Мы уже неоднократно писали про хакерскую группу Sednit (aka Sofacy, APT28, Fancy Bear). В наших исследованиях мы указывали, что в прошлом году эта группа прибегала к использованию кастомизированного (собственного) набора эксплойтов для компрометации пользователей. Для этого организовывались атаки типа watering hole (drive-by download), при этом привлекались различные 1day эксплойты для браузера MS Internet Explorer. Мы также указывали, что в прошлом году эта группа специализировалась на атаках изолированных air-gapped сетей различных предприятий, которым ограничен доступ в интернет в целях безопасности.
Несколько дней назад компания FireEye опубликовала новую информацию о деятельности этой группы. Речь идет о двух 0day эксплойтах, которые Sednit использовала для направленных кибератак на дипломатические учреждения США.
Первый эксплойт основан на закрытой на прошлой неделе RCE-уязвимости в Flash Player CVE-2015-3043 (APSB15-06). Второй 0day эксплойт (LPE) используется для обхода механизмов sandbox браузеров, получения максимальных SYSTEM-привилегий и установки вредоносного ПО в систему. Такой метод (использования связки эксплойтов) уже стал «классическим» в подобных кибератаках и мы упоминали его в нашем отчете за 2014-й г.
Судя по той информации, которая была опубликована аналитиками FireEye о LPE уязвимости в Windows (CVE-2015-1701), SMEP позволяет блокировать действия этого эксплойта на Windows 8+ и, таким образом, он не затрагивает эти версии ОС. Компания Microsoft до сих пор не выпустила Security Advisory (SA) для этой уязвимости, поэтому, пока мы можем только догадываться о деталях этой уязвимости.
Ранее мы уже публиковали описания двух LPE эксплойтов, которые не могут нормально работать на Windows 8 x64 из-за активности там SMEP: PowerLoader 64-bit обновлен новыми LPE-эксплойтами, Анализ эксплойта Dianti.A.
ссылка на оригинал статьи http://habrahabr.ru/post/256171/
Добавить комментарий