Группировка TA505, она же Evil Corp, использует в
своих атаках поддельные обновления для ПО.
Компания Microsoft предупредила пользователей о том, что российская
киберпреступная группировка TA505 эксплуатирует в своих атаках уязвимость
Zerologon.
В зафиксированных специалистами атаках используются
поддельные обновления для программного обеспечения, подключающиеся к с
C&C-инфраструктуре, которую ИБ-эксперты связывают с группировкой TA505
(CHIMBORAZO в классификации Microsoft). Поддельные обновления способны обходить
контроль учетных записей пользователя (UAC) и выполнять вредоносные скрипты с
помощью легитимного инструмента Windows Script Host (wscript.exe). В ходе
эксплуатации уязвимости злоумышленники используют MSBuild.exe для добавления в
Mimikatz функционала Zerologon.
Группировка TA505, также известная как Evil Corp,
активна уже почти десять лет и известна в основном своими атаками с
использованием банковских троянов и вымогательского ПО. Недавно ИБ-эксперты представилисвидетельства сотрудничества TA505 с северокорейской киберпреступной
группировкой Lazarus.
Zerologon ( CVE-2020-1472 ) представляет собой уязвимость
повышения привилегий в Windows Server. Проблема связана с использованием
ненадежного алгоритма шифрования в механизме аутентификации Netlogon. Zerologonпозволяетимитировать любой компьютер в сети в процессе аутентификации на контроллере
домена, отключать функции безопасности Netlogon и изменять пароль в базе данных
Active Directory контроллера домена.
Недавно Microsoft настоятельно рекомендовала
пользователям установить выпущенные ею августовские обновления безопасности, частично
исправляющие уязвимость, так как Zerologon уже активно эксплуатируетсяхакерами, в том числе иранскими . Августовский патч является лишь
первым этапом исправления уязвимости – второго следует ожидать в феврале 2021
года.