Stručnjaci kompanije Kaspersky su u aprilu otkrili niz visoko targetiranih napada na mnoštvo kompanija u kojima je korišćen prethodno neotkriveni lanac exploita nultog dana u Google Chrome pregledaču i Microsoft Windows operativnom sistemu.
Jedan od exploita je korišćen za daljinsko izvršavanje koda u Chrome veb-pregledaču, dok je drugi exploit za podizanje privilegija koji je podešen tako da targetira najnovije i najistaknutije verzije Windows 10 operativnog sistema. Ovaj drugi eksploatiše dve ranjivosti u jezgru Microsoft Windows operativnog sistema: ranjivost Information Disclosure CVE-2021-31955 i ranjivost Elevation of Privilege CVE-2021-31956. Microsoft je zakrpio obe ranjivosti u sklopu „Patch Tuesday“ dana.
Tokom prethodnih meseci uočen je talas aktivnosti naprednih pretnji koje eksploatišu nulte dane „u divljini“. Stručnjaci kompanije Kaspersky su sredinom aprila otkrili novi talas visoko targetiranih exploit napada na mnoštvo kompanija koji su napadačima omogućili da krišom kompromituju targetirane mreže.
Kompanija Kaspersky još uvek nije pronašla vezu između ovih napada i nekog poznatog aktera pretnji. Zbog toga su ovog aktera označili kao PuzzleMaker.
Svi napadi su sprovedeni kroz Chrome pregledač i koristili su exploit koji je omogućio daljinsko izvršavanje koda. Iako istraživači kompanije Kaspersky nisu uspeli da povrate kod za exploit daljinskog izvršenja, hronologija događaja i dostupnost ukazuju na to da su napadači koristili sada zakrpljenu CVE- 2021-21224 ranjivost. Ova ranjivost je povezana sa Type Mismatch bagom u V8 – JavaScript mehanizmu koji koriste Chrome i Chromium veb-pregledači. Ona napadačima omogućava eksploataciju procesa prikazivanja u Chrome pregledaču (procesi koji su odgovorni za ono što se dešava u tabu korisnika).
Međutim, stručnjaci kompanije Kaspersky su uspeli da pronađu i analiziraju drugi exploit: elevation of privilege exploit koji iskorišćava dve različite ranjivosti u jezgru Microsoft Windows operativnog sistema. Prva je ranjivost Information Disclosure (ranjivost koja dovodi do curenja osetljivih informacija jezgra), kojoj je dodeljena oznaka CVE-2021-31955. Konkretno, ranjivost je povezana sa SuperFetch funkcijom – funkcijom koja je prvi put predstavljena kod Windows Vista sistema, koja za cilj ima smanjenje vremena potrebnog za učitavanje softvera zahvaljujući prethodnom učitavanju najčešće korišćenih aplikacija u memoriju.
Druga ranjivost je Elevation of Privilege ranjivost (koja napadačima omogućava eksploataciju jezgra i dobijanje unapređenog pristupa računaru) – dodeljeno je ime CVE-2021-31956. Napadači su koristili CVE-2021-31956 ranjivost zajedno sa Windows Notification Facility (WNF) funkcijom za kreiranje arbitrarnih primitiva za čitanje/pisanje memorije i izvršavanje modula malvera sa sistemskim privilegijama.
Nakon što napadači iskoriste Chrome i Windows exploite kako bi obezbedili uporište unutar targetiranog sistema, stager modul preuzima i izvršava složeniji malver dropper sa udaljenog servera. Ovaj dropper zatim instalira dva izvršna programa, koji se pretvaraju da su legitimni fajlovi koji pripadaju Microsoft Windows operativnom sistemu. Drugi od ova dva izvršna programa je udaljeni shell modul koji može da preuzima i otprema fajlove, da kreira procese, da bude u sleep modu određeno vreme, i da se samostalno obriše sa inficiranog sistema.
Microsoft je objavio zakrpu za obe ranjivosti Windows operativnog sistema, kao deo „Patch Tuesday“ dana.
„Iako su ovi napadi bili visoko targetirani, još ih nismo povezali ni sa jednim poznatim akterom pretnji. Zbog toga smo aktera koji stoji iza njih nazvali „PuzzleMaker“ i pomno ćemo pratiti bezbednosni pejzaž za slučaj svih budućih aktivnosti ili novih uvida o ovoj grupi. Generalno gledano, u poslednje vreme smo primetili nekoliko talasa različitih aktivnosti vezanih za visokoprofilne pretnje koje su zasnovane na exploitima nultih dana. To je podsetnik da nulti dani još uvek predstavljaju najefikasniju metodu za inficiranje meta. Sada kada su ove ranjivosti postale javne, moguće je da će doći do porasta njihove upotrebe u napadima ovog i drugih aktera pretnji. Zbog toga je veoma bitno da korisnici što pre preuzmu najnoviju zakrpu sa Microsoft sistema“, komentariše Boris Larin, viši istraživač bezbednosti u timu za globalno istraživanje i analizu (GReAT).
Kako biste svoju organizaciju zaštitili od napada koji eksploatišu gore pomenute ranjivosti, stručnjaci kompanije Kaspersky predlažu sledeće:
1. Ažurirajte svoj Chrome pregledač i Microsoft Windows operativni sistem što pre i radite to redovno
2. Koristite pouzdano bezbednosno rešenje za zaštitu krajnjih tačaka kao što je Kaspersky Endpoint Security for Business koje pokreće mehanizam za sprečavanje eksploatacije, detekciju ponašanja i saniranje, koji ima sposobnost povlačenja malicioznih aktivnosti.
3. Instalirajte anti-APT i EDR rešenja, i omogućite funkcije za otkrivanje i detekciju pretnji, istragu i blagovremeno saniranje incidenata. Svom SOC timu obezbedite pristup najnovijim informacijama o pretnjama i redovno ih unapređujte uz pomoć stručne obuke. Sve gore navedeno je dostupno unutar Kaspersky Expert Security okvira.
4. Pored adekvatne zaštite krajnjih tačaka, namenski servisi mogu da pomognu u slučaju visokoprofilnih napada. Kaspersky Managed Detection and Response servis može da pomogne u identifikaciji i zaustavljanju napada u ranim fazama, pre nego što napadači ostvare svoje ciljeve.
***
Pratite nas i na društvenim mrežama: