Шифровальщик Nokoyawa использует уязвимость 0-day в Windows CLFS

Татьяна Никитина 12 Апреля 2023 - 17:18

Домашние пользователи

Корпорации

Windows

Лаборатория Касперского

Эксплойты

Вирусы-вымогатели

Вирусы-шифровальщики

Уязвимость нулевого дня

...

Шифровальщик Nokoyawa использует уязвимость 0-day в Windows CLFS

В «Лаборатории Касперского» разобрали эксплойт нулевого дня, обнаруженный в февральских атаках шифровальщика Nokoyawa. Новый инструмент совместим с различными версиями Windows, в том числе Windows 11, и используется для получения информации об учетных записях из ветви системного реестра HKEY_LOCAL_MACHINE\SAM.

Эксплойты 0-day — прерогатива APT-групп, вымогатели ими редко пользуются. Попавшая в поле зрения Kaspersky группировка обычно атакует серверы Windows, используя уязвимости CLFS (подсистемы журналирования, доступной и в режиме пользователя, и в режиме ядра; создает журналы транзакций в формате BLF, взаимодействие с которыми осуществляется через CLFS API).

За полгода эксперты выявили пять схожих эксплойтов для clfs.sys, применяемых в вымогательских атаках Nokoyawa. Один из них оказался 0-day; авторы находки уведомили Microsoft о новой дыре, и там создали заплатку (включена в состав обновлений для Windows, вышедших в рамках апрельского «вторника патчей»).

Уязвимость CVE-2023-28252 связана с возможностью записи за границами буфера; ошибку можно вызвать, манипулируя BLF-файлом. Эксплойт требует аутентификации и прав на выполнение кода в целевой системе; в случае успеха злоумышленник сможет повысить привилегии до уровня SYSTEM.

Проведенный в Kaspersky анализ показал, что код эксплойта сильно обфусцирован (содержание мусора в бинарнике — более 80%). Он позволяет получить право на чтение-запись в любую область памяти процесса путем подмены метаданных в BLF-файле. Стабильность работы вредоноса достигается обычным способом — через слив адресов объектов ядра с использованием функции NtQuerySystemInformation.

Код CLFS сложен, создан давно, и как результат в нем постоянно объявляются уязвимости — в основном повышения привилегий. С 2018 года таковых было найдено 32, не считая CVE-2023-28252; три из них всплыли в атаках как 0-day (CVE-2022-24521, CVE-2022-37969 и CVE-2023-23376).

Помимо эксплойта CVE-2023-28252 операторы Nokoyawa используют маячок Cobalt Strike, запускаемый с помощью кастомных загрузчиков во избежание детектирования. Исследователи также зафиксировали случаи, когда эксплойт предваряло внедрение Pipemagic — кастомного модульного бэкдора, для запуска которого используется скрипт MSBuild.

Сам шифровальщик видоизменился. Ранние образцы, по данным Kaspersky, являлись результатом ребрендинга JSWorm, он же Nemty, Nefilim и Offwhite. Текущая версия Nokoyawa отлична: зловред написан на С, строки его кода, как и конфигурационный файл config.json, зашифрованы. Уровень детектирования на VirusTotal — 54/70 по состоянию на 12 апреля.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 30 Октября 2025 - 09:19

Соответствие законодательству РФ Общее

ИТ-рынок уходит в узкую экспертизу: в цене дата-инженеры и MLOps

На рынке ИТ всё заметнее тренд на узкую специализацию. Работодатели всё чаще ищут не просто разработчиков, а экспертов, способных строить сложные архитектуры данных и работать с нейросетями. За последние четыре года число вакансий, связанных с инфраструктурой данных, выросло почти в четыре раза.

По данным hh.ru, которые передаёт «Коммерсант», особенно востребованы дата-инженеры и архитекторы данных — именно они создают масштабируемые инфраструктуры, на которых держится аналитика компаний.

Их зарплаты уже на 20–30% выше, чем у специалистов по машинному обучению. Аналитики TRIADA Partners оценивают ежегодный рост спроса на дата-инженеров и дата-сайентистов примерно в 20%.

По словам представителей Университета ИТМО, именно дата-инженеры формируют «фундамент из данных», а дата-сайентисты ищут в этих данных закономерности и паттерны, влияющие на бизнес-результаты. В ближайшие годы потребность в обеих ролях, по оценке экспертов, продолжит расти.

Работодатели, как отмечают в hh.ru, переходят от массового набора ИТ-специалистов к качественному подбору по компетенциям. Причём цифровая грамотность становится обязательной не только для ИТ, но и для других профессий. Популярность набирают и «гибридные» роли, такие как Chief Data Officer — руководитель по управлению данными. По данным «Ростелекома», в трёх четвертях крупных компаний такая должность уже есть.

Тем временем сфера VR и AR, по словам экспертов, уходит от развлечений в промышленность и образование — там технологии применяются для обучения сотрудников и моделирования опасных ситуаций. Однако из-за экономических ограничений и фокуса на импортозамещение развитие этого сегмента сейчас замедлилось.

На рынке появляются и редкие, но перспективные профессии — блокчейн-юристы, IoT-архитекторы, специалисты по этике искусственного интеллекта. Как считают в Yandex B2B Tech, всё большую ценность получают инженеры по созданию ИИ-агентов и MLOps-специалисты, отвечающие за автоматизацию и масштабирование моделей.

По оценке TRIADA Partners, специалисты, работающие с генеративным искусственным интеллектом и большими языковыми моделями, зарабатывают уже на треть больше классических ML-инженеров. И этот разрыв, судя по всему, будет только расти.

Отметим, на одном из свежих эфиров AM Live мы обсуждали с экспертами горячую тему MLSecOps — как защищать искусственный интеллект от кибератак.

Кроме того, собрали специально для вас подборку бесплатных курсов и материалов по MLSecOps — как обеспечить безопасность ИИ и ML.