0-day уязвимость в Windows использовалась группой FruityArmor для целевых атак

Тема в разделе "Взлом и уязвимости", создана пользователем moog, 21 окт 2016.

  1. moog

    moog

    Сообщения:
    11
    Баллы:
    1
    11 октября 2016 года компания Microsoft представила ежемесячный пакет исправлений, в состав которого входил бюллетень безопасности MS16-120. Бюллетень описывал RCE-уязвимость CVE-2016-3393, связанную с тем, как Windows Graphics Device Interface (aka GDI или GDI+) обрабатывает объекты в памяти. Также сообщалось, что уязвимость обнаружил сотрудник «Лаборатории Касперского» Антон Иванов.

    [​IMG]


    Сегодня, 20 октября 2016 года, Иванов опубликовал в официальном блоге компанииподробности относительно своей находки. Исследователь пишет, что пару месяцев назад компания обновила свои продукты, добавив в них ряд механизмов, направленных на поиск и блокирование 0-day-атак. Обновление показало себя хорошо, так, ранее в 2016 году благодаря нему были обнаружены эксплоиты для двух 0-day уязвимостей в Adobe Flash (CVE-2016-1010 и CVE-2016-4171), а также два эксплоита Windows EoP (CVE-2016-0165 и CVE-2016-3393).

    Как выяснилось, эксплоит для уязвимости CVE-2016-3393 принадлежал кибершпионской группировке FruityArmor, о существовании которой исследователи узнали сравнительно недавно. FruityArmor атаковали своих жертв, заманивая их на вредоносные сайты, и эксплуатируя уязвимости в браузерах, в качестве первой стадии атаки. Затем, если эксплоит сработал, и злоумышленники осуществили обход песочницы браузера и сумели повысить свои привилегии, осуществлялась атака на уязвимость CVE-2016-3393. Для этих целей использовался модуль, работающий непосредственно в памяти, основной целью которого являлась доставка за машину специально созданного файла TTF, содержавшего эксплоит для CVE-2016-3393, и его запуск.

    Также Иванов отмечает, что от других хакерских групп FruityArmor отличает странная любовь к PowerShell. Основная малварь группы писана на PowerShell, и все команды также передаются в виде PowerShell-скриптов.

Поделиться этой страницей