DarkMe pahavara

Hiljuti paljastatud Microsoft Defender SmartScreeni turvaauku on nullpäevase ärakasutamisena ära kasutanud arenenud püsiv ohurühm, tuntud kui Water Hydra, mida nimetatakse ka DarkCasinoks. Selle rünnaku peamisteks sihtmärkideks on finantsturgudel kauplemisega seotud isikud. Teadlased avastasid selle pahatahtliku kampaania 2023. aasta detsembris.

Ründajad kasutavad ära CVE-2024-21412, mis on Interneti otseteefailidega (.URL) seotud turvahaavatavus. Rünnakujärjestuses kasutab ohutegija CVE-2024-21412, et hiilida kõrvale Microsoft Defender SmartScreenist ja tutvustada pahaaimamatute ohvrite nakatamiseks pahavara DarkMe.

Microsoft on selle haavatavuse käsitlenud oma veebruarikuise paiga teisipäeva värskenduses. Ettevõtte sõnul võib autentimata häkker seda viga ära kasutada, saates sihtkasutajale spetsiaalselt koostatud faili, võimaldades neil turvakontrollist mööda minna. Kuid ärakasutamise edukus sõltub sellest, et ähvardaja veenab ohvrit faili lingil klõpsama ja ründaja kontrollitavat sisu vaatama.

DarkMe pahavara juurutatakse mitmeastmelise ründeahela kaudu

DarkMe ei suuda mitte ainult alla laadida ja täita täiendavaid juhiseid, vaid ka registreerida end käsu-ja juhtimise (C2) serveris ja koguda teavet ohustatud süsteemist.

Vaadeldud nakatumisprotsessi ajal kasutatakse CVE-2024-21412 ärakasutamist kahjuliku installifaili ('7z.msi') juurutamiseks. See saavutatakse sellega, et meelitatakse ohvreid klõpsama salastatud URL-il ('fxbulls.ru'), mida levitatakse Forexi kauplemisfoorumite kaudu. Lanti esitletakse aktsiagraafiku pildi lingi jagamise varjus. Lingi tegelik sisu on aga Interneti otseteefail ('photo_2023-12-29.jpg.url').

Sihtlehel "fxbulls.ru" on link, mis viib hoolikalt koostatud filtreeritud vaatega ähvardava WebDAV-i jagamisele. Kui kasutajad sellel lingil klõpsavad, palub brauser neil see Windows Exploreris avada. Eelkõige ei käivita see turvaviipa, mis võib põhjustada kasutaja tähelepanuta lingi ebaturvalisuse.

Selle skeemi tähelepanuväärne aspekt on see, et ohus osaleja kasutab otsingurakenduse protokolli, mida tavaliselt kasutatakse Windowsi töölauaotsingurakenduse kutsumiseks. Seda protokolli on varem pahavara edastamiseks väärkasutatud. Näitleja nutikas manipuleerimine selle protokolliga lisab nakkusprotsessile täiendava pettusekihi.

APT (Advanced Persistent Threat) rühmad kasutavad sageli ära nullpäeva turvaauke

See DarkMe nakkusahelas kasutatav eristav lähenemisviis viitamisele tuleneb otsetee kasutamisest teises otsetees, mis on osutunud tõhusaks SmartScreenist möödahiilimisel. Sel juhul ei suuda SmartScreen asjakohaselt rakendada veebimarki (MotW), mis on oluline Windowsi komponent, mis on loodud kasutajate hoiatamiseks ebausaldusväärsetest allikatest pärit failide avamisel või käivitamisel.

Selle kampaania lõppeesmärk on varustada taustal Visual Basicu troojalane, mida tuntakse DarkMe nime all. Samal ajal säilitab kampaania petliku fassaadi, kuvades ohvrile aktsiagraafiku, varjates ärakasutamise ja nakatumise ahela tegelikku olemust.

On tähelepanuväärne, et äsja avastatud nullpäeva haavatavused, mille sageli tuvastavad küberkuritegevuse rühmitused, võivad leida tee rahvusriikide häkkimisrühmituste arsenalidesse. Need kogenud ründajad, nagu Water Hydra, omavad tehnilisi teadmisi ja tööriistu, mida on vaja täiustatud kampaaniate nullpäeva haavatavuste avastamiseks ja ärakasutamiseks. See võimaldab neil juurutada väga hävitavat pahavara nagu DarkMe, mis näitab nende võimet sooritada keerulisi ja tugevaid rünnakuid.