Danti un biedri: kiberspiegošanas grupas izmanto vienu ievainojamību, lai uzbruktu organizācijām visā pasaulē

Kaspersky Lab Starptautiskā pētniecības un analīzes grupa (GReAT) pēdējos mēnešus ir pavadījusi, novērojot kiberspiegošanas uzbrukumu vilni, ko veic vairākas grupas Āzijas un Klusā okeāna, kā arī Tālo Austrumu reģionā un kam ir viena kopīga iezīme: upuru inficēšanai ar ļaunprogrammatūru uzbrucēji izmanto ievainojamības CVE-2015-2545 mūķi. Šī nepilnība Microsoft Office programmatūrā tika novērsta 2015. gada beigās, taču, šķiet, joprojām ir noderīga šiem draudu dalībniekiem. Jau bija zināms, ka šo mūķi izmanto grupas Platinum, APT16, EvilPost un SPIVY, bet tagad tām ir pievienojusies samērā jauna un iepriekš nezināma grupa ar nosaukumu Danti.
Mūķis ir ļaunrīks, ko kiberspiegošanas grupas un kibernoziedznieki plaši izmanto uzbrukumam pakļauto datoru neuzkrītošai inficēšanai ar ļaunprogrammatūru. Pirms vairākiem gadiem sarežģītu draudu dalībnieku raksturpazīme bija tā dēvēto nulles dienas ievainojamību izmantošana (ievainojamības, kas tiek strauji izmantotas, pirms skartās programmatūras piegādātājs ir izlaidis ielāpu), taču viss mainās: tagad kiberspiegošanas grupas biežāk izmanto zināmu ievainojamību mūķus tikai tāpēc, ka tas ir lētāk un, šķiet, nodrošina pietiekamu inficēšanas pakāpi.

Kļūda CVE-2015-2545 ļauj uzbrucējam izpildīt brīvi izvēlētu programmu, izmantojot īpaši izstrādātu EPS attēla datni. Šīs ievainojamības mūķis ir ļoti nozīmīgs, jo tas izmanto PostScript paņēmienu un var apiet Windows iestrādātās adreštelpas izkārtojuma randomizācijas (ASLR) un datu izpildes novēršanas (DEP) aizsardzības metodes. Danti ir jaunāka grupa, kas pamanīta izmantojam šo ievainojamību.
Danti galvenokārt koncentrējas uz diplomātiskajām organizācijām. Iespējams, grupa jau ir ieguvusi pilnu piekļuvi Indijas valdības iestāžu iekšējiem tīkliem. Kaspersky Security Network informācija liecina, ka daži Danti Trojas zirgi ir konstatēti arī Kazahstānā, Kirgizstānā, Uzbekistānā, Mjanmā, Nepālā un Filipīnās. Grupas darbība pirmo reizi tika pamanīta februāra sākumā un turpinājās martā līdz pat šim laikam.
Mūķis tiek piegādāts ar mērķētām pikšķerēšanas e-pasta vēstulēm. Lai piesaistītu potenciālo upuru uzmanību, draudu dalībnieki, kas pārstāv Danti, ir izveidojuši e-pasta vēstures vairāku augstu Indijas valdības amatpersonu vārdā. Kad ievainojamība ir izmantota, tiek instalētas Danti sāndurvis, kas pēc tam draudu dalībniekiem nodrošina piekļuvi inficētajam datoram, lai viņi varētu vākt konfidenciālu informāciju.
Danti izcelsme nav zināma, taču Kaspersky Lab pētniekiem ir pamatotas aizdomas, ka šī grupa ir kaut kādā veidā saistīta ar grupām Nettraveler un DragonOK. Savukārt šīs grupas tiek uzskatītas par ķīniešu valodā runājošu hakeru veidojumiem.
Vēl Kaspersky Lab pētnieki ir pamanījuši nezināmas izcelsmes CVE-2015-2545 uzbrukumus dažām organizācijām Taivānā un Taizemē. Šiem uzbrukumiem ir dots iekšējais nosaukums SVCMONDR pēc Trojas zirga nosaukuma, kurš tiek lejupielādēts pēc ievainojamības izmantošanas. Šis Trojas zirgs atšķiras no Danti lietotā, bet tam ir dažas kopīgas iezīmes gan ar Danti, gan ar APT16 — pazīstamu, domājams, ķīniešu izcelsmes, kiberspiegošanas grupu.
«Mēs prognozējam, ka parādīsies vairāk incidentu ar šo mūķi, un turpinām novērot jaunus uzbrukumu viļņus un iespējamo saistību ar citiem uzbrukumiem reģionā. Uzbrukumu viļņi, kas ir veikti, izmantojot tikai vienu ievainojamību, liecina par divām lietām. Pirmkārt, draudu dalībnieki tiecas neieguldīt daudz resursu sarežģītu rīku, piemēram, nulles dienas mūķu, izstrādē, ja pirmās dienas mūķi strādās gandrīz tikpat labi. Otrkārt, mērķa uzņēmumos un valsts iestādēs ir zems ielāpu apgūšanas līmenis. Mēs aicinām uzņēmumus pievērst lielāku uzmanību ielāpu pārvaldībai savā IT infrastruktūrā, lai pasargātu sevi vismaz no zināmām ievainojamībām,» sacīja Kaspersky Lab pētniecības centra Āzijas un Klusā okeāna reģionā galvenais drošības eksperts Alekss Gostevs.
Par mērķuzbrukumiem ar CVE-2015-2545 izmantošanu vairāk lasiet Securelist.com.