Эксперты сумели полностью проанализировать код эксплойта, повышающего привилегии в системе, и выяснили, что он эксплуатировал две уязвимости в ядре ОС Microsoft Windows. (Следующие два абзаца поймут не все, так что можете просто переслать их своему сисадмину. Поверьте, что это важно.)
Первая из них, получившая номер CVE-2021-31955, — это уязвимость раскрытия информации в ntoskrnl.exe. Она связана с функцией SuperFetch, которая направлена на сокращение времени загрузки ПО за счёт предварительной загрузки часто используемых приложений в оперативную память. Другая уязвимость, CVE-2021-31956, связана с переполнением буфера кучи в драйвере ntfs.sys. Эксплойт использовал её вместе с механизмом Windows Notification Facility (WNF) для создания примитива произвольного чтения и записи в память.
Помимо эксплойтов в цепочке атаки применяются и другие вредоносные модули. Один из них, стейджер, уведомляет об успешной эксплуатации уязвимости, а также загружает и запускает с удалённого сервера более сложный модуль, дроппер вредоносного ПО. Дроппер используется для установки двух исполняемых файлов, которые притворяются легитимными файлами ОС Microsoft Windows. Один из них представляет собой удалённый шелл, который может загружать и выгружать файлы, создавать процессы, уходить в сон на заданное время и удалять себя со скомпрометированного устройства.
фото: Surface/unsplash.com
«Мы не смогли атрибутировать эти целевые атаки ни одной из известных нам кибергрупп и поэтому присвоили авторам, стоящим за ними, новое название — PuzzleMaker. Мы будем пристально наблюдать за их дальнейшей деятельностью. В последнее время мы видели несколько волн подобных инцидентов с применением эксплойтов нулевого дня. Уязвимости нулевого дня продолжают оставаться самым эффективным методом заражения. Теперь, когда бреши, о которых шла речь, стали публично известными, возможно, мы увидим рост атак с их использованием. Вот почему очень важно, чтобы пользователи как можно скорее загрузили новейшие патчи от Microsoft», — комментирует Борис Ларин, эксперт по кибербезопасности «Лаборатории Касперского».
Продукты «Лаборатории Касперского» детектируют эксплойт и вредоносные модули с вердиктами PDM: Exploit.Win32.Generic, PDM: Trojan.Win32.Generic и UDS: DangerousObject.Multi.Generic.
Больше узнать об этих уязвимостях нулевого дня можно по ссылке: https://securelist.ru/puzzlemaker-chrome-zero-day-exploit-chain/101737/.
Чтобы защитить организацию от атак, эксплуатирующих вышеуказанные бреши, «Лаборатория Касперского» рекомендует:
- как можно скорее обновить браузер Chrome и Microsoft Windows и делать это регулярно;
- использовать надёжное защитное решение, такое как Kaspersky Endpoint Security для бизнеса, которое содержит функции защиты от эксплойтов, технологии поведенческого анализа и компонент для отката действий, произведённых вредоносными программами в операционной системе;
- установить решение для защиты от сложных атак и EDR-решение, чтобы своевременно обнаруживать сложные угрозы, проводить расследование и реагировать на инциденты, а также предоставить SOC-команде доступ к самым актуальным данным об угрозах и регулярно проводить для неё тренинги. Эти возможности доступны в рамках экспертного уровня ступенчатого подхода «Лаборатории Касперского» к кибербезопасности — Kaspersky Expert Security. Помимо решений для защиты конечных устройств, существуют специальные сервисы для борьбы с целевыми атаками. Например, сервис Kaspersky Managed Detection and Response помогает распознавать и останавливать атаки на ранних стадиях, до того как атакующие достигнут своих целей.
И это ещё не всё. Ваши дети обожают Minecraft? Эксперты «Лаборатории Касперского» так же выяснили, что в Google Play появились новые версии вредоносных приложений, распространяющихся под видом модов для Minecraft. В конце 2020 года из магазина уже были удалены более 20 аналогичных программ, которые превращали устройство пользователя в инструмент для крайне навязчивого показа рекламы. На этот раз некоторые новые приложения могут по команде злоумышленников постоянно запускать полноэкранную рекламу. Также они могут загружать дополнительный модуль, который даёт возможность прятать иконку, внезапно открывать браузер, показывать ролики YouTube и открывать страницы приложений в Google Play. Мало того: эксперты обнаружили приложения, крадущие аккаунты Facebook — подделку под одну рекламную сеть и поддельный клиент для размещения рекламы в TikTok. Они требуют ввести учётные данные Facebook. Если пользователь делает это, информация уходит злоумышленникам.
Также было найдено вредоносное приложение, выдающее себя за утилиту для восстановления удалённых файлов. К настоящему моменту разработчики его убрали, и та версия, которая доступна в Google Play сейчас, является безопасной.
«Даже после удаления вредоносных приложений из Google Play их создатели могут продолжать загружать в магазин новые, слегка модифицированные версии — под другими названиями и с новых аккаунтов. Авторы зловредов продолжают экспериментировать с разными вариантами монетизации и могут заменять версии, когда одни схемы извлечения прибыли кажутся им более выгодными, чем другие. Кроме того, такие фейковые приложения могут быть по-прежнему доступны в альтернативных магазинах. Вот почему мы настоятельно рекомендуем пользоваться надёжным защитным решением, которое не допустит загрузку опасных программ», — комментирует Игорь Головин, эксперт по кибербезопасности «Лаборатории Касперского».
Специалисты «Лаборатории Касперского» уведомили Google о найденных приложениях, а пользователям мобильных устройств они советуют:
- не вводить пароли от своих аккаунтов в сомнительных приложениях;
- скачивать приложения только из официальных магазинов, поскольку вероятность столкнуться с вредоносным и нежелательным ПО на неофициальных ресурсах гораздо выше;
- запретить установку программ из сторонних источников;
- использовать надёжное защитное решение.
Более подробно читайте по ссылке: https://www.kaspersky.ru/blog/minecraft-mod-adware-google-play-revisited/30892/.
фото на обложке: Clint Patterson/unsplash.com