Hakerzy wykorzystali nową lukę zero-day w systemie Windows, a konkretnie w jego aplikacji Defender. Mogli dzięki temu instalować złośliwe oprogramowanie DarkMe. To tzw. RAT, czyli remote access trojan — trojan zdalnego dostępu.
Grupy hakerskie o nazwie Water Hydra i DarkCasino została wykorzystywały luki zero-day już w Sylwestra. Eksperci z firmy zabezpieczającej Trend Micro podają, że wtedy po raz pierwszy udało się wykryć ich ataki.
Peter Girnus, badacz bezpieczeństwa z Trend Micro, który zgłosił ten atak zero-day, ujawnił, że luka CVE-2024-21412 omija podatność Defender SmartScreen (CVE-2023-36025).
CVE-2023-36025 została załatana podczas listopadowego Patch Tuesday 2023 i, jak ujawnił Trend Micro w zeszłym miesiącu, była również wykorzystywana do ominięcia monitów bezpieczeństwa Windows podczas otwierania plików URL w celu wdrożenia malware do kradzieży informacji Phemedrone.
Hakerzy atakowali traderów na rynku finansowym
Zero-day, który Microsoft załatał w tym tygodniu, był wykorzystywany w atakach na „traderów na rynku wymiany walut, uczestniczących w ryzykownym handlu walutami”, z prawdopodobnym końcowym celem kradzieży danych lub wdrożenia ransomware na późniejszym etapie.
Eksperci tłumaczą, że „wywołanie skrótu wewnątrz innego skrótu” było wystarczające, aby uniknąć SmartScreen, który nie zastosował prawidłowo Mark-of-the-Web (MotW), kluczowego komponentu Windows, który ostrzega użytkowników przed otwieraniem lub uruchamianiem plików z niezaufanego źródła.
Water Hydra wykorzystała CVE-2024-21412 do atakowania forów traderów forex i kanałów handlowych na Telegramie w atakach typu spearphishing, promując wykres akcji linkujący do skompromitowanej strony z informacjami finansowymi z Rosji (fxbulls[.]ru), podszywając się pod platformę brokera forex (fxbulls[.]com).
Sprawdź: Socjotechnika – przykłady
Celem atakujących było skłonienie traderów do zainstalowania malware DarkMe za pomocą inżynierii wstecznej. Pełna lista wskaźników kompromitacji (IoC) dla tej kampanii malware DarkMe jest dostępna tutaj.
W przeszłości Water Hydra wykorzystała inne luki
Hakerzy z grupy Water Hydra wykorzystywali inne luki zero-day w przeszłości. Na przykład użyli wysokiego ryzyka podatności (CVE-2023-38831) w oprogramowaniu WinRAR, używanym przez ponad 500 milionów użytkowników, do kompromitacji kont na kilka miesięcy przed dostępnością łatki zabezpieczającej.
Inni dostawcy później powiązali wykorzystanie CVE-2023-38831 z wieloma grupami hakerskimi wspieranymi przez rządy, w tym Sandworm, APT28, APT40, DarkPink (NSFOCUS) i Konni (Knownsec) z Rosji, Chin i Korei Północnej.
Obecnie Microsoft załatał drugą lukę zero-day w Windows SmartScreen (CVE-2024-21351), wykorzystywaną w sieci, która mogłaby pozwolić atakującym na wstrzyknięcie kodu do SmartScreen.
Taktyki, które stosowali hakerzy, obejmowały publikowanie wiadomości w języku angielskim i rosyjskim, prosząc o porady tradingowe lub oferujących je. Rozpowszechniali też fałszywe narzędzia do analizy technicznej wykresów finansowych.
To kolejny przypadek obrazujący, jak ważne jest regularne aktualizowanie oprogramowania. Zwłaszcza systemu Windows.
Autor: Kamil Gliński, dziennikarz Vault-Tech.pl
Czytaj też:
Dziękujemy, że przeczytałaś/eś nasz artykuł. Obserwuj Vault-Tech.pl w Wiadomościach Google, aby być na bieżąco.