PowerPool黑客组织在Windows目标攻击中利用 Windows Zero-Day 0dya漏洞

  • A+
所属分类:网络安全新闻

PowerPool黑客组织在Windows目标攻击中利用 Windows Zero-Day 0dya漏洞

由安全公司ESET跟踪为“PowerPool”的威胁组一直在利用Windows零日漏洞来提升目标攻击中后门的特权。

该漏洞被披露由谁使用网上绰号的研究人员在8月27日安全漏洞没有报告给微软进行了公开了其细节之前“SandboxEscaper。” -包括编译开发和它的源代码-为SandboxEscaper是与明显受挫公司的漏洞报告流程。

该行业的其他成员很快确认了该漏洞,这似乎影响了Windows任务计划程序的高级本地过程调用(ALPC)界面。具有本地访问目标设备的恶意参与者可以利用该缺陷通过覆盖通常应受文件系统访问控制列表(ACL)保护的文件来将特权升级到SYSTEM。

已经确认公共漏洞可以在64位版本的Windows 10和Windows Server 2016上运行,并且可以将其用于32位系统。

微软已展开调查,但尚未发布补丁或提供缓解措施。虽然这家科技巨头最初建议可以通过其定期补丁周二更新发布修复程序,但该公司可能会在漏洞利用恶意攻击后立即推出修补程序。

与此同时,0patch发布了针对该漏洞的非官方修复,而CERT / CC针对该漏洞的建议描述了一些缓解措施。

据ESET称,本地特权升级漏洞已经被一个新发现的组织利用,它被跟踪为PowerPool。根据上传到VirusTotal的安全公司的遥测和恶意软件样本,威胁演员似乎利用Windows零日对抗位于美国,英国,德国,乌克兰,智利,印度,俄罗斯的少数用户,菲律宾和波兰。

ESET研究人员确定,PowerPool略微修改了公开的漏洞利用源代码,并针对其攻击重新编译了它。

黑客,其可能的起源尚未被安全公司讨论,他们使用零日来覆盖C:\ Program Files(x86)\ Google \ Update \ GoogleUpdate.exe,这是Google应用程序的合法更新程序。由于此文件在具有管理权限的Windows中定期执行,因此使用其恶意软件覆盖该文件可使攻击者获得对目标系统的提升权限。

ESET认为,PowerPool攻击始于携带恶意软件的电子邮件发送给目标用户。虽然涉及零日的活动似乎具有高度针对性,但SANS在5月发现了一个有趣的垃圾邮件活动,该活动使用符号链接(.slk)文件进行恶意软件分发,显然是由同一组进行的。

PowerPool使用的第一阶段恶意软件是通过初始电子邮件发送的,是一个专为侦察目的而设计的后门。如果受感染的计算机对攻击者感兴趣,则恶意软件会下载第二阶段后门,该后门能够在系统上执行命令,上载和下载文件,终止进程以及列出文件夹。

第二阶段恶意软件下载到受感染设备的文件包括几个允许攻击者在网络上横向移动的开源工具。该列表包括PowerDump,PowerSploit,SMBExec,Quarks PwDump和FireMaster。

ESET将这个第二阶段的恶意软件描述为“显然不是最先进的APT后门”。

“这个特定的活动针对的是有限数量的用户,但不要被这样做所愚弄:它表明网络犯罪分子也会关注新闻,并在公开发布时尽快使用漏洞,”ESET总结道。

CE安全网
网络安全宣传推广

发表评论

您必须登录才能发表评论!