• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Новые 0-day растиражированы в эксплойт-паках

Candellmans

Активный пользователь
Сообщения
1,220
Симпатии
1,444
#1
Ссылаясь на результаты исследования Malwarebytes, корреспондент Security Week сообщает об изменениях, произошедших на оскудевшем рынке эксплойт-паков в текущем году. Как оказалось, расширение арсенала этих инструментов за счет новых уязвимостей нулевого дня в Internet Explorer и Adobe Flash Player послужило стимулом для повышения их активности.

Сокращение использования наборов эксплойтов наметилось два года назад. С уходом сильнейших игроков рынка — Angler, Nuclear, Neutrino — тенденция к спаду на этом фронте стала заметнее. Достойной замены прежним лидерам так и не нашлось, да и возможности применения эксплойт-паков сильно сузились благодаря укреплению защиты браузеров и повальному отказу от морально устаревшего Flash.

В конце января корейская CERT опубликовала предупреждение об атаках, использующих новый баг удаленного исполнения кода во Flash Player. Не прошло и недели, как Adobe выпустила патч для CVE-2018-4878, однако эта уязвимость сохранила популярность у злоумышленников. По данным Malwarebytes, из эксплойт-паков эту брешь ныне используют RIG и сфокусированный на Южной Корее Magnitude, а также версия Sundown, появившаяся в октябре 2016 года и известная как GreenFlash Sundown.

Уязвимость нулевого дня CVE-2018-8174 в движке VBScript, обнаруженная китайскими экспертами в ходе анализа целевых атак, была добавлена в эксплойт-паки через пару недель после выпуска патча. В RIG и Magnitude она сменила аналогичную брешь CVE-2016-0189, которая все еще используется в атаках. Согласно Malwarebytes, из эксплойт-паков на уязвимость двухлетней давности по-прежнему полагается лишь малозаметный GrandSoft, атакующий только IE. В настоящее время этот тулкит используется для доставки похитителей информации, таких как AZORult.

Новейшая 0-day в Adobe Flash Player — CVE-2018-5002 — в наборы эксплойтов пока не попала, но это лишь вопрос времени. “Поскольку и Flash, и движок VBScript являются продуктами, которые можно использовать для проведения атак через Интернет, их включение в эксплойт-паки вполне естественно”, — цитирует Security Week исследователей.

Согласно наблюдениям, RIG использует новые приобретения для доставки прокси-трояна Bunitu, банкера Ursnif и вредоносного загрузчика Smoke Loader. Эксплойт-пак GreenFlash Sundown обычно участвует в распространении вымогателя Hermes, однако недавно он стал обслуживать также криптоджекинг-кампании.
Новые 0-day растиражированы в эксплойт-паках
 
Последнее редактирование:
Сверху Снизу