Palo Alto Networks透露,定向攻擊可利用先前與俄羅斯有聯(lián)系的Turla黑客組織有關(guān)的漏洞�����,提供一種新的惡意軟件�。
被認(rèn)為是代表俄羅斯聯(lián)邦安全局(FSB),也被稱為Waterbug����,毒蛇熊和氪操作���,Turla是已知有濫用第三方設(shè)備驅(qū)動(dòng)程序禁用驅(qū)動(dòng)程序簽名執(zhí)法局(DSE)的第一威脅演員����,是Windows Vista中引入的一項(xiàng)安全功能,用于防止加載未簽名的驅(qū)動(dòng)程序��。
Turla的漏洞通常被稱為CVE-2008-3431����,它利用簽名的VirtualBox驅(qū)動(dòng)程序(VBoxDrv.sys v1.6.2)停用DSE并加載未簽名的有效負(fù)載驅(qū)動(dòng)程序,實(shí)際上利用了兩個(gè)漏洞�,但只解決了一個(gè)漏洞。漏洞利用的第二個(gè)版本僅針對未知漏洞���。
現(xiàn)在���,Palo Alto Networks揭示了與Turla無關(guān)的未知威脅參與者正在利用同一未打補(bǔ)丁的安全漏洞,以利用VirtualBox VBoxDrv.sys驅(qū)動(dòng)程序的較新版本�����。
攻擊者在2017年通過利用驅(qū)動(dòng)程序2.2.0版本針對至少兩個(gè)不同的俄羅斯組織��,可能是因?yàn)樵摰蝗菀资艿焦簟?/span>攻擊者部署了一個(gè)以前未知的惡意軟件家族����,研究人員將其命名為AcidBox�����。
Palo Alto Networks說:“由于沒有發(fā)現(xiàn)其他受害者����,因此我們認(rèn)為這只是用于針對性攻擊的一種非常罕見的惡意軟件����!
AcidBox是更大工具集中復(fù)雜的惡意軟件部分���,它可能與高級威脅參與者相關(guān)聯(lián)��,并且如果攻擊者仍處于活動(dòng)狀態(tài)����,則可能仍在使用��。
“但是���,我們預(yù)計(jì)它會(huì)在一定程度上被重寫��。根據(jù)我們掌握的信息����,我們認(rèn)為除了使用過的利用之外�,這個(gè)未知的威脅因素與Turla無關(guān)�!碧峁┝藢υ搻阂廛浖敿(xì)分析的Palo Alto Networks說。
研究人員與其他安全公司合作���,確定了該惡意軟件的三個(gè)用戶模式樣本(從Windows注冊表加載主工作者的64位DLL)和一個(gè)內(nèi)核模式有效載荷驅(qū)動(dòng)程序(嵌入在主工作者樣本中)�。
所有示例均具有2017年5月9日的編譯時(shí)間戳記�,并且很可能在同一年的廣告系列中使用。沒有發(fā)現(xiàn)新的樣本�,也不清楚威脅因素是否仍然活躍。
AcidBox將敏感數(shù)據(jù)作為圖標(biāo)資源的覆蓋物進(jìn)行附加��,濫用SSP界面進(jìn)行持久性和注入�����,將其有效負(fù)載存儲(chǔ)在Windows注冊表中�����,并且與已知的惡意軟件沒有明顯的重疊,盡管它與Remsec����。
帕洛阿爾托網(wǎng)絡(luò)公司(Palo Alto Networks)無法識別AcidBox所屬的工具包,但該公司共享了兩個(gè)YARA規(guī)則以進(jìn)行檢測和威脅搜尋����,以及一個(gè)Python腳本,可以幫助受害者提取附加在圖標(biāo)資源上的敏感數(shù)據(jù)�。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
