Noll
Två dagar efter det att en säkerhet forskare släppt detaljer och proof-of-concept kod om en okorrigerad Windows zero-day, en malware-gruppen hade redan ingår sårbarheten i sina utnyttja kedja och var försöker infektera användare runt om i världen.
Zero-day som används i denna malware distribution kampanj är en (fortfarande-okorrigerad) säkerhetsproblem i Windows Task Scheduler funktion, påverkar det Avancerade (Local Procedure Call ALPC) funktion.
Information om detta säkerhetsproblem publicerades den 27 augusti, på Twitter och GitHub, tillsammans med en fullt fungerande proof-of-concept utnyttja.
I OS-versioner som har getts ut efter Windows 7, ALPC fungerar inte ordentligt kontrollera användaråtkomst när de interagerar med filer som lagras i Windows Task Scheduler mapp. En angripare som använder PoC släppt på Twitter/GitHub kan lyfta en normal användarens behörighetsnivå från ANVÄNDARE till SYSTEMET.
Eftersom forskare som avslöjade detta zero-day släppt både en kompilerad binär men också utnyttja källkod, infosec experter, på den tiden förutspått att detta problem skulle bli ytterst populärt med att skapa skadlig kod.
Deras prediktioner inom två dagar, men ingen visste på den tiden.
I en rapport som publiceras idag, ESET security forskare Matthieu Faou säger att han följt en grupp som har varit att utnyttja Windows ALPC noll-dag den senaste veckan.
I gruppen-kodnamn PowerPool– har varit att skicka med låg volym spam till utvalda offer över hela världen, Faou säger, med upptäckter som kommer från Chile, Tyskland, Indien, Filippinerna, Polen, Ryssland, storbritannien, Usa och Ukraina.
Dessa e-postmeddelanden innehåller skadliga bifogade filer som infekterar användare med ett första skede bakdörr. Faou säger att om en angripare bestämma att den smittade datorn kan innehålla känsliga uppgifter, de laddar ner en andra, mer kraftfulla bakdörr. Koncernen använder sedan Windows zero-day för att få admin-rättigheter för sina bakdörrar.
Se även: Kritiska fjärrkörning av kod fel i Apache Struts exponerar företaget för att attackera
I en epost-intervju med ZDNet, Faou berättar att gruppen har varit aktiv sedan åtminstone början av 2017 när hans företag började spåra aktivitet bakom två-bakdörr för skadlig kod combo.
“Jag var inte att tydligt kunna identifiera slutmålet för denna grupp,” Faou berättade ZDNet. “Men, arten av deras verktyg och det låga antalet offer antyder är detta en spionage kampanj. De bedriver spam-kampanjer, men på en relativt låg volym.”
Men Faou gjorde det klart i en rapport som publicerades tidigare i dag att de två bakdörrar är inte i närheten av så komplexa som de malware som används av nationalstaten cyber-spionage grupper.
Se även: Mexikaner serveras med Mörka Tequila spyware spree
Dessutom har forskare även uppmärksammat att, till skillnad från andra fall när forskare avslöja noll-dagar på nätet utan att vänta på plåster, denna gång saker var värre.
“När bara en kompilerad version av Proof-of-Concept som är tillgängliga, är det svårare att återanvända, eftersom skadlig kod utvecklare måste först reverse-engineer programmet för att åter införa det i sina malware,” Faou berättade ZDNet.
“Skillnaden mellan detta zero-day och de flesta av de föregående är lanseringen av den fullständiga källkoden som används för att utnyttja säkerhetsproblemet. Alltså, det kan lätt återanvändas genom att skadlig kod utvecklare,” tillade han.
Det är därför som när säkerhet forskare publicerade uppgifter om en ny exploatering teknik som inbegriper Windows 10 Inställningar på Panelen länkar (.SettingContent-ms-filer), det tog malware författare veckor av experimenterande innan man får rätt saker, vid vilken tid, Microsoft hade lappat frågan i augusti 2018 Patch tisdag.
Men den här gången, Faou sade PowerPool grupp fick det rätt på första försöket.
“Ja, de var i stånd att höja de befogenheter som 2: a steget bakdörr från en begränsad användare till SYSTEMET,” Faou sa till oss när vi frågade om koncernens framgång. “Jag kunde inte finna något spår av tidigare misslyckade försök,” sade han.
En analys av PowerPool koncernens bakdörrar och andra detaljer när det gäller deras modus operandi är som ingår i Faou: s rapport som publicerades på ESET webbplats.
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0