В Microsoft на этой неделе зафиксировали атаки с использованием уязвимости Zerologon, которые проводятся, как предполагается, российской хакерской группировкой TA505.
В Microsoft сообщают об атаках с эксплуатацией уязвимости Zerologon, которые напрямую связаны поддельными обновлениями программного обеспечения, подключаемыми к инфраструктуре управления и контроля (C&C).
Поддельные обновления рассчитаны на обход функции безопасности управления учетными записями пользователями (UAC) в Windows – они используют инструмент Windows Script Host (wscript.exe) для выполнения вредоносных сценариев.
«Чтобы воспользоваться этой уязвимостью, злоумышленники используют MSBuild.exe для компиляции Mimikatz, обновленного со встроенной функцией ZeroLogon. Атаки, которые проводятся с использованием массовых вредоносных программ, аналогичных тем, которые применяют киберпреступники из TA505, свидетельствуют о том, что они будут крайне распространены и в будущем», – говорят в Microsoft.
Русскоязычная хакерская группировка TA505, также известная как Evil Corp, действует уже почти 10 лет и в большей степени известна киберпреступными кампаниями с банковскими троянами и программами-вымогателями. Это не первый случай, когда группировка эксплуатирует уязвимости Windows в своих атаках, и недавно ИБ-специалисты обнаружили некоторые связи между киберпреступными кампаниями, проведенными TA505, и северокорейскими хакерами.
Впервые Microsoft предупредила пользователей о киберпреступниках, использующих уязвимость Zerologon, 24 сентября. Ранее на этой неделе корпорация также выпустила еще одно предупреждение, зафиксировав, что уязвимость также использовалась иранскими хакерами, которые спонсируются государством.
Уязвимость Zerologon, официально отслеживаемая как CVE-2020-1472 и описываемая в качестве проблемы повышения привилегий, затрагивает Windows Server. Эксперты оценили ее как критическую. В августе 2020 г. Microsoft исправила проблему ежемесячным обновлениям безопасности. Эта уязвимость позволяет хакерам, которые имеют доступ к сети целевой компании, взломать контроллеры домена без обязательного ввода аутентификационных данных.
В Microsoft сообщили пользователям, что обновления безопасности, выпущенных в августе – это только первая стадия устранения уязвимости Zerologon. Вторая стадия, которая будет состоять из перевода контроллеров домена в принудительный режим, начнется в первом квартале 2021 года.
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ
