Ransomware теперь использует в атаках критическую уязвимость ZeroLogon

отредактировано 20 окт Раздел: Уязвимости систем и приложений
Microsoft предупреждает, что киберпреступники начали использовать код эксплойта для уязвимости ZeroLogon в своих атаках. Предупреждение поступило после того, как компания заметила продолжающиеся атаки со стороны кибершпионажа MuddyWater (SeedWorm) во второй половине сентября.

На этот раз злоумышленником является TA505, злоумышленник, который неизбирательно относится к жертвам, которых он атакует, с историей, начинающейся с распространения банковского трояна Dridex в 2014 году.

На протяжении многих лет он участвовал в атаках с использованием самых разных вредоносных программ, от бэкдоров до программ-вымогателей.

В последнее время за вторжениями этой группы последовало развертывание вымогателя Clop, как в прошлогодней атаке на Маастрихтский университет, в результате которой был уплачен выкуп в размере 30 биткойнов (около 220 000 долларов США).

Поддельные обновления и легальные инструменты

Microsoft сообщает, что TA505, которую она отслеживает как Chimborazo, развернула кампанию с поддельными обновлениями программного обеспечения, которые подключаются к инфраструктуре управления и контроля (C2) злоумышленника.

Целью вредоносных обновлений является предоставление хакерам повышенных привилегий (обход контроля учетных записей) в целевой системе и запуск вредоносных сценариев.

Для второй части TA505 использует Windows Script Host (WScript.Exe), который позволяет выполнять сценарии на различных языках программирования, включая VBScript, Python, Ruby, PHP, JavaScript и Perl.

Microsoft заявляет, что злоумышленники компилируют версию инструмента пост-эксплуатации Mimikatz, используя Microsoft Build Engine (MSBuild.Exe) n для создания приложений.

Версия Mimikatz, полученная таким образом, включает код эксплойта для уязвимости ZeroLogon (CVE-2020-1472). За последний месяц многочисленные исследователи выпустили экспериментальные эксплойты для устранения этой уязвимости.

В короткой беседе Microsoft описала классическую атаку с захватом домена, для которой ZeroLogon идеально подходит. Он предлагает прямой доступ к контроллеру домена, поэтому злоумышленнику больше не нужно тратить время на получение учетных данных администратора.

Поскольку TA505 занимается крупномасштабным бизнесом по вымогательству, организациям следует уделять приоритетное внимание применению исправлений безопасности для этой уязвимости, поскольку атаки, подобные тем, что описала Microsoft, могут происходить с большей частотой.

Доступны подробности ZeroLogon

Обнаруженный Томом Тервуртом из Secura, ZeroLogon позволяет злоумышленникам в доменной сети увеличивать права до уровня администратора без необходимости аутентификации.

Тервоорт обнаружил, что он может принудительно установить соединение с контроллером домена через Netlogon Remote Protocol в незашифрованном состоянии (незащищенная связь RPC).

Затем, используя уязвимость в алгоритме шифрования Netlogon, можно подделать логин администратора домена. Техническое описание можно получить в Secura.

На данный момент Microsoft частично устранила эту уязвимость, предотвратив обмен данными контроллера домена Windows Active Domain через незащищенный RPC. Это обновление доступно с 11 августа.

Однако 9 февраля новое обновление обеспечит такую же безопасную связь для всех устройств в сети.

Предупреждения выпущены

Сетевые администраторы получали неоднократные предупреждения о серьезности уязвимости ZeroLogon (максимальная критическая оценка 10/10) и призывали применить текущий патч.

С кодом эксплойта, который (права администратора домена получаются за секунды), выпущенный с середины сентября, злоумышленники быстро начали использовать его в своих атаках.

18 сентября Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) потребовало, чтобы федеральная гражданская исполнительная власть отнеслась к устранению дефекта как к чрезвычайной ситуации.

Microsoft впервые забила тревогу 23 сентября, когда увидела, что ZeroLogon активно используется в атаках. Затем появилось предупреждение о том, что MuddyWater использует эксплойт.

Теперь им владеют киберпреступники, и это явный признак того, что ZeroLogon находится на пути принятия широким кругом групп угроз, нацеленных на организации как в государственном, так и в частном секторе.


https://www.bleepingcomputer.com/news/security/ransomware-gang-now-using-critical-windows-flaw-in-attacks/
Войдите или Зарегистрируйтесь чтобы комментировать.