Шифровальщик Nokoyawa использует уязвимость 0-day в Windows CLFS

Татьяна Никитина 12 Апреля 2023 - 17:18

Домашние пользователи

Корпорации

Windows

Лаборатория Касперского

Эксплойты

Программы-вымогатели

Программы-шифровальщики

Уязвимость нулевого дня

...

Шифровальщик Nokoyawa использует уязвимость 0-day в Windows CLFS

В «Лаборатории Касперского» разобрали эксплойт нулевого дня, обнаруженный в февральских атаках шифровальщика Nokoyawa. Новый инструмент совместим с различными версиями Windows, в том числе Windows 11, и используется для получения информации об учетных записях из ветви системного реестра HKEY_LOCAL_MACHINE\SAM.

Эксплойты 0-day — прерогатива APT-групп, вымогатели ими редко пользуются. Попавшая в поле зрения Kaspersky группировка обычно атакует серверы Windows, используя уязвимости CLFS (подсистемы журналирования, доступной и в режиме пользователя, и в режиме ядра; создает журналы транзакций в формате BLF, взаимодействие с которыми осуществляется через CLFS API).

За полгода эксперты выявили пять схожих эксплойтов для clfs.sys, применяемых в вымогательских атаках Nokoyawa. Один из них оказался 0-day; авторы находки уведомили Microsoft о новой дыре, и там создали заплатку (включена в состав обновлений для Windows, вышедших в рамках апрельского «вторника патчей»).

Уязвимость CVE-2023-28252 связана с возможностью записи за границами буфера; ошибку можно вызвать, манипулируя BLF-файлом. Эксплойт требует аутентификации и прав на выполнение кода в целевой системе; в случае успеха злоумышленник сможет повысить привилегии до уровня SYSTEM.

Проведенный в Kaspersky анализ показал, что код эксплойта сильно обфусцирован (содержание мусора в бинарнике — более 80%). Он позволяет получить право на чтение-запись в любую область памяти процесса путем подмены метаданных в BLF-файле. Стабильность работы вредоноса достигается обычным способом — через слив адресов объектов ядра с использованием функции NtQuerySystemInformation.

Код CLFS сложен, создан давно, и как результат в нем постоянно объявляются уязвимости — в основном повышения привилегий. С 2018 года таковых было найдено 32, не считая CVE-2023-28252; три из них всплыли в атаках как 0-day (CVE-2022-24521, CVE-2022-37969 и CVE-2023-23376).

Помимо эксплойта CVE-2023-28252 операторы Nokoyawa используют маячок Cobalt Strike, запускаемый с помощью кастомных загрузчиков во избежание детектирования. Исследователи также зафиксировали случаи, когда эксплойт предваряло внедрение Pipemagic — кастомного модульного бэкдора, для запуска которого используется скрипт MSBuild.

Сам шифровальщик видоизменился. Ранние образцы, по данным Kaspersky, являлись результатом ребрендинга JSWorm, он же Nemty, Nefilim и Offwhite. Текущая версия Nokoyawa отлична: зловред написан на С, строки его кода, как и конфигурационный файл config.json, зашифрованы. Уровень детектирования на VirusTotal — 54/70 по состоянию на 12 апреля.

Следующая главная новость »

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 15 Апреля 2026 - 19:27

Корпорации Системы управления доступом (IdM/IAM) Компания Индид

Indeed AM 9.4 получил новые сценарии аутентификации

Компания «Индид» выпустила новую версию системы управления доступом и многофакторной аутентификации Indeed Access Manager 9.4. В релизе сделали упор на три вещи: новые сценарии входа, более гибкие настройки доступа и упрощение внедрения в уже существующую ИТ-инфраструктуру.

Одно из заметных изменений — расширение списка поддерживаемых каталогов пользователей. В новой версии добавлена работа с ALD Pro, Samba DC, РЕД АДМ и FreeIPA.

Это важно прежде всего для компаний, которые строят инфраструктуру на разных платформах и хотят обойтись без лишних доработок при интеграции системы управления доступом.

Отдельно доработали модуль Identity Provider. Теперь в нём можно настраивать политики доступа не только в целом, но и на уровне отдельных бизнес-приложений. Проще говоря, правила аутентификации можно делать более точечными, в зависимости от конкретного сервиса. Там же появился сценарий смены доменного пароля при входе — он пригодится в случаях, когда у пользователя нет прямого доступа к доменной рабочей станции.

Изменения затронули и вход в систему на рабочих местах. В модуле Linux Logon появилась поддержка многофакторной аутентификации с использованием RFID-карт и считывателя IronLogic Z-2 USB, а также работа через балансировщик нагрузки. В Windows Logon добавили кеширование учётных данных, чтобы пользователь мог войти в систему даже без подключения к сети. Плюс там тоже появилась поддержка аутентификации по RFID-картам.

Ещё один блок обновлений связан с развертыванием системы. В Indeed AM 9.4 расширили возможности мастера конфигурации: теперь через него можно устанавливать компоненты сразу на несколько физических или виртуальных серверов, причём для каждого узла формируется отдельный набор настроек. Это должно сократить объём ручной конфигурации при внедрении и обновлении.

Через тот же мастер теперь можно разворачивать и Indeed Key Server. Этот компонент используется для аутентификации с помощью пуш-уведомлений и одноразовых паролей, а его установка в новой версии вынесена в более понятный сценарий.

Наконец, в системе появился новый вариант подтверждения входа — через мессенджер eXpress. Для этого добавлен отдельный провайдер Indeed AM eXpress Provider, который позволяет использовать пуш-уведомления в мессенджере для входа в корпоративные приложения.

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!