Microsoft предупреждает, что киберпреступники начали использовать код эксплойта для уязвимости ZeroLogon в своих атаках. Предупреждение поступило после того, как компания заметила продолжающиеся атаки со стороны кибершпионажа MuddyWater (SeedWorm) во второй половине сентября.
На этот раз злоумышленником является TA505, злоумышленник, который неизбирательно относится к жертвам, которых он атакует, с историей, начинающейся с распространения банковского трояна Dridex в 2014 году.
На протяжении многих лет этот злоумышленник участвовал в атаках с использованием самых разных вредоносных программ, от бэкдоров до программ-вымогателей.
В последнее время за вторжениями этой группы последовало развертывание вымогателя Clop, как в прошлогодней атаке на Маастрихтский университет , в результате которой был уплачен выкуп в размере 30 биткойнов (около 220 000 долларов США).
Поддельные обновления и легальные инструменты
Microsoft утверждает, что TA505, которую она отслеживает как Chimborazo, развернула кампанию с поддельными обновлениями программного обеспечения, которые подключаются к инфраструктуре управления и контроля (C2) злоумышленника.Целью вредоносных обновлений является предоставление хакерам повышенных привилегий (обход контроля учетных записей) в целевой системе и запуск вредоносных сценариев.
источник: Microsoft
Для второй части TA505 использует Windows Script Host (WScript.Exe), который позволяет выполнять сценарии на различных языках программирования, включая VBScript, Python, Ruby, PHP, JavaScript и Perl.
Microsoft заявляет, что злоумышленники компилируют версию инструмента постэксплуатации Mimikatz, используя Microsoft Build Engine (MSBuild.Exe) n для создания приложений.
Версия Mimikatz, полученная таким образом, включает код эксплойта для уязвимости ZeroLogon (CVE-2020-1472). За последний месяц многочисленные исследователи выпустили экспериментальные эксплойты для устранения этой уязвимости.
То, что Microsoft описала в короткой беседе, - это классическая атака с захватом домена, для которой ZeroLogon идеально подходит. Он предлагает прямой доступ к контроллеру домена, поэтому злоумышленнику больше не нужно тратить время на получение учетных данных администратора.
Поскольку TA505 участвует в крупномасштабном бизнесе, связанном с вымогательством, организациям следует уделять приоритетное внимание применению исправлений безопасности для этой уязвимости, поскольку атаки, подобные тем, что описала Microsoft, вероятно, будут происходить с повышенной частотой.
Доступны подробности ZeroLogon
Обнаруженный Томом Тервоортом из Secura, ZeroLogon позволяет злоумышленникам в доменной сети увеличивать права до уровня администратора без необходимости аутентификации.Тервоорт обнаружил, что он может принудительно установить соединение с контроллером домена через протокол Netlogon Remote Protocol в незашифрованном состоянии (незащищенная связь RPC).
Затем, используя уязвимость в алгоритме шифрования Netlogon, можно подделать логин администратора домена. Техническая рецензия доступно из Секуры.
На данный момент Microsoft частично устранила эту уязвимость, предотвратив обмен данными контроллера домена Windows Active Domain через незащищенный RPC. Это обновление доступно с 11 августа.
Однако 9 февраля новое обновление обеспечит такую же безопасную связь для всех устройств в сети.
Предупреждения выпущены
Сетевые администраторы получали неоднократные предупреждения о серьезности уязвимости ZeroLogon (максимальная критическая оценка 10/10) и призывали применить текущий патч.С выпуском кода эксплойта (права администратора домена за секунды), выпущенного с середины сентября, злоумышленники быстро начали использовать его в своих атаках.
18 сентября Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) потребовало от Федеральной гражданской исполнительной власти отнестись к устранению неисправности как к чрезвычайной ситуации.
Microsoft впервые забила тревогу 23 сентября, когда увидела, что ZeroLogon активно используется в атаках. Затем появилось предупреждение о том, что MuddyWater использует эксплойт.
Теперь им владеют киберпреступники, что является явным признаком того, что ZeroLogon находится на пути принятия широким кругом групп угроз, нацеленных на организации как в государственном, так и в частном секторе.
Перевод с английского - Google
