Словацкая компания ESET, занимающаяся разработкой антивирусов и защитой информации, сообщила, что группа хакеров PowerPool активно использует для своих атак новую уязвимость «нулевого дня» в семействе ОС Windows, которую Microsoft пока не закрыла. По данным ESET, атаки нацелены на пользователей в Украине, России, Польше, Германии, Великобритании, США, Индии, Чили и на Филиппинах.
Информация об уязвимости нулевого дня была раскрыта 27 августа 2018 года. Уязвимость затрагивает версии Microsoft Windows с 7 по 10, точнее, интерфейс Advanced Local Procedure Call (ALPC) в Планировщике заданий Windows. Она обеспечивает локальное повышение привилегий (Local Privilege Escalation), что позволяет атакующему повысить права вредоносного кода от уровня User до SYSTEM.
Всего через два дня после публикации специалисты ESET обнаружили, что эксплойт к новой уязвимости используется в целевых атаках кибергруппы PowerPool.
Атака с использованием данной уязвимости осуществляется в два этапа. Изначально хакеры рассылают спам-письма на компьютеры потенциальных жертв с вредоносной программой для базовой разведки в системе – она выполняет команды и передает собранные данные на удаленный сервер. Затем злоумышленники отбирают те ПК, которые представляют для них интерес, и устанавливают туда бэкдор второго этапа для постоянного доступа к системе и используют уязвимость для повышения привилегий в системе до максимального уровня.
В ESET отмечают, что атаки PowerPool нацелены на ограниченное число пользователей.
Источник: ESET