Windows 0day漏洞遭黑客组织利用 本地提权漏洞 9个国家受到小范围攻击

安全专家观察到一个黑客组织,被追踪为PowerPool,利用最近披露的针对目标攻击的Windows 0day漏洞。研究人员还发布了该漏洞的漏洞利用代码。该漏洞影响Microsoft的Windows操作系统,可能被本地攻击者或恶意程序利用以获取易受攻击系统的系统特权。该漏洞存在于Windows的任务调度程序中,并与处理高级本地过程调用(ALPC)系统中的错误相关联。

预计微软将在9月11日安全补丁周二解决该漏洞,该漏洞利用该问题可能会迫使该公司尽早推出补丁。

相关链接:

http://toutiao.secjia.com/article/page?topid=110759

漏洞被PowerPool组织利用 大约9个国家受攻击

安全研究人员报告称,本地特权升级漏洞已被以前未知的  PowerPool组织利用。

“正如人们本可以预料的那样,在我们首次确定在我们称之为PowerPool的团体的恶意广告系列中使用此漏洞利用时,仅用了两天时间。这个小组有少量受害者,根据我们的遥测和上传到VirusTotal(我们只考虑从网络界面手动上传),目标国家包括智利,德国,印度,菲律宾,波兰,俄罗斯,英国,美国和乌克兰。“

攻击者针对位于美国,英国,德国,乌克兰,智利,印度,俄罗斯,菲律宾和波兰的少数用户进行有针对性的攻击,利用Windows零日攻击。

攻击者修改了公开的漏洞利用源代码并重新编译它。

要获得本地权限提升,攻击者需要正确选择 将被覆盖的  目标文件。实际上,目标文件必须是使用管理权限自动执行的文件。

“PowerPool的开发人员选择更改文件C:\ Program Files(x86)\ Google \ Update \ GoogleUpdate.exe的内容。这是Google应用程序的合法更新程序,并且通常由Microsoft Windows任务在管理权限下运行。“

PowerPool采用鱼叉式钓鱼攻击

PowerPool的攻击媒介是鱼叉式网络钓鱼消息,研究人员指出,同一群体还负责SANS在5月发现的垃圾邮件活动,该  活动使用符号链接(.slk)文件传播恶意代码。

该小组使用了多阶段恶意软件,第一阶段是用于侦察活动的后门。它确定受感染的计算机是否对攻击者感兴趣,在这种情况下,恶意代码会下载支持各种命令的第二阶段后门,例如上载和下载文件,终止进程以及列出文件夹。

对第二阶段后门的分析使研究人员能够确定恶意代码不是“最先进的APT后门”。

“一旦PowerPool运营商持续访问具有第二阶段后门的计算机,他们就会使用几种开源工具(主要是用PowerShell编写的)在网络上横向移动。”

攻击者使用的工具包括PowerDump,PowerSploit,SMBExec,Quarks PwDump和FireMaster。

“这个特定的活动针对的是有限数量的用户,但不要被这样做所愚弄:它表明网络犯罪分子也会关注新闻,并在公开发布时尽快使用漏洞,”

发表评论