Русско-основанные хакеры используют два использования нулевого дня в одном нападении

использовать

Отчет FireEye детализирует Работу RussianDoll, который использовал пару дефектов нулевого дня против иностранного правительства.FireEye фирмы безопасности выпустил отчет 18 апреля, утверждая, что Работа RussianDoll использовала два дефекта нулевого дня один в Adobe Flash и другом в Microsoft Windows — в предназначенном нападении. FireEye маркировал группу хакера позади нападения как APT28, который работает из России и может иметь связи с российским правительством.

«Приобретаемая фирма является объектом иностранного правительства в отрасли, вертикальной, который согласовывает с известным предназначением APT28», сказал Дариен Киндланд, директор аналитики угрозы в FireEye, eWEEK. «Мы не можем быть больше определенными, чем это. Мы обнаружили это нападение в режиме реального времени, сообщив о нападении жертве соответственно».Сообщение нападения APT28 RussianDoll FireEye приходит только спустя неделю после того, как фирма безопасности опубликовала отчет на китайской группе хакера, идентифицированной как APT30, который использовал правительства через Юго-Восточную Азию с 2005.Нападение APT28 включило две уязвимости, обе из которых были проблемами нулевого дня, которые FireEye сначала обнаружил 13 апреля.

Одна из уязвимостей, идентифицированных как CVE-2015-3043, находится в Adobe Flash. Adobe фактически исправил CVE-2015-3043 в обновлении, выпущенном 14 апреля.Дэн Кэзелден, главный вредоносный исследователь в FireEye, отметил, что CVE-2015-3043 уязвимость уже была в списке Adobe проблем для фиксации до него используемый APT28 и обнаруженный FireEye 13 апреля.Второй проблемой является CVE-2015-1701, новый дефект расширения полномочий в операционной системе Windows Microsoft, которая еще не была исправлена Microsoft.

В анализе FireEye дефект Flash был в частности соединен с уязвимостью расширения полномочий Windows для использования жертвы. Однако возможно, что CVE-2015-1701 мог использоваться в других нападениях.

«Это, конечно, могло использоваться с другими векторами атаки», сказал Кэзелден eWEEK. «Пока атакующий может выполнить exe [исполняемый файл] в системе, атакующий может использовать CVE-2015-1701 для получения системных прав».Существует, однако, определенное ограничение с CVE-2015-1701 уязвимостью в версиях Windows, на которые влияют. По данным Microsoft, уязвимость больше не существует в Windows 8 и позже, сказал Кэзелден.

Основанный на многих факторах, FireEye приписывает нападение APT28. Киндланд сказал, что новое использование поставляет вредоносный вариант, который совместно использует характеристики с закулисной ПАЛОЧКОЙ ДЛЯ ЕДЫ APT28 и вредоносными семьями CORESHELL.

«Вредоносное программное обеспечение использует ключ шифрования RC4, который ранее использовался черным ходом ПАЛОЧКИ ДЛЯ ЕДЫ», сказал Киндланд. «И C2 [Командный пункт], сообщения включают алгоритм контрольной суммы, который напоминает используемых в тайных коммуникациях ПАЛОЧКИ ДЛЯ ЕДЫ».Тот факт, что одна группа хакера решила гореть через два нулевых дня в одном нападении, не удивителен к Caselden. Как только атакующий получает выполнение кода для Flash в Internet Explorer, они ограничили полномочия, сказал он. «Использование расширения полномочий является естественным следующим шагом, который полностью введет себя в систему», сказал он. «Однако атакующие часто охраняют свои расширения полномочий близко».

Шон Майкл Кернер является главным редактором eWEEK и InternetNews.com. Следуйте за ним в Твиттере @TechJournalist.


10 комментариев

  1. Видно это прибыльное дело менять наззвания улиц..

  2. Подросту. Найду

  3. Жаль, жаль, жаль. а мы надеялись……

  4. В 2016 летом в Крыму будит сильнейшее землетресение, а врстанавливать последствия будут обнищавшие росияне.

  5. Не отключат, потому, что у Порошенко бизнес и в России и в Крыму.

  6. Так не и с парусины же… Да и как можно сравнивать фейсбук и абосранную расию?

  7. Пырла нырни в свае грязное море

  8. Ноги то раскарячил,видимо памперс полный.

  9. Да причем здесь Ленин и все остальное , Товарисч привел ТАКИЕ аргументы в пользу кап строя, которые кроме рвотного рефлекса вызвать ничего не могли

  10. Захаровой нада искуственный член пришить…

Комментарии закрыты.