Группировка TA505, она же Evil Corp, использует в своих атаках поддельные обновления для ПО.
Компания Microsoft предупредила пользователей о том, что российская киберпреступная группировка TA505 эксплуатирует в своих атаках уязвимость Zerologon.
В зафиксированных специалистами атаках используются поддельные обновления для программного обеспечения, подключающиеся к с C&C-инфраструктуре, которую ИБ-эксперты связывают с группировкой TA505 (CHIMBORAZO в классификации Microsoft). Поддельные обновления способны обходить контроль учетных записей пользователя (UAC) и выполнять вредоносные скрипты с помощью легитимного инструмента Windows Script Host (wscript.exe). В ходе эксплуатации уязвимости злоумышленники используют MSBuild.exe для добавления в Mimikatz функционала Zerologon.
Группировка TA505, также известная как Evil Corp, активна уже почти десять лет и известна в основном своими атаками с использованием банковских троянов и вымогательского ПО. Недавно ИБ-эксперты представили свидетельства сотрудничества TA505 с северокорейской киберпреступной группировкой Lazarus.
Zerologon ( CVE-2020-1472 ) представляет собой уязвимость повышения привилегий в Windows Server. Проблема связана с использованием ненадежного алгоритма шифрования в механизме аутентификации Netlogon. Zerologon позволяет имитировать любой компьютер в сети в процессе аутентификации на контроллере домена, отключать функции безопасности Netlogon и изменять пароль в базе данных Active Directory контроллера домена.
Недавно Microsoft настоятельно рекомендовала пользователям установить выпущенные ею августовские обновления безопасности, частично исправляющие уязвимость, так как Zerologon уже активно эксплуатируется хакерами, в том числе иранскими . Августовский патч является лишь первым этапом исправления уязвимости – второго следует ожидать в феврале 2021 года.
Сбалансированная диета для серого вещества