2021 nyarának végén a Kaspersky automatikus észlelési technológiái megelőztek egy jogosultságnöveléses exploitot alkalmazó támadássorozatot, amely több Microsoft Windows szervert is érintett. A támadás alaposabb elemzése során a Kaspersky kutatói egy új, nulladik napi exploitra bukkantak.
Az év első felében a Kaspersky szakemberei növekedést figyeltek meg a nulladik napi sérülékenységeket kiaknázó támadások számában. A nulladik napi sérülékenység egy ismeretlen szoftverhibára utal, amelyet a támadók még az előtt fedeznek fel, hogy a fejlesztő tudomást szerezne róla. Éppen ezért még javítás sem érhető el hozzá, ez pedig növeli a váratlan támadások sikerességének valószínűségét.
A Kaspersky technológiái több Microsoft Windows szervert is érintő jogosultságnöveléses exploitot alkalmazó támadássorozatot észleltek. Az exploit kód sok hibakereső karakterláncot tartalmazott a CVE-2016-3309 sérülékenység régebbi, nyilvánosan ismert változatából, de a részletes elemzés feltárta, hogy a Kaspersky kutatói egy új, nulladik napi exploitot fedeztek fel. A szakemberek a MysterySnail nevet adták ennek tevékenység-csoportnak.
A felfedezett kód parancs- és vezérlő (C&C) infrastruktúrához való hasonlósága, illetve a C&C infrastruktúra ismételt használata alapján a kutatók a hírhedt IronHusky csoporttal, valamint a 2012-ig visszanyúló kínai nyelvű APT-tevékenységgel hozták összefüggésbe a támadásokat. A nulladik napi exploithoz használt malware-payload vizsgálata során a Kaspersky kutatói megállapították, hogy a rosszindulatú szoftverek variánsait széles körben használták informatikai vállalatok, hadi és védelmi cégek, valamint diplomáciai egységek elleni kémkedéshez. A sérülékenységet jelentették a Microsoftnak, és a cég 2021. október 12-én, az októberi hibajavító kedd keretében ki is adta hozzá a javítást.
A Kaspersky termékei észlelik a fenti sérülékenységhez kapcsolódó exploit tevékenységeket és a malware-modulokat, így védelmet nyújtanak ellenük.
„Az elmúlt évek során azt tapasztaltuk, hogy a támadók folyamatosan érdeklődnek a nulladik napi sérülékenységek keresése és kiaknázása iránt. A fejlesztők előtt még nem ismert sérülékenységek komoly fenyegetést jelenthetnek a szervezetekre nézve. A legtöbbjük azonban hasonlóan viselkedik, éppen ezért fontos a legújabb fenyegetéselemzési adatokra támaszkodni, és olyan biztonsági megoldásokat telepíteni, amelyek proaktívan megtalálják az ismeretlen veszélyforrásokat”
– fejtette ki Miroslav Koren, a Kaspersky Kelet-Európáért felelős igazgatója.
Tudjon meg többet erről az új nulladik napi exploitról a Securelist oldalán.
A Kaspersky szakértői a következőket javasolják a szervezeteknek a fenti sérülékenységeket kiaknázó támadások elleni védekezéshez:
- Amint lehetséges, frissítsék a Microsoft Windows operációs rendszert és a harmadik feles alkalmazásokat, állandó rendszerességgel.
- Használjanak megbízható végpontvédelmi megoldást, mint például a Kaspersky Endpoint Security for Businessszoftvert, amely az exploit-megelőző és a viselkedés-elemző funkció mellett a kártékony műveleteket visszafordítani képes helyreállító motorral is rendelkezik.
- Telepítsenek APT elleni és EDR megoldásokat, amelyek lehetővé teszik a fenyegetések felfedezését és észlelését, valamint az incidensek kivizsgálását és időben történő orvoslását. A biztonsági operációs központok (SOC) csapatainak adjanak hozzáférést a legújabb fenyegetéselemzési adatokhoz, és rendszeresen biztosítsanak számukra szakmai továbbképzést. A fentiek mindegyike elérhető a Kaspersky Expert Security keretrendszerében.
- A megfelelő végpontvédelem mellett speciális szolgáltatások is segítséget nyújthatnak a nagy horderejű támadások kivédésében. A Kaspersky Managed Detection and Response szolgáltatása már a korai szakaszban felismeri és megállítja a támadásokat még mielőtt a támadók elérhetnék a céljaikat.