Хак-группа PowerPool уже использует для атак свежую 0-day уязвимость в Windows - «Новости»
«Момент, которого вы так долго ждали»: создатели Pioner открыли запись на закрытую «бету», но зарегистрироваться не так уж и просто - «Новости сети»
«Момент, которого вы так долго ждали»: создатели Pioner открыли запись на закрытую «бету», но зарегистрироваться не так уж и просто - «Новости сети»
Соцсеть X обновила принцип блокировки пользователей — многим это не понравилось - «Новости сети»
Соцсеть X обновила принцип блокировки пользователей — многим это не понравилось - «Новости сети»
Обновлённый PC Manager очистит диск от мусора с помощью нового алгоритма и не только - «Новости сети»
Обновлённый PC Manager очистит диск от мусора с помощью нового алгоритма и не только - «Новости сети»
На фоне надвигающегося сиквела продажи Kingdom Come: Deliverance взяли новую высоту - «Новости сети»
На фоне надвигающегося сиквела продажи Kingdom Come: Deliverance взяли новую высоту - «Новости сети»
Дебютировал электрический кроссовер Zeekr X 2025 — автономность на 420 км и 268 л.с. всего за $21 050 - «Новости сети»
Дебютировал электрический кроссовер Zeekr X 2025 — автономность на 420 км и 268 л.с. всего за $21 050 - «Новости сети»
Теперь клиники могут отвечать на отзывы пользователей о врачах — «Блог для вебмастеров»
Теперь клиники могут отвечать на отзывы пользователей о врачах — «Блог для вебмастеров»
Создан порошок с рекордным уровнем поглощения CO2 из воздуха - «Новости сети»
Создан порошок с рекордным уровнем поглощения CO2 из воздуха - «Новости сети»
Криптовалюты упали после сообщения о расследовании возможных нарушений при использовании Tether - «Новости сети»
Криптовалюты упали после сообщения о расследовании возможных нарушений при использовании Tether - «Новости сети»
Обнаружена уязвимость Windows, позволяющая откатывать обновления безопасности - «Новости сети»
Обнаружена уязвимость Windows, позволяющая откатывать обновления безопасности - «Новости сети»
Тайным получателем чипов TSMC для Huawei оказалась компания, связанная с китайской Bitmain - «Новости сети»
Тайным получателем чипов TSMC для Huawei оказалась компания, связанная с китайской Bitmain - «Новости сети»
Новости мира Интернет » Новости » Хак-группа PowerPool уже использует для атак свежую 0-day уязвимость в Windows - «Новости»
.




);

Специалисты ESET сообщили, что хакерская группа PowerPool уже эксплуатирует свежую проблему, связанную с Windows Task Scheduler, а именно механизмом Advanced Local Procedure Call (ALPC). Хакеры модифицировали публично доступный эксплоит и атакуют пользователей разных стран мира, включая Чили, Германию, Индию, Филиппины, Россию, Украину, Польшу, Великобританию и США.


Напомню, что данную проблему в конце августа обнаружил ИБ-эксперт, известный как SandboxEscaper. Информация о неисправленном баге была открыто опубликована в Twitter вместе со ссылкой на proof-of-concept эксплоит.


Обнаруженный баг представляет собой локальное повышение привилегий, которое позволяет атакующему повысить права своей малвари от Guest или User до уровня SYSTEM. Проблема связана с работой Windows Task Scheduler, а именно механизма Advanced Local Procedure Call (ALPC). Хотя изначально считалось, что уязвимость представляет угрозу лишь для 64-разрядных систем, вскоре выяснилось, что незначительно модифицировав эксплоит, можно атаковать и 32-разрядные версии Windows.


В настоящее время официального исправления по-прежнему нет, однако о проблеме позаботились сторонние специалисты – инженеры компании Acros Security. Временный патч (или микропатч) для уязвимости в Task Scheduler ALPC был представлен в составе их продукта 0patch. 0patch – это платформа, предназначенная как раз для таких ситуаций, то есть исправления 0-day и других непропатченных уязвимостей, для поддержки продуктов, которые уже не поддерживаются производителями, кастомного софта и так далее.


Теперь специалисты компании ESET сообщают, что уязвимость уже эксплуатирует как минимум одна группа хакеров — PowerPool. По данным исследователей, злоумышленники немного изменили оригинальный PoC-эксплоит и перекомпилировали его для атак.


PowerPool используют проблему для подмены содержимого C:Program Files(x86)GoogleUpdateGoogleUpdate.exe, легитимного апдейтера приложений Google. Так как этот файл регулярно исполняется с привилегиями администратора, это позволяет атакующим повысить привилегии своей малвари в целевой системе.


