Napadi na Sandworm 0-day propust u Windowsu dovode do infekcije malverima Taidoor i Darkmoon

Vesti, 24.10.2014, 09:29 AM

Bezbednosni propust u Windowsu poznat pod nazivom Sandworm koji je Microsoft nedavno ispravio ponovo se koristi u napadima jer su hakeri pronašli način kako da zaobiđu zakrpu i nastavili sa ciljanim napadima. Za ovaj propust se saznalo kada je otkriven exploit koji je koristila grupa hakera koju su istraživači nazvali “Sandworm Team” (“Tim peščanog crva”) zbog mnogo veza sa naučno-fantastičnim serijalom “Dina” u kodu exploita.

“Kao i sa Sandowormom, u ovim napadima se ponovo, kao sredstvo infekcije, koriste zaraženi PowerPoint dokumenti poslati kao email prilozi”, upozorili su istraživači iz kompanije Symantec. “Napadi se koriste da bi se žrtvama isporučila najmanje dva različita payloada - Trojan.Taidoor i Backdoor.Darkmoon (poznat i kao Poison Ivy).”

Hakerska grupa koja koristi trojanca Taidoor je dobro poznata istraživačima još od 2008. godine, kao grupa koja u svojim napadima koristi 0-day ranjivosti. Ona je odgovorna za martovske napade na tajvanske vladine agencije i obrazovne institucije kada je koristila 0-day bag u Microsoft Wordu.

Kada je reč o backdooru Darkmoon, neki dokazi ukazuju da se on koristi od septembra, dakle, nekoliko nedelja pre nego što je otkriven originalni Sandworm propust (CVE-2014-4114), zbog čega istraživači Symanteca veruju da su napadači znali za ovaj propust pre 14. oktobra.

“I dok originalna ranjivost (CVE-2014-4114) uključuje ugrađene OLE fajlove povezane sa eksternim fajlovima, novija ranjivost (CVE-2014-6352) se odnosi na OLE fajlove koji imaju izvršne payloads ugrađene u njih”, kažu u Symantecu.

Prvobitna Sandworm ranjivost je nazvana OLE Package Manager Remote Code Execution Vulnerability. OLE je Microsoftova tehnologija koja omogućava razmenu informacija između programa, i obično se koristi za ugradnju lokalno sačuvanog sadržaja, ali ova ranjivost omogućava nezahtevano preuzimanje i izvršenje eksternih fajlova, a napadači je koriste za preuzimanje i instaliranje malvera na ciljanom računaru.

Zakrpa za ovu drugu ranjivost koja je nazvana OLE Remote Code Execution Vulnerability (CVE-2014-6352) još uvek nije dostupna, ali je Microsoft već upozorio korisnike na moguće napade i ponudio privremeno Fix It rešenje za sada poznate exploite. Korisnici Windowsa su upozoreni da budu oprezni prilikom otvaranja PowerPoint fajlova ili drigih Office fajlova koje im šalju nepoznati izvori ili koje preuzmu sa nesigurnih lokacija. Preporuka je i da se uključi User Account Control, ukoliko nije aktivirana ova opcija. Ranjivost je inače u svim podržanim verzijama Windowsa.

“U ovom novom napadu, .exe i .inf fajlovi su već ugrađeni u OLE objekat, tako da se malver ne preuzima sa udaljene lokacije. Prednost ovakvog pristupa je da ne zahteva povezivanje računara sa lokacijom za preuzimanje, što sprečava detekciju od strane sistema za sprečavanje upada u mrežu (NIPS, Network Intrusion Prevention System)”, objašnjavaju u kompaniji Trend Micro.

Njihovi stručnjaci ukazuju da bi jedna stara zakrpa koju je Microsoft objavio još 2012. mogla sprečiti napade tako što bi primalac emaila sa malicioznim prilogom bio upozoren da je fajl sumnjive prirode pre nego što ga otvori.

Kompanije Symantec, Trend Micro i iSight Partners koja je prva otkrila aktivnosti grupe Sandworm i dalje pažljivo prate njeno delovanje. Prema njihovim informacijama Sandworm u ovom trenutku napada industrijske kontrolne sisteme (ISC), WinCC, Siemens HMI i SCADA softver.