Экспертам удалось подорвать инфраструктуру набора эксплойтов RIG

Экспертам удалось подорвать инфраструктуру набора эксплойтов RIG

Группа исследователей и компаний во главе с RSA нанесла значительный удар по инфраструктуре, используемой печально известным набором эксплойтов RIG. Эта операция позволила экспертам узнать больше об этой угрозе.

RSA в понедельник объявила результаты операции, которую она назвала «Shadowfall». В проекте участвовали несколько независимых исследователей и сотрудников Malwarebytes, Palo Alto Networks и Broad Analysis.

После исчезновения Angler RIG удалось занять верхнюю позицию на рынке эксплойтов, он используется для распространения различных вредоносных программ, в том числе вымогателей Cerber и CryptoMix и бэкдора SmokeLoader. RIG использует несколько эксплойтов для Flash Player, Silverlight, Internet Explorer и Microsoft Edge, которые выдаются через вредоносные фреймы на взломанных веб-сайтах.

Одной из важных особенностей атак RIG является тот факт, что злоумышленники крадут учетные данные у владельцев домена и используют их для создания поддоменов. Изучая RIG, исследователи обнаружили десятки тысяч таких доменов. Анализ данных whois для этих доменов показал, что многие из них были зарегистрированы с помощью GoDaddy.

Благодаря GoDaddy в середине мая были удалены десятки тысяч вредоносных доменов, что нанесло значительный удар по RIG, в частности, по кампаниям, получившим названия «Seamless» и «Decimal IP». Однако RSA отметила, что полностью уничтожить эту угрозу будет нелегко.

Исследователи, участвовавшие в операции, сообщили, что набор эксплойтов продолжает оставаться активным, но также отметили, что RIG на несколько дней прекратил использование эксплойтов Flash Player.

«Судя по всему, для получения учетных данных доменов злоумышленники использовали фишинговые письма. Также у нас есть основания предположить, что имело место использование IoT-ботнетов для брутфорса сайтов на WordPress» - говорится в блоге RSA.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

Microsoft в ноябре проигнорировала 0-day, слитую в Twitter в октябре

Вчера Microsoft выпустила очередной набор обновлений безопасности для своей операционной системы. На этот раз корпорация устранила 62 проблемы безопасности. Среди этих уязвимостей также присутствовала 0-day, которая активно эксплуатировалась злоумышленниками до выхода ноябрьских патчей. Удивительно, но в Редмонде проигнорировали другую zero-day, сведения о которой были опубликованы в Twitter.

Исправленная уязвимость нулевого дня отслеживается под идентификатором CVE-2018-8589, она затрагивает Win32k, компонент системы Windows. Сама Microsoft классифицировала эту брешь как «проблему повышения привилегий в системе».

В корпорации объяснили, что атакующий мог использовать эту дыру для эскалации привилегий только в том случае, если он первым делом заразил систему и запустил вредоносный код.

Microsoft также отметила, что за обнаружение этой проблемы стоит сказать спасибо исследователям антивирусной компании «Лаборатория Касперского». Эксперты, в свою очередь, утверждают, что наблюдали использование этого бага серьезными киберпреступными группами.

0-day можно было использовать на 32-битных системах Windows 7. Корпорация обещала выпустить сегодня подробный анализ этой уязвимости, а также способов ее использования. Это уже вторая по счету брешь нулевого дня, которую Microsoft патчит за последние месяцы — обе были обнаружены экспертами «Лаборатории Касперского».

Эксперты, однако, отметили, что Microsoft в этом месяце не устранила другую серьезную проблему — 0-day эксплойт для последних версий Windows, слитый в Twitter в октябре.

Уязвимость нулевого дня затрагивает Microsoft Data Sharing (dssvc.dll), локальный сервис, обеспечивающий обмен данными между приложениями. По словам нескольких специалистов, которые проанализировали PoC-код, атакующий может использовать брешь для повышения привилегий в системах, к которым у него уже есть доступ.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru