Новый вектор атаки Rowhammer нивелирует любую защиту памяти DDR4

Новый вектор атаки Rowhammer нивелирует любую защиту памяти DDR4

Новый вектор атаки Rowhammer нивелирует любую защиту памяти DDR4

Как известно, эксплойты класса Rowhammer позволяют атакующему, не располагающему большими правами, модифицировать или повредить данные, хранящиеся в уязвимых чипах памяти. Теперь этот вид атаки угрожает практически каждому DDR4-модулю, поскольку новый вектор нивелирует защитные меры производителей.

С помощью вектора Rowhammer злоумышленники могут выбить самые высокие права в системе, обойти песочницы, а также проводить рутинг и заражение устройств, работающих на операционной системе Android.

Опубликованное исследование показало, как можно обойти все защитные меры, введённые в DRAM. Из 40 протестированных DIMM-модулей экспертам удалось добиться проброса битов в 100% случаев. Напомним, что предыдущее исследование (PDF) демонстрировало куда более скромные результаты: 13 из 42 чипов.

«Новая техника увеличивает число устройств, которые может взломать потенциальный злоумышленник. Согласно нашему анализу, успешной компрометации можно добиться в 80% случаев. Поскольку корень проблемы лежит в аппаратном обеспечении, эту уязвимость едва ли можно пропатчить в ближайшее время», — отмечают специалисты.

Для нового вектора атаки Rowhammer исследователи использовали кастомный фаззер — софт, предназначенный для выявления багов. Этот фаззер, получивший имя Blacksmith, «натравили» на DDR4-модули, которые на сегодняшний день занимают около 94% всего рынка DRAM.

Напомним, что в мае Google выявила ещё одну версию Rowhammer, которой присвоили название «Half-Double».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Вымогатели OldGremlin вернулись в Россию с новыми инструментами атаки

По данным «Лаборатории Касперского», в первой половине 2025 года атакам OldGremlin подверглись восемь крупных российских организаций — представители сфер промышленного производства, ретейла, ИТ и здравоохранения.

Промышляющая вымогательством русскоязычная группировка OldGremlin известна ИБ-сообществу с 2020 года. Для проникновения в корпоративные сети злоумышленники используют целевые рассылки, запускают шифрование файлов в среднем через 49 дней после взлома и требуют солидный выкуп за расшифровку — до $17 миллионов.

Как оказалось, за полгода отсутствия OldGremlin в России ее инструментарий обновился. Специалисты Kaspersky выявили бэкдор, открывающий удаленный доступ к зараженным устройствам; для запуска вредоносных скриптов используется легитимный интерпретатор Node.js.

Чтобы отключить защиту Windows и без проблем запустить шифровальщика, взломщики эксплуатируют уязвимость в легитимном драйвере. Напомним, в начале лета Microsoft объявила о планах регулярно удалять устаревшие драйверы из каталога Windows Update, так как они могут создать угрозу безопасности.

Обновленный шифровальщик не только блокирует доступ к содержимому файлов, но также передает на C2 актуальный статус. Дополнительный инструмент отключает устройство от сети на время шифрования и удаляет следы вредоносной активности. Создаваемое им сообщение с требованием выкупа теперь содержит имя «OldGremlins».

«Злоумышленники вернулись с усовершенствованным инструментарием, — комментирует эксперт Kaspersky Янис Зинченко. — Это в очередной раз подчёркивает, как важно компаниям постоянно следить за техниками и тактиками атакующих, чтобы в будущем не стать жертвой их действий. В 2025 году группа не только возобновила свою деятельность, она взяла себе имя, данное ранее специалистами по кибербезопасности, таким образом публично заявив о себе».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru