SteelFox kenkėjiška programa
Buvo aptiktas naujas grėsmingas paketas, žinomas kaip „SteelFox“. Jis skirtas „Windows“ sistemoms išgauti kriptovaliutą ir surinkti kredito kortelės informaciją. Kenkėjiška programa naudoja techniką, vadinamą „atsinešk savo pažeidžiamą vairuotoją“, kad privilegijos būtų padidintos iki SISTEMOS lygio, leidžiančios apeiti saugos priemones.
Kenkėjiška programa pirmiausia plinta per forumus ir torrent svetaines, kur ji slepiasi kaip įlaužimo įrankis, suaktyvinantis teisėtą programinę įrangą, pvz., Foxit PDF Editor, JetBrains ir AutoCAD. Pažeidžiamų tvarkyklių naudojimas privilegijų eskalavimui yra taktika, paprastai siejama su valstybės remiamais grėsmių veikėjais ir išpirkos programų grupėmis. Vis dėlto atrodo, kad dabar jį perima ir informacijos rinkimo kenkėjiškų programų kampanijos.
Tyrėjai pirmą kartą nustatė „SteelFox“ operaciją rugpjūtį, tačiau pastebėjo, kad kenkėjiška programa buvo aktyvi nuo 2023 m. vasario mėn. Pastaraisiais mėnesiais jos platinimas išaugo įvairiais kanalais, įskaitant torrentus, tinklaraščius ir forumo įrašus.
Turinys
SteelFox infekcija ir privilegijų eskalavimas
Ataskaitose nurodoma, kad įrašuose, kuriuose reklamuojamas SteelFox kenkėjiškų programų lašintuvas, dažnai pateikiamos išsamios instrukcijos, kaip nelegaliai suaktyvinti programinę įrangą. Pavyzdžiui, viename iš tokių įrašų pateikiamos nuoseklios instrukcijos, kaip suaktyvinti „JetBrains“. Nors lašintuvas atlieka reklamuojamą programinės įrangos aktyvinimo funkciją, vartotojai netyčia užkrečia savo sistemas kenkėjiška programa.
Kadangi tikslinė programinė įranga paprastai įdiegiama Programų failuose, norint pridėti įtrūkimą, reikalinga administratoriaus lygio prieiga, kurią kenkėjiška programa naudoja savo atakos metu. Tyrėjai pažymi, kad diegimo procesas atrodo teisėtas iki to momento, kai failai išpakuojami. Šiame etape įvedama nesaugi funkcija, kuri vėliau pašalina kodą, atsakingą už SteelFox įkėlimą į sistemą.
Pažeidžiamų vairuotojų išnaudojimas
Kai „SteelFox“ įgyja administratoriaus privilegijas, ji įdiegia paslaugą, kurioje veikia WinRing0.sys – pažeidžiama tvarkyklė, jautri CVE-2020-14979 ir CVE-2021-41285. Dėl šių pažeidžiamumų kenkėjiška programa gali padidinti privilegijas iki NT / SISTEMOS lygio, suteikdama aukščiausią prieigą prie sistemos – stipresnę nei administratoriaus teises. Šis prieigos lygis leidžia kenkėjiškajai programai laisvai manipuliuoti bet kokiais sistemos ištekliais ar procesais.
Be privilegijų eskalavimo, WinRing0.sys tvarkyklė naudojama kriptovaliutų kasimui. Tai yra XMRig kalnakasės, kasančios Monero, dalis. Užpuolikas diegia modifikuotą šios kasybos versiją, sukonfigūruotą prisijungti prie kasybos telkinio su užkoduotais kredencialais.
Kenkėjiška programa taip pat sukuria saugų ryšį su savo komandų ir valdymo (C2) serveriu, naudodama SSL prisegimą ir TLS v1.3, užtikrindama, kad ryšys būtų užšifruotas ir apsaugotas nuo perėmimo. Be to, jis suaktyvina informacijos vagystės komponentą, kuris renka duomenis iš trylikos žiniatinklio naršyklių, sistemos informaciją, tinklo informaciją ir bet kokius RDP (nuotolinio darbalaukio protokolo) ryšius. SteelFox gali rinkti duomenis, įskaitant kredito korteles, naršymo istoriją ir slapukus.
SteelFox užkrečia aukas iš daugelio šalių
Nors „SteelFox“ naudojamas C2 domenas yra užkoduotas, užpuolikas jį slepia, dažnai keisdamas savo IP adresus ir išspręsdamas juos per „Google“ viešąjį DNS ir DNS per HTTPS (DoH). „SteelFox“ atakos nėra nukreiptos į konkrečius asmenis, bet atrodo, kad pirmiausia paveikia „AutoCAD“, „JetBrains“ ir „Foxit PDF Editor“ naudotojus. Buvo pastebėta, kad kenkėjiška programa pažeidžia sistemas tokiose šalyse kaip Brazilija, Kinija, Rusija, Meksika, JAE, Egiptas, Alžyras, Vietnamas, Indija ir Šri Lanka.
Nepaisant to, kad „SteelFox“ yra palyginti naujas, jis yra išsamus nusikalstamų programų paketas. Kenkėjiškų programų analizė rodo, kad jos kūrėjas išmano C++ programavimą ir įtraukė išorines bibliotekas, kad sukurtų labai veiksmingą kenkėjišką programą.
