Хакеры из Hurricane Panda эксплуатировали уязвимость нулевого дня в течение 5 месяцев

image

Теги: исследование угроз информационной безопасности

Изначально образец вируса был выявлен на машине под управлением 64-битной Windows Server 2008 R2.

Высокоорганизованная хакерская группировка Hurricane Panda, находящаяся, по всей видимости, в Китае и атакующая компании с крупной инфраструктурой, использовала в своих нападениях эксплоит к уязвимости нулевого дня в продуктах Microsoft. При этом длительность нападения составила более 5 месяцев. По данным исследователей из CrowdStrike, первая обнаруженная ими атака была произведена еще весной этого года

Эксперты также отмечают, что изначально образец вируса был выявлен на машине под управлением 64-битной Windows Server 2008 R2. С его помощью удалось выяснить, что нападение начинается с компрометации web-сервера и последующего выполнения вредоносных сценариев Chopper. Последние позволяют злоумышленникам повысить свои привилегии, для чего также используется инструмент Local Privilege Escalation, эксплуатирующий недавно выявленную уязвимость нулевого дня. В конечном итоге атакующие получают привилегии «SYSTEM» и создают новый процесс с аналогичными правами доступа, с помощью которого осуществляется сбор конфиденциальных данных.

«Хакеры часто используют обнародованные уязвимости повышения привилегий, чтобы получить административный доступ, но настоящие уязвимости нулевого дня применяются довольно редко и потому это нападение вызывает особый интерес», - пояснили исследователи.

Более подробное описание уязвимости доступно по адресу: www.securitylab.ru/vulnerability/459725.php

Ознакомиться с отчетом CrowdStrike можно здесь

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.