21 April 2015

Хакерская группа Sednit использует 0day эксплойты для кибератак

ESET NOD32 corporate blog
Мы уже неоднократно писали про хакерскую группу Sednit (aka Sofacy, APT28, Fancy Bear). В наших исследованиях мы указывали, что в прошлом году эта группа прибегала к использованию кастомизированного (собственного) набора эксплойтов для компрометации пользователей. Для этого организовывались атаки типа watering hole (drive-by download), при этом привлекались различные 1day эксплойты для браузера MS Internet Explorer. Мы также указывали, что в прошлом году эта группа специализировалась на атаках изолированных air-gapped сетей различных предприятий, которым ограничен доступ в интернет в целях безопасности.



Несколько дней назад компания FireEye опубликовала новую информацию о деятельности этой группы. Речь идет о двух 0day эксплойтах, которые Sednit использовала для направленных кибератак на дипломатические учреждения США.

Первый эксплойт основан на закрытой на прошлой неделе RCE-уязвимости в Flash Player CVE-2015-3043 (APSB15-06). Второй 0day эксплойт (LPE) используется для обхода механизмов sandbox браузеров, получения максимальных SYSTEM-привилегий и установки вредоносного ПО в систему. Такой метод (использования связки эксплойтов) уже стал «классическим» в подобных кибератаках и мы упоминали его в нашем отчете за 2014-й г.

Судя по той информации, которая была опубликована аналитиками FireEye о LPE уязвимости в Windows (CVE-2015-1701), SMEP позволяет блокировать действия этого эксплойта на Windows 8+ и, таким образом, он не затрагивает эти версии ОС. Компания Microsoft до сих пор не выпустила Security Advisory (SA) для этой уязвимости, поэтому, пока мы можем только догадываться о деталях этой уязвимости. FireEye уточняют, что этот 0day эксплойт был замечен только в серии этих новых направленных атак и только в связке с вышеуказанной уязвимостью Flash Player. Это указывает на жесткую направленность самой атаки (highly-targeted attack) и высокую квалификацию атакующих.

Ранее мы уже публиковали описания двух LPE эксплойтов, которые не могут нормально работать на Windows 8 x64 из-за активности там SMEP: PowerLoader 64-bit обновлен новыми LPE-эксплойтами, Анализ эксплойта Dianti.A.
Tags:Sednit0daycybercrime
Hubs: ESET NOD32 corporate blog
+2
4.3k 11
Comments 4