Знаменитое хакерское ПО начало атаку на российские компании

Таинственный баг

     Ряд российских организаций был атакован новой разновидностью вредоносной программы AcidBox, которая использует вариант знаменитого эксплойта, прежде известного в качестве одного из инструментов APT-группировки Turla.

     Киберкампания Turla была впервые описана «Лабораторией Касперского» в 2014 г. Однако сама по себе кампания, также известная как Snake, Uroburos, Waterbug, VenomousBear и Krypton, была активна примерно с 2007 г. Большую часть ее целей составляют дипломатические учреждения, правительственные организации и частный бизнес в странах бывшего СНГ, в Европе, Азии, на Ближнем Востоке, а также на обоих американских континентах. По данным «Касперского», операторы Turla — русскоязычные.

     Эксплойт, использовавшийся в рамках этой кампании, изначально был нацелен на две уязвимости в системе виртуализации VirtualBox (в старых версиях — SunxVMVirtualBox, теперь — продукт Oracle), из которых только одна была исправлена. Позднее эксплойт был доработан, и теперь использует некую неизвестную уязвимость в более новых версиях драйвера VirtualBoxVBoxDrv.sys.

     Этой новой версией пользуется некая неизвестная группировка, которая атаковала российские организации. С Turla она, судя по всему, не связана, хотя подробностей о ней очень мало.

haker600.jpgКибергруппировка модифицировала чужой эксплойт для атак на российские компании

     «В феврале 2019 года Unit 42 (подразделение группы Palo Alto Network) выяснило, что некий еще не установленный актор, прежде неизвестный сообществу экспертов по безопасности, обнаружил, что вторая, неисправленная уязвимость может эксплуатироваться не только в драйвере Virtual Box VBox Drv.sys версии 1.6.2, но и во всех других версиях, вплоть до 3.0.0. Наше расследование показало, что неизвестный актор использовал драйвер версии 2.2.0 для атак как минимум на две разные российские организации в 2017 году, о чем мы сообщаем впервые... Мы предполагаем, что это было сделано потому, что об уязвимости в драйвере версии 2.2.0 не было известно, и поэтому его эксплуатация оставалась, скорее всего, вне поля зрения разработчиков средств безопасности», — говорится в публикации PaloAlto.

Таинственный набор

     Эксплойт стал частью вредоносной программы AcidBox; по мнению экспертов, она использовалась для узконаправленных атак, поскольку в системах других жертв той же группировки обнаружить ее не удавалось. Все известные на данный момент компоненты вредоноса датированы 9 мая 2017 г. Более новых обнаружить пока не удалось, как не удалось выяснить ничего и про другие операции этой группировки.

     Зато теперь известно, что эксплойт Turla (а эта кампания по-прежнему активна) может быть использован не только для атак на старые версии VirtualBox.

     В исследовании PaloAltoNetworks указывается, что AcidBox является частью более крупного набора инструментов. Пока, однако, его не удалось установить.

    «Вопрос в том, пользовались ли операторы Turla в последнее время новой версией эксплойта, или же неизвестный актор доработал его независимо от разработчиков оригинала, так что доступа у операторов Turla к нему не было, — считает Анастасия Мельникова, эксперт по информационной безопасности компании SECConsultServices. — Эксперты PaloAlto воздержались от публичного раскрытия упомянутой неизвестной уязвимости, но, скорее всего, сообщили о своей находке в Oracle, а значит там уже вовсю работают над исправлениями. Остается выяснить, насколько высока вероятность того, что дополнительная модификация того же эксплойта сделает его эффективным против более новых версий VirtualBox.

Другие новости и проекты
Российский пакет офисных программ внедрят в тысяче образовательных учреждений Удмуртии
В Удмуртии больше 1 тыс. образовательных учреждений перейдут на российскую офисную среду «Р7-Офис», которой предусмотрен расширенный функционал для совместной работы и коммуникации.
Новости партнерства
Группа компаний КорпТех стала официальным партнером одной из самых известных компаний-разработчиков программного обеспечения АО "НПО "Русбитех".
Бывший глава Роскомнадзора превратил Rutube в полную копию YouTube
Отечественный видеохостинг Rutube полностью сменил дизайн. После обновления он стал похож на YouTube – в новом интерфейсе используются почти идентичные цветовая схема и расположение навигационных элементов. В настоящее время Rutube принадлежит холдингу «Газпром-медиа», возглавляет который бывший глава Роскомнадзора Александр Жаров.
Смотреть все