Управление уязвимостями и их устранение - одни из самых сложных проблем, которые необходимо решать в организации. Многочисленные решения, списки и предупреждения призваны обеспечить, чтобы компании и конечные пользователи исправляли свое программное обеспечение от известных уязвимостей безопасности.
К сожалению, даже при наличии инструментов и предупреждении команд актуальной информацией, это часто происходит несвоевременно или вообще не происходит. Обычно это связано с устаревшим программным обеспечением, перегруженными работой командами или даже халатностью или некомпетентностью - и субъекты угроз знают об этом. Установка исправлений - это зачастую рутинная и утомительная работа. Организации, которые с опозданием, непоследовательно или небрежно применяют исправления, часто становятся жертвами, предоставляя возможность угрозам найти плацдарм для эксплуатации.
В качестве примера можно привести CVE-2017-0199 и CVE-2017-11882, которым уже почти пять лет, но они все еще эксплуатируются. Хуже того, для обеих уязвимостей уже давно выпущены официальные патчи, но они продолжают эксплуатироваться.
В этом блоге мы рассмотрим недавний экземпляр SmokeLoader, вариант вредоносного ПО, который использует обе эти уязвимости CVE в своей цепочке развертывания. SmokeLoader (также известный как Dofoil) в той или иной форме доступен на рынке с 2011 года. Его основная задача - поддерживать распространение других семейств вредоносных программ, таких как Trickbot. Этот последний образец сбрасывает zgRAT - несколько редкую полезную нагрузку по сравнению с тем, что обычно поставляет SmokeLoader.
Indicators of Compromise
IPv4
- 108.60.212.220
Domains
- afrocalite.com
- dhemgldxkv.com
- sorathlions.com
SHA256
- 104f88876b4d7c963d47afa63cfbb516d20e1cf9858d739f9c4023142b223fe2
- 3223ae2c88753ce7268fa02213b76bdaf690ac37ec411ea8b7925c3b31e8822f
- 4e4e32f6259b82e6b932ab81172c22560ec2ac46e85543d4851637a63eaace3e
- a1f59ebe9e8311267d831da649a8df44a3d747e9cf75e64a259b2fd917d2f587
- eef3295bada101787ae4f1ebc92e17fc2c6cd8c39389a745c45943a019637ca1