Авторы атак против ИБ-исследователей использовали эксплойт IE 0-day

Авторы атак против ИБ-исследователей использовали эксплойт IE 0-day

Авторы атак против ИБ-исследователей использовали эксплойт IE 0-day

Как оказалось, в недавних атаках, нацеленных на установку бэкдора на машины специалистов по ИБ, использовалась ранее не известная уязвимость в Internet Explorer. Эксплойт нулевого дня отрабатывает, если в браузере разрешено выполнение скриптов.

Автором атак, о которых идет речь, предположительно является северокорейская APT-группа — в Microsoft уверены, что это Lazarus. В рамках необычной кампании хакеры пытались с помощью элементов социальной инженерии спровоцировать жертву на загрузку вредоносного кода, открывающего доступ к интересующей их информации.

С этой целью специалисту по поиску уязвимостей предлагали поучаствовать в некоем совместном проекте и ознакомиться с наработками, просмотрев имеющиеся материалы — на указанном ссылкой сайте или во вложенном архиве MHT/MHTML. Файлы этого формата обычно использует Internet Explorer для хранения кода HTML и ресурсов веб-страниц.

 

Некоторые сотрудники южнокорейской ИБ-компании ENKI тоже получили по почте такое приглашение с прикрепленным файлом Chrome_85_RCE_Full_Exploit_Code.mht. Судя по названию, вложение содержало пробный эксплойт для RCE-уязвимости в Chrome, однако на поверку это оказалось фикцией.

При открытии этого архивного файла стартовал IE. Если настройки браузера разрешали выполнение JavaScript, происходил запуск вредоносного сценария, который загружал из стороннего источника эксплойт 0-day. Соответствующая уязвимость, по свидетельству ENKI, представляет собой баг double-free (двойное освобождение памяти) в IE. Его использование позволяет злоумышленнику выгрузить на свой сервер такие данные, как список запущенных процессов, снимки экрана, информация о сети.

После отработки эксплойта на машину жертвы в данном случае загружался целевой зловред — бэкдор.

О своей находке эксперты ENKI сообщили в Microsoft. Там пообещали ознакомиться с информацией и выпустить патч в кратчайшие сроки. 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

64% россиян, зарабатывающих на хобби, столкнулись со взломом аккаунта

Зарабатывать на своём увлечении — мечта многих. Но вместе с ростом популярности и доходов повышается и интерес к вам со стороны злоумышленников. Об этом говорится в новом опросе «Лаборатории Касперского».

По данным исследования, 64% россиян, которые превратили своё хобби в источник заработка, сталкивались с попытками взлома аккаунтов в соцсетях. Среди тех, кто занимается увлечением просто «для души», таких 43%.

Ситуация аналогична и по другим каналам:

  • попытки взлома электронной почты — у 55% предпринимателей против 31% любителей;
  • атаки на мессенджеры — у 51% против 28%.

Эксперты объясняют: как только человек начинает активно продвигать себя — создаёт тематические страницы, набирает подписчиков, принимает заказы — он становится заметной целью для киберпреступников. А взлом аккаунта может обернуться и финансовыми потерями, и репутационными проблемами.

«Социальные сети — один из главных инструментов для продвижения своих увлечений и бизнеса, но именно они чаще всего становятся точкой атаки», — отмечает Алексей Киселёв, руководитель отдела по работе с малым и средним бизнесом в «Лаборатории Касперского».

Он советует защищать свои цифровые профили:

  • использовать сложные уникальные пароли и регулярно их менять,
  • включить двухфакторную аутентификацию,
  • установить антивирус,
  • делать резервные копии данных и ограничивать доступ к важным ресурсам.

По мере роста бизнеса, добавляет эксперт, стоит выстраивать полноценную систему кибербезопасности — так же, как строится маркетинг или бухгалтерия. Ведь чем успешнее проект, тем больше желающих на нём «заработать» нечестным способом.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru