Цілеспрямовані атаки: Kaspersky виявляє експлойти нульового дня в операційній системі Windows і Internet Explorer. Актор APT DarkHotel міг стояти за подвигами.
Наприкінці весни 2020 року технології автоматизованого виявлення Kaspersky запобігли цілеспрямованій атаці на південнокорейську компанію. При детальнішому вивченні атаки дослідники Kaspersky виявили дві раніше невідомі вразливості: експлойт для виконання стороннього коду в Internet Explorer 11 і експлойт Elevation of Privileges (EoP) для отримання вищих прав доступу в поточних версіях Windows 10. Патчі для обох експлойтів вже випущено.
Уразливості нульового дня — це раніше невідомі помилки програмного забезпечення. Поки їх не виявлено, зловмисники можуть мовчки використовувати їх для зловмисних дій і завдати серйозної шкоди.
Експлойт в операційній системі Windows
Дослідники Kaspersky виявили дві вразливості нульового дня під час розслідування цілеспрямованої атаки в Кореї. Перший експлойт «використання після звільнення» для Internet Explorer здатний віддалено виконувати чужий код і отримав позначення CVE-2020-1380. Однак, оскільки Internet Explorer працює в ізольованому середовищі, зловмисникам потрібні були додаткові права на заражені пристрої. Вони отримали це через другий експлойт в операційній системі Windows. Експлойт скористався вразливістю в службі принтера та дозволив виконання довільного коду. Експлойт в операційній системі називається CVE-2020-0986.
«Реальні атаки з уразливістю нульового дня «в дикій природі» завжди викликають великий інтерес у сфері кібербезпеки», — пояснює Борис Ларін, експерт з безпеки Kaspersky. «Успішне виявлення таких вразливостей змушує постачальників негайно випустити виправлення та змушує користувачів встановлювати будь-які необхідні оновлення. Особливо цікавим у виявленій атаці є те, що попередні експлойти в основному стосувалися отримання вищих привілеїв. Однак цей випадок містить експлойт із можливостями віддаленого виконання коду, що робить його більш небезпечним. Разом із здатністю впливати на останні збірки Windows 10, виявлена атака справді рідкість у наші дні. Це має нагадувати нам про необхідність інвестувати в чудову систему аналізу загроз і перевірені технології захисту, щоб активно виявляти останні загрози нульового дня».
Чи стоїть група DarkHotel за подвигами нульового дня?
Експерти Kaspersky підозрюють, що за атакою може стояти група DarkHotel, оскільки новий експлойт має певну схожість з попередніми атаками DarkHotel. Kaspersky Threat Intelligence Portal надає детальну інформацію про IoC (індикатори компрометації) цієї групи, включаючи хеші файлів і сервери C&C. Рішення Kaspersky виявляють експлойти як PDM:Exploit.Win32.Generic.
Патч для пов’язаної з правами вразливості CVE-2020-0986 був випущений 9 червня 2020 року, один для виконання стороннього коду (CVE-2020-1380) 11 серпня 2020 року.
Рекомендації Kaspersky Security
- Виправлення Microsoft слід встановити якомога швидше, оскільки зловмисники більше не зможуть використовувати ці виявлені вразливості.
- Команди SOC повинні мати доступ до найновішої інформації про загрози. Kaspersky Threat Intelligence Portal може слугувати єдиним магазином. Він надає обширні дані про кібератаки та інформацію, яку Касперський накопичував за понад 20 років.
- Рішення EDR, такі як Kaspersky Endpoint Detection and Response, допомагають виявляти, досліджувати та швидко вирішувати інциденти кінцевих точок.
- Крім того, компанії повинні використовувати рішення безпеки, які виявляють складні загрози на ранніх етапах на рівні мережі, такі як Kaspersky Anti Targeted Attack Platform.
Більше інформації про ці нещодавно виявлені експлойти доступно у вигляді звіту англійською мовою.
Більше про це в SecureList на Kaspersky.com
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/