Новости про Windows и атака

Red Canary отмечают, что криптобот, поставляемый с этим ПО, может собирать информацию из следующих приложений:

В этом списке есть много браузеров, но нет Microsoft Edge, что наверняка заставит Microsoft ещё больше рекламировать свой продукт и препятствовать работе конкурирующих решений.

Приложение KMSPico, если вы вдруг не знали, является неофициальным активатором Windows и Office, который превращает пиратские копии в «легальные», эмулируя сервис Mircosoft Key Management Services (KMS).

Аналитики отмечают, что основанная проблема заключается в том, что этим активатором пользуются не только домашние пользователи, но и предприятия, где утечка данных особенно опасна.

Заразится криптоботом предельно просто. Достаточно просто установить KMSPico из поддельного инсталлятора. Поддельный инсталлятор содержит настоящую версию KMSPico, что приводит к абсолютной скрытности заражения. Ситуацию усугубляет и тот факт, что при поиске в Google огромное количество сайтов уверяет, что именно они публикуют официальную и самую свежую версию активатора, так что отличить подлинную от инфицированной версии практически невозможно.

Первым уязвимость нашёл Себастиан Кастро из CSL. Эта техника направлена на один параметр в учётной записи пользователя Windows, известный как Relative Identifier (RID). Воспользовавшись уязвимостью, хакер может получить полный административный доступ к компьютеру.

Идентификатор RID — это код, добавляемый в конце идентификатора безопасности учётной записи (Security Identifier —SID), который описывает группу доступа пользователя. К примеру, для гостевой записи RID равен 501, а для администратора — 500.

Кастро установил, что изменение ключа в реестре, содержащего информацию об учётных записях, может модифицировать RID, и таким образом изменить уровень доступа определённого пользователя. Удалённо таких изменений провести нельзя, но если хакер доберётся до машины, он сможет изменить группу пользователя на администратора, а затем выполнить с машиной любое действие.

Кастро обратился к Microsoft, исправила ли она уязвимость, на что был получен отрицательный ответ. Атака работает на всех Windows начиная с XP и до 10, и от Server 2003 до Server 2016. Пока информации о том, что уязвимостью пользовались, нет.

Команда написала о группе, называемой Platinum. В центре внимания взломщиков находились группы, которые содержали избранные цели и определялись по неустановленной системе. В обоих случаях выявить их противоправную деятельность было тяжело. Хакеры Platinum нацеливались на компании из Юго-Восточной Азии. Большая часть их целей располагалась в Малайзии.

Более половины атак было совершено на правительственные организации и даже на провайдеров интернета. Однако в отличие от традиционных целей обогащения, эти хакеры занимались экономическим шпионажем.

Группой применялся широкий набор средств взлома, от самоудаляемого вредоносного ПО, до средств ограничения трафика, блокирующего передачу определённых данных в определённое время. Для своей работы хакерская группировка устанавливала вредоносное ПО на один из Windows компьютеров. Для гарантирования актуальности своего ПО, хакеры использовали систему горячих обновлений Windows, включив динамическое обновление на операционных системах от Windows Server 2003 до Windows 7.

Возможность горячих обновлений была исключена из Windows 8 и более поздних ОС, поэтому новые системы не стали жертвами хакеров из Platinum.