतम विंडोज 10 बिल्ड को प्रभावित करने की क्षमता के साथ, इन दिनों पाया गया हमला वास्तव में एक दुर्लभ चीज है। यह हमें नवीनतम शून्य-दिन खतरों का सक्रिय रूप से पता लगाने के लिए बेहतर खतरे की खुफिया जानकारी और सिद्ध सुरक्षा तकनीकों में निवेश करने की याद दिलाना चाहिए।
क्या डार्कहोटल समूह शून्य-दिन के कारनामों के पीछे है?
Kaspersky के विशेषज्ञों को संदेह है कि डार्कहोटल समूह हमले के पीछे हो सकता है, क्योंकि नए कारनामे में डार्कहोटल द्वारा किए गए पिछले हमलों के साथ कुछ समानताएँ हैं। Kaspersky थ्रेट इंटेलिजेंस पोर्टल इस समूह के IoC (समझौता के संकेतक) पर विस्तृत जानकारी प्रदान करता है, जिसमें फ़ाइल हैश और C&C सर्वर शामिल हैं। Kaspersky समाधान PDM:Exploit.Win32.Generic के रूप में शोषण का पता लगाता है।
अधिकारों से संबंधित भेद्यता CVE-2020-0986 के लिए पैच 9 जून, 2020 को जारी किया गया था, एक 2020 अगस्त, 1380 को विदेशी कोड (CVE-11-2020) के निष्पादन के लिए।
Kaspersky सुरक्षा अनुशंसाएँ
- Microsoft पैच को जल्द से जल्द स्थापित किया जाना चाहिए, क्योंकि हमलावर तब इन खोजी गई कमजोरियों का फायदा नहीं उठा सकते हैं।
- एसओसी टीमों के पास अप-टू-डेट थ्रेट इंटेलिजेंस तक पहुंच होनी चाहिए। Kaspersky थ्रेट इंटेलिजेंस पोर्टल वन-स्टॉप शॉप के रूप में काम कर सकता है। यह साइबर हमलों पर व्यापक डेटा प्रदान करता है और 20 से अधिक वर्षों में कास्परस्की द्वारा संचित अंतर्दृष्टि प्रदान करता है।
- कैस्पर्सकी एंडपॉइंट डिटेक्शन और रिस्पांस जैसे ईडीआर समाधान एंडपॉइंट घटनाओं का पता लगाने, जांच करने और जल्दी से हल करने में मदद करते हैं।
- इसके अलावा, कंपनियों को ऐसे सुरक्षा समाधानों का उपयोग करना चाहिए जो नेटवर्क स्तर पर शुरुआती चरणों में जटिल खतरों का पता लगाते हैं, जैसे कि कास्परस्की एंटी टार्गेटेड अटैक प्लेटफॉर्म।
इन नए खोजे गए कारनामों के बारे में अधिक जानकारी अंग्रेजी रिपोर्ट के रूप में उपलब्ध है।
Kaspersky.com पर सिक्योरलिस्ट पर इस पर और अधिक
Kaspersky के बारे में Kaspersky 1997 में स्थापित एक अंतरराष्ट्रीय साइबर सुरक्षा कंपनी है। Kaspersky की डीप थ्रेट इंटेलिजेंस और सुरक्षा विशेषज्ञता दुनिया भर में व्यवसायों, महत्वपूर्ण बुनियादी ढांचे, सरकारों और उपभोक्ताओं की सुरक्षा के लिए नवीन सुरक्षा समाधानों और सेवाओं की नींव के रूप में कार्य करती है। कंपनी के व्यापक सुरक्षा पोर्टफोलियो में जटिल और उभरते साइबर खतरों से बचाव के लिए अग्रणी एंडपॉइंट सुरक्षा और विशेष सुरक्षा समाधानों और सेवाओं की एक श्रृंखला शामिल है। 400 मिलियन से अधिक उपयोगकर्ता और 250.000 कॉर्पोरेट ग्राहक Kaspersky प्रौद्योगिकियों द्वारा सुरक्षित हैं। www.kaspersky.com/ पर Kaspersky के बारे में अधिक जानकारी