Kaspersky Lab Starptautiskā pētniecības un analīzes grupa (GReAT) pēdējos mēnešus ir pavadījusi, novērojot kiberspiegošanas uzbrukumu vilni, ko veic vairākas grupas Āzijas un Klusā okeāna, kā arī Tālo Austrumu reģionā un kam ir viena kopīga iezīme: upuru inficēšanai ar ļaunprogrammatūru uzbrucēji izmanto ievainojamības CVE-2015-2545 mūķi. Šī nepilnība Microsoft Office programmatūrā tika novērsta 2015. gada beigās, taču, šķiet, joprojām ir noderīga šiem draudu dalībniekiem. Jau bija zināms, ka šo mūķi izmanto grupas Platinum, APT16, EvilPost un SPIVY, bet tagad tām ir pievienojusies samērā jauna un iepriekš nezināma grupa ar nosaukumu Danti.
Mūķis ir ļaunrīks, ko kiberspiegošanas grupas un kibernoziedznieki plaši izmanto uzbrukumam pakļauto datoru neuzkrītošai inficēšanai ar ļaunprogrammatūru. Pirms vairākiem gadiem sarežģītu draudu dalībnieku raksturpazīme bija tā dēvēto nulles dienas ievainojamību izmantošana (ievainojamības, kas tiek strauji izmantotas, pirms skartās programmatūras piegādātājs ir izlaidis ielāpu), taču viss mainās: tagad kiberspiegošanas grupas biežāk izmanto zināmu ievainojamību mūķus tikai tāpēc, ka tas ir lētāk un, šķiet, nodrošina pietiekamu inficēšanas pakāpi.
Kļūda CVE-2015-2545 ļauj uzbrucējam izpildīt brīvi izvēlētu programmu, izmantojot īpaši izstrādātu EPS attēla datni. Šīs ievainojamības mūķis ir ļoti nozīmīgs, jo tas izmanto PostScript paņēmienu un var apiet Windows iestrādātās adreštelpas izkārtojuma randomizācijas (ASLR) un datu izpildes novēršanas (DEP) aizsardzības metodes. Danti ir jaunāka grupa, kas pamanīta izmantojam šo ievainojamību.
Danti galvenokārt koncentrējas uz diplomātiskajām organizācijām. Iespējams, grupa jau ir ieguvusi pilnu piekļuvi Indijas valdības iestāžu iekšējiem tīkliem. Kaspersky Security Network informācija liecina, ka daži Danti Trojas zirgi ir konstatēti arī Kazahstānā, Kirgizstānā, Uzbekistānā, Mjanmā, Nepālā un Filipīnās. Grupas darbība pirmo reizi tika pamanīta februāra sākumā un turpinājās martā līdz pat šim laikam.
Mūķis tiek piegādāts ar mērķētām pikšķerēšanas e-pasta vēstulēm. Lai piesaistītu potenciālo upuru uzmanību, draudu dalībnieki, kas pārstāv Danti, ir izveidojuši e-pasta vēstures vairāku augstu Indijas valdības amatpersonu vārdā. Kad ievainojamība ir izmantota, tiek instalētas Danti sāndurvis, kas pēc tam draudu dalībniekiem nodrošina piekļuvi inficētajam datoram, lai viņi varētu vākt konfidenciālu informāciju.
Danti izcelsme nav zināma, taču Kaspersky Lab pētniekiem ir pamatotas aizdomas, ka šī grupa ir kaut kādā veidā saistīta ar grupām Nettraveler un DragonOK. Savukārt šīs grupas tiek uzskatītas par ķīniešu valodā runājošu hakeru veidojumiem.
Vēl Kaspersky Lab pētnieki ir pamanījuši nezināmas izcelsmes CVE-2015-2545 uzbrukumus dažām organizācijām Taivānā un Taizemē. Šiem uzbrukumiem ir dots iekšējais nosaukums SVCMONDR pēc Trojas zirga nosaukuma, kurš tiek lejupielādēts pēc ievainojamības izmantošanas. Šis Trojas zirgs atšķiras no Danti lietotā, bet tam ir dažas kopīgas iezīmes gan ar Danti, gan ar APT16 — pazīstamu, domājams, ķīniešu izcelsmes, kiberspiegošanas grupu.
«Mēs prognozējam, ka parādīsies vairāk incidentu ar šo mūķi, un turpinām novērot jaunus uzbrukumu viļņus un iespējamo saistību ar citiem uzbrukumiem reģionā. Uzbrukumu viļņi, kas ir veikti, izmantojot tikai vienu ievainojamību, liecina par divām lietām. Pirmkārt, draudu dalībnieki tiecas neieguldīt daudz resursu sarežģītu rīku, piemēram, nulles dienas mūķu, izstrādē, ja pirmās dienas mūķi strādās gandrīz tikpat labi. Otrkārt, mērķa uzņēmumos un valsts iestādēs ir zems ielāpu apgūšanas līmenis. Mēs aicinām uzņēmumus pievērst lielāku uzmanību ielāpu pārvaldībai savā IT infrastruktūrā, lai pasargātu sevi vismaz no zināmām ievainojamībām,» sacīja Kaspersky Lab pētniecības centra Āzijas un Klusā okeāna reģionā galvenais drošības eksperts Alekss Gostevs.
