Загадочный вредонос AcidBox атаковал две российские организации

Загадочный вредонос AcidBox атаковал две российские организации

Некий загадочный вредонос фигурирует в целевых кибератаках и использует при этом эксплойт, который специалисты ассоциируют с операциями группировки Turla. Новую угрозу первыми заметили исследователи из Palo Alto Networks.

Обычно киберпреступная группа Turla в представлении западных экспертов в области безопасности связана с деятельностью ФСБ России. У группировки есть и другие имена: Waterbug, Venomous Bear и KRYPTON.

Turla была первой, кому удалось использовать драйвер стороннего устройства для отключения защитной функции Driver Signature Enforcement (DSE), представленной в Windows Vista. Напомним, что задача DSE — не допустить загрузки неподписанных драйверов.

Задействованную Turla уязвимость, получившую идентификатор CVE-2008-3431, начали связывать с APT-группой. Именно эта брешь в драйвере VirtualBox (VBoxDrv.sys v1.6.2) позволила злоумышленникам деактивировать DSE.

Теперь специалисты компании Palo Alto Networks сообщили об эксплуатации той же самой уязвимости в новых атаках. Однако на этот раз стоящие за кампанией операторы не связаны с Turla, подчеркнули исследователи.

В ходе новых операций киберпреступники атаковали две российские организации, которые, судя по всему, даже не подозревали о наличии непропатченной уязвимости в драйвере VBoxDrv.sys.

«Поскольку мы не нашли других жертв данной кампании, можно сделать вывод, что эта вредоносная программа весьма специфична — используется исключительно в целевых кибератаках», — объясняет команда Palo Alto Networks.

Специалисты присвоили ранее неисследованному семейству зловредов имя AcidBox. Это сложный софт, над которым явно трудились профессионалы. Есть также предположения, что AcidBox является лишь частью некоего большего набора инструментов для взлома.

Эксперты предполагают, что стоящая за AcidBox группа до сих пор активна, а это значит, что новый целевые атаки могут в любой момент возобновиться.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Microsoft Defender теперь предупреждает об iPhone, прошедших джейлбрейк

Microsoft добавила своей платформе Microsoft Defender для конечных точек (ранее — Microsoft Defender Advanced Threat Protection) возможность детектирования iOS-устройств, прошедших процедуру джейлбрейка. Напомним, что Microsoft Defender for Endpoint — корпоративная версия встроенного в Windows 10 антивируса Defender.

Теперь команды безопасников будут получать уведомления о джейлбрейкнутых устройствах iPhones и iPads в сети организации.

«Если будет обнаружено устройство, прошедшее процедуру джейлбрейка, команда безопасности Microsoft 365 Defender получит уведомление. Сам девайс будет рассматриваться как дополнительный риск, при этом ему можно запретить доступ к корпоративным ресурсам», — объясняют специалисты Microsoft.

Решение детектировать такие устройства вполне логично, поскольку с помощью джейлбрейка пользователи получают привилегии root. Другими словами, все установленные Apple ограничения — на установку приложений из сторонних источников или кастомизацию — полностью снимаются.

В результате пользователь может инсталлировать вредоносное или потенциально опасное приложение, но что ещё хуже — такое устройство не будет получать патчи, которые необходимы для защиты от атак злоумышленников, эксплуатирующих уязвимости.

«Такого рода устройства создают дополнительный риск для организации. В сущности, это потенциальный вектор утечки или взлома корпоративной сети », — считают в Microsoft.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru