Η teknologi Kaspersky Labs automatiska exploateringsförebyggande – som är integrerat i de flesta av företagets säkerhetslösningar för terminaler – har upptäckt ett antal riktade digitala attacker. Attackerna försöktes av en ny skadlig programvara som utnyttjade en utbredd nolldagarssårbarhet i operativsystemet Microsoft Windows 10. Cyberbrottslingarnas avsikt var att få full tillgång till offrens system i Mellanöstern. Denna sårbarhet åtgärdades av Microsoft den 9 oktober.
En nolldagsattack är en av de farligaste formerna av cyberhot, eftersom det handlar om att utnyttja en sårbarhet som ännu inte har upptäckts och identifierats. Om den upptäcks av en hotagent kan en nolldagarssårbarhet användas för att skapa en exploatering som kan ge åtkomst till angriparens hela datorsystem inom företagsbranschen. Denna form av attack är utbredd av avancerade ART-attackagenter och har använts även i detta fall.
Exploateringen, som upptäcktes i Microsoft Windows-programvara, nådde offren genom en PowerShell-bakdörr. Exploateringen genomfördes sedan för att avsändaren skulle få nödvändiga privilegier för att finnas i offrens system. Skadlig kod var av hög kvalitet och skriven för att underlätta en effektiv drift av så många olika Windows som möjligt.
Digitala attacker har riktats mot mindre än ett dussin framstående organisationer i Mellanöstern under den senaste sommaren. Teamet bakom attacken tros vara FruityArmor - eftersom PowerShell-bakdörren har använts exklusivt av detta team tidigare. Omedelbart efter upptäckten rapporterade Kaspersky Labs experter omedelbart sårbarheten till Microsoft.
Kaspersky Labs produkter upptäckte detta utnyttjande profylaktiskt med hjälp av följande tekniker:
- Via Kaspersky Lab Behaviour Detection Engine och Auto Prevention Spread Tools tillgängliga på alla företagets säkerhetsprodukter.
- Via Advanced Sandboxing och antimalware-mekanismen tillgänglig på Kaspersky Anti Targeted Attack-plattformen.
Som anges av Anton Ivanov, säkerhetsspecialist från Kaspersky Lab,
"När det kommer till nolldagssårbarheter är det viktigt att aktivt övervaka hotlandskapet för nya utnyttjande. På Kaspersky Lab hjälper det pågående sökandet efter intelligenta hot oss inte bara att hitta nya attacker, utan också att rikta in oss på olika digitala hot. Vi avser också att ta reda på vilken skadlig teknik dessa brottslingar använder. "Som ett resultat av vår forskning har vi ett kraftfullt tekniskt detektionsverktyg som gör att vi kan förhindra attacker - som den som var avsedd att utnyttja denna sårbarhet."
För att undvika zero-day exploits rekommenderar Kaspersky Lab följande tekniska åtgärder:
- Undvik att använda programvara som är känd för att vara sårbar eller som nyligen har använts i digitala attacker.
- Se till att programvaran som används av ditt företag uppdateras regelbundet till de senaste versionerna. Säkerhetsprodukter med vulnerability Assessment och Patch Management-funktioner kan hjälpa till att automatisera dessa processer.
- Använd en kraftfull säkerhetslösning, såsom Kaspersky Endpoint Security for Business, som är utrustad med beteendebaserade upptäcktsfunktioner för effektivt skydd mot kända och okända hot, inklusive expoits.
