Мы уже неоднократно писали про хакерскую группу Sednit (aka Sofacy, APT28, Fancy Bear). В наших исследованиях мы указывали, что в прошлом году эта группа прибегала к использованию кастомизированного (собственного) набора эксплойтов для компрометации пользователей. Для этого организовывались атаки типа watering hole (drive-by download), при этом привлекались различные 1day эксплойты для браузера MS Internet Explorer. Мы также указывали, что в прошлом году эта группа специализировалась на атаках изолированных air-gapped сетей различных предприятий, которым ограничен доступ в интернет в целях безопасности.
Несколько дней назад компания FireEye опубликовала новую информацию о деятельности этой группы. Речь идет о двух 0day эксплойтах, которые Sednit использовала для направленных кибератак на дипломатические учреждения США.
Первый эксплойт основан на закрытой на прошлой неделе RCE-уязвимости в Flash Player CVE-2015-3043 (APSB15-06). Второй 0day эксплойт (LPE) используется для обхода механизмов sandbox браузеров, получения максимальных SYSTEM-привилегий и установки вредоносного ПО в систему. Такой метод (использования связки эксплойтов) уже стал «классическим» в подобных кибератаках и мы упоминали его в нашем отчете за 2014-й г.
Судя по той информации, которая была опубликована аналитиками FireEye о LPE уязвимости в Windows (CVE-2015-1701), SMEP позволяет блокировать действия этого эксплойта на Windows 8+ и, таким образом, он не затрагивает эти версии ОС. Компания Microsoft до сих пор не выпустила Security Advisory (SA) для этой уязвимости, поэтому, пока мы можем только догадываться о деталях этой уязвимости. FireEye уточняют, что этот 0day эксплойт был замечен только в серии этих новых направленных атак и только в связке с вышеуказанной уязвимостью Flash Player. Это указывает на жесткую направленность самой атаки (highly-targeted attack) и высокую квалификацию атакующих.
Ранее мы уже публиковали описания двух LPE эксплойтов, которые не могут нормально работать на Windows 8 x64 из-за активности там SMEP: PowerLoader 64-bit обновлен новыми LPE-эксплойтами, Анализ эксплойта Dianti.A.
Несколько дней назад компания FireEye опубликовала новую информацию о деятельности этой группы. Речь идет о двух 0day эксплойтах, которые Sednit использовала для направленных кибератак на дипломатические учреждения США.
Первый эксплойт основан на закрытой на прошлой неделе RCE-уязвимости в Flash Player CVE-2015-3043 (APSB15-06). Второй 0day эксплойт (LPE) используется для обхода механизмов sandbox браузеров, получения максимальных SYSTEM-привилегий и установки вредоносного ПО в систему. Такой метод (использования связки эксплойтов) уже стал «классическим» в подобных кибератаках и мы упоминали его в нашем отчете за 2014-й г.
Судя по той информации, которая была опубликована аналитиками FireEye о LPE уязвимости в Windows (CVE-2015-1701), SMEP позволяет блокировать действия этого эксплойта на Windows 8+ и, таким образом, он не затрагивает эти версии ОС. Компания Microsoft до сих пор не выпустила Security Advisory (SA) для этой уязвимости, поэтому, пока мы можем только догадываться о деталях этой уязвимости. FireEye уточняют, что этот 0day эксплойт был замечен только в серии этих новых направленных атак и только в связке с вышеуказанной уязвимостью Flash Player. Это указывает на жесткую направленность самой атаки (highly-targeted attack) и высокую квалификацию атакующих.
Ранее мы уже публиковали описания двух LPE эксплойтов, которые не могут нормально работать на Windows 8 x64 из-за активности там SMEP: PowerLoader 64-bit обновлен новыми LPE-эксплойтами, Анализ эксплойта Dianti.A.
StirolXXX
Интересный вопрос: а существуют-ли USB-устройства которым хватает питания от USB 2.0 порта, но внутри стоит свой ARM процессор + Wi-Fi/BT передатчик + для хост системы оно начинает видеться как сетевая карта и тем самым «устройство» получает доступ к сети + дает атакующему беспроводной доступ?
Biga
Вы имеете в виду USB Wi-Fi dongle?
StirolXXX
Очень смешно.
Wi-Fi донгл что-бы был ТП надо спец. настройка со стороны хоста.
А я говорю о полноценном компьютере в формфакторе мини-приемника от (например) мышек Logitech.
При этом оно-же является окном для атакующего.
Biga
Вас сложно понять. Не шутка.