В феврале 2023 года специалисты Kaspersky Lab обнаружили несколько попыток выполнения аналогичных эксплойтов для повышения привилегий на серверах Microsoft Windows, принадлежащих предприятиям малого и среднего бизнеса на Ближнем Востоке, в Северной Америке и ранее в азиатском регионе.
Эти эксплойты были очень похожи на уже известные эксплойты для драйверов Common Log File System (CLFS), которые Kaspersky Lab анализировали ранее, но решили перепроверить, и это того стоило - один из эксплойтов оказался нулевым днем, поддерживающим различные версии и сборки Windows, включая Windows 11. Эксплойт был сильно обфусцирован, более 80% его кода составлял "мусор", элегантно скомпилированный в двоичный файл, но Kaspersky Lab быстро провели полный реверс-инжиниринг и сообщили о своих выводах в Microsoft. Microsoft присвоила CVE-2023-28252 уязвимость Common Log File System elevation-of-privilege, и патч был выпущен 11 апреля 2023 года в рамках апрельского вторника патчей.
В то время как большинство "нулевых дней", обнаруженных в прошлом, использовались APT, этот конкретный "нулевой день" был использован сложной киберпреступной группой, осуществляющей атаки на выкупное ПО. Эта группа отличается использованием большого количества похожих, но уникальных эксплойтов для драйверов Common Log File System (CLFS), которые, вероятно, были разработаны одним и тем же автором. По крайней мере, с июня 2022 года мы выявили пять различных эксплойтов, используемых в атаках на предприятия розничной и оптовой торговли, энергетики, производства, здравоохранения, разработки программного обеспечения и других отраслей. Используя "нулевой день" CVE-2023-28252, эта группа пыталась развернуть вымогательское ПО Nokoyawa в качестве конечной полезной нагрузки.
Indicators of Compromise
Domains
- devsetgroup.com
- qooqle.top
- vnssinc.com
- vsexec.com
MD5
- 1e4dd35b16ddc59c1ecf240c22b8a4c4
- 46168ed7dbe33ffc4179974f8bf401aa
- 8800e6f1501f69a0a04ce709e9fa251c
- a2313d7fdb2f8f5e5c1962e22b504a17
- f23be19024fcc7c8f885dfa16634e6e7