„DarkMe“ kenkėjiška programa

Neseniai atskleistą „Microsoft Defender SmartScreen“ saugos pažeidžiamumą kaip nulinės dienos išnaudojimą panaudojo pažangi nuolatinių grėsmių grupė, žinoma kaip „Water Hydra“, taip pat žinoma kaip „DarkCasino“. Pagrindiniai šios atakos taikiniai yra asmenys, dalyvaujantys finansų rinkose. Tyrėjai šią kenkėjišką kampaniją atrado 2023 m. gruodžio mėn.

Užpuolikai naudojasi CVE-2024-21412 – saugumo apėjimo pažeidžiamumu, susijusiu su interneto nuorodų failais (.URL). Išpuolių sekoje grėsmės veikėjas naudoja CVE-2024-21412, kad apeitų „Microsoft Defender SmartScreen“ ir pristatytų kenkėjišką programą „DarkMe“, kad užkrėstų nieko neįtariančias aukas.

„Microsoft“ išsprendė šį pažeidžiamumą vasario mėnesio pataisų antradienio atnaujinime. Bendrovės teigimu, neautentifikuotas įsilaužėlis gali pasinaudoti šia klaida, perduodamas specialiai sukurtą failą tiksliniam vartotojui, leisdamas jam apeiti saugumo patikras. Tačiau išnaudojimo sėkmė priklauso nuo to, ar grėsmės veikėjas įtikins auką spustelėti failo nuorodą ir peržiūrėti užpuoliko valdomą turinį.

„DarkMe“ kenkėjiška programa yra įdiegta per daugiapakopę atakų grandinę

„DarkMe“ demonstruoja galimybę ne tik atsisiųsti ir vykdyti papildomas instrukcijas, bet ir užsiregistruoti komandų ir valdymo (C2) serveryje bei rinkti informaciją iš pažeistos sistemos.

Stebėto užkrėtimo proceso metu CVE-2024-21412 išnaudojimas naudojamas kenksmingam diegimo failui („7z.msi“) įdiegti. Tai pasiekiama viliojant aukas spustelėti „fxbulls.ru“ URL, kuris platinamas Forex prekybos forumuose. Masalas pristatomas prisidengiant nuorodos į akcijų diagramos vaizdą bendrinimo priedanga. Tačiau tikrasis nuorodos turinys yra interneto nuorodos failas ('photo_2023-12-29.jpg.url').

„fxbulls.ru“ nukreipimo puslapyje yra nuoroda, vedanti į grėsmingą WebDAV bendrinimą su kruopščiai sukurtu filtruotu rodiniu. Kai vartotojai spusteli šią nuorodą, naršyklė paragins ją atidaryti „Windows Explorer“. Pažymėtina, kad tai nesukelia saugumo raginimo, todėl vartotojas gali nepastebėti nesaugaus nuorodos pobūdžio.

Pažymėtinas šios schemos aspektas yra tai, kad grėsmės veikėjas naudoja paieškos programos protokolą, dažniausiai naudojamą darbalaukio paieškos programai iškviesti sistemoje Windows. Šis protokolas anksčiau buvo netinkamai naudojamas kenkėjiškoms programoms pristatyti. Sumanus aktoriaus manipuliavimas šiuo protokolu infekcijos procesui prideda papildomą apgaulės sluoksnį.

APT (išplėstinė nuolatinė grėsmė) grupės dažnai išnaudoja nulinės dienos pažeidžiamumą

Šis išskirtinis požiūris į nuorodas, naudojamas DarkMe infekcijos grandinėje, atsiranda dėl nuorodų panaudojimo kitame sparčiajame klaviše, kuris pasirodė esąs veiksmingas apeinant „SmartScreen“. Šiuo atveju „SmartScreen“ nepavyksta tinkamai pritaikyti žiniatinklio ženklo (MotW), esminio „Windows“ komponento, skirto įspėti vartotojus, kai atidaromi arba paleidžiami failai iš nepatikimų šaltinių.

Galutinis šios kampanijos tikslas – fone slapta pristatyti Visual Basic Trojos arklys, žinomas kaip DarkMe. Tuo pat metu kampanija palaiko apgaulingą fasadą, aukai rodydama grafiką, slepiantį tikrąjį išnaudojimo ir užkrėtimo grandinės pobūdį.

Pastebėtina, kad naujai atrasti nulinės dienos pažeidžiamumai, kuriuos dažnai nustato kibernetinių nusikaltimų grupės, gali patekti į nacionalinių valstybių įsilaužimo grupių arsenalus. Šie sudėtingi užpuolikai, tokie kaip „Water Hydra“, turi techninių žinių ir įrankių, reikalingų pažangių kampanijų nulinės dienos pažeidžiamumui atskleisti ir išnaudoti. Tai leidžia jiems įdiegti labai destruktyvią kenkėjišką programą, pvz., „DarkMe“, parodydama savo gebėjimą vykdyti sudėtingas ir stiprias atakas.