Hakerzy wykorzystali nową lukę zero-day w systemie Windows, a konkretnie w jego aplikacji Defender. Mogli dzięki temu instalować złośliwe oprogramowanie DarkMe. To tzw. RAT, czyli remote access trojan — trojan zdalnego dostępu.
Grupy hakerskie o nazwie Water Hydra i DarkCasino została wykorzystywały luki zero-day już w Sylwestra. Eksperci z firmy zabezpieczającej Trend Micro podają, że wtedy po raz pierwszy udało się wykryć ich ataki.
„Nieuwierzytelniony atakujący mógł wysłać docelowemu użytkownikowi plik zaprojektowany tak, aby ominąć wyświetlane kontrole bezpieczeństwa”
informuje Microsoft w wydanym komunikacie bezpieczeństwa
Peter Girnus, badacz bezpieczeństwa z Trend Micro, który zgłosił ten atak zero-day, ujawnił, że luka CVE-2024-21412 omija podatność Defender SmartScreen (CVE-2023-36025).
CVE-2023-36025 została załatana podczas listopadowego Patch Tuesday 2023 i, jak ujawnił Trend Micro w zeszłym miesiącu, była również wykorzystywana do ominięcia monitów bezpieczeństwa Windows podczas otwierania plików URL w celu wdrożenia malware do kradzieży informacji Phemedrone.
Hakerzy atakowali traderów na rynku finansowym
Zero-day, który Microsoft załatał w tym tygodniu, był wykorzystywany w atakach na „traderów na rynku wymiany walut, uczestniczących w ryzykownym handlu walutami”, z prawdopodobnym końcowym celem kradzieży danych lub wdrożenia ransomware na późniejszym etapie.
Pod koniec grudnia 2023 roku zaczęliśmy śledzić kampanię grupy Water Hydra, która zawierała podobne narzędzia, taktyki i procedury, które obejmowały nadużycie skrótów internetowych (.URL) i komponentów Web-based Distributed Authoring and Versioning (WebDAV)
wyjaśnił Trend Micro
Eksperci tłumaczą, że „wywołanie skrótu wewnątrz innego skrótu” było wystarczające, aby uniknąć SmartScreen, który nie zastosował prawidłowo Mark-of-the-Web (MotW), kluczowego komponentu Windows, który ostrzega użytkowników przed otwieraniem lub uruchamianiem plików z niezaufanego źródła.
Water Hydra wykorzystała CVE-2024-21412 do atakowania forów traderów forex i kanałów handlowych na Telegramie w atakach typu spearphishing, promując wykres akcji linkujący do skompromitowanej strony z informacjami finansowymi z Rosji (fxbulls[.]ru), podszywając się pod platformę brokera forex (fxbulls[.]com).
Sprawdź: Socjotechnika – przykłady
Celem atakujących było skłonienie traderów do zainstalowania malware DarkMe za pomocą inżynierii wstecznej. Pełna lista wskaźników kompromitacji (IoC) dla tej kampanii malware DarkMe jest dostępna tutaj.
W przeszłości Water Hydra wykorzystała inne luki
Hakerzy z grupy Water Hydra wykorzystywali inne luki zero-day w przeszłości. Na przykład użyli wysokiego ryzyka podatności (CVE-2023-38831) w oprogramowaniu WinRAR, używanym przez ponad 500 milionów użytkowników, do kompromitacji kont na kilka miesięcy przed dostępnością łatki zabezpieczającej.
Inni dostawcy później powiązali wykorzystanie CVE-2023-38831 z wieloma grupami hakerskimi wspieranymi przez rządy, w tym Sandworm, APT28, APT40, DarkPink (NSFOCUS) i Konni (Knownsec) z Rosji, Chin i Korei Północnej.
Obecnie Microsoft załatał drugą lukę zero-day w Windows SmartScreen (CVE-2024-21351), wykorzystywaną w sieci, która mogłaby pozwolić atakującym na wstrzyknięcie kodu do SmartScreen.
Taktyki, które stosowali hakerzy, obejmowały publikowanie wiadomości w języku angielskim i rosyjskim, prosząc o porady tradingowe lub oferujących je. Rozpowszechniali też fałszywe narzędzia do analizy technicznej wykresów finansowych.
To kolejny przypadek obrazujący, jak ważne jest regularne aktualizowanie oprogramowania. Zwłaszcza systemu Windows.
Autor: Kamil Gliński, dziennikarz Vault-Tech.pl
Czytaj też:
Dziękujemy, że przeczytałaś/eś nasz artykuł. Obserwuj Vault-Tech.pl w Wiadomościach Google, aby być na bieżąco.