Par mērķuzbrukumiem ar CVE-2015-2545 izmantošanu vairāk lasiet Securelist.com.
Sākums IT sasniegumi, bizness Danti un biedri: kiberspiegošanas grupas izmanto vienu ievainojamību, lai uzbruktu organizācijām visā pasaulē
MikroTik un Tet nodrošinās zinātniekiem 400 gigabitu savienojumu cīņai
Latvijas tehnoloģiju inovāciju uzņēmumi MikroTik un Tet izveidojuši jaunus lieljaudas…Tet izveido pirmo kvantu tīkla savienojumu
Tehnoloģiju un inovāciju uzņēmums Tet pēc vairāku mēnešu darba ir izveidojis pirmo datu pā…Klimata un enerģētikas ministrija pilnveido atbalsta programmu elektroauto un hibrīdauto iegādei
Gan jaunu, gan lietotu elektroauto un jaunu hibrīdauto iegādes iespējas tiks nodrošinātas …IT Waffle Meetup tīklošanās pasākums norisināsies arī Cēsīs
Trešdien, 3. aprīlī pulksten 18.00 aicina uz informācijas tehnoloģiju (IT) jomas tīklošanā…Latvijā izsniegtās e-receptes būs iespējams izmantot ārvalstīs
Latvija uzsākusi pārrobežu e-recepšu datu apmaiņu ar noteiktām dalībvalstīm, lai nodrošinā…Revolut sāk piedāvāt eSIM pakalpojumu
Revolut, globālā finanšu lietotne ar vairāk nekā 40 millioniem klientu visā pasaulē un 300…
Ielādēt vairāk rakstus
MikroTik un Tet nodrošinās zinātniekiem 400 gigabitu savienojumu cīņai
Latvijas tehnoloģiju inovāciju uzņēmumi MikroTik un Tet izveidojuši jaunus lieljaudas…Tet izveido pirmo kvantu tīkla savienojumu
Tehnoloģiju un inovāciju uzņēmums Tet pēc vairāku mēnešu darba ir izveidojis pirmo datu pā…Klimata un enerģētikas ministrija pilnveido atbalsta programmu elektroauto un hibrīdauto iegādei
Gan jaunu, gan lietotu elektroauto un jaunu hibrīdauto iegādes iespējas tiks nodrošinātas …IT Waffle Meetup tīklošanās pasākums norisināsies arī Cēsīs
Trešdien, 3. aprīlī pulksten 18.00 aicina uz informācijas tehnoloģiju (IT) jomas tīklošanā…Latvijā izsniegtās e-receptes būs iespējams izmantot ārvalstīs
Latvija uzsākusi pārrobežu e-recepšu datu apmaiņu ar noteiktām dalībvalstīm, lai nodrošinā…Revolut sāk piedāvāt eSIM pakalpojumu
Revolut, globālā finanšu lietotne ar vairāk nekā 40 millioniem klientu visā pasaulē un 300…
Load More By Jānis Alksnis
Microsoft ievieš jaunu programmu jauno uzņēmumu atbalstam
Microsoft atvēris jaunu atbalsta programmu jaunuzņēmumiem Microsoft for Startups, kas būs …Oracle: gatavība vispārējās datu aizsardzības regulas ieviešanai ir zema
Aptuveni 50% uzņēmumu, valsts un pašvaldību iestādes Eiropas lielākajās valstīs saskaņā ar…Microsoft vienojas par sadarbību ar starptautisku riska kapitāla fondu
Microsoft un Blue Dome Capital Limited (Blue Dome), kas ir Īrijā bāzēta riska kapitāla fon…Trīs naudas taupīšanas posmi
Daži cilvēki uzskata, ka būšana taupīgam ir izdevīgi tajos gadījumos, kad ir nepieciešams …Piecas nozīmīgas pārmaiņas, kas pilsētas padarīs gudrākas
Pasauli ir apsteigusi ziņa, ka Bils Geitss, viens no mūsdienu zināmākajiem inovatoriem, pl…Nosaukti “Platīna pele 2017″ ieguvēji
Latvijas Informācijas un komunikācijas tehnoloģijas asociācijas (LIKTA) 19. gadskārtējās k…
Load More In IT sasniegumi, bizness
Komentāri ir slēgti
Iesakām izlasīt šādus rakstus
MikroTik un Tet nodrošinās zinātniekiem 400 gigabitu savienojumu cīņai
Latvijas tehnoloģiju inovāciju uzņēmumi MikroTik un Tet izveidojuši jaunus lieljaudas…