Эксперты ESET полагают, что атака PowerPool начинается с вредоносных таргетированных писем, которые хакеры рассылают жертвам. Судя по всему, эта хакерская группа связана с интересной спам-кампанией, обнаруженной специалистами SANS в мае текущего года. Тогда злоумышленники использовали для распространения малвари файлы Symbolic Link (.slk), и сейчас такую же тактику демонстрирует PowerPool.



Спам PowerPool

Вредонос, который распространяется в таких письмах, это бэкдор, чья цель — провести разведку ситуации.  Если зараженная машина вызывает у атакующих интерес, малварь загружает бэкдор второй стадии, который уже способен исполнять команды в системе, загружать и выгружать файлы, ликвидировать процессы и так далее.


На второй стадии атаки на скомпрометированную машину также загружается ряд опенсорсных инструментов, среди которых PowerDump, PowerSploit, SMBExec, Quarks PwDump и FireMaster. И именно на второй стадии атаки происходит эксплуатация 0-day, подмена GoogleUpdate.exe и повышение привилегий.


Исследователи пишут, что конечные цели группировки неясны до конца. Аналитики ESET полагают, что исходя из характера используемых PowerPool инструментов, можно говорить о некой форме кибершпионажа.


Источник новостиgoogle.com

. ); Специалисты ESET сообщили, что хакерская группа PowerPool уже эксплуатирует свежую проблему, связанную с Windows Task Scheduler, а именно механизмом Advanced Local Procedure Call (ALPC). Хакеры модифицировали публично доступный эксплоит и атакуют пользователей разных стран мира, включая Чили, Германию, Индию, Филиппины, Россию, Украину, Польшу, Великобританию и США. Напомню, что данную проблему в конце августа обнаружил ИБ-эксперт, известный как SandboxEscaper. Информация о неисправленном баге была открыто опубликована в Twitter вместе со ссылкой на proof-of-concept эксплоит. Обнаруженный баг представляет собой локальное повышение привилегий, которое позволяет атакующему повысить права своей малвари от Guest или User до уровня SYSTEM. Проблема связана с работой Windows Task Scheduler, а именно механизма Advanced Local Procedure Call (ALPC). Хотя изначально считалось, что уязвимость представляет угрозу лишь для 64-разрядных систем, вскоре выяснилось, что незначительно модифицировав эксплоит, можно атаковать и 32-разрядные версии Windows. В настоящее время официального исправления по-прежнему нет, однако о проблеме позаботились сторонние специалисты – инженеры компании Acros Security. Временный патч (или микропатч) для уязвимости в Task Scheduler ALPC был представлен в составе их продукта 0patch. 0patch – это платформа, предназначенная как раз для таких ситуаций, то есть исправления 0-day и других непропатченных уязвимостей, для поддержки продуктов, которые уже не поддерживаются производителями, кастомного софта и так далее. Теперь специалисты компании ESET сообщают, что уязвимость уже эксплуатирует как минимум одна группа хакеров — PowerPool. По данным исследователей, злоумышленники немного изменили оригинальный PoC-эксплоит и перекомпилировали его для атак. PowerPool используют проблему для подмены содержимого C:Program Files(x86)GoogleUpdateGoogleUpdate.exe, легитимного апдейтера приложений Google. Так как этот файл регулярно исполняется с привилегиями администратора, это позволяет атакующим повысить привилегии своей малвари в целевой системе. Эксперты ESET полагают, что атака PowerPool начинается с вредоносных таргетированных писем, которые хакеры рассылают жертвам. Судя по всему, эта хакерская группа связана с интересной спам-кампанией, обнаруженной специалистами SANS в мае текущего года. Тогда злоумышленники использовали для распространения малвари файлы Symbolic Link (.slk), и сейчас такую же тактику демонстрирует PowerPool. Спам PowerPool Вредонос, который распространяется в таких письмах, это бэкдор, чья цель — провести разведку ситуации. Если зараженная машина вызывает у атакующих интерес, малварь загружает бэкдор второй стадии, который уже способен исполнять команды в системе, загружать и выгружать файлы, ликвидировать процессы и так далее. На второй стадии атаки на скомпрометированную машину также загружается ряд опенсорсных инструментов, среди которых PowerDump, PowerSploit, SMBExec, Quarks PwDump и FireMaster. И именно на второй стадии атаки происходит эксплуатация 0-day, подмена GoogleUpdate.exe и повышение привилегий. Исследователи пишут, что конечные цели группировки неясны до конца. Аналитики ESET полагают, что исходя из характера используемых PowerPool инструментов, можно говорить о некой форме кибершпионажа. Источник новости - google.com

запостил(а)
Boolman
Вернуться назад
0

Смотрите также

А что там на главной? )))



Комментарии )))