Η технология Автоматично предотвратяване на експлоатиране на Kaspersky Lab - който е интегриран в повечето решения за сигурност на компанията за терминали - е открил редица насочени цифрови атаки. Атаките бяха извършени от нов злонамерен софтуер, който използва широко разпространена уязвимост нулев ден в операционната система Microsoft Windows 10. Намерението на киберпрестъпниците е да получат пълен достъп до системите на жертвите в Близкия изток. Тази уязвимост беше коригирана от Microsoft на 9 октомври.
Атаката с нулев ден е една от най-опасните форми на кибер заплахи, тъй като включва използване на уязвимост, която все още не е открита и идентифицирана. Ако бъде открита от агент за заплаха, уязвимостта с нулев ден може да бъде използвана за създаване на експлоат, който би могъл да даде достъп до цялата изчислителна система на нападателя. Тази форма на атака е широко разпространена от напреднали агенти за ART атака и е била използвана и в този случай.
Експлойтът, който беше открит в софтуера на Microsoft Windows, достигна до жертвите чрез задна врата на PowerShell. След това експлоатацията беше извършена, за да може подателят да получи необходимите привилегии, за да присъства в системите на жертвите. Кодът на зловреден софтуер беше с високо качество и написан, за да улесни ефективната работа на възможно най-много различни Windows.
Дигиталните атаки бяха насочени към по-малко от дузина видни организации в Близкия изток през миналото лято. Смята се, че екипът зад атаката е FruityArmor – тъй като в миналото бекдорът на PowerShell е бил използван изключително от този екип. Веднага след откритието, експертите от Kaspersky Lab незабавно съобщиха за уязвимостта на Microsoft.
Продуктите на Kaspersky Lab откриха този експлойт профилактично, използвайки следните технологии:
- Чрез Kaspersky Lab Behavior Detection Engine и Auto Prevention Spread Tools, налични във всички продукти за сигурност на компанията.
- Чрез Advanced Sandboxing и механизма Antimalware, достъпен на платформата Kaspersky Anti Targeted Attack.
Както е посочено от Антон Иванов, специалист по сигурността на Kaspersky Lab,
„Когато става въпрос за уязвимости от нулев ден, важно е активно да се следи пейзажът на заплахите за нови експлойти. В Kaspersky Lab продължаващото търсене на интелигентни заплахи ни помага не само да открием нови атаки, но и да се насочим към различни цифрови заплахи. Също така възнамеряваме да разберем какви злонамерени технологии използват тези престъпници. „В резултат на нашето изследване имаме мощен технологичен инструмент за откриване, който ни позволява да предотвратяваме атаки – като тази, която е предназначена да използва тази уязвимост.“
За да избегнете експлоати от нулев ден, Kaspersky Lab препоръчва следните технически мерки:
- Избягвайте използването на софтуер, за който е известно, че е уязвим или който наскоро е бил използван при цифрови атаки.
- Уверете се, че софтуерът, използван от вашата компания, се актуализира редовно до най-новите версии. Продуктите за сигурност с възможности за оценка на уязвимостите и управление на корекции могат да помогнат за автоматизирането на тези процеси.
- Използвайте мощно решение за сигурност, като Kaspersky Endpoint Security for Business, което е оборудвано с възможности за откриване, базирано на поведението, за ефективна защита срещу известни и неизвестни заплахи, включително експоати.
